GDPR: Mit kell tudnod róla online vállalkozóként?

Az elmúlt másfél évben számos cikk jelent meg az új európai Általános Adatvédelmi Rendeletről, ami május 25-től mindenkire érvényes lesz, aki valamilyen formában személyes adatokat kezel. Sokan megijednek a cikkek olvastán, mert gyakran nem derül ki, mit is kéne tenni, éppen ezért most jogi szakértő segítségével gyakorlatias formában igyekszem összefoglalni mi is a teendőd a rendelet kapcsán.

A lényeg röviden:

– május 25-től megváltozik a korábbi adatvédelmi rendelet és az egységes európai szabályozás lesz érvényes,
– ezentúl nem lesz szükség NAIH számra sem az adatkezeléshez, nem kell ilyet igényelned,
– minden oldalnak külön Adatvédelmi Tájékoztatót és Általános Szerződési Feltételeket kell készítettnie és a felhasználónak azt jóvá kell hagynia,
– továbbra is kötelező az oldalon jelezni, hogy sütiket használunk és azt a felhasználónak jóvá kell hagynia, azonban ezentúl arra is lehetőséget kell adni neki, hogy ha szeretné, akkor menet közben megváltoztathassa a döntését.

A rendelet teljes szövegét magyarul itt érheted el.

Mi az a GDPR?

General Data Protection Regulation, azaz általános adatvédelmi rendelet.

Mi is az a személyes adat?

Eddig ez szűken volt szabályozva, az új rendelet azonban sokkal szélesebb körre terjeszti ki. Mostantól gyakorlatilag minden, ami alapján az illető beazonosítható személyes adatnak számít: név, cím, email, telefon, IP, cookie ID vagy bármilyen más online azonosító.

Kire vonatkozik a rendelet?

Mindenkire, aki személyes adatokat kezel (rögzít, gyűjt, tárol, használ, módosít vagy továbbít – őt Adatkezelőnek nevezi a rendelet). Akinek továbbítod az adatokat, az az ún. Adatfeldolgozó (pl. a weboldaladon feliratkoznak a hírleveledre, megadják az email címüket – ez az adatkezelés, de az adatok egy hírlevélszolgáltató rendszerébe kerülnek – ez az Adatfeldolgozás). A célt itt te határozod meg, te döntöd el mi történik az adatokkal (milyen sorozatba kerülnek, milyen leveleket fognak kapni stb. a rendszer csak feldolgozza a kérésedet).
Nem vonatkozik a rendelet azokra, akik vállalkozások adatait kezelik (pl. partnerlista, ügyféllista, amin cégek adatai vannak)

Mindenkire vonatkozik a rendelet, aki
– az EU-n belül kezel adatokat (vállalkozásként, civil szervezetként vagy akár magánszemélyként)
– vagy az EU-n belül tartózkodó embereknek nyújt szolgáltatásokat (még akkor is, ha a tevékenységi hely az EU-n kívül van)

Mit kap, aki vét a szabályok ellen?

A bírság legfeljebb 20 millió Euró vagy a cég előző évi világpiaci árbevételének 4%-a lehet (amelyik a kettő közül magasabb). Minden esetet egyedileg bírálnak majd el, tehát figyelembe veszik a jogsértés mértékét és azt is, hogy szándékosan vagy véletlenül, esetleg nemtudásból követett el egy cég hibát.

Mit kell tenned a különféle marketing tevékenységek esetében?

Google Analytics

Ha az oldaladon csak Google Analytics van és más módon nem gyűjtesz adatokat (hírlevél, blogértesítő, remarketing stb.), akkor nem kell semmit tenned, mivel az adatokat itt a Google kezeli, neked csak statisztika formájában megmutatja.

