GDPR 2018 rendelet lényege, jelentése röviden – és gyakorlati megoldások kkv-nak

Home / Internetjog / GDPR 2018 rendelet lényege, jelentése röviden – és gyakorlati megoldások kkv-nak

1. Mi ez (GDPR 2018 rendelet)? Rám is vonatkozik? És meddig kell elkészíteni?

2. Adatkezelési tájékoztató megírásához hány kávé kell pontosan?

3. Az adatkezelési tájékoztató elkészítése

4. Jó, de mi legyen benne?

5. Tisztítótűz

6. Milyen feliratkozási mezők kellenek pontosan (hírlevél, kapcsolat, termék vagy szolgáltatás stb. esetén)?

7. Ha kapcsolatba akar lépni veled az ügyfél egy formon (mezőn) keresztül

8. Ha hírlevélre akarod feliratkoztatni és ő is akarja a táncot

9. Feliratkozáshoz kötött, pl. e-book letöltése

10. Kiegészítés a feliratkozáshoz

11. Mi a helyzet a megerősítő e-mail-lel, vagy, ha telefonon iratkozik fel egy szolgáltatásodra?

12. A cookies (sütik) kezelésével most mi van?

13. Webshop esetén

14. És, ha csak számlázásra használom az adatokat?

15. Milyen jogai vannak az emberfiának, aki a honlapodra tévedt?

16. Ezeket ismered pl. Facebook feliratkozás esetén?

17. A régi mese nem változott

18. Az összefoglalása az eddigieknek

19. Konkrét megoldások és tudósítás a jogszabályokon túl arról, hogy milyen a cégek hozzáállása

20. Mikor vonatkozik rád a GDPR rendelet

21. Az egyesületek és a kkv sem kivétel

22. Ha letölthető e-bookot kínálsz fel ügyfelednek

23. Emberek vagyunk, nincs tökéletes megoldás, de azért törekedünk rá

24. Adatvédelmi nyilatkozat vagy Adatvédelmi tájékoztató?

25. Hogyan állnak hozzá a vállalkozók és ki tud segíteni Neked a GDPR kapcsán?

26. A cég GDPR felmérése, átalakítása nem egy hetes program

27. Adatvédelmi tisztségviselő

28. Mi a helyzet a „jogszabályon túl” a valóságban és mire számíthatunk?

29. Egyéb érdekességek a GDPR kapcsán

30. A régi hírlevél listával mi a helyzet

31. Mit érdemes csinálni, ha készen vagyunk?

32. Egy két egyéb fontos infó szemelvényként

33. Végezetül ez is fontos


A cikk 2018-ban íródott, de azóta frissítésre került, ill. tovább bővítettem.

Kérjük, hogy ezt az írást ne vedd jogi tanácsadásnak, hanem mindenképpen konzultálj ezen a szakterületen tevékenykedő praktizáló ügyvéddel.

 

1. Mi ez (GDPR 2018 rendelet)? Rám is vonatkozik? És meddig kell elkészíteni?

A GDPR rendelet jelentése, lényege röviden: a GDPR (General Data Protection Regulation), azaz Általános Adatvédelmi rendelet az Európai Unió új általános adatvédelmi rendelete egész Európára vonatkozik. Eddig 20 millió Ft volt a bírság felső határa, az összeg marad, de euróban értendő a továbbiakban. Hát, igen a 21 millió már túlzás lett volna…

Mindegy, hogy kis vagy nagy cégről, önkormányzatról, bankról stb. van-e szó, mert mindenkire vonatkozik, aki személyes adatokat kezel (név, e-mail cím, IP cím, fénykép stb.). De a cookies (sütik) is ide tartoznak, tehát, ha van weblapod máris érintett leszel. És mindegy, hogy elektronikusan vagy papirusz tekercset használsz, a személyes adat az személyes adat.

És az is mindegy, hogy a szerver Kukutyinban van-e, mert a user meg Európában és onnan látogatja meg a honlapodat. Amúgy is lehet, hogy Kukutyin Európa része lesz egyszer.

Lényegretörően leírom (kicsit viccesen, hogy legyen lelki erőd végig olvasni) a legfontosabb gyakorlati dolgokat a kkv részére, ahogyan mi értelmeztük a rendeletet, de semmilyen jogi felelősséget nem vállalok, tehát ne tekintsd jogi tanácsadásnak.

Amúgy is javasolják, hogy több éves gyakorlattal rendelkező megfelelő szakembertől kérjünk auditot (lásd az összefoglaló részt), felmérve a hibákat, javaslatokkal együtt (GDPR Gap analízis). Mi amúgy is többek között programozással, grafikával, marketinggel és SEO-val foglalkozunk, így a mi szerepkörünk ezzel kapcsolatos. 2018. május 25-től hatályos (pontosabban ekkor lesz 2 éves, de ennyi türelmi időt kaptunk).

 

2. Adatkezelési tájékoztató megírásához hány kávé kell pontosan?

N/A. De, ha cipőt árulsz, ne kérd be az életkorára vonatkozó adatot és pontosan meg kell tudnod indokolni, hogy mit, kitől és miért kérsz be az adatok kapcsán, illetve: adatkezelés célja, jogalapja, az adattovábbítás címzettjei, az adatvédelmi tisztviselő adatai, technikai és szervezési intézkedések leírása stb. is kelleni fog. Van egy titkom a számodra, ez eddig is így volt.

