GDPR – ami hamarosan minden európai uniós polgár kötelezettsége lesz 2. rész

Az első cikkem után tovább boncolgatom a kérdést.

Miért jó a GDPR a KKV-k szempontjából?

  • Felesleges adatok csökkentése – a GDPR folyamatai magával vonják a felesleges adatok csökkentését és ezáltal a tárolásának-kezelésének-feldolgozásának a költségeit csökkenti.
  • Adatok vizsgálata – segítségével gyorsan leválogatható a fontos és a felesleges adattömeg
  • Adatmegőrzési szabályozók kialakítása – amint megtörtént az adatok megfelelő besorolása – értékes adat, felesleges adat, nem használt de megfelelőség miatt fontos adat – lehetséges olyan szabályozók kialakítása ami a lehető legjobb módon kezeli a létrejövő adatokat.
  • Adat minőség javulása – az adatok gyorsan értéküket vesztik. A GDPR segítségével az adatok csak annyi ideig és célból lesznek használatban amíg szükséges. Ezzel jelentős tárolási kapacitás és költségek spórolhatóak meg.
  • Biztonság növelése – A mai világban nap mint nap hajtanak végre támadásokat amik hatására nyílvánosságra kerülnek érzékeny adatok. A GDPR biztosítja a megfelelő biztonsági eljárások kialakítását ami védi a végfelhasználóinak az adatait és biztostja a cég reputációját is.
  • Bizalom – a cégek minél jobb adatkezelési szabályozókat használnak, annál jobb lesz közöttük a bizalmi és megbízhatósági viszony egymás adatinak kezelése során.
  • Jövő biztos – a megfelelőségek kora elkezdődött. A későbbiekben a GDPR további szabályozói várhatóak.
  • Cégen belüli áttekinthetőség – a szabályozók kialakításával, a cégek a saját belső részlegeiken használt adatokról megbízható és pontos képet kaphat.
  • Big Data alapú üzleti információk – a GDPR lehetőséget kínál arra, hogy a cég minden kezelésében álló adatkészletet megvizsgáljon és adatközpontú eljárásokat hozzon létre. Ez lehetőséget ad arra hogy jobban átlássa üzleti tevékenységeit és fejleszthesse azok hatékonyságát. Ennek a segítségével a meglévő ügyfelei is elégedetebbek lesznek és a kiváló visszajelzések hatasára újakat is talál.

Teendők:

  • Adatfolyamatok felmérése – a bejövő és kimenő adatok felmérése.

  • Szükséges adatok meghatározása, felesleges adatok kiszórása-szelektálása
  • Adatok felmérése után szükséges az érzékeny adatok nyomon követése -> Data Flow Audit (Adatfolyamok-folyamatok felmérése)

  • Biztonsági incidensek felmérésének-felismerésének biztositása – SIEM (Security Information and Event Management System) rendszer kialakítása
  • Dokumentációk átnézése, felülvizsgálata:
    • Belső szabályzatok, tájékoztatók, hozzájáruló nyilatkozatok áttekintése
    • A dokumentációk átnézése során előnyös a PIA (Privacy Impact Assessment) – Adatvédelmi incidens kezelési terv elkészítése. Célja, hogy azonosítsa és minimalizálja az érzékeny adatok szivárgásából adódó kockázatokat.
    • Adatbiztonsági intézkedések áttekintése
    • A Beszállítói szerződések / adatfeldolgozói szerződések, alkalmazottak és a partnerek szerzőséinek átnézése GDPR megfelelőség szempontjából.
  • Személyes adatok kezelésére eljárások kialakítása
    • hogyan tájékoztatja a személyeket (változás, törlés, stb)
    • adatok-személyek törlése
    • adatok-személyek adatainak átvitele máshova
    • személyek beazonosítása (valóban az a személy kérte a módosítást-adatmozgást)
    • kommunikációs terv és szabályzás kidolgozása adatszivárgás, adatvesztés esetére

Gyakran feltett kérdések:

  • Mikor válunk adatkezelővé a jelen szabályozás szerint (pl webáruház esetén):

A webáruházunkban adatokat tárolunk a vásárlóinkról, regisztrációra kérjük őket, ahol megadják a személyes adataikat (név, telefonszám, email cím, cím). Ezzel még a jogszabály szerint nem váltunk adatkezelővé, mert a jogszabály szerint nem kell akkor bejelenti az adatkezelést, ha az adatkezelés csupán ügyfélkapcsolatban álló személyek adataira vonatkozik.