Remarketing hirdetések

Ha az oldaladon van Google Adwords, Facebook vagy más oldalról származó pixel, ami a felhasználók adatait gyűjti, meg kell felelned az előírásoknak:
– az adatvédelmi tájékoztatóban szerepelnie kell annak, hogy ilyen célokra adatokat gyűjtesz és annak is, hogy ezekkel mihez kezdesz. Ennek a megírásában segíthet a Google ezirányú tájékoztatója.
– ha remarketing hirdetéseket használsz adatvédelmi tisztviselőt kell kijelölnöd vagy felkérned, ő felel majd azért, hogy a cégnél betartsátok a szabályokat, azonban felelősségre nem vonható. Az adatvédelmi tisztviselő lehet a céged egy alkalmazottja, egy külső cég vagy 1 személyes cégeknél, akár saját magad is, azonban az adatvédelmi tisztviselőnek rendelkeznie kell a szükséges jártassággal: a rendelet 37. cikk (5) bekezdése szerint az adatvédelmi tisztviselőt „szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 39. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni”. Ha tehát te magad szeretnéd ellátni ezt a tisztséget, érdemes résztvenned valamilyen adatvédelmi tisztviselő tanfolyamon (számos ilyen képzés érhető el országszerte). Részletesen arról, hogy kinek kell adatvédelmi tisztviselő és mik az ő feladatai itt olvashatsz.

A Facebook dolgozik rajta, hogy a szolgáltatásai megfeleljenek az új szabályozásnak.

E-mail marketing

Az első dolog, amire mindenkinek oda kell figyelnie, a hírlevél feliratkoztató űrlap. Ezen a felhasználónak nyilatkoznia kell arról, hogy szabad akaratából, konkrét célra, tájékoztatást követően járult hozzá adatai megadásához. A gyakorlatban ez azt jelenti, hogy mielőtt a feliratkozó gombra kattint, egy jelölőnégyzettel hozzá kell járulnia ahhoz, hogy számára üzeneteket küldj és jeleznie kell, hogy elolvasta és tudomásul vette az adatvédelmi feltételeket.

Ennek nagyjából így kell kinéznie:

Fontos, hogy:
– két jelölőnégyzetnek kell lennie (egy az adatvédelmi feltételek elfogadásáról, egy arról, hogy önszántából iratkozik fel),
– az űrlapot tartalmazó oldalról elérhetővé kell tenni az adatvédelmi feltételeket (ennek nem kell feltétlenül a szövegben lennie, lehet az űrlap alatt is, a legjobb, ha rákattintva felugró ablakban jelenik meg, így nem veszítesz konverziót azáltal, hogy az emberek kikattintanak a feliratkozó űrlapból feliratkozás közben)
– a jelölőnégyzetet nem szabad előre bepipálni és nem helyettesíthető azzal, hogy pl. „a gombra való kattintással elfogadod”)

A feliratkoztató űrlapon csak olyan személyes adatokat kérhetsz be, ami feltétlenül szükséges az adott tevékenységhez. Tehát pl. nem kérhetsz be egy hírlevélfeliratkoztatón telefonszámot vagy lakcímet, ha az nem szükséges a hírlevél kiküldéséhez, azonban bekérhetsz telefonszámot pl. egy kapcsolatfelvételi űrlapon az oldaladon.

Ha a feliratkoztatás nem a saját weboldaladon történik, hanem pl. egy Facebookba ágyazott űrlapon vagy a lead ad hirdetések segítségével, esetleg Facebookos bejelentkezéssel, ugyanúgy hozzájárulást kell kérned az adatok használatához.

Kapcsolatfelvételi űrlapok

Ha valaki a cégeddel egy kapcsolatfelvételi űrlapon keresztül veszi fel a kapcsolatot (pl. ajánlatkérés, érdeklődés stb.) alkalmaznod kell a rendelet szabályait.
Ha az ajánlatkérők számára később hírlevelet is szeretnél kiküldeni az email marketingre vonatkozó szabályok érvényesek.
Ha nem küldesz később hírlevelet csak az ajánlatkérésre válaszolsz, a kapcsolatfelvételi űrlap alatt akkor is ott kell lennie az adatkezeléshez hozzájáruló jelölőnégyzetnek.