Nyilatkoznod kell továbbá, hogy az adatokat hogyan és meddig tárolod (pl. telefon, e-mail cím, név stb.), és hogyan teszed elérhetővé, ha kéri az illető. Mik a biztonsági feltételek? Meg kell írnod, hogy hol tud jogorvoslatra igényt formálni és meg kell nevezned az adatkezelő személyét is. És ha esténként nem megy az alvás, akkor meditálj vagy olvass el egy adatkezelési tájékoztatót. Szerintem hamar megtanulsz meditálni és sok örömödet leled majd benne.

 

3. Az adatkezelési tájékoztató elkészítése

Ez olyan, mint az El Camino, nagy dolog, ha megcsinálod és utána büszke lehetsz magadra. Tehát el kell készíttetni az adatkezelési tájékoztatót a rendeletnek megfelelően.

 

4. Jó, de mi legyen benne? Ez:

  • Az Adatkezelő neve, címe, elérhetősége (postacím, e-mail, mert postai úton is leiratkozhat az ügyfeled)
  • A kezelt adatok köre (pl., név, telefon, e-mail)
  • Az adatkezelés célja pl. hírlevél, számlázás
  • Az érintettek köre, vagyis, hogy kire terjed ki az adatkezelés
  • Az adatok megismerésére jogosult adatkezelők személye (pl. ha futárszolgálatnak átadjátok az adatokat)
  • Az adatkezelés időtartama (ez nem lehet önkényes, csak a szerelem tart örökké)
  • Hogyan tudja a felhasználó megtekinteni, módosítani vagy törölni a regisztrációkor az adatait és akkor még a zárolásról nem beszéltünk (akkor is, ha valamit megrendelt, vagy csak feliratkozott a hírlevélre)
  • Mennyi idő alatt válaszol a weblap tulajdonosa az adatok megváltoztatásával vagy törlésével kapcsolatos kérésekre
  • Tájékoztatni kell a felhasználót az adathordozhatósághoz való jogról + minden további jogáról és arról, hogy ezeket hogyan érvényesítheti
  • Gondoskodni kell róla, hogy az adatok ne kerüljenek illetéktelenek birtokába, ezért: tájékoztatni kell az érintett kollégákat az adatkezeléssel kapcsolatos legfontosabb óvintézkedésekről (pl. ismeretlen, genyónak tűnő leveleket ne nyissanak meg)
  • A weblap tulajdonosának a weblapját ért támadás esetén 72 órán belül jelentenie kell a NAIH-nak (Nemzeti Adatvédelmi és Információszabadság Hatóság) az esetet (bizonyos esetekben az érintetteket is értesíteni kell), erre külön létrehoznak majd egy formanyomtatványt, úgyhogy no para
  • Meg kell védenie a rendszert a támadásoktól, nemcsak a világháborútól (tűzfal, vírusirtó)
  • Dokumentációs kötelessége is van, ennek körét a rendelet pontosan meghatározza, lásd a 2. cikkely az 5678. oldalon

 


5. Tisztítótűz

Nem tárolhatod azokat a személyes adatokat, amikre a rendelet alapján nincs szükséged. Nézd a jó oldalát, legalább kiderül, hogy kik a valódi ügyfeleid. Nyilván a számlázáshoz kellenek adatok és ez benne van a számlázó progiban. Elhiszem, hogy nehéz az ügyfél (adataitól) könnyes búcsú nélkül elszakadnod sok esetben, de ez van. Egyébként NAIH számot május 25-től nem kell már igényelni és a számlázáshoz eddig sem kellett külön NAIH szám (egyes vélemények szerint ez még nem biztos és a hazai jogszabályokat is kell figyelni, nemcsak az európai GDPR-t).

 

6. Milyen feliratkozási mezők kellenek pontosan (hírlevél, kapcsolat, termék vagy szolgáltatás stb. esetén)?

Külön szedtem ezeket, hogy könnyebb legyen feldolgozni, de van összefüggés közöttük.

 

7. Ha kapcsolatba akar lépni veled az ügyfél egy formon (mezőn) keresztül

Név, e-mail cím bekérésén kívül pl. (értsd, van más megoldás is) egy előre ki nem pipált checkbox-ban (jelölőnégyzetben) jóvá kell hagynia az illetőnek külön, hogy elfogadja az adatkezelési tájékoztatódat és annak linkjét érdemes ott elhelyezni, hogy meg is találja és el tudja olvasni.

A jogalkotó tevőleges magatartást vár el, így nem lehet előre bepipálva a jelölőnégyzet, hanem kötelező azt a usernek megtennie. Sokan az adatok kezeléséhez történő hozzájárulást is elfogadtatják (nyilván ezért lép velünk kapcsolatba és adja meg az adatait, hogy pl. válaszolhassunk neki). A checkbox-ot helyettesítheti egy látható, nagy gomb, melyre klikkelve jóvá tudja hagyni a dolgot. Ez is egy megoldás.

