GDPR 2018 rendelet lényege, jelentése röviden – és gyakorlati megoldások kkv-nak

Home / Internetjog / GDPR 2018 rendelet lényege, jelentése röviden – és gyakorlati megoldások kkv-nak

Mi ez (GDPR 2018 rendelet)? Rám is vonatkozik? És meddig kell elkészíteni?

A GDPR rendelet jelentése, lényege röviden: a GDPR (General Data Protection Regulation), azaz Általános Adatvédelmi rendelet az Európai Unió új általános adatvédelmi rendelete egész Európára vonatkozik. Eddig 20 millió Ft volt a bírság felső határa, az összeg marad, de euróban értendő a továbbiakban. Hát, igen a 21 millió már túlzás lett volna…

Mindegy, hogy kis vagy nagy cégről, önkormányzatról, bankról stb. van-e szó, mert mindenkire vonatkozik, aki személyes adatokat kezel (név, e-mail cím, IP cím, fénykép stb.). De a cookies (sütik) is ide tartoznak, tehát, ha van weblapod máris érintett leszel. És mindegy, hogy elektronikusan vagy papirusz tekercset használsz, a személyes adat az személyes adat.

És az is mindegy, hogy a szerver Kukutyinban van-e, mert a user meg Európában és onnan látogatja meg a honlapodat. Amúgy is lehet, hogy Kukutyin Európa része lesz egyszer.

Lényegretörően leírom (kicsit viccesen, hogy legyen lelki erőd végig olvasni) a legfontosabb gyakorlati dolgokat a kkv részére, ahogyan mi értelmeztük a rendeletet, de semmilyen jogi felelősséget nem vállalok, tehát ne tekintsd jogi tanácsadásnak.

Amúgy is javasolják, hogy több éves gyakorlattal rendelkező megfelelő szakembertől kérjünk auditot (lásd az összefoglaló részt), felmérve a hibákat, javaslatokkal együtt (GDPR Gap analízis). Mi amúgy is többek között programozással, grafikával, marketinggel és SEO-val foglalkozunk, így a mi szerepkörünk ezzel kapcsolatos. 2018. május 25-től hatályos (pontosabban ekkor lesz 2 éves, de ennyi türelmi időt kaptunk).

 

Adatkezelési tájékoztató megírásához hány kávé kell pontosan?

N/A. De, ha cipőt árulsz ne kérd be az életkorára vonatkozó adatot és pontosan meg kell tudnod indokolni, hogy mit, kitől és miért kérsz be az adatok kapcsán, illetve: adatkezelés célja, jogalapja, az adattovábbítás címzettjei, az adatvédelmi tisztviselő adatai, technikai és szervezési intézkedések leírása stb. is kelleni fog. Van egy titkom a számodra, ez eddig is így volt.

Nyilatkoznod kell továbbá, hogy az adatokat hogyan és meddig tárolod (pl. telefon, e-mail cím, név stb.), és hogyan teszed elérhetővé, ha kéri az illető. Mik a biztonsági feltételek? Meg kell írnod, hogy hol tud jogorvoslatra igényt formálni és meg kell nevezned az adatkezelő személyét is. És ha esténként nem megy az alvás, akkor meditálj vagy olvass el egy adatkezelési tájékoztatót. Szerintem hamar megtanulsz meditálni és sok örömödet leled majd benne.

 

Az adatkezelési tájékoztató elkészítése

Ez olyan, mint az El Camino, nagy dolog, ha megcsinálod és utána büszke lehetsz magadra. Tehát el kell készíttetni az adatkezelési tájékoztatót a rendeletnek megfelelően.

Jó, de mi legyen benne? Ez:

  • Az Adatkezelő neve, címe, elérhetősége (postacím, e-mail, mert postai úton is leiratkozhat az ügyfeled),
  • A kezelt adatok köre (pl, név, telefon, e-mail),
  • Az adatkezelés célja pl. hírlevél, számlázás,
  • Az érintettek köre, vagyis, hogy kire terjed ki az adatkezelés,
  • Az adatok megismerésére jogosult adatkezelők személye (pl. ha futárszolgálatnak átadjátok az adatokat),
  • Az adatkezelés időtartama (ez nem lehet önkényes, csak a szerelem tart örökké),
  • Hogyan tudja a felhasználó megtekinteni, módosítani vagy törölni a regisztrációkor az adatait és akkor még a zárolásról nem beszéltünk (akkor is, ha valamit megrendelt, vagy csak feliratkozott a hírlevélre),
  • Mennyi idő alatt válaszol a weblap tulajdonosa az adatok megváltoztatásával vagy törlésével kapcsolatos kérésekre,
  • Tájékoztatni kell a felhasználót az adathordozhatósághoz való jogról + minden további jogáról és arról, hogy ezeket hogyan érvényesítheti,
  • Gondoskodni kell róla, hogy az adatok ne kerüljenek illetéktelenek birtokába, ezért: tájékoztatni kell az érintett kollégákat az adatkezeléssel kapcsolatos legfontosabb óvintézkedésekről (pl. ismeretlen, genyónak tűnő leveleket ne nyissanak meg),
  • A weblap tulajdonosának a weblapját ért támadás esetén 72 órán belül jelentenie kell a NAIH-nak (Nemzeti Adatvédelmi és Információszabadság Hatóság) az esetet (bizonyos esetekben az érintetteknek is értesíteni kell), erre külön létrehoznak majd egy formanyomtatványt, úgyhogy no para,
  • Meg kell védenie a rendszert a támadásoktól, nemcsak a világháborútól (tűzfal, vírusirtó),
  • Dokumentációs kötelessége is van, ennek körét a rendelet pontosan meghatározza, lásd a 2. cikkely az 5678. oldalon


Tisztítótűz

Nem tárolhatod azokat a személyes adatokat, amikre a rendelet alapján nincs szükséged. Nézd a jó oldalát, legalább kiderül, hogy kik a valódi ügyfeleid. Nyilván a számlázáshoz kellenek adatok és ez benne van a számlázó progiban. Elhiszem, hogy nehéz az ügyfél (adataitól) könnyes búcsú nélkül elszakadnod sok esetben, de ez van. Egyébként NAIH számot május 25-től nem kell már igényelni és a számlázáshoz eddig sem kellett külön NAIH szám (egyes vélemények szerint ez még nem biztos és a hazai jogszabályokat is kell figyelni, nemcsak az európai GDPR-t).

 

Milyen feliratkozási mezők kellenek pontosan (hírlevél, kapcsolat, termék vagy szolgáltatás stb. esetén)?

Külön szedtem ezeket, hogy könnyebb legyen feldolgozni, de van összefüggés közöttük.

 

Ha kapcsolatba akar lépni veled az ügyfél egy formon (mezőn) keresztül

Név, e-mail cím bekérésén kívül pl. (értsd van más megoldás is) egy előre ki nem pipált checkbox-ban (jelölőnégyzetben) jóvá kell hagynia az illetőnek külön, hogy elfogadja az adatkezelési tájékoztatódat és annak linkjét érdemes ott elhelyezni, hogy meg is találja és el tudja olvasni.

A jogalkotó tevőleges magatartást vár el, így nem lehet előre bepipálva a jelölőnégyzet, hanem kötelező azt a usernek megtennie. Sokan az adatok kezeléséhez történő hozzájárulást is elfogadtatják (nyilván ezért lép velünk kapcsolatba és adja meg az adatait, hogy pl. válaszolhassunk neki). A checkbox-ot helyettesítheti egy látható, nagy gomb, melyre klikkelve jóvá tudja hagyni a dolgot. Ez is egy megoldás.

 

Ha hírlevélre akarod felíratni és ő is akarja a táncot

Ugyanaz, mint az előző pont (lásd kapcsolati form leírásánál), de ezen kívül azt is KÜLÖN újabb checkbox-szal kell megvalósítanod, hogy jóvá hagyja tevőlegesen, hogy hírlevelet kapjon és be is pipálja a jelölőnégyzetet. Ezt külön a kapcsolat oldalon is elhelyezheted, így lehet, hogy egyből a hírlevélre is feliratkozik (KÜLÖN csoportban).

 

Feliratkozáshoz kötött, pl. e-book letöltése

És abban az esetben, ha feliratkozáshoz akarod kötni, pl. egy e-book-ot letöltsön az érdeklődő, akkor az eddig leírtakon kívül fontos, hogy ha nem hagyja jóvá a hírlevélre történő feliratkozási szándékát, akkor nem küldhetsz neki hírlevelet, de attól még letöltheti az e-bookot (ezután – ha letöltötte -, törölnöd kell az adatit, de ezekkel kapcsolatban a következő cikkemben küldök megoldást). Ha pedig jóváhagyta, akkor nyertél egy újabb feliratkozó emberfiát a hírleveledre.

Függetlenül attól, hogy cégről vagy magánszemélyről van szó, erre szükség van. És az általad kiküldött e-mailből egyértelműen ki kell derülnie, hogy ki az adatkezelő. Ja, és nem kötheted a vásárlást kötelező hírlevél feliratkozáshoz sem. De ha imádkozol, akkor azért biztos lesz olyan serény user, aki fel fog iratkozni a hírlevélre is.