Az emailekből egyértelműen ki kell derülnie ki az adatkezelő és hasonlóan a korábbiakhoz biztosítani kell az egyszerű leiratkozás lehetőségét.

Leiratkozáskor a felhasználó adatait törölni kell minden adatbázisból (természetesen a leirakozás céljának megfelelően, ha pl. valaki leiratkozik a hírleveledről, de közben ügyfeled is és ennek okán is megadta az adatait, pl. regisztrált a webáruházadba, innen nem kell törölnöd, csak ha azt kifejezetten kéri)

Nem jelent kibúvót a szabályozás alól, ha az ügyfelek a Facebookon iratkoznak fel egy ott elhelyezett feliratkozó űrlapon vagy pedig a szolgáltatód nem az EU-ban van, mivel a rendelet hatálya mindenkire kiterjed, aki EU-ban tartózkodó embereknek szolgáltat

Hűségprogramok

Ha van egy hűségprogramod, amiben pl. a vásárlóidnak bizonyos időközönként kuponokat küldesz vagy nyilvántartod, mikor vásároltak és ennek alapján kapnak további ajánlatokat, szintén adatvédelmi tisztségviselőt kell kijelölnöd.

Vásárlók, megrendelők adatainak kezelése

Ha online veszel fel megrendeléseket (megrendelő űrlappal vagy webáruház rendszerrel) a következőknek kell megfelelned:

1. Megrendelés előtt a felhasználónak jeleznie kell, hogy hozzájárul a személyes adatok kezeléséhez (a megrendelőlap alatt található jelölőnégyzet alkalmas erre).
Ha később hírlevelet is szeretnél a vásárlóknak küldeni, ehhez is külön hozzájáruló nyilatkozat szükséges (még egy jelölőnégyzet a megrendelés alatt). Ennek hiányában csak a megrendeléssel kapcsolatos legszükségesebb információkkal kapcsolatban küldhetsz neki emaileket.

2. Biztosítanod kell az adatok biztonságát.

3. Az ügylet végeztével az adatokat törölnöd kell, kivéve, ha az ügyfél hozzájárult ahhoz, hogy továbbra is kezeld őket. Tehát nem tárolhatod a webáruházadban a végtelenségig a korábbi megrendelők adatait, ha ők ehhez nem járultak hozzá. Ha a vásárlás regisztrációhoz kötött, a regisztrációba beépíthetsz egy olyan jelölőnégyzetet, amivel hozzájárulnak a további adatkezeléshez. Ha nem regisztrációhoz kötött a vásárlási folyamat, akkor az adatvédelmi szabályodban kell megfogalmazni, mit jelent az ügylet lezárása pontosan (ez lehet az, amikor az illető a csomagot átvette, de akár egy későbbi időpont is meghatározható)

Kérdőívek

Ha kérdőívet készítesz piackutatás céljából és azon nem kérsz be személyes adatokat (név, email stb.), akkor nem kell semmit tenned. Ha kérsz be rajta személyes adatokat (pl. azért, hogy elküldd nekik emailben az eredményeket), akkor erre engedélyt kell kérned és kell rendelkezned adatvédelmi tájékoztatóval is, amit el kell fogadtatnod (ld. az email marketingről szóló részt)

Ha hírlevél-feliratkozásnál szeretnél további adatokat bekérni (a néven és az email címen kívül), mivel ez nem a levelezés céljával összefüggő adat, ezért nem kérheted be őket. Kivéve, ha a hírlevél céljával összefügg az adat (pl. megadja, hogy férfi vagy nő és az ennek megfelelő hírlevelet kapja meg). Ha piackutatási céllal szeretnél adatokat bekérni a felhasználókról, azt megteheted úgy, hogy a feliratkozás után megjelenő új oldalon teszel fel néhány kérdést, így a kérdőív a feliratkozó személyéhez nem köthető.

Ha hírlevélsorozatodban szegmentált hírleveleket küldesz pl. korábbi viselkedés, kattintások alapján, azt a továbbiakban is megteheted.

