A GDPR jelentése. Az adatvédelmi tájékoztató helyes felépítése

A GDPR egy uniós jogszabály, amelynek minden vállalkozásnak és webáruháznak meg kell felelnie. Ha ez nem teljesül, akkor akár 20 millió eurós bírság is a nyakunkba szakadhat. Ennek elkerülése érdekében ismerkedj meg az általános adatvédelmi rendelettel, főbb intézkedéseivel, és az adatvédelmi tájékoztató felépítésével, mielőtt belekezdenél a webshop készítés folyamatába!

1. Mi a GDPR jelentése?

A GDPR az angol General Data Protection Regulation kifejezés rövidítése, amely magyarul annyit tesz, hogy általános adatvédelmi rendelet.

A jogszabályt az Európai Unió fogadta el az Európai Gazdasági Térség és az EU tagországaiban élő természetes személyek adatainak védelme, valamint az EGT-tagállamok között fennálló szabad információáramlás biztosítása érdekében.

A GDPR-t 2016. április 27-én fogadták el, majd május 24-én lépett hatályba, de alkalmazása csak két éves türelmi idő után, 2018. május 25. óta vált kötelezővé minden EGT-tagállamban.

Kezdetben a legtöbb vállalkozás negatívan tekintett a GDPR bevezetésére, mivel egyfajta adminisztrációs terhet jelentett számukra.

Ha viszont az illetéktelen adatkezeléssel szembeni intézkedések fontosságát nézzük, akkor igenis szükséges volt az általános adatvédelmi rendelet bevezetése.

2. Kire vonatkozik a GDPR és mekkora a bírság?

A negatív visszhanghoz az is hozzájárult, hogy a rendelet be nem tartásáért fizetett bírság az előző pénzügyi év globális bevételének 4%-át, de maximálisan 20 millió eurót tehet ki.

A két opció közül azt tekintik érvényesnek, amelyik magasabb összeget jelent. Nem véletlen tehát, hogy az egyik legszigorúbb rendelkezésként tartják számon.

Leggyakrabban az alábbi problémák miatt szabnak ki bírságokat:

• Az adatkezelésről szóló előzetes tájékoztatási kötelezettség megszegése;
• Az előzetes tájékoztatás hiánya vagy hiányos megvalósítása;
• Jogalap nélküli adatkezelés;
• Adatkezelési alapelvek megsértése.

A GDPR eredményeként többnyire egységessé vált minden EU-tagország adatvédelmi és adatkezelési szabályozása, azonban kisebb eltérések előfordulhatnak országonként.

Minden olyan vállalkozásra vonatkozik az adatvédelmi rendelet, amely valamilyen formában magánszemélyek adatait kezeli és tárolja egy nyilvántartási rendszerben.

Tehát lényegében minden cég, amely egynél több személyből áll (azaz munkavállalót foglalkoztat), és/vagy szolgáltatásokat nyújt, esetleg termékeket ad el uniós vásárlóknak (pl. webshop), a GDPR hatálya alá tartozik.

Röviden: ha van legalább egy foglalkoztatottad, vagy rendelkezel legalább egy ügyféllel, akkor figyelembe kell venned a GDPR rendelkezéseit. Ez tehát a weboldal készítés egyik fontos részlete!

3. Hol tudom elolvasni a rendelet szövegét?

A GDPR hivatalos megnevezése a következő:

Az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről.

Az általános adatvédelmi rendelet teljes szövegét itt tudod elolvasni, fejezetekre bontva.

A GDPR rendelet betartását Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) ellenőrzi.

4. A GDPR tartalmának rövid összegzése

Megpróbálom tömören összefoglalni, hogy melyek az adatvédelmi rendelkezés legfontosabb szabályozásai. Fontos azonban, hogy ha maradéktalanul meg akarsz felelni a GDPR követelményeinek, akkor keress fel egy jogászt vagy egy adatvédelmi szakértőt, mint például dr. Németh József.

4.1. Mennyi adatot lehet gyűjteni?

Először is tisztázni kell a gyűjthető adatok mennyiségét. A rendelet kimondja, hogy csak az adatkezelés céljához feltétlenül szükséges személyes információkat engedélyezett kezelni.

Mindig az adatgyűjtés céljától függ, hogy mennyi adatra van szükségünk. Például, ha van egy lead-generáló landing oldalad, és hírlevélre akarsz feliratkoztatni embereket, akkor két adatra van csak szükséged:

• A felhasználó e-mail címe (kötelező);
• Az ügyfél neve (opcionális).

Nem szükséges – így nem jogszerű – kikérni a telefonszámukat, lakhelyüket, vagy nemüket, hiszen ezeknek semmi köze nincs a hírlevél-küldéshez.

4.2. Mi a különbség az adatkezelő és az adatfeldolgozó között?

Adatkezelésnek minősül minden tevékenység, amelyet a látogatók személyes adataival kapcsolatban végzünk: adatok gyűjtése, rendszerezése, felhasználása, továbbítása, nyilvánosságra hozatala, törlése, megváltoztatása, és így tovább.

