2018. május 25-től az új európai szabályozás szerint kell az adatokat kezelnünk. Erre már hosszú felkészülési idő volt,  és hónapok óta a csapból is ez folyik, de nagyon sokan még mindig nem tudják, hogy pontosan mit kell tenni.

Pedig nagyon fontos átlátnunk hogyan működik a GDPR a gyakorlatban, és nekünk is mit kell tennünk, hogy betartsuk a ránk vonatkozó szabályokat.

Épp ezért ebben a blogbejegyzésben összegyűjtök minden cikket, információt, amit a GDPR-ről tudok, és folyamatosan frissítem aszerint, hogy én is hogyan szerzek egyre több információt, és milyen lépéseket teszek azért, hogy én is minden kritériumnak megfeleljek.

Miért fontos odafigyelni a GDPR szabályokra?

Ugye – “Kezdj a miérttel!”. Először ezt kell tudunk, mert akkor lesz megfelelő a hozzáállásunk, és így teszünk lépéseket azért, hogy mi is szabályosan végezzük a tevékenységünket. Mivel nekem online üzletem van, ezért most csak az ezzel kapcsolatos területre fókuszálok.

1. ok – Fontos az adatvédelem, és sajnos láttunk sok példát, amikor visszaéltek ezzel. Tehát az fontos, hogy ez szabályozva legyen, és mindenki megfelelően bánjon az adatokkal.

2. ok – Nekem akarunk semekkora bírságot fizetni! Tény, hogy riasztóan nagy számokat írnak le.

3. ok – Fontos a szabályok betartása. Ezért is akarom pontosan tudni, hogy mit kell tenni. De nekem az is fontos, hogy ezt bárki egyszerűen meg tudja tenni, kellő odafigyeléssel és körültekintéssel, és ne százezreket kelljen kiadni tanácsadásért, jogi nyilatkozatokért stb., mert egy kis- vagy egyéni vállakozásnak nem könnyű erre nagy összegeket költeni.

Disclaimer

Mivel én nem vagyok jogi szakember, és még közöttük is azok vannak igazán képben mindennel, akik erre specializálódtak, ezért az alábbiakban közzétett információkat, annak megfelelően kezeljétek.

A legjobb tudásom szerint állítottam össze a lenti anyagot, de az nem minősül jogi tanácsadásnak.

Az ebből eredő hibákért nem vállalok felelősséget, de a legjobb tudásom szerint szeretném átadni, értelmezni, és iránymutatást adni, hogy mit kell tenni.

Ha biztosat akarsz tudni, mindenképpen fordulj GDPR szakértőhöz, aki személyre szabott tanácsadást ad számodra!

Oktató videó a GDPR-ról Erdélyi Norbitól:

Gyakorlati útmutató a technikai dolgokról (nem jogi szaktanácsadás).
Iratkozz fel és már láthatod is (ingyen van): https://netjet.hu/gdpr-start/

Akkor most nézzük át, hogy mi mindenre kell figyelni, ha például van egy ilyen WordPress oldalad, mint amilyen ez is.

Cookiek:

Mikor használunk cookiekat, azaz sütiket?
Pl. a statisztikához kellenek. Ha van Google Analytics az oldaladon, akkor már van süti és kell a tájékoztatás is a sütiről.

  • Egyrészt az oldalon egy bővítménnyel érdemes feltüntetni – amivel jóvá tudja hagyni, hogy elfogadja, hogy az oldal cookiekat használ.
  • De mostantól arra is kell lehetőséget adni, hogy ezt a hozzájárulását módosítsa, mert később is dönthet úgy, hogy nem járul hozzá.

Ajánlott WordPress bővítmény:
EU Cookie Law (Most még nem tudja a módosítási lehetőséget, de hamarosan frissül.)
Cookie Notice
GDPR Cookie Compliance
GDPR Cookie Consent (végül ezt telepítettem erre az oldalra is)

Másrészt a sütikről és használatuk okáról egyértelmű és pontos tájékoztatást kell adni az oldal adatvédelmi tájékoztatójában.

Ezen az oldalon le tudod ellenőrizni, hogy mennyire felelnek meg az odaladon a cookie-k és az online nyomon követésed a GDPR-nak és az elektronikus hírközlés adatvédelmi irányelveinek (angol nyelvű): https://www.cookiebot.com/en/
Ha elküldöd vizsgálatra az oldalad, általában 20 percen belül kapsz egy elemzést angolul, amiben rámutat, hogy mi a megfelelő és mi az, main javítanod érdemes.

Egy részletes cikk a cookiekról és Cookiebot beállítás Kreanillától

 

Adatgyűjtő tartalmak

Mostantól gyakorlatilag minden, ami alapján az illető beazonosítható személyes adatnak számít: név, cím, email, telefon, IP, cookie ID vagy bármilyen más online azonosító.