Messenger bot

Messenger bot használata esetén te vagy az adatkezelő, a bot szolgáltatója pedig az adatfeldolgozó. Ha csak simán ír valaki a botnak, a bot pedig válaszol neki, nincs semmi teendőd, ha azonban reklám tartalmú tömeges üzeneteket küldesz a feliratkozóknak, előzetesen a beleegyezésüket kell kérned ehhez, ami úgy történhet, hogy feliratkozás után a bot küld nekik egy tájékoztatást és azt pl. egy adott szó beírásával el kell fogadniuk.

Amit még ezen kívül meg kell tenned:

1. Elkészítettni az Adatvédelmi Tájékoztatót (ha eddig nem volt) vagy frissíteni az új rendeletnek megfelelően

Mi legyen benne?

– az Adatkezelő neve, címe, elérhetősége,
– a kezelt adatok köre (pl, név, telefon, email) ,
– az adatkezelés célja (miért kezeled és mire használod, pl. hírlevél küldés, megrendelések teljesítése és számlázás),
– az érintettek köre
– az adatok megismerésére jogosult adatkezelők személye (pl. ha futárszolgálatnak átadod a csomagot kiküldésre, a céged ügyfélszolgálati munkatársai)
– az adatkezelés időtartama: meddig tárolod az adatokat és mikor törlöd,
– hogyan tudja a felhasználó megtekinteni, módosítani vagy törölni a regisztrációkor adatait,
– ha megrendelt valamit, hogyan tudja módosítani vagy töröltetni az adatait (pl. emailben, telefonon, személyesen)
– mennyi idő alatt válaszolsz az adatok megváltoztatásával vagy törlésével kapcsolatos kérésekre,

(ezek azok a dolgok, amiket eddig is fel kellett tüntetni a tájékoztatóban), ami új:

– tájékoztatni kell a felhasználót az adathordozhatósághoz való jogról.

– tájékoztatni kell minden további jogáról és arról, hogy ezeket hogyan érvényesítheti.

Magam is megcsinálhatom a tájékoztatót?

Nem javaslom, hogy máshonnan átmásold, mert minden adatkezelés más, később vitás helyzetekben nem lesz mire hivatkoznod, ha hiányos a tájékoztatód. A legbiztosabb megoldás az, ha adatvédelemhez értő jogásszal készítesz egy saját változatot, az egyszerűbb esetekben elég, ha megrendelsz egy kész csomagot, amit a céged sajátosságaira alakítanak (ilyeneket érhetsz el pl. a net-jog.hu-n)

2. Gondoskodnod kell róla, hogy az általad kezelt adatok ne jussanak illetéktelenek birtokába (pl. hackertámadás)

Ennek érdekében:
– tájékoztatnod kell a kollégáidat az adatkezeléssel kapcsolatos legfontosabb óvintézkedésekről (pl. ismeretlen leveleket ne nyissanak meg, ismeretlen szoftvereket ne töltsenek le, ismeretlen pendrive-ot ne használjanak), mert gyakran a dolgozók figyelmetlensége miatt.
– tudd, hogy támadás esetén mit kell tenned (72 órán belül jelentened kell, erre hamarosan lesz egy formanyomtatvány, ami jelenleg még nem elérhető)
– védd meg a rendszereidet a támadásoktól (tűzfal, vírusírtó, a weboldalad védelme a támadásoktól pl. Sucurival stb.)

3. Dokumentációs kötelességed is van, ennek körét a rendelet pontosan meghatározza:

„(2) Minden adatfeldolgozó és – ha van ilyen – az adatfeldolgozó képviselője nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról; a nyilvántartás a következő információkat tartalmazza:
a)
az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei;
b)
az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;
c)
adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdése szerinti továbbítás esetében a megfelelő garanciák leírása;
d)
ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása.”

Ha esetleg van még kérdésed a rendelettel kapcsolatban, tedd fel bátran hozzászólásban és jogi szakértőnk bevonásával választ adunk rá!

Kiegészítés: Elkészült a hivatalos útmutató KKV-k számára sok hasznos és átlátható információval, érdemes átböngészni