A Nagy GDPR Kérdezz-felelek

Írta Dr. Holló Dóra Ügyvéd

2018 május 25-től földindulásszerű változások léptek életbe a digitálisan kezelt adatok területén – talán már neked is ismerős a GDPR rövidítés… Ez minden, az online térben érintett cégnek plusz munkát, változtatási kényszert jelent.

Az alkalmazott technológiákból adódóan a GDPR egy online marketing ügynökség mindennapjait még érzékenyebben érinti, így feltettünk egy sor kérdést Dr. Holló Dórának, a többszörösen díjnyertes Holló és Társai Ügyvédi Iroda alapítójának és kollégáinak, akiknek az adatvédelem a fő szakterületük. A kérdésekre adott válaszokból kiderül, mit is jelent a GDPR a gyakorlatban, hogyan lehet rá felkészülni, hogyan zajlik egy GDPR audit és miként kell majd a napi marketing gyakorlatban alkalmazni a szabályokat.

A GDPR rendelet 2018 legfontosabb történései közé tartozik az online marketingben, és kötelező érvénnyel alkalmaznia kell mindenkinek a jogszabályban foglaltakat – mulasztás esetén a büntetés brutális méreteket is elérhet…

Update – 2018 július 11. – A Gulyás Gergely, Miniszterelnökséget vezető miniszter arról tájékoztatott, hogy – osztrák példa alapján – a Nemzeti Adatvédelmi és Információbiztonsági Hatóság (NAIH) a kisvállalkozások esetében csak figyelmeztetne, de nem büntetne – legalábbis egyelőre…

Pár hónap további türelem is életmentő lehet – az EY globális felmérést készített, melynek eredménye a hazai cégek súlyos lemaradását mutatja; közel 50%-uk ugyanis még arra sem áll készen, hogy a felhasználóik számára a róluk tárolt adatok törlését technológiailag biztosítani tudja…

MIELŐTT BÁRMIT CSINÁLNÁL

Figyelmeztetés

Felhívjuk szíves figyelmedet, hogy a GDPR előírások jogalkalmazói gyakorlata jelenleg még hiányzik, továbbá annak nem minden kérdése teljesen kidolgozott és rögzített. Az itt található tájékoztatás ezért a GDPR fogalmak aktuális értelmezését tükrözi, de a gyakorlat ezen változtathat. Javasoljuk az adatvédelmi hírek folyamatos nyomon követését.

01.
A GDPR háttere és alkalmazása

GDPR bemelegítő kérdések

A GDPR szövege magyar nyelven letölthető ezen a linken keresztül.

Mindenki a GDPR-ról beszél. Mi ez?

A GDPR röviden az Európai Unió és a Tanács által elfogadott, a személyes adatok védelméről és az ilyen adatok szabad áramlásáról szóló rendelete, más néven általános adatvédelmi rendelet (General Data Protection Regulation). A téma azért tart számot nagy közérdeklődésre, mert mindeddig a személyes adatok kezeléséről csak európai uniós irányelv szólt, azt pedig a tagállamok maguk – sokszor eltérő módon –, ültették át. Mostantól fogva ez változni fog, mivel a GDPR közvetlen hatállyal rendelkezik, minden tagállamban kötelezően alkalmazandó. Ennél fogva minden tagállamban ez a rendelet lesz a legfontosabb szabályanyag a személyes adatok kezelése és védelme tekintetében, attól eltérni csak akkor lehet, ha azt maga a GDPR megengedi.

Már így is ott volt a NAIH – nem elég az?

A NAIH, azaz a Nemzeti Adatvédelmi és Információszabadság Hatóság a személyes adatok védelmének biztosításáért felelős hatóság, feladata a személyes adatok védelméhez való jog érvényesülésének ellenőrzése és elősegítése. Azaz Magyarországon a NAIH felel majd a GDPR betartatásáért, ellenőrzéseket folytathat le, az adatvédelmi szabályok megsértőit szankcionálhatja. Emellett iránymutatást biztosító, jogszabály-értelmezést segítő feladatai is vannak.

A GDPR kire vonatkozik és mikortól?

Az adatkezelés magában foglal szinte minden, a személyes adatokon végzett cselekményt, így azok felvételét, gyűjtését, tárolását, különböző célokra történő felhasználását, továbbítását, módosítását, hogy csak néhány adatkezelési műveletet említsünk. Az ezt végző személy az Adatkezelő. Az, aki az adatkezelő megbízásából és nevében személyes adatokkal dolgozik, az Adatfeldolgozó. A fontos különbség az, hogy míg az adatkezelő meghatározza az adatkezelés célját is, azaz dönt az adatok sorsáról, addig az adatfeldolgozó csak az adatkezelő utasításai alapján végez – jellemzően technikai – műveleteket az adatokon (pl. webtárhely szolgáltatója).

