Kell félni a GDPR-től?

Az elmúlt hónapokban lépten-nyomon beleütközök a GDPR kifejezésbe. Illetve látom a körülötte lévő hype-ot, hogy mindenki mennyire fél tőle, hogy mekkora bírságok lesznek, mennyire átláthatatlan az egész, stb. Szerintem részben alaptalan a félelem, és inkább a tudatlanságból fakad. Kifejtem miért.

JELEN CIKK NEM SZÁMÍT JOGI TANÁCSADÁSNAK, ezért semmiféle felelősséget nem vállal a szerző a benne foglaltak alkalmazása vagy nem alkalmazása miatt. Felelős jogi tanácsadásért ne egy webfejlesztőt, hanem ügyvédet, adatvédelmi szakértőt keress meg! Érdemes olyat keresni, akinek ez a szakterülete, hiszen akkor tud minden speciális kérdésre válaszolni.

Ez egy alapszintű útmutató, (annak is a megnyírt verziója, az ügyfeleim rendelkezésére áll egy 10,5 oldalas, ennél jóval részletesebb tájékoztatás) így ha nem vagy teljesen kezdő a témakörben, akkor kevésbé lesz hasznos számodra.

Mi az a GDPR?

Az Európai Parlament 2016/679-es (Általános adatvédelmi rendelet) rendelete (a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről szól), amely hatályon kívül helyezi a korábbit, és 2018. május 25-től lesz hatályos. De egyébként már több mint 2 éve elérhető, nyilvános, lehetett volna rá készülni, és akkor nem lenne ez a nagy ködösítés körülötte.

Röviden összefoglalva arról szól, hogy a természetes személyek személyes adatait milyen módon gyűjthetjük, kezelhetjük, illetve nekik milyen jogaik vannak ezen adatok vonatkozásában, és ezen jogaikat hogyan tudjuk biztosítani.

Fontos alapelv, hogy mindig csak és kizárólag annyi adatot kérjünk el, kezeljünk, amennyit az adatkezelés célhoz kötöttsége megkíván. Ugyanilyen fontos, hogy csak addig tároljuk az adatokat, ameddig az adatkezelés célja megkívánja.

A GDPR minden adatkezelésre vonatkozik!

Általános tanácsok, mielőtt tovább olvasnál:

• Olvasd el a rendeletet! Tényleg. Ha félsz, miért nem teszel ellene? 88 oldal, elolvasható gyorsan. Ha nem teszed, akkor nem is tudod, hogy mitől félsz. Ha elolvasod, látni fogod, hogy nem ördögtől való dolog ez. Itt találod a magyar nyelvű verziót.
• Keress meg egy ügyvédet! Tényleg. Ha nem rendelkezel jogi vénával, akkor áldozd rá a pénzed, hogy nyugodtan alhass, és vállalja helyetted más az anyagi felelősséget.

Ami eddig volt

Eddig is kellett a weboldalra Adatvédelmi tájékoztató, ez nem újdonság. Ja, hogy eddig nem volt? Ez nem a GDPR hibája! Eddig is elérhető volt a „1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról”, illetve a „2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról. (Infotv.)” ezért ezek alapján már korábban el kellett volna készíteni a megfelelő tájékoztatást, és ennek mentén kellett volna az adatokat kezelni. Aki ezt betartotta, véleményem szerint sok teendője nem lesz a GDPR miatt, hiszen nagy újdonságok nincsenek a korábbi szabályozáshoz képest.

Mi legyen az adatvédelmi tájékoztatóban?

Minimum (egy ügyvéd, vagy adatvédelmi szakértő lehet mondana még más elemeket is) követelmények:

• A szolgáltató (Adatkezelő) adatai, elérhetőségei.
• A konkrét adatkezelő(k) megnevezése.
• Fogalmak tisztázása.
• A gyűjtött és kezelt adatok köre, az adatkezelés célja, időtartama, módja, továbbítási lehetőségek, jogszabályi háttere és jogalapja, és milyen biztonsági intézkedések vannak eszközölve az adatbiztonság megőrzése végett?
• Cookie tájékoztató.
• Ha igénybe veszünk adatfeldolgozókat, akkor azokat meg kell nevezni, ill. az elérhetőségüket is közzé kell tenni.
• A természetes személyt a személyes adataikkal kapcsolatos jogok feltüntetése:
  • Tájékoztatáshoz való jog.
  • Adatok helyesbítéséhez való jog.
  • Adatok törléséhez való jog. („az elfeledtetéshez való jog”)
  • Adatok zárolásához való jog.
  • Adathordozhatósághoz való jog.
  • Tiltakozás joga.
  • A profilalkotás és az automatizált adatkezelésen elleni tiltakozás.
• Jogorvoslati lehetőségek feltüntetése.
• Jogi háttér feltüntetése (mely törvények alapján készült a tájékoztató).
• Hatályba lépés és érvényesség.