Akkor jön létre ügyfélkapcsolat, ha:

  • az adatokat közvetlenül az érintettektől veszik fel,
  • az adatkezelési cél az érintett számára ismert
  • a kezelendő adatok fajtája, az adatkezelés (adattörlés) időtartama előre meghatározott,
  • az adatokat csak előre meghatározott célra használják
  • az adatokat csak az adatkezelő kezeli,
  • az érintetteket mindenről megfelelően tájékoztatják
  • NAIH szám

A NAIH, azaz a Nemzeti Adatvédelmi és Információszabadság Hatóság a személyes adatok védelmének biztosításáért felelős hatóság, feladata a személyes adatok védelméhez való jog érvényesülésének ellenőrzése és elősegítése. Azaz Magyarországon a NAIH felel majd a GDPR betartatásáért, ellenőrzéseket folytathat le, az adatvédelmi szabályok megsértőit szankcionálhatja. Emellett iránymutatást biztosító, jogszabály-értelmezést segítő feladatai is vannak.

  • Hány NAIH számra lesz szükségem?

2018. május 25-től nem szükséges már az adatvédelmi nyilvántartásba történő bejelentkezés. Jelenleg ugye kategóriánként kell NAIH számot kérni. Lásd az előző kérdésre adott választ.

  • Nekem csak egy sima weboldalam van, ekkor is vonatkozik rám ez a GDPR?

Nem a weboldal ténye számít, hanem az azon található adatgyűjtő tartalom megléte. (like gomb, hírlevél feliratkozás, beágyazott követőkód) Ezek segítségével személyes adatok jutnak birtokodba, emiatt meg kell felelni a GDPR rendelkezéseinek.

  • Hírlevél küldés, Direkt Marketing, E-mail marketing

Automatikusan nem lehet küldeni kéretlen hírleveleket, reklámanyagokat vagy direkt marketing tartalmakat. Minden ilyen küldéséhez előzetes és tevőleges hozzájárulás szükséges (például egy checkbox felhasználó általi bepipálása).

A hozzájárulás fogalmát a GDPR az alábbi, igencsak körülményes fordulattal határozza meg:

„az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez”.

A hozzájárulás e szerint akkor megfelelő, ha tevőleges, tehát a feliratkozó személy maga pipálja ki a bejelölő négyzetet, mert így kizárt annak lehetősége, hogy a feliratkozó tekintete véletlenül átsiklik egy már bejelölt négyzet felett.

A hozzájárulás azt a követelményt is állítja, hogy annak megfelelő tájékoztatáson alapulónak kell lennie. Emiatt javasolt a weblapon elhelyezni egy a weblapra, hírlevélre, illetve e-mailre vonatkozó adatkezelési tájékoztatóra mutató linket, valamint hasonló módon egy bejelölő négyzetet, amelyben a feliratkozó nyilatkozik, hogy a tájékoztatást megismerte. Fontos, hogy e nélkül ne lehessen az e-mailre feliratkozni.

Emellett a feliratkozónak külön hozzá kell járulnia, hogy részére direkt marketing útján hirdetéseket küldjenek – ez is a fent leírtak szerinti bejelölő négyzet elhelyezésével oldható meg.

Ezenkívül biztosítani kell, hogy bármikor meggondolhassa magát és visszavonhassa ezt a hozzájárulást.