Uniós rendelet lévén a GDPR az EU-hoz valamilyen oknál fogva kapcsolódó adatkezelésekre állapít meg rendelkezéseket. Így alkalmazni kell a GDPR-t, ha Te, vagy a vállalkozásod/céged tevékenységét az Unió területén fejti ki, és az adatkezelés e tevékenységével összefüggésben valósul meg. Ugyanakkor a GDPR továbbmegy ennél: alkalmazandó ugyanis azokra az adatkezelésekre, adatfeldolgozási műveletekre is, amelyeket az Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó végez, ám áruknak vagy szolgáltatásoknak az Unióban tartózkodó érintettek számára történő nyújtásához kapcsolódnak, vagy az érintettek Unió területén belül tanúsított viselkedésének megfigyeléséhez kapcsolódnak.

Mikortól kell mindezt alkalmazni?

A rendeletet 2018. május 25-től kell alkalmazni.

Oh, az már elmúlt! Van türelmi idő?

2018. május 25. után nincsen. Az Unió már így is igen hosszú felkészülési időt hagyott a GDPR-ral érintetteknek, mivel azt már 2016. májusában kihirdették, azóta érvényes és hatályos, így 2 év állt rendelkezésre.

Van valami bejelentési kötelezettség májustól?

A változás kétirányú: Egyrészt megszűnik a most működő, a NAIH által vezetett adatvédelmi nyilvántartás, az egyes adatkezeléseket nem kell bejelenteni.

Bejelentési kötelezettség keletkezik viszont az adatkezelő oldalán ún. adatvédelmi incidensek, azaz személyes adatokkal kapcsolatos jogsértések esetén, az adatkezelő általi tudomásszerzést követően haladéktalanul, de legkésőbb 72 órán belül. Kivétel ez alól, ha a személyes adatok megsértése „valószínűsíthetően” (ezt persze nehéz konkretizálni) nem okoz nagy sérelmet az érintettek számára. A bejelentést ilyenkor a NAIH felé kell megtenni. Az incidenssel érintett személyeket csak akkor kell értesíteni, ha az adatsértés számukra valószínűsíthetően nagy kockázatot jelent, pl. banki kódok kiszivárgása esetén. Ha az adatfeldolgozó észlel jogsértést, ő is köteles ezt bejelenteni, mégpedig az adatkezelő felé.

De nekem csak egy sima weboldalam van, nem lehet, hogy inkább mindenki hagyjon engem békén?

Nem a weboldal ténye számít, hanem az azon található „adatgyűjtő tartalom” megléte. Gondolhatunk itt akár egy Facebook Like-gombra, vagy akár egy hírlevélfeliratkozásra is, de vannak kevésbé szemet szúró adatkezelések is, mint például egy forráskódba ágyazott követőkód.

Ezeknél minden esetben személyes adatok juthatnak a vállalkozásod birtokába, például egy hírlevélre történő feliratkozás során név, email cím biztosan. Ebben az esetben pedig már meg kell felelni a GDPR rendelkezéseinek.

Egyébként nem is lehet automatikusan, „kéretlenül” hírlevelet, direkt marketing anyagokat küldeni, a hírlevelek, reklámanyagok küldéséhez előzetes hozzájárulás szükséges. A hozzájárulás pedig a GDPR szerint csak tevőleges magatartással valósulhat meg. Ilyennek minősül, ha maga a weboldal látogatója pipálja ki a hozzájáruló négyzetet. Nem elfogadható például az a gyakorlat, amely szerint a négyzet már kipipált, és azt a látogató csak jóváhagyólag – vagy éppen figyelmetlenségből – úgy hagyja.

Nálam ott van alul a süti-sáv, jó vagyok ezzel 2018 májustól is, vagy megint hegesztenem kell valamit?

A GDPR szerint a süti-azonosítók alkalmasak a természetes személyek azonosítására, így kiterjed rájuk a GDPR hatálya.

A süti-sávról, azaz a „cookie-k”-ról ezért egyértelmű és pontos tájékoztatást kell adni az oldal adatvédelmi tájékoztatójában, és a felhasználónak kifejezetten és egyértelműen hozzá is kell járulnia ahhoz, hogy az oldal cookie-kat használjon. Sőt, lehetőséget kell adni neki arra is, hogy megváltoztassa döntését, azaz egy ponton úgy döntsön, a továbbiakban nem járul hozzá a cookie-k alkalmazásához.

A sütikkel kapcsolatban egy informatikai megjegyzés: a süti-tájékoztató megjelenítéséhez a rendszernek (weboldal) tisztában kell lennie azzal, hogy az adott felhasználó először látogat-e ide és/vagy elfogadta-e a süti-tájékoztatóban foglaltakat. Ez kétféle módon történhet: a felhasználó regisztrált a weboldalra, ebben az esetben eltárolható ez a döntése, vagyis nem kérdés, hogy elfogadja-e, hiszen regisztrációkor már megtette – ez a ritkábban alkalmazott eset. A másik eset, amikor először felmegy az adott weboldalra a látogató és a rendszer megnézi, hogy a számítógépén található-e ehhez a weboldalhoz tartozó süti, ami azt jelenti, hogy már nyilatkozott az elfogadásról vagy sem, elfogadta-e vagy sem. Ezáltal azzal, hogy megjelenítjük neki a süti-tájékoztató csíkot, már egy cookie-t megnéztünk a számítógépén, méghozzá azelőtt, hogy egyáltalán hozzá tudott volna járulni.