 

8. Ha hírlevélre akarod feliratkoztatni és ő is akarja a táncot

Ugyanaz, mint az előző pont (lásd kapcsolati form leírásánál), de ezen kívül azt is KÜLÖN újabb checkbox-szal kell megvalósítanod, hogy jóváhagyja tevőlegesen, hogy hírlevelet kapjon és be is pipálja a jelölőnégyzetet. Ezt külön a kapcsolat oldalon is elhelyezheted, így lehet, hogy egyből a hírlevélre is feliratkozik (KÜLÖN csoportban).

 

9. Feliratkozáshoz kötött, pl. e-book letöltése

És abban az esetben, ha feliratkozáshoz akarod kötni, pl. egy e-book-ot letöltsön az érdeklődő, akkor az eddig leírtakon kívül fontos, hogy ha nem hagyja jóvá a hírlevélre történő feliratkozási szándékát, akkor nem küldhetsz neki hírlevelet, de attól még letöltheti az e-bookot (ezután – ha letöltötte -, törölnöd kell az adatit, de ezekkel kapcsolatban a következő cikkemben küldök megoldást). Ha pedig jóváhagyta, akkor nyertél egy újabb feliratkozó emberfiát a hírleveledre.

Függetlenül attól, hogy cégről vagy magánszemélyről van szó, erre szükség van. És az általad kiküldött e-mailből egyértelműen ki kell derülnie, hogy ki az adatkezelő. Ja, és nem kötheted a vásárlást kötelező hírlevél feliratkozáshoz sem. De ha imádkozol, akkor azért biztos lesz olyan serény user, aki fel fog iratkozni a hírlevélre is.

 

10. Kiegészítés a feliratkozáshoz

Ha kapcsolati űrlapon vagy hírlevél, vagy termék megrendelése kapcsán személyes adatokat küld Neked az ügyfél, akkor mindig használnod kell a checkbox-ot vagy valamilyen más megoldást, mely bizonyíthatóan, határozottan felhívja a figyelmét és jóvá hagyatja tudatosan az adatkezelési tájékoztatót az ügyféllel. Tehát a hallgatás nem beleegyezés többé. Nyilván kivétel a regisztrált ügyfél, aki már korábban jóváhagyta ezt (fejlesztéssel megoldható, hogy ne kelljen minden alkalommal pipálgatnia).

Használd az eDm kifejezést, mert az magában foglalja a direkt megkeresés módszerével, elektronikusan történő felkereséseket (telefonhívás nem tartozik ide) pl. ajándék, kupon, kedvezmény, promóció, nyereményjáték, e-katalógus, e-mail stb. A nem személyes e-mail címre küldött üzenet nem számít eDM-nek pl. info@céged- vállalkozás-neve-példa.hu. De gondolj bele, hogy ha a neved a céges mail címben benne van, akkor az ezúton is hordoz személyes adatot magában, így változik a figura.

 

11. Mi a helyzet a megerősítő e-mail-lel, vagy, ha telefonon iratkozik fel egy szolgáltatásodra?

Megerősítő e-mailre nem feltétlen van szükség, de az is jó megoldás lehet. Marketing szempontból tudjuk, hogy sok feliratkozót el lehet veszíteni általa, de így biztos, hogy nem kamu e-mail címmel van dolgunk. Jóllehet, ha rossz adatot adott meg, az nem a mi hibánk, de a jogban mindent tudni kell bizonyítani. Lehet fél megoldás az is, hogy kétszer kell az e-mail címet megadnia feliratkozásánál.

És még valami, ha megerősítő e-mailt használsz, akkor ebben is jóváhagyhatja a kötelező dolgokat, és klikkeléssel meg tudja erősíteni a feliratkozási szándékát. Viszont, ha szőrözünk, akkor felmerül, hogy mi a jogalapja annak, hogy kiküldted neki az e-mailt, mert, hogy ez már kőkemény marketing.

Még az engedély elkérése is, hogy hírlevelet küldj neki, az is marketing tevékenység. És mi van, ha egy kedves kínai spam robot írta be véletlenül az ő e-mail címét vagy a szomszédja és azért kapott megerősítő e-mailecskét? Pedig ő nem is akart feliratkozni.

A másik probléma lehet, ha telefonon iratkozik fel a te segítségeddel egy szolgáltatásodra. Így a te IP címed alapján fogja megrendelni a rendszer a szolgáltatásodat, és ha később a feledékenység korszaka köszönt rá, akkor lehet, hogy ez is spam-elésnek fog minősülni, mert nem tudod bizonyítani a dolgot. Nem túl életszerű, hogy jóváhagyásával rögzítjük a telefonbeszélgetést az utólagos bizonyíthatóság kedvéért, hacsak nem egy bank vagy éppen.:)

 

12. A cookies (sütik) kezelésével most mi van?

Ha belegondolsz most az van, hogy ha felmegy a user egy oldalra, már le is menti a sütiket (ha nem kapcsolta ki a böngészőben ezt a funkciót), amik segítenek abban, hogy a felhasználói élmény jobb legyen, releváns hirdetések legyenek stb.

De monitorozza azt is, hogy kacsója és ujjai segítségével mit pásztáz be a két szemgolyója. Ergo ez is személyes adat. Szóval az a tiszta, ha a sütik gyűjtését el tudja fogadni, vagy módosítani tudja, hogy mit gyűjtsön a rendszer, vagy ki tudja kapcsolni a gyűjtést.

