2018. ápr 24.

Jön, jön, jön a végső határidő! GDPR 2018. május 25.

írta: BDóra.
Jön, jön, jön a végső határidő! GDPR 2018. május 25.

eu-3222692_960_720.jpgAz utóbbi hónapokban sokat lehetett hallani a GDPR-ről és hogy milyen nagyon fontos is ez. Nézzük kicsit bővebben, hogy mi is ez pontosan, mikortól és kiket érint, illetve milyen bírságra lehet számítani, és mennyire kell félni tőle.

Mi is pontosan a GDPR?

A GDPR (General Data Protection Regulation) magyarul adatvédelmi rendeletet jelent. Ez az Európai Unió és a Tanács által elfogadott rendelet, ami az adatok szabad áramlásáról és a személyes adatok védelméről szól. Azért kavar ez nagy port, mert már nem tagállamonkénti, egyéni döntés lesz az adatvédelem, hanem egy közös szabályozás került kialakításra, aminek minden tagállamnak meg kell felelnie.

 

Milyen tevékenységre vonatkozik és mikortól?

Az alábbi adatkezeléseknek kell megfelelnie a GDPR-nak:

Minden személyes adaton végzett cselekmény, pl.: ezek gyűjtése, felvétele, tárolása, különböző célokra való felhasználása, módosítása, továbbítása, forráskódba ágyazott követőkód vagy akár egy Facebook like gomb jelenléte az oldalon stb. Ezek mind adatgyűjtő tartalomnak számítanak, ezért vonatkozik rájuk az új rendelet.

Teljesen független a weboldal vagy webáruház nagyságától, hogy vonatkozik-e ránk a rendelet, hiszen itt az adatkezelésen van a hangsúly, ami egy egészen kezdetleges weboldalnál is megvalósítható, pl. hírlevélfeliratkozás esetén.

  1. május 25-től lép életbe a rendelet, sajnos ezután már nincs türelmi idő a módosításokra. A türelmi idő 2016-tól megvolt.

Milyen büntetésre lehet számítani?

Érdemes átnézni a már meglévő adatkezelésünket, hogy a későbbiekben ne legyen belőle problémánk. A bírság maximálisan 20 millió euró vagy az előző év világpiaci árbevételének 4 %-a lehet. A két lehetőség közül a magasabb számít a felső határnak. A konkrét bírság összegét az egyéb tényezőktől teszi függővé a NAIH, így például a jogsértés súlyától, okozott sérelem nagyságától, mértékétől, gondatlanságból, szándékosságból, esetleges jogos nemtudásból eredendően keletkezett a jogsértés.

Mi a teendő?

"A változás kétirányú: Egyrészt megszűnik a most működő, a NAIH által vezetett adatvédelmi nyilvántartás, az egyes adatkezeléseket nem kell bejelenteni.

Bejelentési kötelezettség keletkezik viszont az adatkezelő oldalán ún. adatvédelmi incidensek, azaz személyes adatokkal kapcsolatos jogsértések esetén, az adatkezelő általi tudomásszerzést követően haladéktalanul, de legkésőbb 72 órán belül. Kivétel ez alól, ha a személyes adatok megsértése „valószínűsíthetően” (ezt persze nehéz konkretizálni) nem okoz nagy sérelmet az érintettek számára. A bejelentést ilyenkor a NAIH felé kell megtenni. Az incidenssel érintett személyeket csak akkor kell értesíteni, ha az adatsértés számukra valószínűsíthetően nagy kockázatot jelent, pl. banki kódok kiszivárgása esetén. Ha az adatfeldolgozó észlel jogsértést, ő is köteles ezt bejelenteni, mégpedig az adatkezelő felé."

Szükséges-e valamilyen változtatás az Adwords, illetve a Facebook hirdetésekben?

A hirdetéseken keresztül felhasználói adatok nem érkeznek csak a statisztika. A remarketing hirdetések esetében adatkezelők vagyunk, hiszen sem a Google sem a Facebook nem tölt be adatkezelő funkciót. Ilyen esetben meg kell felelni az adatkezelési irányelveknek. Akkor, ha saját konverziókövetéssel rendelkezünk, mint pl. Adroll, akkor is adatkezelőnek minősülünk, hiszen hozzáférünk a felhasználói adatokhoz.

Milyen üzenetek kerülhetnek kiküldésre és hogyan az oldal látogatóinak?

Leginkább olyanok, amiket a látogató korábban igényelt már, ilyen lehet például a hírlevél. Fontos, hogy a hírlevél végén legyen leiratkozási lehetőség, ha már nem szeretne több levelet kapni az adott személy. Ez a leiratkozási link legyen jól olvasható és egyszerűen lehessen elvégezi a leiratkozást. További információ ekkor már ne kerüljön bekérésre a leiratkozótól. A marketing levelet bármilyen email címről ki lehet küldeni, csak legyen egyértelmű, hogy ki az adatkezelő. Az e-mail feliratkozásnál nem szabad megfeledkezni, hogy szükség van külön bejelölő négyzetre a feliratkozáshoz, illetve ahhoz hogy hozzájárul a magánszemély a direkt marketing útján kapott hirdetésekhez.

Mi történik akkor, ha nem európai a cég kezeli az adatokat?

Ha az Európai Unión belüli magányszemélyek adatai vannak kezelve a cég által, akkor a GDPR szabályait kell betartani, függetlenül attól, hogy a cég hova van bejegyezve.

A weboldalon a kapcsolati fülnél milyen jellegű adatok kerülhetnek bekérésre?

A GDPR szerint a személyes adatok bekérése adatkezelésnek minősül, így csak azon legszükségesebb adatok bekérését lehet elvégezni, amelyek szükségesek a cél megvalósításához.

Ha további kérdések is vannak a fejedben, ajánlunk egy másik blogot, amely kifejezetten ezzel a témával foglalkozik: https://7blog.hu/gdpr/

Szólj hozzá

adatvédelem internetbiztonság gdpr