Mi történik, ha a fülem botját sem mozgatom erre a GD-izére?

Röviden: szinte borítékolhatóan komoly bírságoknak teszed ki magadat és a cégedet.

Hosszabban: azért javasolt mindenkinek felülvizsgálnia és hatályosítania az adatkezelési gyakorlatát, mert a GDPR az eddigieknél sokkal szigorúbb szankcionálási eszközöket ad a nemzeti hatóságok (Magyarországon a NAIH) kezébe:

a bírság maximális mértéke 20 millió euró vagy az előző év világpiaci árbevételének 4 %-a. A kettő közül a magasabb jelenti a felső határt. Természetesen a NAIH a konkrét bírság összegét számos tényezőtől teszi majd függővé, így figyelembe veszi a jogsértés súlyát, mértékét, az okozott sérelem nagyságát, illetve azt, hogy az gondatlanságból, szándékosságból, netán menthető nemtudásból fakad-e.

02.
Ami tényleg mindenkit érint

Hirdetések

A GDPR rendelkezéseinek megsértése esetén a bírság felső határa 20 millió Euro, vagy a cég teljes világpiaci árbevételének 4%-a.

Mit kell változtatnom, ha Google Ads-en, vagy Facebook-on hirdetek?

Felhasználói adatok nem érkeznek a hirdetésen keresztül, csak egy statisztika. A konkrét felhasználói adatokkal a Google, illetve a Facebook rendelkezik.

Mi van a remarketing hirdetésekkel? Ott a Google meg a Facebook az adatkezelő!

(remarketing hirdetéseknek hívjuk azokat a hirdetéseket, amelyeknél a látogató korábbi látogatásai alapján dinamikusan határozza meg a hirdetési platform – például a Facebook – a hirdetés tartalmát)

A Google, illetve a Facebook nem adatkezelő, hanem adatfeldolgozó. Az adatkezelés célját a hirdető határozza meg, ezért a hirdető fog adatkezelőnek minősülni. Ez a fajta adatkezelés ráadásul profilalkotásnak is minősülhet, ami alapesetben tilos.

Profilalkotásnak nevezzük azt a módszert, amikor automatizált adatkezelés során vonnak le következtetéseket a személyes adatok kezelésével érintett személyre nézve – remarketing hirdetés esetén a célszemély preferenciáit illetően. Ez csak megfelelő garanciák mellett történhet, vagyis csak akkor jogszerű, ha az érintett és egy adatkezelő közötti szerződés megkötése vagy teljesítése érdekében van rá szükség, vagy ha az érintett ahhoz előzetes és kifejezett hozzájárulását adta.

Nem is én gyűjtöm az adatokat, hanem a Google Analytics. Kell valamit tennem?

Ez informatikai kérdés. Az adatokat a Google tárolja, majd ezeket statisztika formájában adja át. Konkrét adatokat nem kapsz, csak kimutatást, hogy mi a nemek vagy az életkor megoszlása stb.

Saját konverziókövetéssel dolgozom (pl. Adroll), van-e valami teendőm a GDPR életbelépését követően?

Ez is informatikai kérdés. Saját konverziókövetés esetén feltételezhetően felhasználói adatokhoz is hozzáférsz. Ebben az esetben adatkezelőnek minősülsz, így az erre vonatkozó szabályok lesznek irányadóak.

03.
Az online marketing nagy öregje

EMAIL MARKETING ÉS GDPR

Az EU hivatalos GDPR honlapja letölthető anyagokkal, FAQ-val, linkekkel és sok fontos információval elérhető ezen a linken.

Milyen üzenetet küldhetek a látogatóimnak?

Elsősorban olyan témájú üzeneteket, amit az oldal látogatója korábban kért pl. a weboldalon elhelyezett valamely feliratkozási módszerrel.

Magánszemélyek részére kizárólag előzetes hozzájárulás alapján jogszerű direkt marketing célú üzeneteket küldeni. Viszont a szabályok értelmében már a hozzájárulás kifejezett kérése is direkt marketingnek minősül, ha az üzenet fő lényegi tartalma a hozzájárulás kérése. Nagyon lényeges tehát a megfogalmazás, ezért javasoljuk az adatvédelmi szakértő véleményének kikérését a  kiküldés előtt.

Mi van, ha email címeket gyűjtünk egy online űrlapon keresztül, ami mondjuk Mailchimpben landol?

A Mailchimp szolgáltatója amerikai székhelyű, ugyanakkor a fenti esetben szolgáltatása az Unióban tartózkodó személyek felé irányul, így alkalmazandó rá a GDPR. Minden, a Mailchimpen keresztül megvalósult tevékenységnek meg kell felelnie a GDPR rendelkezéseinek. (A legtöbb nagy ESP, így a Mailchimp is proaktívan készül megfelelni a GDPR követelmények technológiai oldalának, melyhez egy külön kiadványt is csináltak. – KP)

Számít-e, hogy a kapcsolati űrlapon milyen mélységig kérünk adatokat?