Marketing e-mailt bármilyen e-mail címről küldhetsz, a lényeg abban áll, hogy az emailből egyértelműen kiderüljön, hogy ki az adatkezelő. Marketing e-mailek esetében ezen kívül minden esetben biztosítani kell a leiratkozás lehetőségét úgy, hogy az egyértelmű és könnyű legyen. Ilyen például: „Ha nem kíván több hirdetést fogadni, a leiratkozáshoz kattintson ide.”

  • Adwords

Adwords esetén felhasználói adatok/személyes adatok nem érkeznek a hirdetésen keresztül, csak statisztikai adatok. Ez jobb esetben nem tartalmaz, személyes adatot.

  • Remarketing hirdetések

Ebben az esetben adatfeldolgozó szerepet a Google es a Facebook tölti be. Az adatkezelés célját a hirdető határozza meg, ezért a hirdető fog adatkezelőnek minősülni.

Kiemelendő, hogy a hirdető ebben az esetben az adatkezelése során nem alkalmazhat olyan megoldást, ami profilalkotásra alkalmas. A profilalkotás az új szabályzás szerint tiltott. Csak abban az esetben engedélyezett ha megfelelő garanciák mellett történik, vagyis csak akkor jogszerű, ha az érintett és egy adatkezelő közötti szerződés megkötése vagy teljesítése érdekében van rá szükség, vagy ha az érintett ahhoz előzetes és kifejezett hozzájárulását adta.

  • Google analytics

Google analytics esetében a Google tárolja az adatokat, majd statisztika formájában átadja.

  • Üzenetek küldése – lásd hírlevél küldés.
  • E-mail feliratkozás

E-mailekre történő feliratkozásnál szükséges, hogy a feliratkozó személy proaktívan járuljon hozzá személyes adatai kezeléséhez, pl. beikszel egy négyzetet a hozzájárulása esetén.

  • E-mail leiratkozás

Biztosítani kell az egyszerű, bármely felhasználó számára könnyen kezelhető, egyértelmű és egyszerű leiratkozás lehetőségét. Nem javasoljuk a leiratkozás alkalmával újabb adatok bekérését. A leiratkozás után a felhasználó e-mail címét véglegesen törölni kell minden adatbázisból, és praktikus, ha ez nem igényel manuális beavatkozást, tehát automatikusan történik.

  • Milyen formában kérheti bárki az adatai törlését?

Adatai törlését bárki az adatkezelőhöz címzett nyilatkozattal kérheti szóban, írásban, postai címen, e-mail címen, weboldalon – célszerűen azon a fórumon, amelyen keresztül az adatok jogszerűen az adatkezelőhöz kerültek. Ezért is fontos, hogy az adatkezelő az adatvédelmi tájékoztatójában feltüntesse pontos elérhetőségeit.

  • Milyen hivatalokat kell kötelezően megjeleníteni az adatvédelmi tájékoztatóban?

Azt kell megjelölni, hogy panasz esetén hová fordulhat az érintett, így a kompetens bíróság és a NAIH elérhetőségét kell feltüntetni annak részletezése mellett, hogy milyen jogsértés esetén melyikhez lehet fordulni. Az adatkezelési tájékoztatót vagy adatvédelmi szabályzatot egyedileg kell elkészíttetni, mert nincs két egyforma adatkezelő.

  • Van-e különbség az adatkezelésben a között, hogy az e-mail címeket, egyéb szemályes adatokat magunk tároljuk vagy egy külföldi szolgáltató szerverein kerül tárolásra ?
    Ha az EU területén tartózkodó magánszemélyek adatait kezeljük, akkor teljesen mindegy, hogy a kezelő maga melyik országban van bejegyezve, a GDPR szabályait alkalmazni kell.

Ez abban az esetben is igaz, ha X országban lévő cég az adatkezelő és a szoftvere/adatkezelése nem felel meg a GDPR szabályainak. Ebben az esetben az EU-ban tartózkodó magánszemélyek tekintetében végzett adatkezelés es adatfeldolgozás sértheti az adatvédelmi szabályokat.

