GDPR avagy az általános adatvédelmi rendelet

Bizonyára Hozzád is eljutott már a hír, miszerint 2018. május 25-én hatályba lép az új adatvédelmi rendelet, a GDPR (General Data Protection Regulation). Egyre több kérdés érkezik ügyfeleinktől arra vonatkozólag mit tudunk a törvényről, tudunk-e tájékoztatást, tanácsot adni számukra. Emiatt fontosnak tartottuk összeszedni a fontosabb pontjait hiszen minden vállalkozásnak időben fel kell készülnie az előírt módosítások bevezetésére és a rendeletnek való megfelelésre.

Elsősorban érdemes lehet tisztáznunk pontosan milyen esetben vonatkozik ránk. Abban az esetben ha a vállalkozásunk akár e-commerce cégünk az Unió területén tevékenykedik, és az adatkezelés e tevékenységével összefüggésben valósul meg. Azonban attól függetlenül, hogy területileg nem az Unión belül helyezkedünk el figyelnünk kell a szabályokra amennyiben Uniós állampolgárokkal összefüggésbe hozható adatokat kezelünk a működés során. Ez még nem minden, a rendelet érvényesítendő még „adatgyűjtő tartalom” megléte esetén is!. Gondolhatunk itt akár egy Facebook Like-gombra, vagy akár egy hírlevél feliratkozásra is, de a felhasználó számára kevésbé látványos adatkezeléseknél is, mint például egy forráskódba ágyazott követőkód. Ezenfelül a látogatói tevékenységre vonatkozó információk személyes adatnak minősülnek, amennyiben azok az érintett személlyel összefüggésbe hozhatóak. Így ezekre az esetekre egy külön adatvédelmi tájékoztatóban fel kell hívni a figyelmet, ezt követően hozzájárulást is kell kérni az ilyen adatok tárolásához. Csak a hozzájárulás birtokában tárolható a látogatói tevékenységről szóló információ jogszerűen.

Minden Európai Uniós tagország esetében ez a rendelet legfontosabb szabályanyag a személyes adatok és azok védelmét tekintve. Csak akkor lehet eltérni ha maga a szabályzat, engedi. Hazánkban a NAIH felel majd a rendelet betartásáért, illetve joga lesz ellenőrzést is folytatni, szankcionálni jogellenes esetekben.

Mitől válik a vállalkozásom adatkezelővé?

Adatkezelő minden olyan a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, amely önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja.

A GDPR főként a személyes adatok védelmére vonatkozik, a gazdasági társaságok üzleti adatainak védelmére már nem irányul a rendelet, viszont az állampolgárok személyes adataira igen! Ide sorolható minden olyan adat, ismeret, vagy akár adatok összessége, amely egy konkrét, élő természetes személlyel közvetlenül vagy akár közvetve beazonosítható, az adatból kikövetkeztethető. Összességében az érintett személlyel összefüggésbe hozható. Lássunk néhány példát az említett adatokra: név, cím, születési adat, igazolványok száma, TAJ szám, adóazonosító jel, végzettségre és képességre vonatkozó információ, magántelefonszám és e-mail cím, arcképmás, hang, kézjegy, IP cím, helyinformáció, notebook akkumulátorazonosító stb.
Személyes adatokon belül különlegesnek számít az, amelyet a jogalkotó különleges védelemben részesít: faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, a szexuális életre, az egészségi állapotra. Alapvetően a védett tulajdonságokat érthetjük ezalatt.

Természetesen a cég működés során személyes adatok juthatnak a vállalkozásunk birtokába. Elég egy hírlevélre történő feliratkozásra gondolnunk. Rögtön birtokunkba kerülnek személyes információk. A név, email cím biztosan. Ez olyan adat amely maga után vonja a GDPR rendelkezésének való megfelelést.
A személyes adatok kezelésének nyilvántartásba vételét az adatkezelőnek, Önnek kell kérelmeznie a Hatóságnál. Ekkor az első lépés elektronikus bejelentkezés az adatvédelmi nyilvántartásra a következő linken: https://www.naih.hu/bejelentkezes.html
Majd egy ügyvédi iroda segítségével, egyedileg kell elkészíttetni egy adatkezelési tájékoztatót. Tekintve, hogy nincs két egyforma adatkezelő nem igazán beszélhetünk sablonokról amelyeket használhatnánk.