Egyértelműen számít! A személyes adatok bekérése a GDPR szerinti adatkezelésnek minősül, márpedig csak olyan jellegű és mennyiségű személyes adatot lehet kezelni, amely az adatkezelés céljához feltétlenül szükséges és arra alkalmas. Mindig csak a minimum adatkört lehet kezelni, amelyek felhasználásával a cél – amelyből az adatokat gyűjtik – már megvalósítható.

Milyen e-mail címről küldhetek marketing emailt és minek kell benne lennie?

Marketing emailt bármilyen e-mail címről küldhetsz, a lényeg abban áll, hogy az emailből egyértelműen kiderüljön, hogy ki az adatkezelő. Marketing e-mailek esetében ezen kívül minden esetben biztosítani kell a leiratkozás lehetőségét úgy, hogy az egyértelmű és könnyű legyen. Ilyen például: „Ha nem kíván több hirdetést fogadni, a leiratkozáshoz kattintson ide.”

Email feliratkozásnál kell-e a mezőkön kívül valamit az űrlapba építeni?

Igen, e-mailekre történő feliratkozásnál szükséges, hogy a feliratkozó személy proaktívan járuljon hozzá személyes adatai kezeléséhez, pl. beikszel egy négyzetet a hozzájárulás esetén.

A hozzájárulás fogalmát a GDPR az alábbi, igencsak körülményes fordulattal határozza meg:

„az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez”.

A hozzájárulás e szerint akkor megfelelő, ha tevőleges, tehát a feliratkozó személy maga pipálja ki a bejelölő négyzetet, mert így kizárt annak lehetősége, hogy a feliratkozó tekintete véletlenül átsiklik egy már bejelölt négyzet felett.

A hozzájárulás azt a követelményt is állítja, hogy annak megfelelő tájékoztatáson alapulónak kell lennie. Emiatt javasolt a weblapon elhelyezni egy a weblapra, hírlevélre, illetve e-mailre vonatkozó adatkezelési tájékoztatóra mutató linket, valamint hasonló módon egy bejelölő négyzetet, amelyben a feliratkozó nyilatkozik, hogy a tájékoztatást megismerte. Fontos, hogy e nélkül ne lehessen az e-mailre feliratkozni.

Emellett a feliratkozónak a GDPR szabályainak értelmében külön hozzá kell járulnia, hogy részére direkt marketing útján hirdetéseket küldjenek – ez is a fent leírtak szerinti bejelölő négyzet elhelyezésével oldható meg.

Mennyire kell kiemelni a leiratkozást emaileknél, és írhatom-e például kis betűkkel a leiratkozási linket?

Mindenképpen fontos, hogy a leiratkozási lehetőség jól látható legyen, az olvasó számára érthető, a honlapon belül gyorsan megtalálható.

Ki lehet kerülni a feliratkozásnál az elfogadós pipás négyzetet valami okossággal?

Nem. Egyértelműen jogszerűtlen megoldások esetén a hatóság humorérzéke az abszolút nulla körüli értékre csökken… 😀

Az email marketingnél a leiratkozós oldalaknak mit kell tudnia?

Biztosítani kell az egyszerű, bármely felhasználó számára könnyen kezelhető, egyértelmű és egyszerű leiratkozás lehetőségét. Nem javasoljuk a leiratkozás alkalmával újabb adatok bekérését.

A leiratkozás után a felhasználó e-mail címét véglegesen törölni kell minden adatbázisból, és praktikus, ha ez nem igényel manuális beavatkozást, tehát automatikusan történik.

Mi van, ha mondjuk egy amerikai cég az adatkezelő, és a szoftvere nem felel meg a GDPR-nak?

Ha az EU területén tartózkodó magánszemélyek adatait kezeli, akkor teljesen mindegy, hogy a cég maga melyik országban van bejegyezve, a GDPR szabályait alkalmazni kell. Így ha az USA cég szoftvere nem felel meg a GDPR-nak, a szoftverrel az EU-ban tartózkodó magánszemélyek tekintetében végzett adatkezelés vagy adatfeldolgozás sértheti az adatvédelmi szabályokat.

Van különbség az adatkezelésben aközött, hogy az email címeket magunk tároljuk, vagy egy külföldi (jellemzően amerikai) szolgáltató szerverein tárolódnak?

Nincs.

Akkor is be kell tartani a GDPR szabályait, ha azon szolgáltatások, amelyek céljából az e-mail címeket tárolják, áruknak vagy szolgáltatásoknak az Unióban tartózkodó érintettek számára történő nyújtásához kapcsolódnak.

04.
WEBÁRUHÁZAK RESZKESSETEK

E-KERESKEDELEM a GDPR UTÁN

Kell-e valami biztonsági előírásnak megfelelni szerver oldalon mondjuk e-commerce cégeknél?

E-commerce cégek esetében ugyanúgy meg kell felelni a GDPR előírásainak, mint más cégek esetén.