 

Kiegészítés a feliratkozáshoz

Ha kapcsolati űrlapon vagy hírlevél vagy termék megrendelése kapcsán személyes adatokat küld Neked az ügyfél, akkor mindig használnod kell a checkbox-ot vagy valamilyen más megoldást, mely bizonyíthatóan, határozottan felhívja a figyelmét és jóvá hagyatja tudatosan az adatkezelési tájékoztatót az ügyféllel. Tehát a hallgatás nem beleegyezés többé. Nyilván kivétel a regisztrált ügyfél, aki már korábban jóváhagyta ezt (fejlesztéssel megoldható, hogy ne kelljen minden alkalommal pipálgatnia).


Használd az eDm kifejezést, mert az magában foglalja a direkt megkeresés módszerével, elektronikusan történő felkereséseket (telefonhívás nem tartozik ide) pl. ajándék, kupon, kedvezmény, promóció, nyereményjáték, e-katalógus, e-mail stb. A nem személyes e-mail címre küldött üzenet nem számít eDM-nek pl. info@céged- vállalkozás-neve-példa.hu. De gondolj bele, hogy ha a neved a céges mail címben benne van, akkor az ezúton is hordoz személyes adatot magában, így változik a figura.

 

Mi a helyzet a megerősítő e-maillel, vagy, ha telefonon iratkozik fel egy szolgáltatásodra?

Megerősítő e-mailre nem feltétlen van szükség, de az is jó megoldás lehet. Marketing szempontból tudjuk, hogy sok feliratkozót el lehet veszíteni általa, de így biztos, hogy nem kamu e-mail címmel van dolgunk. Jóllehet, ha rossz adatot adott meg, az nem a mi hibánk, de a jogban mindent tudni kell bizonyítani. Lehet fél megoldás az is, hogy kétszer kell az e-mail címet megadnia feliratkozásánál.

És még valami, ha megerősítő e-mailt használsz, akkor ebben is jóvá hagyhatja a kötelező dolgokat, és klikkeléssel meg tudja erősíteni a feliratkozási szándékát. Viszont, ha szőrözünk, akkor felmerül, hogy mi a jogalapja annak, hogy kiküldted neki az e-mailt, mert hogy ez már kőkemény marketing.

Még az engedély elkérése is, hogy hírlevelet küldj neki az is marketing tevékenység. És mi van, ha egy kedves kínai spam robot írta be véletlenül az ő e-mail címét vagy a szomszédja és azért kapott megerősítő e-mailecskét? Pedig ő nem is akart feliratkozni.

A másik probléma lehet, ha telefonon iratkozik fel a te segítségeddel egy szolgáltatásodra. Így a te IP címed alapján fogja megrendelni a rendszer a szolgáltatásodat és ha később a feledékenység korszaka köszönt rá, akkor lehet, hogy ez is spam-elésnek fog minősülni, mert nem tudod bizonyítani a dolgot. Ne túl életszerű, hogy jóváhagyásával rögzítjük a telefonbeszélgetést az utólagos bizonyíthatóság kedvéért, hacsak nem egy bank vagy éppen.:)

 

A cookies (sütik) kezelésével most mi van?

Ha belegondolsz most az van, hogy ha felmegy a user egy oldalra, már le is menti a sütiket (ha nem kapcsolta ki a böngészőben ezt a funkciót), amik segítenek abban, hogy felhasználói élmény jobb legyen, releváns hirdetések legyenek stb.

De monitorozza azt is, hogy kacsója és ujjai segítségével mit pásztáz be a két szemgolyója. Ergo ez is személyes adat. Szóval az a tiszta, ha a sütik gyűjtését el tudja fogadni, vagy módosítani tudja, hogy mit gyűjtsön a rendszer, vagy ki tudja kapcsolni a gyűjtést.

És lehet, hogy így boldoggá teszi a szerencsés marketinges kollégát, ha nem kapcsol ki mindent és így nem kell az anonymusok szerencsés körét gyarapítania a felhasználónak.

Ja, és ne gondold, hogy az megoldás, hogy nem mehet tovább a weboldaladon, ha nem hagyja jóvá, hogy James Bondot megszégyenítő módon a háttérben gyűjtöd az infókat, hogy mit csinál pontosan. Helyette inkább leállítod a gépezetet és lőttek a sütiknek.