Az adatkezelő az a személy vagy szervezet, amely megszabja az adatkezelés célját, eszközeit, módját, menetét és szabályait. Ilyen például egy cégvezető.

Ezzel szemben az adatfeldolgozó egy olyan személy, aki az adatkezelő megbízásából dolgozik az összegyűjtött személyes adatokkal, rendszerezi és elemzi azokat a megadott irányelvek szerint. Itt beszélhetünk irodai asszisztensekről, egy weboldal kezelőiről, tárhely szolgáltatóról, vagy egy könyvelőről.

Persze megeshet, hogy kisebb vállalkozások esetén a két szerepkör egybeolvad.

4.3. Hírlevelek jogszerűsége a GDPR alapján

A hírlevélre való feliratkoztatás az adatgyűjtés egyik alapvető formája egy weboldalon.

Az opt-in oldalak működésének leírása során ejtettünk szót arról, hogy csak azoknak a felhasználóknak küldhetünk hírlevelet jogszerűen, akik önszántukból hagyták jóvá személyes adataik megadásával az e-mailek küldését.

Viszont a gazdasági reklámtevékenységről szóló 2008. évi XLVIII. törvény alapján lehetőség van arra, hogy olyan gazdálkodó szervezetek számára küldjünk hírlevelet, akiknek már szolgáltatást nyújtottunk. Erről részletesebben is fogunk majd írni egy másik cikkben.

Emellett az is nélkülözhetetlen, hogy a leiratkozás könnyen elérhető legyen minden ügyfél számára. Ha valaki leiratkozik a hírlevelünkről, akkor a GDPR értelmében azt a címet véglegesen törölni kell az adatbázisból.

Ide sorolhatjuk még a sütikről szóló nyilatkozat elfogadását is, amelynek bepipálásával vagy elfogadásával a felhasználók engedélyt adnak az adatkezelésre, tekintettel arra, hogy a sütik
alkalmazása révén weboldalunk személyes adatokat gyűjthet be a látogatóinkról. Döntésüket bármikor megváltoztathatják.

4.4. Webshopok GDPR szabályozása

Az egyik legfontosabb előírás, amely kifejezetten webáruházakra vonatkozik, hogy a vásárlók adatait a hozzájuk köthető ügylet végeztével nem tárolhatják tovább.

Erre csak akkor van lehetőség, ha arra a vásárló külön engedélyt adott, hogy személyes adatait (pl. korábbi rendelések összege) tárolja a rendszer. Illetve abban az esetben, ha érdekmérlegelési teszt elvégzése után megállapítható, hogy a személyes adatokra szükség van, pl. szavatossági igények vagy jogviták megelőzése érdekében.

Ezt persze a legtöbb esetben úgy oldják meg online értékesítés során, hogy a rendelések véglegesítése előtt az ügyfeleknek el kell fogadniuk az Általános Szerződési Feltételeket és az Adatvédelmi Tájékoztatót.

Azt gondolom mondani sem kell, hogy a felhasználók személyes adatainak védelme érdekében a biztonságos adattárolást garantálni kell (pl. hackertámadás, adatlopás vagy műszaki probléma előfordulása esetén).

5. Hogyan teljesíthetők a GDPR rendelkezései?

Jogszerű az adatkezelés, ha az adatkezelő megfelelő adatkezelési jogalappal rendelkezik (pl. egy weboldal látogatói hozzájárulásukat adják) a személyes adataik felhasználásához, kezeléséhez és gyűjtéséhez.

Természetesen ez csak akkor valósulhat meg, ha a természetes személyek tájékoztatásra kerülnek az adatkezelés főbb intézkedéseiről, beleértve a folyamat célját, jogalapját és időtartamát.

Ennek értelmében a felhasználóknak egyértelmű nyilatkozatot kell tenniük írásban, hogy megismerték az adatvédelmi tájékoztatóban közölt feltételeket, és hozzájárulás alapú adatkezelés esetén hozzájárulnak személyes adataik kezeléséhez.

A hozzájárulás megadása egy weboldalon a leggyakrabban egy jelölőnégyzet használatával valósul meg a gyakorlatban. Amennyiben a látogató kipipálja az Elfogadom opciót, hozzájárul a személyes adatai felhasználásához.

Az adatokat gyűjtő vállalkozó szükség esetén álljon készen az adatkezelés jogalapjának igazolására. Hozzájárulás alapú adatkezelés esetén az érintettek pedig bármikor visszavonhatják hozzájárulásukat, ilyenkor az adatkezelést meg kell szüntetni.

Nem elég tehát szimplán kihelyezni az adatvédelmi tájékoztatót a weboldal láblécében, mert a GDPR rendelet ettől sokkal átfogóbb jelenség.

Szükség van az ügyfelek, a látogatók és a munkavállalók adatainak elkülönítésére, az adattárolást segítő rendszerek és technológiák beszerzésére, az adatvédelmi incidensek kezelésének hatékony gyakorlatára.

6. Mit tartalmazzon az adatvédelmi tájékoztató?

A Kiszervezett Marketing Kft. adatvédelmi tájékoztatója egy jó példát szolgáltat ahhoz, hogy átlásd a dokumentum kötelező tartalmi elemeit, felépítését.