Így biztosítani kell például az előzetes tájékoztatást az oldal használatának megkezdése előtt, hozzájáruló nyilatkozatot kell kapni ahhoz, hogy az oldal személyes adatokat kezelhessen. Direkt marketing küldemények küldése esetében külön-külön hozzájáruló nyilatkozat szükséges.

Biztosítani kell a kezelt személyes adatok biztonságát is, így például fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehessen állítani és a hozott intézkedéseket folyamatos felülvizsgálat alatt lehessen tartani – és azt természetesen el is kell végezni időről időre.

Shopify használata esetén minek kell belekerülni az ÁSZF-be? Ez ugyanis egy cloud-alapú rendszer, ahol nem is lehet megmondani, hogy melyik szerveren tárolódik az adat?

A cloudos tárolás is jelent egyfajta fizikai helyet, tehát van tulajdonos és van helyrajzi adatkezelés is, ennek szabályozása és megfeleltetése a szolgáltató feladat.

Webáruházam van meglévő adatbázissal. Kell-e valamit tennem, hogy megfeleljek a GDPR szabályainak?

Ami különösen fontos, az az, hogy a webáruház adatbázisában szereplő adatokat nem szabad az adott ügylet befejezése után kezelni, azokat törölni kell az ügylet végeztével. Kivétel ez alól természetesen, ha az érintett személy kifejezett hozzájárulását adja személyes adatai más célú további tárolásához is. Jelenleg a leggyakrabban alkalmazott szabadforrású rendszerek a következőkre biztosítanak lehetőséget: rendelés követése, korábban megrendelt áruk újrarendelése, korábbi rendelések megtekintése. Na most ha ezeket kitöröljük, akkor ezek a maguktól értetődő, egyértelmű funkciók elvesznek. Az ügylet végeztét ezért definiálni kell.

Ha hírleveleket is akarnak küldeni, akkor ehhez külön hozzájárulás is szükséges. Az adatbázisban tárolt adatokat nem lehet felhasználni a gyűjtésük céljától (vásárláshoz szükséges adatok) eltérő célokra, kivéve, ha ehhez ismételten, külön bekérik az érintettek hozzájárulását.

Az adatbázissal kereskedni, azt értékesíteni a GDPR szabályainak értelmében nem lehet, így nem lehet pl. egy cipő-webshop adatbázisát az akár azonos tulajdonosi körrel rendelkező pl. utazási iroda céljaira felhasználni.

05.
Papír hegyeket mindenhova

Bürokrácia

A cégeknek és egyéni vállalkozóknak eltérő adatvédelmi szabályzat szükséges?

A különbség az adatkezelés mikéntjén, nem pedig az üzleti tevékenységen vagy a vállalkozási formán múlik – néhány speciális esetet leszámítva.

Mindig számba kell venni a kezelt adatok körét, az adatkezeléssel érintettek körét, és az őket egy esetleges adatvédelmi jogsértés esetén fenyegető kockázatokat. Mindennek meghatározása az adatkezelő feladata és felelőssége, és a jó megoldás esetről esetre változik. Éppen ezért szükséges egy adatvédelmi hatásvizsgálat lefolytatása az adatkezelés megkezdése elején, de még inkább előtte.

Milyen jogai vannak az adatbirtokosoknak?

A GDPR szerint az adatkezeléssel érintett személyeknek az alábbi jogaik vannak:

  • Tájékoztatáshoz való jog: megfelelő méretű, nyelvű, egyszerű nyelvezetű és könnyen fellelhető információt köteles adni az adatkezelő az adatkezelés lényeges szempontjairól (ki, mit, mire, hogyan, mettől meddig használ, stb.) – a GDPR pontosan meghatározza a szükséges információk körét. A tájékoztatásnak lehetőleg már a személyes adatok felvétele előtt meg kell történnie. Ha erre nincs mód – mert pl. az adatokat harmadik személytől szerzik be, mondjuk, valaki elküldi egy barátja önéletrajzát a HR-osztálynak – úgy az első lehetséges időpontban.

 

  • Hozzáféréshez való jog: a magánszemély kérhet tájékoztatást arról, hogy történik-e rá vonatkozó adatkezelés, és ha igen, akkor mely adatait kezelik.

 

  • Adatok helyesbítésének kérése: az érintett jelezheti, hogy a kezelt adatok pontatlanok, és kérheti, hogy azok helyett mi kerüljön feltüntetésre – megjegyezzük, hogy az adatok pontosságáért az adatkezelőt terheli a felelősség, így célszerű időről időre ellenőrizni azok pontosságát.

 

  • Törléshez való jog: a GDPR kifejezetten előírja, hogy az érintett bármikor kérheti adatai törlését. Amennyiben az adatkezelő hozzáférést engedett harmadik személyeknek a törölni kért adatokhoz, akkor tájékoztatnia kell mindazokat, akik számára nyilvánosságra hozta az érintett adatot, hogy minden hivatkozást, illetve náluk tárolt személyes adatot töröljenek. Ennek célja az, hogy – hacsak annak jogi vagy észszerű akadálya nincs – az érintett adat „tűnjön el” a fellelhető adatbázisokból.