 

 

Webshop esetén

Mindegy, hogy 1 vagy 27262 terméket árulsz. Hozzájárulás kell a személyes adatok kezeléséhez (a jelölőnégyzet itt is jó barátod lehet). A hírlevélhez is ahogy írtam, külön hozzájárulás begyűjtése szükséges. És adott dologtól függően másra is szükség lehet, jómagam csak általánosságban írom le a legfontosabb dolgokat (minden esetben kérjük adatkezelési tisztségviselő segítségét, aki a teljes folyamatot átlátja).

Továbbá adatkezelési tájékoztatót kell közzé tenni, ahol érthető módon elmagyarázod a lényeget. Ezt hagyja ugyebár jóvá a látogatód. Tehát újabb checkbox-szal (szerintem checkbox-okról fog álmodni az ügyfél aznap).

Számoljunk: 1. jelölőnégyzet (adatkezelési tájékoztató jóvá hagyása), ha nem hagyja jóvá, nem mehet tovább.

2. jelölőnégyzet (hírlevélre való feliratkozás megtétele ha van hírlevél, ha nem hagyja jóvá, akkor is tovább mehet)

3. jelölőnégyzet (hozzájárulás a személyes adatok kezeléséhez, ha nem hagyja jóvá, akkor nem mehet tovább).

Természetesen a Felhasználási Feltételeket, illetve Általános Felhasználási Feltételeket is jóvá kell hagynia, de az egy másik tészta (a működésről és nem adatkezelésről szól a szolgáltatásod tekintetében).

Ha a 2.-at (hírlevél) nem hagyja jóvá, akkor a megrendeléssel kapcsolatos legszükségesebb infókkal áraszthatod el a nagyérdeműt. Természetesen a többi erre is vonatkozik (biztonság, adatok tárolásának ideje stb.).

Ha ‒ nem fogod kitalálni, de ‒, újabb jelölőnégyzetet használsz pl. regisztrációkor, amivel ezt jóvá hagyatod, akkor tárolhatod addig az adatait, amíg pl. ő úgy nem dönt, hogy törölteti őket (de szerintem ekkor már 20 km-ről el fogja kerülni a checkbox-okat.).

Ha nincs regisztráció, akkor az adatkezelési tájékoztatóban kell megfogalmazni, mit jelent az ügylet lezárása pontosan (pl. amikor az illető átvette a csomagot, amit megrendelt anno domini vagy véget ért a garanciális időszak stb.).

Fontos, hogy minden webáruháznak tudnia kell vásárlóit elkülönülten kezelnie: anonim (regisztráció nélküli) és regisztrált. Szegmentált csoportjaid lesznek, de ez már régen fontos a marketing miatt a is, lásd pontos célszegmens célzása…

 

És, ha csak számlázásra használom az adatokat?

Bizony nemcsak Info, hanem számviteli és egyéb törvények is vannak… De a lényeg, hogy ehhez nem kell hozzájárulást külön bekérni. Gondolj bele, egyéb esetben elég hosszú lenne a sor a pékségben reggel a pult előtt. De minden vásárlónak el kell fogadnia az ÁSZF-et, ha vásárolni akar.

 

Milyen jogai vannak az emberfiának, aki a honlapodra tévedt?

A legfontosabb, hogy bármikor kikérheti tőled azt, hogy mire, mikor, milyen adatokkal iratkozott fel (személyes adatok, amiket tárolsz) és ezeket bármikor módosíthatja vagy leiratkozhat (törölni kell minden adatot azonnal, amit töröltetni akar). Persze nem viccelődhet azzal, hogy 65-ször bekéri az adatait, mert ha megalapozatlan a történet, akkor vissza is utasíthatod, vagy pénz ellenében segíthetsz neki. Mert azért nekünk is vannak jogaink…

Egy tíz ezres hírlevél listán elég, ha csak 2% játszik ilyen viccet unalmában egyik nap és így te sem fogsz unatkozni. A legjobb szerintem mindent automatizálni. Beregisztrálva bármikor meg tudja tenni a user, vagy ahol feliratkozott, ott tud érdeklődni pl. e-mail címére kikérve az adatokat. Így nem kell a következő hírlevelet megvárni a módosítandó linkkel, mert amúgy a törvény úgy rendelkezik, hogy bármikor élhet ezzel a jogával és nyilván fontos, hogy más ne férjen az ő adataihoz.

Természetesen érhető, ha valaki kíváncsi ezekre az adatokra és nem szeretné, ha ma is felhívná egy ügynök, hogy vegyen valami csoda terméket, amire azonnal szüksége van (az ügynöknek).

 

 

Ezeket ismered pl. Facebook feliratkozás esetén mi a helyzet?