És lehet, hogy így boldoggá teszi a szerencsés marketinges kollégát, ha nem kapcsol ki mindent és így nem kell az anonymusok szerencsés körét gyarapítania a felhasználónak.

Ja, és ne gondold, hogy az megoldás, hogy nem mehet tovább a weboldaladon, ha nem hagyja jóvá a sütiket, és hogy James Bondot megszégyenítő módon a háttérben gyűjtöd az infókat, hogy mit is csinál pontosan. Helyette inkább leállítod a gépezetet és lőttek a sütiknek.

 

13. Webshop esetén

Mindegy, hogy 1 vagy 27262 terméket árulsz. Hozzájárulás kell a személyes adatok kezeléséhez (a jelölőnégyzet itt is jó barátod lehet). A hírlevélhez is ahogy írtam, külön hozzájárulás begyűjtése kell. És adott dologtól függően másra is szükség lehet, jómagam csak általánosságban írom le a legfontosabb dolgokat (minden esetben kérjük adatkezelési tisztségviselő segítségét, aki a teljes folyamatot átlátja).

Továbbá adatkezelési tájékoztatót kell közzé tenni, ahol érthető módon elmagyarázod a lényeget. Ezt hagyja ugyebár jóvá a látogatód. Tehát újabb checkbox-szal (szerintem checkbox-okról fog álmodni az ügyfél aznap).

Számoljunk:

1. jelölőnégyzet (adatkezelési tájékoztató jóváhagyása), ha nem hagyja jóvá, nem mehet tovább.

2. jelölőnégyzet (hírlevélre való feliratkozás megtétele, ha van hírlevél, ha nem hagyja jóvá, akkor is tovább mehet)

3. jelölőnégyzet (hozzájárulás a személyes adatok kezeléséhez, ha nem hagyja jóvá, akkor nem mehet tovább).

Természetesen a Felhasználási Feltételeket, illetve Általános Felhasználási Feltételeket is jóvá kell hagynia, de az egy másik tészta (a működésről és nem adatkezelésről szól a szolgáltatásod tekintetében).

Ha a 2.-at (hírlevél) nem hagyja jóvá, akkor a megrendeléssel kapcsolatos legszükségesebb infókkal áraszthatod el a nagyérdeműt. Természetesen a többi erre is vonatkozik (biztonság, adatok tárolásának ideje stb.).

Ha ‒ nem fogod kitalálni, de ‒, újabb jelölőnégyzetet használsz pl. regisztrációkor, amivel ezt jóváhagyatod, akkor tárolhatod addig az adatait, amíg pl. ő úgy nem dönt, hogy törölteti őket (de szerintem ekkor már 20 km-ről el fogja kerülni a checkbox-okat.).

Ha nincs regisztráció, akkor az adatkezelési tájékoztatóban kell megfogalmazni, mit jelent az ügylet lezárása pontosan (pl. amikor az illető átvette a csomagot, amit megrendelt anno domini vagy véget ért a garanciális időszak stb.).

Fontos, hogy minden webáruháznak tudnia kell vásárlóit elkülönülten kezelnie: anonim (regisztráció nélküli) és regisztrált. Szegmentált csoportjaid lesznek, de ez már régen fontos a marketing miatt a is, lásd pontos célszegmens célzása…

 

14. És, ha csak számlázásra használom az adatokat?

Bizony nemcsak Info, hanem számviteli és egyéb törvények is vannak… De a lényeg, hogy ehhez nem kell hozzájárulást külön bekérni. Gondolj bele, egyéb esetben elég hosszú lenne a sor a pékségben reggel a pult előtt. De minden vásárlónak el kell fogadnia az ÁSZF-et, ha vásárolni akar.

 

15. Milyen jogai vannak az emberfiának, aki a honlapodra tévedt?

A legfontosabb, hogy bármikor kikérheti tőled azt, hogy mire, mikor, milyen adatokkal iratkozott fel (személyes adatok, amiket tárolsz) és ezeket bármikor módosíthatja vagy leiratkozhat (törölni kell minden adatot azonnal, amit töröltetni akar). Persze nem viccelődhet azzal, hogy 65-ször bekéri az adatait, mert ha megalapozatlan a történet, akkor vissza is utasíthatod, vagy pénz ellenében segíthetsz neki. Mert azért nekünk is vannak jogaink…

Egy tízezres hírlevél listán elég, ha csak 2% játszik ilyen viccet unalmában egyik nap és így te sem fogsz unatkozni. A legjobb szerintem mindent automatizálni. Beregisztrálva bármikor meg tudja tenni a user, vagy ahol feliratkozott, ott tud érdeklődni pl. e-mail címére kikérve az adatokat. Így nem kell a következő hírlevelet megvárni a módosítandó linkkel, mert amúgy a törvény úgy rendelkezik, hogy bármikor élhet ezzel a jogával és nyilván fontos, hogy más ne férjen az ő adataihoz.

Természetesen érhető, ha valaki kíváncsi ezekre az adatokra és nem szeretné, ha ma is felhívná egy ügynök, hogy vegyen valami csoda terméket, amire azonnal szüksége van (az ügynöknek).