 

  • Az adatkezelés korlátozásához való jog: bizonyos esetekben a személyes adatok kezelésével érintett személy kérheti személyes adatai kezelésének korlátozását – például egy tisztázatlan, jogvitás helyzetben, vagy akkor, ha az adatkezelés nem szükséges már, de az adatalany azt mégis szeretné.

 

  • Adathordozhatósághoz való jog: az érintett kérheti, hogy a rá vonatkozóan kezelt adatokat tagolt, széles körben használt, géppel olvasható formátumban (pl. .doc, .pdf stb.) megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az eredeti adatkezelő. Azaz a GDPR szabályrendszere megkönnyíti az adatkezeléssel érintett helyzetét, hogy személyes adatait egyik adatkezelőtől a másikhoz vigye át. Bár ez a jog jól hangzik, kérdés, hogy mennyire lesz megvalósítható a gyakorlatban.

 

  • Tiltakozáshoz való jog: az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból kifolyólag bármikor tiltakozzon személyes adatainak meghatározott okból történő kezelése ellen. Ez tipikusan akkor szokott megtörténni, amikor az érintett nem adta hozzájárulását személyes adatai adott kezeléséhez.

Milyen formában kérheti bárki az adatai törlését?

Adatai törlését bárki az adatkezelőhöz címzett nyilatkozattal kérheti szóban, írásban, postai címen, e-mail címen, weboldalon – célszerűen azon a fórumon, amelyen keresztül az adatok jogszerűen az adatkezelőhöz kerültek. Ezért is fontos, hogy az adatkezelő az adatvédelmi tájékoztatójában feltüntesse pontos elérhetőségeit.

Akkor most minden cégnek kell külön egy adatvédelmi biztos?

A GDPR által használt pontos kifejezés az „adatvédelmi tisztviselő”. 🙂 Nem szükséges minden cégnek, csak a GDPR-ban meghatározott esetekben, vagyis közhatalmi szerveknél, az adatalanyok nagymértékű megfigyelése esetén (pl. vagyonvédelem), illetve különleges személyes adatok megfigyelése esetén (pl. kórház).

Az adatvédelmi tisztviselő egyébként lehet akár alkalmazott, akár külső megbízott – a felelősség és a szakértelem miatt mindenképpen az utóbbit javasoljuk.

Hogyan kérheti egy vásárlóm az adatai törlését?

Ld. „Milyen formában kérheti bárki az adatai törlését?” kérdésre adott válaszunkat.

Milyen hivatalokat kell kötelezően megjeleníteni az adatvédelmi tájékoztatóban?

Azt kell megjelölni, hogy panasz esetén hová fordulhat az érintett, így a kompetens bíróság és a NAIH elérhetőségét kell feltüntetni annak részletezése mellett, hogy milyen jogsértés esetén melyikhez lehet fordulni

Honnan tudok ilyen adatvédelmi izét letölteni?

Ha az adatvédelmi bejelentésre gondolsz, akkor jelenleg ezen a linken magtalálod. A GDPR alkalmazandóságát követően a bejelentés ilyen általános jellege megszűnik. Arra nézve, hogy az onnantól kezdve fennálló bejelentési kötelezettség (pl. incidensek) hogyan lesz teljesíthető, még nincsenek elérhető információk (a cikket folyamatosan frissíteni fogjuk).

Ha „izé” alatt adatkezelési tájékoztatóra vagy adatvédelmi szabályzatra gondolsz, akkor a rossz hír az, hogy ezeket egyedileg kell elkészíttetni, mert nincs két egyforma adatkezelő.

Egy cégnek egy NAIH szám elég?

2018. május 25. napjától nem szükséges már az adatvédelmi nyilvántartásba történő bejelentkezés. Előtte – vagyis jelenleg is – még adatkezelésenként külön adatvédelmi nyilvántartásba-vétel szükséges.

Te jó isten, hány NAIH számra lesz szükségem?

Jelenleg ugye kategóriánként kell NAIH számot kérni. Lásd az előző kérdésre adott választ.

Hogyan tudok ilyen NAIH-számot szerezni?

Ld. „Honnan tudok ilyen adatvédelmi izét letölteni?” kérdésre adott válaszunk első felét.

Általános szerződési feltételekbe kell foglalni az adatkezelést, vagy erre külön doksi kell a GDPR alapján?

Mindenképpen külön adatkezelési tájékoztatót, adatvédelmi szabályzatot javaslunk készíttetni – ez jól látható, elkülönült, és így az érintettek részére alkalmas arra, hogy megállapítsák az őket érintő jogokat és kötelezettségeket.

Ki tudja nekem ezt az egészet összerakni?

Két jogi partnert is tudunk ajánlani. Az egyik a Holló és Társai Ügyvédi iroda, a másik pedig a Volver Ügyvédi iroda, Dr. Bartha Katalin vezetésével.