Milyen tevékenységekkel tudsz ehhez hozzájutni?

Facebook like gomb is adatgyűjtő tartalomnak minősül így ebben az esetben is meg kell felelni a GDPR rendelkezéseinek.

Google Analytics követő kód – Vida Ági fentebb linkelt írásából idézve: “Ha az oldaladon csak Google Analytics van és más módon nem gyűjtesz adatokat (hírlevél, blogértesítő, remarketing stb.), akkor nem kell semmit tenned, mivel az adatokat itt a Google kezeli, neked csak statisztika formájában megmutatja.” Az adatkezelési tájékoztatóban azonban erre is ki kell térned.

Kapcsolatfelvételi űrlap – mivel ezen is bekéred a nevet, e-mail címet és akár a telefonszámot is, ezért a szabályzat szerint kell kezelni és tárolni ezeket az adatokat, egyértelművé tenni, hogy mire használod. (Pl. árajánlat küldés, tájékoztatás), az adatkezelési tájékoztatóban szerepeljen.
Hasznos, részletes gyakorlati  útmutató Kreanillától: Hogyan legyen GDPR-nek megfelelő kapcsolati űrlapod?

Bejegyzéseknél hozzászólás – itt is tud meg adni nevet, e-mail címet, honlap címet, vagyis megadja az adatait, vagy regisztrációhoz kötött a hozzászólás.  Erre is ki kell térned az adatkezelési tájékoztatóban. A WordPress frissítésnek köszönhetően egy checkbox került be, amellyel ezt ki tudjuk pipálni és külön engedélyezni.

Remarketing esetén (akár Adwords vagy Facebook) sokkal körültekintőbben kell eljárni az adatkezelési tájékoztató mellett adatvédelmi tisztviselőre is szükséged van ehhez. A fentebb linkelt cikkekben erről találsz bővebb információt. Ráadásul még ehhez is egyértelmű hozzájárulás kell.

Hírlevél küldés

A hírlevél küldőd megfelel-e a GDPR szabályainak? Ha már használsz hírlevélküldő rendszert, akkor vizsgáld meg, hogy GDPR kompatibilis-e. Sok hírlevélküldő még most dolgozik rajta, hogy így legyen.

Ha még nem használsz, akkor olyat válassz, amelyik megfelel – vagy várd meg, hogy a többiek mit lépnek – ők is GDPR kompatibilissé tudják-e tenni. Az európai székhelyű cégek biztos, hogy odafigyelnek erre, de a más nagy hírlevélküldők sem szeretnék elveszíteni az európai piacot, ügyfeleket.

Ajánlott hírlevélküldők – Én most kettő hírlevélküldőt ajánlok – ha még nincs konkrét hírlevélküldőd.

1. Listamester – magyar nyelvű. Ők is a jogászokkal dolgoznak a GDPR kompatibilitáson, ami folyamatban vn. Addig is itt a cikkük a témában.

2. MailerLite – angol nyelvű Nekik itt van angol nyelvű cikkük a témában.

Ezeken túl még számos hírlevélküldő megfelel a GDPR követelményeknek. Amelyik mellett döntöttél, azt vizsgáld át ezen szempontok alapján is. (Sőt, ha a feliratkozóid nem a GDPR szabályok szerint iratkoztak fel, akkor küldeni kell egy hírlevelet, amiben szabályosan megerősítik a feliratkozásukat.)

Kötelező elemek feliratkozáskor és leiratkozáshoz

1. Hírlevél feliratkoztató űrlap

  • két jelölőnégyzetnek kell lennie (egy az adatvédelmi feltételek elfogadásáról (“Megismertem és elfogadtam az Adatvédelmi nyilatkozatot” – azt is linkeljük be ide, hogy el tudja olvasni – abban pedig leírjuk, hogy milye célra használjuk fel a megadott adatait, ami lehetőleg legyen minél kevesebb, tehát pl. név és e-mail cím), a másik pedig arról,  hogy önszántából iratkozik fel, és a jelölőnégyzet kipipálásával egyértelműen jelzi, hogy hozzájárul ahhoz, hogy hírleveleket küldjünk ki neki. (A jelölő négyzet nem lehet eleve kipipálva.) Tehát a hírlevél küldése csak abban az esetben lehetséges, ha önkéntes hozzájárulás alapján történik.

2. Megerősítő e-mail

  • A feliratkozó még kapjon egy megerősítő e-mailt, hogy valóban ő iratkozott fel ezzel az e-mail címmel. Ez a kétlépéses hozzájárulás. Itt rá kell kattintania egy linkre és akkor végre feliratkozott a hírlevelünkre. (Ezt double opt-in-nek is hívják angolul.)