 

16. Ezeket ismered pl. Facebook feliratkozás esetén?

Ha pl. a Facebookon iratkozott fel az ügyfeled hozzád, akkor is vonatkozik rád ez a törvény. A leendő ügyfél által megadott adatok hitelességéért nem te felelsz természetesen (adatkezelési tájékoztatóba érdemes beleírnod), de megfordultak a dolgok. Nem az ügyfélnek kell bizonyítania, hogy probléma lépett fel, hanem neked. Azért ez a joggyakorlatban ismerős dolog, gondolj a pár éve bevezetett sérelemdíjra (személyiségi jogokat egyre komolyabban veszi a jogalkotó).

Az incidenst (pl. feltörték a weblapodat) lehetőleg 72 órán belül jelezned kell, ügytől függően ügyfélnél (ha magas kockázattal jár, pl. ellophatják adatait) és a NAIH-nál (a rendeletben meghatározott módon), mert ők foglalkoznak az üggyel. De csak akkor kell jelezni az ügyfélnek, ha tényleg valami rá vonatkozó kár történt, vagy mindez valószínűsíthető.

A tisztító tüzet rendszeresen meg kell csinálni és ellenőrizni az adatokat (feleslegeset törölni, stb.). Szép új hobbid lett. Ja, és harmadik félnek még véletlenül se add ki az adatokat beleegyezése nélkül (lásd adathordozás). Fontos az infó is, hogy az adatok az érintettől vagy más forrásból származnak-e.

250 fő fölötti foglalkoztatott személyek adatfeldolgozójának TÖBBEK KÖZÖTT (de ez a cikk a kkv-nak szól) adatkezelési nyilvántartást kell vezetnie. A 250 főtől függetlenül (tehát az alatt is) ugyanaz a kívánalom, ha pl. nagy kockázattal jár az adatokkal történő visszaélés (pl. TAJ szám kezelése), vagy bűnügyről van szó stb.

Tehát, ha Mancika felhív telefonon egy nagyobb céget, akkor megismeri a telefonszámát, és ezt le kell írnia és nyilvántartást kell vezetni erről. Álljatok meg 249 főnél és egy gonddal kevesebb… Kisebb cégeknek nincs szüksége továbbá adatkezelési tisztviselőre sem (Data Protection Officer – DPA). De arról nyilatkozni kell, hogy hol tároljuk az adatokat, milyen rendszerrel stb. A stb. alatt nem mindig a „fogalmam sincs-et” értem, de lassan befejezném a cikk írását.

 

17. A régi mese nem változott

  • Adatot csak előre meghatározott céllal kezelhetünk (a cél megvalósulásáig)
  • Csak a cél megvalósításához feltétlenül szükséges mértékben kérhetünk el adatokat
  • Adatkezelés (hiánytalan és pontos, hozzáférhető, közérthető stb.) tisztességes elvnek való megfeleltetés és jogszerűnek kell lennie
  • Tájékoztatás elve (kérés alapján is)
  • Tiltakozhatnak az adatik kezelésével szemben a jogosultak (helyesbítés, zárolás, törlés joga)
  • Adatbiztonság biztosítása az adatkezelés megkezdése előtt
  • Adatvédelmi incidensek kapcsán bejelentési, nyilvántartási és értesítési kötelezettség


18. Összefoglalása az eddigieknek

Légy résen, mint a jó cserkész és először gondold át, hogy milyen lépéseket teszel. Aztán tedd meg. A programozásban, grafikában tudunk segíteni, a többi megfelelő adatvédelmi jogi szakértő kompetenciája (főleg ezen a területen praktizáló ügyvédet kell megkeresned, IT szakértővel együttműködve). És ne feledd, ez a rendelet minket véd és a nagy része már réges-régen működik, csak lehet nem volt ekkora PR mögötte.

Ja, és az e-mail címedet, postacímedet is meg kell adnod, mert postai úton is le kell tudnia iratkoznia pl. a hírlevélről (erről már volt szó). De nem lehet egy tértivevényes levélhez kötni, mert ugyanolyan könnyen kell tudnia leiratkozni, mint feliratkozni. Egy levegőre, ennyi a lényeg, aztán lehet még finomítani…

 

19. Konkrét megoldások és tudósítás a jogszabályokon túl arról, hogy milyen a cégek hozzáállása

Itt folytattam ígéretemhez híven a cikket, mert 2 örök téma van a szerelem, a másikat pedig már kitaláltad, mert most is azt olvasod. 🙂

 

20. Mikor vonatkozik rád a GDPR rendelet

  • Vevők, kapcsolattartók adatait (gyűjtöd, kezeled)
  • Munkavállalói nyilvántartást készítesz, illetve kezelsz
  • Szállítói kapcsolattartókat kezelsz
  • Webshopod van (automatikus profilt alkotva a vásárlókról, lásd pl. cookiek gyűjtése, melyet a böngészők gyűjtenek, mikor meglátogatják honlapodat a vevők)
  • eDm levelet, hírlevelet küldesz ki élőlényeknek
  • Szoftver fejlesztőként, programozóként termékekben személyes adatokat rögzítesz, illetve kezelsz
  • Informatikai üzemeltetéssel foglalkozol
  • Nyomdádban névjegykártyát készítetek (amúgy a névjegy gyűjtésére is vonatkozik, nem én találtam ki:))
  • (Könyvelő) irodádban személyi adatokat kezelsz
  • STB. (sok más egyéb esetben is!)