Az adatvédelmi kérdések tekintetében ugyanis mindenképpen olyan jogász szakemberre van szükség, akinek komoly, legalább 5-6 éves adatvédelmi jogászi múltja van, és rendelkezik valódi referenciákkal.

Ugyanakkor technológiai oldalról az sem hátrány, ha a marketing, vagy a már kialakított operáció továbbra is működőképes marad – vagy esetleg még javul is az új technológiai megoldások bevezetését követően.

06.
Csak tudjam meghegeszteni

A GDPR technológiai dilemmái

A viselkedés-alapú online marketingben a látogató tevékenységét is tárolja a rendszer. Lehet ezt májustól is?

A látogatói tevékenységre vonatkozó információk személyes adatnak minősülnek, amennyiben azok az érintett személlyel összefüggésbe hozhatóak. Így erre egy külön adatvédelmi tájékoztatóban fel kell hívni a figyelmet és hozzájárulást kell kérni az ilyen adatok tárolásához. Hozzájárulás birtokában jogszerűen tárolható a látogatói tevékenység.

Az alsó cookie sáv elfogadásáig az analytics kód nem is töltődhetne be. Megbüntetnek, ha mégis betöltöm?

Erre vonatkozóan elsősorban a fentebb részletezett, a cookie-ra vonatkozó dilemmát kell figyelembe venni. A jogi kérdés, hogy kinek a felelőssége a programozás-technikai megoldás. Célszerű a weboldal készítését megelőzően a készítővel olyan szerződést kötni, amely tartalmazza, hogy a készítő vállalja a felelősséget a weboldal GDPR-megfelelésére.

Süti-elfogadást és adatvédelmi szabályzat elfogadást lehet-e ráutaló magatartással vélelmezni? (Pl. a látogató az oldalon legörget minimum 20%-ot)

Nem, az elfogadásnak kifejezettnek kell lennie. A vélelmezett elfogadás nem állja meg a helyét.

Kell-e a tárolt adatokat bármilyen titkosítással védeni a GDPR alapján?

Igen, amennyiben a tárolásra megengedett idő lejárt. Ebben az esetben gondoskodni kell arról, hogy a személyes adatokat ne lehessen az érintettel többé kapcsolatba hozni.

Mi van, ha egy űrlap menti a részleges kitöltést? Ez egy marketing fogás, de szabad ezt májustól?

Abban az esetben megengedett, ha az űrlap kitöltője hozzájárul az űrlap adatainak részleges mentéséhez. Fontos elvárás viszont, hogy az adatkezelő ne hozza nyilvánosságra a kitöltött űrlapot mindaddig, amíg a kitöltés nem teljes, és vigyázzon is arra, hogy ne kerülhessen így nyilvánosságra.

A részlegesen kitöltött űrlap mentése azt a célt szolgálja, hogy a felhasználó ne veszítse el a megadott adatokat, azokat ne kelljen újra bepötyögni, vagyis ha legközelebb folytatni akarja, akkor már eleve ki vannak töltve az űrlapon. Ebből következik, hogy ő már valamilyen szinten regisztrálva van az oldalra, vagyis az adatkezelési információkat elolvasta, megértette és elfogadta.

Közösségi oldalakkal történő belépés hogyan érinti a saját oldalamat? Lehet ezt a jövőben is?

Minden esetben megfelelő egyértelműséggel fel kell hívni a felhasználó figyelmét, hogy az adott weboldal a közösségi oldal adatait (és azon belül mely adatokat) is felhasználhatja. Az így történő belépés egyértelmű és feltűnő gomb használatával, amelyre kattintva lehet csak belépni a kérdéses oldalra, jó eséllyel jogszerű lesz.

07.
ennek sose lesz vége

Egyéb GDPR témájú kérdések

Mi lesz a programmatic hirdetésekkel a GDPR alatt? Barry Levine véleménycikkéből kiderül.

Facebook-csoporthoz szükséges-e NAIH szám?

Alapesetben nem. A Facebook-csoport mindaddig személyes, magáncélra történő adatkezelésnek minősül – és így nem tartozik a GDPR hatálya alá –, amíg az nagy tömegek számára nem férhető hozzá, és csak olyan személyes adatokat hoz nyilvánosságra, amelyeket maga az érintett töltött fel.

Hőtérképes marketing elemzést használunk. Új szabályozás lesz erre is?

A hőtérképes marketingnél nincs konkrét felhasználói adat kezelés, hiszen valószínűleg egy külföldi oldal szolgáltatását használják erre a célra. A felhasználó nem azonosítható. Ha ez olyan weboldalon történik, ahol belépést követően indul be az elemzés, akkor a GDPR szerint az adatkezelőre és -felhasználóra vonatkozó kötelezettségek az irányadóak. 

Session recording-ot használunk, és a rendszer eltárolja a videókat. Ezt szabad lesz májustól is?

Ugyanaz vonatkozik rá, mint az előzőre. Egyébként nem videókat tárol, csak egy technikai trükk segítségével tűnik videónak; valójában az egérmozgást és kattintást követik.

a GDPR életbe lépett

A nagy kérdés

Felkészültél a GDPR-ra, mindenben megfelelsz a szabályozásnak?