3. E-mail tartalma

Marketing emailt bármilyen e-mail címről küldhetsz, de fontos, hogy az emailből egyértelműen kiderüljön, hogy ki az adatkezelő. 

4. Leiratkozási lehetőség

  • Minden e-mailben egyszerűen, könnyen elérhető, jól látható legyen a leiratkozási lehetőség. Leiratkozáskor a felhasználó adatait törölni kell minden adatbázisból. (Legjobb, ha automatiksan megtörténik.)

Kötelező nyilatkozatok

Ezeket a dokumentációkat el kell készíteni (nyilatkozol arról, hogyan kezeled az adatokat), és ha már készen van, akkor időnként (ha van változás) felül kell vizsgálni és ennek megfelelően módosítani. 

Adatkezelési tájékoztató:
A weboldal láblécében fel kell tüntetni, linkelni az adatkezelési tájékoztatót, és egy aloldalon közzétenni akár szöveges, akár pdf formában. Adatkezelés vagy adatkezelési tájékoztató legyen a link neve. (Ez eddig is ajánlott volt, bár nem volt kötelező.)

ÁSZF – Általános Szerződési Feltételek – Webáruház esetén vagy ha értékesítesz az oldalon.

Impresszum – ez már eddig is kötelező volt, a weboldalnak vannak kötelező elemei, hogy ki a szolgáltató, hol van a tárhely, ezekről itt olvashattok bővebb tájékoztatót.

Szakértők, akikhez lehet fordulni, hogy ezeket beszerezd:

Biztonságos legyen a weboldalad:

A vállalatod köteles megvédeni azon személyek jogait, akik megadják neked adataikat. Tehát a számítógéped, telefonod, és a honlapod is biztonságossá kell tenni. Ehhez használj vírusirtó programot, esetleg tűzfalat a gépeden, honlapodon.

Használj SSL tanúsítványt a honlapodhoz. Tehát http:// helyett https://-en legyen elérhető.

A WordPress honlapodon használj biztonsági bővítményeket és frissítsd rendszeresen a bővítményeket, a sablont és magát a WordPresst is.

Bejelentési kötelezettség keletkezik az adatkezelő oldalán ún. adatvédelmi incidensek, azaz személyes adatokkal kapcsolatos jogsértések esetén, az adatkezelő általi tudomásszerzést követően haladéktalanul, de legkésőbb 72 órán belül jelezni kell a NAIH felé.  (A támadás tényét és azt, hogy az milyen adatokat érinthetett, hiszen számukra ez a mérvadó.)

Nemzeti Adatvédelmi és Információs Hatóság
Székhely: 1125 Budapest Szilágyi Erzsébet fasor 22/c.
Postacím: 1530 Budapest, Pf.: 5.
Email: ugyfelszolgalat@naih.hu
Telefon: +36 (1) 391-1400
Fax: +36 (1) 391-1410
Honlap: http://naih.hu

Nem eszik olyan forrón a kását…

Nem tudunk elmenni amellett, hogy mennyi mindennel nem vagyunk még tisztában, nem csak mi vállalkozók, hanem az egész törvény elvárásairól, és a büntetés alkalmazásáról. Remélhetőleg nem is az a cél, hogy sokat fizessünk, hanem hogy szabályosan kezeljük a személyes adatokat.

Az enyhítésekről is jelentek már meg cikkek:
https://www.portfolio.hu/vallalatok/it/igaz-a-hir-nem-buntet-a-hatosag-a-gdpr-miatt.287124.html
https://www.portfolio.hu/vallalatok/it/hatalmas-konnyitest-kaphatnak-a-magyar-kkv-k-a-kormanytol.286574.html
http://www.uzletresz.hu/vallalkozas/20180518-gdpr-hazai-szabalyozasa.html
https://net-jog.hu/2018/05/24/elmeletben-itt-a-gdpr-de-a-gyakorlatban-is/

 

Még egy jó gondolat Lévai Richárdtól:

“Azt javaslom, aki még nincs kész, ne tegye teljesen félre az ügyet.
Kövesse a helyzet alakulását, működjön továbbra is együtt egy szakértővel, és ahogy jönnek a pontosabb részletek, alakítsa hozzájuk mindenképpen a saját szabályzatait, rendszereit, folyamatait. És persze addig is tegyen meg mindent amit csak tehet a törvényi megfelelésnek.

Mert lehet, hogy a NAIH soha nem fog eljutni a cégéhez, és így megússza a büntetést. De piaci oldalról egyre nagyobb igény lesz a GDPR megfelelés, és ez komolyabb kényszerítő erő lehet, mint egy hivatalos ellenőrzés.”

A teljes cikk itt olvasható: http://kozossegikalandozasok.hu/2018/05/30/megmenekultunk-a-gdpr-tol-vagy-meg-sem