21. Az egyesületek és a kkv sem kivétel

Eddig az egyesületek nem tartoztak még az adatvédelmi törvény hatálya alá sem, lévén a tagok önszántukból adták meg a személyes adataikat. Mostantól nekik is be kell vezetni a GDPR-t. De a cikkem főleg a mikro és kkv-nak szól, akik szintén érintettek.

 

22. Ha letölthető e-bookot kínálsz fel ügyfelednek

Ez esetben, amint a cél megvalósult (és letöltötték azt), akkor törölnöd kell az ügyfél adatait. Ezért, ha hírlevél szolgáltatást nyújtasz, akkor érdemes ezt írni: „Iratkozz fel a hírlevelünkre, és mi elküldjük az összefoglalót Neked!”

Ha irodádban rajtad kívül szerződések, személyes adatok is vannak…

Ha van olyan munkatársad, akinek kulcsa van az irodához, de munkaköre kapcsán nem szabadna hozzáférnie az ügyfél személyes adataihoz, akkor zárható szekrényre van szükséged. De vigyázz, hogy kinek adod oda, annak a kulcsát. És nyilván fontos, hogy pl. a takarító személyzet se találja meg az asztalon a személyes adatokat stb. Emlékszünk a botrányra mikor egy multi cégnél 1-200 Ft-ért árulták a személyes adatokat…

 

23. Emberek vagyunk, nincs tökéletes megoldás, de azért törekedünk rá

Ez olyan, mint a politika… De, ha egy számítógépet használhat apa, anya, gyerekek és ők más-más sütiket töltenek le ugyanarra a számítógépre a preferenciájuk alapján, akkor mit tehet szegény vállalkozó? Nagyjából semmit. De azért ez már ne a vállalkozó problémája legyen…

Ráadásul a böngésző nem a vállalkozó tulajdona, és nem igazán tehet arról, hogy az folyamatosan gyűjti a sütiket, amint egy honlapra betettük a lábunk…

Ezen kívül, ha van egy galád leselkedő munkatársad, aki kilesi pl. a szerződésről az adatokat és visszaél vele, akkor bajba kerülhetsz (Shoulder Surfing).
Mivel az Info törvény van hatályban és a bíróság ez alapján járhat el hazánkban, így az átállás nem egyszerű, mert a GDPR európai törvény…

 

24. Adatvédelmi nyilatkozat vagy Adatvédelmi tájékoztató?

Valahol adatvédelmi nyilatkozatként, van ahol adatkezelési tájékoztatóként, illetve alapelvként stb. hivatkoznak rá. Nem ugyanazt takarják ezek a fogalmak. Pl. nyilatkozat esetében visszavonható a hozzájárulás és ezt bele is kell írni. És fontos lenne, hogy mindenhol ugyanúgy hivatkozzunk rá (ugyanazt a nevet használva).

 

25. Hogyan állnak hozzá a vállalkozók és ki tud segíteni Neked a GDPR kapcsán?

A vállalkozóknak általában ez nyűg és felesleges idő és pénzkidobásnak érzik. Ez valahol teljesen érthető is. Ahogyan az is, ha dühösek leszünk, ha adatainkkal visszaélnek. Egy szakképzett cég, ahol megfelelő jogi végzettségű szakemberek és IT szakemberek vannak, akik EGYSÉGBEN gondolkodnak, biztosan tudnak segíteni. Beszélgettünk IT szakemberekkel, ügyvédekkel, adatvédelmi szakértőkkel és arra jutottunk, hogy sok esetben az ügyvédek 167 tonna papír aláírásával oldanák meg a dolgokat, az IT szakemberek pedig nem ismerik a jogszabályokat. Tisztelet a kivételnek!

Tegyél meg mindent, hogy rendben legyenek a dolgaid, de ma a cégek 70%-a nem rendelkezik a megfelelő GDPR elszámoltathatósággal (2018. május elejét írjuk). És a szakemberek szerint nem biztos, hogy elég, ha alkalmazottadat elküldöd egy pár napos tanfolyamra vagy kap végzettséget adatvédelmi tisztségviselés kapcsán, mert a több éves tapasztalat nem azonos egy pár napos képzéssel, mely hasznát nem szeretném ennek ellenére elvitatni.

 

26. A cég GDPR felmérése, átalakítása nem egy hetes program

Először is minimum százezrestől több százezres költséggel lehet számolni (cégfüggő), de vannak pár tízezer forintért letölthető szerződés minták. De ez édes kevés sok esetben!
A vizsgálat során először pár tucat kérdésre kell válaszolnod akár online, melyben felmérik, hogy konkrétan mekkora kaliberű cégről van szó. Pl. vannak-e alkalmazottak, kamerarendszer stb.

Képzeld, nemcsak az, hogy van-e irodád, hanem az is meghatározó, hogy wifit használnak-e az ügyfeleid. Nagyon szerteágazó felmérésről van szó. Elképzelhető, hogy adatvédelmi tisztségviselőre is szükséged van (lásd lejjebb kifejtem bővebben).