Ha pl. a Facebookon iratkozott fel az ügyfeled hozzád, akkor is vonatkozik rád ez a törvény. A leendő ügyfél által megadott adatok hitelességéért nem te felelsz természetesen (adatkezelési tájékoztatóba érdemes beleírnod), de megfordultak a dolgok. Nem az ügyfélnek kell bizonyítania, hogy probléma lépett fel, hanem neked. Azért ez a joggyakorlatban ismerős dolog, gondolj a pár éve bevezetett sérelemdíjra (személyiségi jogokat egyre komolyabban veszi a jogalkotó).

Az incidenst (pl. feltörték a weblapodat) lehetőleg 72 órán belül jelezned kell, ügytől függően ügyfélnél (ha magas kockázattal jár pl. ellophatják adatait) és a NAIH-nál (a rendeletben meghatározott módon), mert ők foglalkoznak az üggyel. De csak akkor kell jelezni az ügyfélnek, ha tényleg valami rá vonatkozó kár történt, vagy mindez valószínűsíthető.

A tisztító tüzet rendszeresen meg kell csinálni és ellenőrizni az adatokat (feleslegeset törölni, stb.). Szép új hobbid lett. Ja, és harmadik félnek még véletlenül se add ki az adatokat beleegyezése nélkül (lásd adathordozás). Fontos az infó is, hogy az adatok az érintettől vagy más forrásból származnak-e.

250 fő fölötti foglalkoztatott személyek adatfeldolgozójának TÖBBEK KÖZÖTT (de ez a cikk a kkv-nak szól) adatkezelési nyilvántartást kell vezetnie. A 250 főtől függetlenül (tehát az alatt is) ugyanaz a kívánalom, hapl. nagy kockázattal jár az adatokkal történő visszaélés (pl. TAJ szám kezelése), vagy bűnügyről van szó stb.

Tehát, ha Mancika felhív telefonon egy nagyobb céget, akkor megismeri a telefonszámát, és ezt le kell írnia és nyilvántartást kell vezetni erről. Álljatok meg 249 főnél és egy gonddal kevesebb… Kisebb cégeknek nincs szüksége továbbá adatkezelési tisztviselőre sem (Data Protection Officer – DPA). De arról nyilatkozni kell, hogy hol tároljuk az adatokat, milyen rendszerrel stb. A stb. alatt nem mindig a „fogalmam sincs-et” értem, de lassan befejezném a cikk írását.

 

A régi mese nem változott

  • Adatot csak előre meghatározott céllal kezelhetünk (a cél megvalósulásáig)
  • Csak a cél megvalósításához feltétlenül szükséges mértékben kérhetünk el adatokat
  • Adatkezelés (hiánytalan és pontos, hozzáférhető, közérthető stb.) tisztességes elvnek való megfeleltetés és jogszerűnek kell lennie
  • Tájékoztatás elve (kérés alapján is)
  • Tiltakozhatnak az adatik kezelésével szemben a jogosultak (helyesbítés, zárolás, törlés joga)
  • Adatbiztonság biztosítása az adatkezelés megkezdése előtt
  • Adatvédelmi incidensek kapcsán bejelentési, nyilvántartási és értesítési kötelezettség

 

Összefoglalva

Légy résen, mint a jó cserkész és először gondold át, hogy milyen lépéseket teszel. Aztán tedd meg. A programozásban, grafikában tudunk segíteni, a többi megfelelő adatvédelmi jogi szakértő kompetenciája (IT szakértővel együttműködve). És ne feledd, ez a rendelet minket véd és a nagy része már réges-régen működik, csak lehet nem volt ekkora PR mögötte. Ja, és az e-mail címedet, postacímedet is meg kell adnod, mert postai úton is le kell tudnia iratkoznia pl. a hírlevélről (erről már volt szó). De nem lehet egy tértivevényes levélhez kötni, mert ugyanolyan könnyen kell tudnia leiratkozni, mint feliratkozni. Egy levegőre, ennyi a lényeg, aztán lehet még finomítani…

Itt folytattam ígéretemben híven a cikket: GDPR II., mert 2 örök téma van a szerelem, a másikat pedig már kitaláltad, mert most is azt olvasod.

Kérek segítséget a GDPR átállásban, de sebtiben…

Keresztes Attila

Honlapod gyors felmérése

honlapelemzés

– webergonómia
– grafika
– keresőoptimalizálás (SEO)
– marketingpszichológia
–  webjog
– programozás szempontból

KÉREM A DÍJMENTES FELMÉRÉST

Related Posts

Privacy Policy Settings

google-analytics
online marketing, online marketing tervezés, online marketing terv, marketing stratégia lépéseiweboldal készítő, honlapkészítés árak, honlap készítés ár, weboldal készítés ár, weboldal készítés árak