Adatvédelmi incidens, profilalkotás és álnevesítés

Lásd a rendelet szövegét!

ÁSZF megléte

Egy webshopnál eddig is szükség volt ÁSZF-re, szállítási információkra, elérhetőségre, impresszumra. Ez nem újdonság, nem a GDPR miatt van erre szükség.

Büntetések mértéke

Riogatnak a 20 millió eurós vagy éves bevétel 4%-ára rúgó bírsággal. Egy átlagos kis- és középvállalatnak, egyéni vállalkozónak véleményem szerint nem kell ettől tartania, mert csak nagyon kirívó esetben (Mi számít kirívónak? Pl.: sok érintett, nagy jogsértés, szándékosan, kárenyhítés nélkül, korábbi jogsértések folytatásaként, hatósággal való együttműködés elutasítása, stb.) tud olyan szabálytalanságot elkövetni, hogy ekkora bírságra számíthasson. Egy tisztességesen eljáró vállalkozásnál erre az esély a nulla %-hoz konvergál.

Mikor számíthatsz ellenőrzésre?

Adatvédelmi incidens esetén és/vagy bejelentés alapján (pl.: konkurens feljelent). Egyelőre az infotv. Alapján tudnak ellenőrizni, mert a magyar adatvédelmi (az új) törvény még nem készült el.

Csak a weboldalra vonatkozik a GDPR?

Határozottan nem! Minden, személyes adat kezelésére vonatkozik az új rendelet. Ha offline boltod van, és ott gyűjtesz bármilyen adatot, rád is vonatkozik a GDPR.

Milyen fejlesztési területek vannak a weboldaladon, hírlevél küldődben?

Ez a rész (is) erősen meg lett nyírva, ugyanis ügyfeleknek van egy ennél a cikknél jóval részletesebb verziója (+19 000 karakter, 10,5 oldal) ennek a tanulmánynak.

• Jó hír! A WordPress fejlesztői a kötelező elemek egy részét megcsinálják, és a WordPress 4.9.6-os verzióban ki is adják.
• Kell egy adatvédelmi nyilatkozat.
• Hírlevél feliratkozás:
  • +2 checkbox.
  • Egy kattintásos leiratkozás.
  • Korábbi feliratkozók törlése/újrafeliratása.
• Kapcsolati űrlap rendberakása.
• Webshop rendberakása.
• Cookie elfogadás fejlesztése: legyen olyan opció, hogy csak az oldal működéséhez szükséges cookie-kat fogadja el valaki (ezeket el is kell fogadtatni), és olyan is, ami a további cookie-k (pl.: remarketing, statisztika, stb.) elfogadását szolgálja. A hozzájárulást vissza lehessen vonni. Kell egy NEM fogadom el a sütiket opció is, amelynek valóban azt kell szolgálnia, hogy nem tesz a megnyomás után a gépre a rendszer cookie-t.
• Legyen jól látható helyen az adatkezelési tájékoztató (pl.: láblécben).
• Google Analytics átállítás! Adatmegőrzés: https://support.google.com/analytics/answer/7667196
• Remarketing kezelése.

Hasznos WordPress bővítmények

1. https://wordpress.org/plugins/gdpr-cookie-compliance/
2. https://wordpress.org/plugins/delete-me/

Néhány cég adatvédelmi nyilatkozata

• Google: https://policies.google.com/u/0/privacy
• McDonald’s: https://www.mcdonalds.hu/adatkezelesi-tajekoztato

Mindenkire igazak a fentiek?

Nem. Minden cég más és más. Ez egy általános összefoglaló. Különösen fontos, hogy szakértőt keress meg, ha nemi, faji, vallási, egészségügyi, pénzügyi, büntetőjogi adatokat kezelsz!

Hasznos linkek gyűjteménye

1. Felkészülés 12 lépésben.
2. Az adatvédelmi reformmal kapcsolatos állásfoglalások.

Kereshetlek GDPR kérdésekben?

Csak és kizárólag olyan GDPR kérdésekre vagyok nyitott, ami egy WordPress oldal GDPR kompatibilissá tételével kapcsolatos. Jogi jellegű tanácsadás végett egy adatvédelmi szakértőt keress meg!