Vannak cégek, amelyek az online teszt kitöltése után azonnal megvásárolható sablonokat rendelkezésedre bocsátanak (szerződések kapcsán) és esetleg utána is tudsz még kérdezni, de Te dolgozod ki a saját stratégiádat. Ez főleg kis cégeknél működik. A nagyobb cégek esetében a pár napos kiszállástól a pár hónapos kiszállásig bármi megtörténhet, multiknál akár évekig is eltarthat az átállás.

Tehát ez nem arról szól, hogy pár dolgot felteszek a honlapomra online vállalkozás esetén vagy válaszolok néhány kérdésre és már készen is vagyunk. Ez csak a bevezető szakasz első része. Az alkalmazottakat is oktatják a megfelelő adatvédelemre és nem biztos, hogy jól jársz, ha egyik alkalmazottad munkakörébe beilleszted ezt, aki vagy megcsinálja, vagy nem „eddigi szabad idejében” miután pár napos tréninget elvégzett.

Ezután minden folyamatot átvizsgálnak pl. milyen adatokat, meddig, hogyan gyűjtesz stb., és számíthatsz az alapos szakemberektől 142 kérdésre, hogy megértsék a pontos folyamatokat. Ez alapján át kell írni a szerződéseket, fel kell tüntetni az Adatkezelési tájékoztatót és a cookie szabályzatot, feliratkozásnál jóvá kell hagyatni stb., és akkor egyéb jogszabályokról, felhasználási feltételekről nem beszéltünk, mely nem az adatkezelés része.

Lásd pl. Azt tudtad, hogy ha honlapodra nem teszed ki pl. az adószámot, hosting szolgáltató elérhetőségét, akkor megbüntethetnek? Az implementáció lényege, hogy az adatvagyon felmérésre kerül és az adatkezelés, adatvédelmi tudatosság és adatvédelmi menedzsment folyamatok lezajlódnak.

Auditot évente szoktak tartani. Első lépésben olyan céget érdemes választani, ahol IT szakemberek és jogászok kellő tapasztalattal rendelkeznek, és együttműködve egymással dolgoznak.

 

27. Adatvédelmi tisztségviselő

Tevékenységtől függően szükséged lehet adatvédelmi tisztségviselőre is. Adatvédelmi tisztségviselő kötelező pl. közhatalmú szerveknél, utazási iroda, bankok, netes szolgáltató, kórház, kamerarendszert működtető vállalkozások esetén, bűnügyi adatok kezelése során stb. De ide tartozik az intelligens autók üzemeltetése is, mert GPS infót is kezel.

Cégek esetében minimálisan meg kell adni a kapcsolattartó vagy az adatvédelmi tisztségviselő elérhetőségét, aki a személyes adatokat kezeli. Az előzetes tájékoztatáshoz való jog egy fő szempont, mely minden jogalapnál kötelező.

Nagymértékű adatok esetén is kell adatvédelmi tisztségviselő. A rossz hír, hogy nincs definiálva, hogy mi számít annak. Lehet, hogy csak egy ügyfeled van, de rengeteg adattal…

A tisztségviselőt a NAIH-hoz is be kell jelenteni: titoktartással igen, de személyes felelősséggel nem tartozik. Lehet tőle kérdezni és a cégvezetés felé számol el, megmutatja a vállalkozás számára, hogy hogyan kell az adatokat kezelni. Ellenőrzés során is számíthatunk rá.

 

28. Mi a helyzet a „jogszabályon túl” a valóságban és mire számíthatunk?

Sajnos sokan kijátszva a jogszabályokat EU-n kívülre helyezték a szervert és ugyan EU állampolgárokat szolgálnak ki (rájuk is vonatkozik a jogszabály), de ki fog utánuk menni? Bízunk benne, hogy először a spam-előket vizsgálják át, akik egyértelműen megszegik a jogszabályokat. Bejelentést tehet a konkurencia is, vagy dühös alkalmazott, vagy ügyfél. Mi is kérhetünk a NAIH-tól felülvizsgálatot, mely 8 héten belül készül el. Nyilván a multikat is ellenőrzik majd és a kisebb vállalkozókat is.

 

29. Egyéb érdekességek a GDPR kapcsán

Például, ha egy önéletrajza bekérik a fényképünket, akkor az nem megfelelő eljárás, mert nem az alapján kell eldönteni, hogy alkalmasak vagyunk-e a munkára.

Ha pedig a feliratkozó ismerősének rendel meg egy szolgáltatást (pl. ajándék gyanánt), akkor az ő belegyezése nélkül nem adhatja ki ismerősei adatait. Erre azért vannak jó megoldások, pl. kuponok stb. Ezért kell az egész folyamatot átvizsgálni a vállalkozás tevékenysége kapcsán. Ezt nem lehet néhány cikkel vagy egy napos tanfolyammal „megoldani”.

 

30. A régi hírlevél listával mi a helyzet

Ha megfelel a GDPR-nak, akkor nyugodtan használhatod.

 

31. Mit érdemes csinálni, ha készen vagyunk?

Figyelni a NAIH oldalát, ahol nagyon sok hasznos infó folyamatosan felkerül a honlapra és az egyes esetekről is május után vélhetően lesz infó, melyből sokat tanulhatunk majd.

 

32. Egy két egyéb fontos infó szemelvényként

Az Információs önrendelkezés joga alkotmányos alapjog, mely a GDPR segítségével ki lett bővítve.

A GDPR hatályos, de az alkalmazás 2018.05.25 után várható.