08.
Összefoglalás

Nem eshet örökké

A Direct Marketing Association felmérése szerint a marketingesek 85%-ának már van kész terve a GDPR szabályoknak való megfelelésre.

Kinek jó ez az egész?

A GDPR alapelvek megerősítik a személyes adatok kezelésével érintett személyek jogainak biztonságát, ugyanakkor növeli az adatkezelő cégekbe vetett vásárlói, fogyasztói bizalmat, hiszen a felhasználók, adatalanyok biztosak lehetnek benne, hogy nem történik visszaélés személyes adataikkal kapcsolatban.

Ha egy vállalkozásról, cégről bebizonyosodik, hogy a személyes adatok kezelése, feldolgozása mindenben megfelel a jogszabályoknak, az növeli a cég, vállalkozás üzleti hírnevét, megbízhatóságát, üzleti kapcsolatait.

Tény, hogy a GDPR felkészülés plusz energiát vesz el és költségeket is jelent a cégnek, de úgy gondoljuk, hogy ez feltétlenül tekinthető a cég értéknövelő, hosszú távú beruházásának.

09.
Dr. Holló Dóra válaszai

Ti kérdeztétek

Egy csomó kérdés érkezett a cikk megjelenése után, melyeket elküldünk a Holló és Társa Ügyvédi Irodának – íme a válaszok…

  • Ez alapvetően informatikai kérdés, nem jogi természetű.

  • Igen, ebben az esetben a cookie-kat kell leállítani. A GDPR megközelítése szerint egy oldal használata nem köthető a cookie-k elfogadásához, azaz nem lehet letiltani az oldalt ebben az esetben sem.

  • Igen, a megerősítő emailhez már jó eséllyel kellett valamilyen regisztráció, szükséges volt valamilyen személyes adat megadása, így annak esetén már megvalósulhat adatkezelés. Az egyes konkrét ügyeket azonban esetről esetre kell megvizsgálni és lehet megítélni.

  • Magánszemélyek részére a GDPR rendelkezése alapján tilos direkt marketing célú üzeneteket küldeni, kivéve, ha az üzenet címzettje korábban hozzájárulását adta. Ráadásul az ilyen hozzájárulás kérése is már direkt marketingnek minősül, ha az üzenet lényegi tartalma a hozzájárulás kérése, tehát főszabályként nem lehet „proaktívan” beszerezni ezt a hozzájárulást.

    A megoldás az, hogy már az oldalra történő első látogatásnál a felhasználó megismer és elfogad egy adatvédelmi tájékoztatást, valamint hozzájárul személyes adatainak meghatározott célú kezeléséhez és ahhoz, hogy a cég a továbbiakban direkt marketing célú üzeneteket küldjön számára.

  • Az adatkezelés jogalapja többféle lehet. Természetesen megőrzésre vonatkozó kifejezett törvényi kötelezettség esetén a törvényi előírás mint jogalap jogszerűvé (sőt, kifejezetten kötelezővé) teszi az adatok megőrzését. A törvény által előírt adatkezelést azonban nem szabad túllépni.

    A GDPR e körben akként rendelkezik, hogy a személyes adatok „tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.”

    A törvényi kötelezettség teljesítése miatti adatkezelés olyannyira lényeges egyébként, hogy a GDPR a törléshez való jog gyakorlását nem is teszi lehetővé az érintett számára, ha az adatkezelés szükséges az adatkezelésre épülő jogi kötelezettség teljesítéséhez.

    Tehát igen, ha jogi kötelezettség írja elő az adatkezelőnek adatok megőrzését, akkor meg kell őrizni az előírt adatokat, de csak azokat lehet megőrizni, mást nem!

  • A GDPR szabályai szerint abban az esetben megengedett az adatbázis-kereskedelem, ha ehhez az adatkezeléssel érintett előzetesen hozzájárult. A hozzájárulás alapjául szolgáló tájékoztatásnak pedig tartalmaznia kell, hogy a vevő harmadik fél a rendelkezésre álló adatbázist milyen célokra használhatja. Ezt az adatbázist átruházó szerződésbe is érdemes belefoglalni.

    Anonimizált adatok esetén – azaz, amikor a technika jelenlegi állása szerint az adatokat többet nem lehet összefüggésbe hozni az érintett személlyel – érintetti hozzájárulás nélkül is lehetséges az adatbázis-kereskedelem, de ebben az esetben is szükséges a szerződésbe belefoglalni, hogy a vevő nem rendelkezik olyan eszközzel, amely az anonimizált adatokat ismét összekötné az érintettel.

  • A GDPR szellemisége alapján kockázatalapú megközelítést kell alkalmazni. A céges, egyben személyes adatot (nevet) tartalmazó e-mailcímen történő levelezés jó eséllyel nem jelent nagy kockázatot, de ezt az egyes adatkezelőknek adatvédelmi hatásvizsgálatban kell saját magukra nézve megállapítaniuk – vagyis nincs konkrét általános válasz.


Legfrissebb cikkek

Írd ide, amit keresel...