6.1. Az adatkezelés alapelvei

Azt közöljük a látogatókkal, hogy személyes adataikat jogszerűen és tisztességesen kezeljük, az adatvédelmi tájékoztatót pedig közérthető módon állítjuk össze. Ez nem követelmény a GDPR rendelkezései szerint, de bizalmat kelt a látogatóban.

Lényegében megerősítjük, hogy az adatgyűjtés során követjük a GDPR előírásait, legyen szó akár a tárolt adatok biztonságáról, akár a harmadik félnek való továbbadáshoz való hozzájárulás kéréséről.

6.2. Az adatkezelő és adatfeldolgozó adatai

Itt lényegében úgy kell megadnunk vállalkozásunk adatait, mint az impresszumban. Fel kell tüntetni a következőket:

• Cégnév, székhely, postai cím;
• Adószám, közösségi adószám;
• Cégjegyzékszám;
• Elérhetőségek (telefonszám, e-mail cím);
• A tárhely szolgáltató adatai;
• Az adatfeldolgozó személyek részletes adatai (megnevezés, cím, tevékenységi kör).

Be kell tehát mutatnunk azt is, hogy a weboldalunkon belül kik és milyen céllal gyűjtik a látogatók adatait, tevékenységük információit.

6.3. Az adatkezelés célja, jogalapja és időtartama, a kezelt adatok köre

Meg kell határozni az adatkezelési tevékenység céljait, amelyek csak a törvénynek megfelelő, jogszerű intézkedések lehetnek.

Külön ki kell térnünk rá, hogy az egyes tevékenységi körökhöz (pl. honlap látogatása, regisztráció, hírlevél, direkt marketing, panaszkezelés) kapcsolódóan:

• milyen jogi alapon kezeljük az érintettek adatait,
• pontosan mely adatokat kezeljük;
• milyen hosszú időtartamig tároljuk ezeket.

Az adatkezelés idejét megadhatjuk konkrét időpontként (például 12 hónap), vagy egy adott eseményhez is köthetjük (például leiratkozás), függően a vonatkozó jogszabályi rendelkezésektől, vagy az adatkezelési tevékenység jellegétől.

Továbbá még fel kell tüntetni az általunk használt sütiket, pontos megnevezéssel, szolgáltatóval, céllal, lejárati idővel és típussal együtt.

6.4. Az érintettek jogai és jogorvoslati lehetőségei

Végezetül, de nem utolsó sorban, az adatkezelési tájékoztatóban be kell mutatnunk, hogy az adatkezelés hatálya alá eső felhasználóknak milyen jogai vannak a személyes adataik felhasználásával kapcsolatosan.

Tovább azt is tudatjuk az internetezőkkel, hogy törvénysértés esetén mely hatóságnál tehetnek panaszt, megadva a hivatalos szerv nevét és elérhetőségét.

Ki lehet fejteni, hogy milyen lépésekből áll egy sérelem feldolgozása és a panaszkérelem érvényesítése, illetve, hogy milyen törvények és rendeletek képezik adatkezelési stratégiánk alapját.

7. GDPR tájékoztató beállítása WordPress honlapon

Amennyiben elkészítettük saját adatvédelmi tájékoztatónkat (vagy ami még jobb, egy ügyvéd-szakember által lett összeállítva), fel tudjuk azt tölteni a WordPress Vezérlőpultján keresztül.

Ehhez kövessük az alábbi útvonalat: WordPress ➝ Beállítások ➝ Személyes adatok védelme.

Itt még akár új adatkezelési oldalt is létrehozhatunk, ha szükségünk van rá. További információ: WordPress weboldal készítés lépésről lépésre.

Fontos, hogy minden olyan oldalon megjelenjen az adatkezelési nyilatkozat megismerésének opciója, amelyen személyes adatokat kérünk be (pl. regisztrációs oldal, kapcsolatfelvételi űrlap, landing oldalak).

8. Összefoglaló

A GDPR az Európai Unió minden országában hatályos rendelet, amely az általános adatvédelemmel foglalkozik a vállalkozások ügyfelei, munkavállalói, és weboldalak látogatói, webáruházak vásárlói körében.

A GDPR megszegése akár 20 millió eurós bírságot is vonhat maga után, ezért tanácsos részletesen megismerkedni az adatkezelési irányelvekkel.

Webáruházunkban helyezzünk el adatvédelmi tájékoztatót, melyben közöljük az adatkezelés alapelveit, jogszerűségét, céljait, az adatkezelők adatait, és az érintettek jogait, jogorvoslati lehetőségeit.

A cikkben közölt adatok és előírások felülvizsgálatáért, pontosításáért külön köszönettel tartozunk az Illés & Németh Ügyvédi Társulás (Visegrad + Legal Hungary) szakembereinek!

Remélem, hogy hasznos információkat tudtam átadni számodra. Kérlek, hogy nyomj rá a Megosztás gombra, amennyiben így van. 🙂

Hibát találtál? Írj nekünk az alábbi e-mail címre: szerk@kiszervezettmarketing.hu

9. Gyakran ismételt kérdések és válaszok