Az egész világra kiterjed, nemcsak EU-ra, ha pl. EU-n kívül végez valaki adatkezelést felhő segítségével EU állampolgároknak, akkor rá is vonatkozik a GDPR.

Harmadik országba történő adattovábbítás esetén NAIH-ot értesíteni kell!

Adatkezelő: célt, eszközeit, végrehajtás módját meghatározza (lehet több cég is egyszerre), de egyetemleges felelősséggel tartoznak.

Adatfeldolgozók pedig az adatkezelő utasítására végzik a feladatukat: tárgy, felelősségi kör, biztonság stb., szempontok alapján. Ha a cél megszűnik, akkor az adatok törlésre kerülnek, vagy adatkezelőnek továbbítják a személyes adatokat.

A munkavállalót is természetesen tájékoztatni kell, illetve oktatni…
Mik a személyes adatok? Azonosítható általa a természetes személy pl. helymeghatározás, IP cím, sütik (új adatok a genetikai és biometrikus adatok).

Jogi személy (pl. cég) nem minősül személyes adatnak.

 

33. Végezetül ez is fontos

  • Az utólagos elszámoltathatóság
  • Adattakarékosság pl. fényképet nem kérhetnek el CV kapcsán!
  • Pontos, naprakész adatok
  • Beépített adatvédelem stb.
  • A két jogalap helyett hat jogalap van érvényben az adatok elkérése kapcsán: hozzájárulás pl. szerződéskötéskor, létfontosságú érdek (pl. katasztrófa esetén), jogos érdek pl. munkáltatónak kell az adat különben nem tudja munkavállalót alkalmazni stb.
  • 16 év alatt szülői felügyelettel lehet adatot kikérni
  • Könyvelővel, bérszámfejtővel is meg kell kötni a megfelelő szerződéseket a GDPR alapján
  • Egyes cégeknek el kell végeznie a hatásvizsgálatot (NAIH közzé teszi majd, hogy kinek kell ezt a tesztet elvégeznie)
  • Utólagos tájékoztatáshoz való jog (25 nap helyett 30 napunk van tájékoztatni vállalkozóként az ügyfelet, aki bekéri pl. adatait)
  • Törlési nyilvántartást kell vezetni
  • Zárolás, melyet korlátozásnak nevezünk (nem lehet törölni az illető adatait, pl. vitatja azokat, vagy éppen eljárás van folyamatban)
  • Adathordozásnál továbbítani kell minden adatmódosítással, törléssel kapcsolatos infót (mindenhol „update”-nek kell lennie a személyes adatoknak)
  • Tiltakozáshoz való jog pl. hírlevelet kap, pedig nem is iratkozott fel rá.

Automatizált döntéshozatal és profilalkotással kapcsolatos jogok: automatikusan analizálják pl. viselkedésünk alapján az infókat. Ez azt jelenti, hogy pl. webshopban kenyér pirítót vásárolunk és utána személyre szabott infókkal bombáz a marketing gépezet állandóan a kenyérpirítókkal kapcsolatos ajánlatokkal. De a profilalkotás lehet szerződésen vagy hozzájáruláson alapuló is.

250 fő feletti foglalkoztatású cégek esetében adatvédelmi nyilvántartást kell végezni, illetve azok esetében, akik kockázatos jellegű adatkezelést végeznek. De nincs a jogszabályban definiálva, hogy mi a kockázatos. Még nem egyértelmű, hogy a kkv-nak szüksége van-e erre…

Ha megtörtént az adatvédelmi incidens, akkor be kell vezetni a naplóba és mindent el kell követni, hogy rendezzük azt. Pl. kolléga laptopján lévő jelszóval belépett egy másik kolléga, hogy infóhoz jusson, akkor legalább tájékoztassuk utólag erről és kérjük, hogy változtassa meg a jelszavát amint tudomásunkra jutott az infó.

Az adatbiztonságot az ésszerűség keretein belül kell megvalósítani. Pl. egy kisebb bevétellel rendelkező egyéni vállalkozónak nem kell több millió Ft-ot fejlesztésre költenie emiatt.

Bírság: 20 M euró vagy 4% a bevétel után (amelyik a nagyobb összeg). Megnézik a kockázat nagyságát pl. hány embert érint. Enyhítő körülmény lehet, ha legalább már elkezdte a cég megfelelő folyamatokat a GDPR kapcsán.

Keresztes Attila

PR szakon diplomáztam, aztán pszichológiát tanultam. De a működő online marketing + SEO fogásokat számomra a 2005-ben indított vállalkozásom és sok-sok kávé társasága mutatta meg.

…akkor olvad el a 27 pontos ellenőrző listát, hogy tudd, mik a legfontosabb szempontok, ha bereklámozott honlapot szeretnél csináltatni Magadnak. Így nem kell több tucat cikkből és árajánlatból összeszedni a lényeget. 15 perc alatt képbe kerülsz, rengeteg időt, energiát, pénzt és bosszankodást megspórolva!

Related Posts

Privacy Policy Settings

google-analytics
webjog, internetes vásárlás elállási jog, vállalkozás kötelező elérhetőség a honlaponmarketing stratégia, marketing cégeknek, marketing ügynökség, marketing tanácsadás, marketing reklám, marketing eszközök