Nézzünk át pár dolgot, ami különös figyelmet érdemel:

  1. Direkt marketing anyagok küldése. Mindnyájan ismerjük a kéretlen hírlevek jelenségét a saját e-mail fiókunkban. Nos a jövőben előzetes hozzájárulás nélkül tilos lesz hírleveleket, reklámanyagokat küldeni. Ez a hozzájárulás pedig a GDPR szerint csak tevőleges magatartással valósulhat meg. Ilyennek minősül, ha maga a weboldal látogatója pipálja ki a hozzájáruló apró négyzetet. Törvényellenes lesz az a jól bevált gyakorlat, miszerint a látogató számára a négyzet előre be van pipálva ő pedig úgy hagyja. Mindenképpen fontos, hogy megadjuk a lehetőséget leiratkozásra, és az érthető, jól látható módon a honlapon belül gyorsan megtalálható.
  2. Összességében csak olyan témájú üzeneteket küldhetünk, amit az oldal látogatója megelőzően már kért mondjuk a weboldalon elhelyezett feliratkozási módszerrel.
  3. Éppen ezért a süti-sávról, azaz a „cookie-k”-ról teljesen egyértelmű és pontos tájékoztatást kell adni az oldal adatvédelmi tájékoztatójában, és a felhasználónak kifejezetten és egyértelműen hozzá is kell járulnia ahhoz, hogy az oldal cookie-kat használjon. Ezen túlmenve még a döntés megváltoztatására is meg kell teremteni a lehetőséget. A GDPR szerint a süti-azonosítók alkalmasak a természetes személyek azonosítására, így erre is vonatkozik a GDPR hatálya.
  4. Közösségi oldalon való belépésnél minden esetben egyértelműen fel kell hívni a felhasználó figyelmét, hogy az adott weboldal a közösségi oldal adatait (azon belül pontosan mely adatokat) is felhasználhatja. Az így történő belépés egyértelmű és feltűnő gomb használatával, amelyre kattintva lehet csak belépni a kérdéses oldalra, jó eséllyel jogszerű lesz. Feltehetőleg jogszerűnek tekinthető, ha a felhasználónknak megadjuk a lehetőséges erre a típusú belépésre mondjuk egy egyértelmű, feltűnő gombbal.

Mivel ügyfeleink jelentős része webáruház elkészítése miatt fordul hozzánk, a következőkben kifejezetten rájuk vonatkozó legfontosabb információkat gyűjtöttük össze:

Adatbázis. A webáruház adatbázisában szereplő adatokat nem szabad az adott ügylet befejezése után kezelni, amint véget ér az ügylet törölni kell az adatokat. Csak akkor tekinthetünk el ettől, ha az érintett személy, vásárló kifejezett hozzájárulását adja ahhoz, hogy adatait más célhoz továbbra is tárolja az adatkezelő.
Vevőnek is joga van kérni, esetleg követelni adatainak törlését, egy nyilatkozattal melyet adatkezelőhöz címzett. Ezt megteheti akár szóban, írásban, postai címen, e-mail címen, weboldalon – legcélszerűbb ezt megtenni azon a fórumon, amelyen keresztül az adatok jogszerűen az adatkezelőhöz kerültek. Többek közt ezért is fontos, hogy az adatkezelő az adatvédelmi tájékoztatójában világosan feltüntesse elérhetőségeit.

Miért kell erre az egy jogszabályra ennyi figyelmet fordítani?

A GDPR-ban megfogalmazott elvárásoknak nem megfelelő cégre kiszabható bírság 10 / 20 millió EUR közötti lehet (egészen pontosan: az éves bevétel 2, kirívó esetben 4 százaléka) minden egyes újabb esetben. Ha a bevétel 2/4 százaléka magasabb 10/20 millió EUR-nál, ebből kifolyólag a büntetés is magasabb értékű lesz.
Végezetül fontos tisztában lennünk azzal is, hogy a bizonyítási teher fordított lesz. Tehát ha a cége nem tudja a meghatározott időn belül bizonyítani, hogy a komplex elvárási rendszernek előírtak szerint járt el, a jogsértés megállapítható lesz.

A fenti leírás tájékoztató jellegű, a pontos rendelet szövege itt található magyar nyelven.
Ezen felül mindenképp érdemes lehet egyeztetni ezzel kapcsolatban egy ügyvédi irodával is.

Dinamikus és sikeres felkészülést kívánunk!