  • E-commerce:

Ez esetben is biztosítani kell az előzetes tájékoztatást az oldal használatának megkezdése előtt, hozzájáruló nyilatkozatot kell kapni ahhoz, hogy az oldal személyes adatokat kezelhessen. Direkt marketing küldemények küldése esetében külön-külön hozzájáruló nyilatkozat szükséges.

  • Webáruházam van, már meglévő adatbázissal. Mi a teendőm, hogy megfeleljek a jogszabályoknak?

Ami különösen fontos, az az, hogy a webáruház adatbázisában szereplő adatokat nem szabad az adott ügylet befejezése után kezelni, azokat törölni kell az ügylet végeztével. Kivétel ez alól természetesen, ha az érintett személy kifejezett hozzájárulását adja személyes adatai más célú további tárolásához is.

Jelenleg a leggyakrabban alkalmazott szabadforrású rendszerek a következőkre biztosítanak lehetőséget: rendelés követése, korábban megrendelt áruk újrarendelése, korábbi rendelések megtekintése. Na most ha ezeket kitöröljük, akkor ezek a maguktól értetődő, egyértelmű funkciók elvesznek. Az ügylet végeztét ezért definiálni kell.

Ha hírleveleket is akarnak küldeni, akkor ehhez külön hozzájárulás is szükséges. Az adatbázisban tárolt adatokat nem lehet felhasználni a gyűjtésük céljától (vásárláshoz szükséges adatok) eltérő célokra, kivéve, ha ehhez ismételten, külön bekérik az érintettek hozzájárulását.

Az adatbázissal kereskedni, azt értékesíteni nem lehet, így nem lehet pl. egy cipő-webshop adatbázisát az akár azonos tulajdonosi körrel rendelkező pl. utazási iroda céljaira felhasználni.

  • Kell-e a tárolt adatokat titkosítassal védeni?

Igen, amennyiben a tárolásra megengedett idő lejárt. Ebben az esetben gondoskodni kell arról, hogy a személyes adatokat ne lehessen az érintettel többé kapcsolatba hozni.

  • Facebook-csoporthoz szükséges a NAIH szám?

A Facebook-csoport mindaddig személyes, magáncélra történő adatkezelésnek minősül – és így nem tartozik a GDPR hatálya alá –, amíg az nagy tömegek számára nem férhető hozzá, és csak olyan személyes adatokat hoz nyilvánosságra, amelyeket maga az érintett töltött fel.

  • Hőtérképes marketing elemzés:

A hőtérképes marketingnél nincs konkrét felhasználói adat kezelés, hiszen valószínűleg egy külföldi oldal szolgáltatását használják erre a célra. A felhasználó nem azonosítható. Ha ez olyan weboldalon történik, ahol belépést követően indul be az elemzés, akkor az adatkezelőre és -felhasználóra vonatkozó kötelezettségek az irányadóak.

Összefoglalva

Fontos szempont és kiemelendő, hogy a különbség az adatkezelés mikéntjén, nem pedig az üzleti tevékenységen vagy a vállalkozási formán múlik – néhány speciális esetet leszámítva. Mindig számba kell venni a kezelt adatok körét, az adatkezeléssel érintettek körét, és az őket egy esetleges adatvédelmi jogsértés esetén fenyegető kockázatokat. Mindennek meghatározása az adatkezelő feladata és felelőssége, és a jó megoldás esetről esetre változik. Éppen ezért szükséges egy adatvédelmi hatásvizsgálat lefolytatása az adatkezelés megkezdése elején, de még inkább előtte.

Felhasznált források:

https://7blog.hu/gdpr
http://blog.crysys.hu/2017/07/628/
https://www.privacy-regulation.eu/hu/
https://www.emailmarketing.hu/rovid-osszefoglalo-a-gdpr-rol/

Írta:  Mylo