GDPR a gyakorlatban

Nézzünk meg néhány példát, mire érdemes figyelni egy weboldal tulajdonosnak a GDPR életbe lépését követően.

Google Analytics


Amennyiben az adott weblapon kizárólag Google Analytics került alkalmazásra és más módon nem gyűjt felhasználói személyes adatokat (hírlevél, form, blogértesítő, remarketing stb.), akkor nem szükséges semmit tenni a honlappal, mivel az adatokat itt a Google kezeli, a weblap tulajdonosa felé csak statisztika formájában mutatja meg azokat.

gdpr-onemedia


Remarketing hirdetések


Ha az érintett cég weblapján van Google Adwords, Facebook pixel vagy más külső weblapról származó olyan beépülő megoldás ami a felhasználók adatait gyűjti, meg kell felelnie a cég weblapjának a következő előírásoknak:

  • az adatvédelmi tájékoztatóban szerepelnie kell annak, hogy ilyen célokra gyűjt adatokat és annak is, hogy ezekkel mit tesz, mire használja fel.
  • ha remarketing hirdetéseket használ, úgy adatvédelmi tisztviselőt kell kijelölni vagy felkérni. Ő felel azért, hogy a cégnél maradéktalanul betartásra kerüljenek a rendelet szabályai, azonban azok betartásáért felelősségre nem vonható. Az adatvédelmi tisztviselő lehet a cég egy alkalmazottja, vagy egy külső cég.
  • Azonban az adatvédelmi tisztviselőnek rendelkeznie kell a szükséges jártassággal: a rendelet 37. cikk (5) bekezdése szerint az adatvédelmi tisztviselőt „szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 39. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni”.


E-mail marketing, kapcsolatfelvételi űrlapok


Az első dolog, amire mindenkinek oda kell figyelnie, az a hírlevél feliratkoztató űrlap. Ezen a felhasználónak nyilatkoznia kell arról, hogy szabad akaratából, konkrét célra, tájékoztatást követően járult hozzá adatai megadásához. A gyakorlatban ez azt jelenti, hogy mielőtt a feliratkozó gombra kattint, egy jelölőnégyzet bepipálásával hozzá kell járulnia ahhoz, hogy számára üzeneteket küldjön a weblap tulajdonosa és jeleznie kell, hogy elolvasta és tudomásul vette a vonatkozó adatvédelmi feltételeket.

Amennyiben ajánlatkérő formot alkalmazunk ugyanezen feltételeket kell figyelembe vennünk.Ha az ajánlatkérők számára később hírlevelet is szeretne a társaság kiküldeni, akkor erre az e-mail marketingre vonatkozó szabályok érvényesek.

Fontos, hogy:

  • két jelölőnégyzetnek kell lennie (egy az adatvédelmi feltételek elfogadásáról, egy arról, hogy önszántából iratkozik fel),
  • az űrlapot tartalmazó oldalról elérhetővé kell tenni az adatvédelmi feltételeket,
    a jelölőnégyzetet nem szabad előre bepipálni és nem helyettesíthető azzal, hogy pl. “a gombra való kattintással elfogadja“.
  • A feliratkoztató űrlapon csak olyan személyes adatokat lehet bekérni, ami feltétlenül szükséges az adott tevékenységhez. Tehát pl. nem kérhető be egy hírlevél-feliratkoztató űrlapon telefonszám vagy lakcím, ha az nem szükséges a hírlevél kiküldéséhez, azonban bekérhető telefonszám pl. egy kapcsolatfelvételi űrlapon az oldalon.


Ha a későbbiek során nem küld ki hírlevelet a cég, csupán az ajánlatkérésre kíván válaszolni, a kapcsolatfelvételi űrlap alatt akkor is ott kell lennie az adatkezeléshez hozzájáruló jelölőnégyzetnek. A kiküldésre kerülő e-mailekből egyértelműen ki kell derülnie ki az adatkezelő és hasonlóan a korábbiakhoz biztosítani kell az egyszerű leiratkozás lehetőségét (ez a rész nem változott a korábbi szabályozás vonatkozásában).

Leiratkozáskor a felhasználó adatait törölni kell minden adatbázisból (természetesen a leiratkozás céljának megfelelően, ha pl. valaki leiratkozik a hírlevélről, de közben ügyfélé is vált és ennek okán is megadta az adatait (pl. regisztrált a webáruházba), innen nem kell törölni az adatokat. Jól mutatja ez a sajátossága a rendeletnek, hogy az egyes adatkezelési célok szerint kell nyilvántartani és kezelni elkülönültem a személyes adatokat. (A rendelet érvénybelépése előtti feliratkozások tekintetében azonban ha azok a korábbi szabályozásnak megfelelően kerültek kezelésre, nem szükséges törölni a rendelet érvénybelépésénél.)


Vásárlók, megrendelők adatainak kezelése


Ha az érintett weblapon keresztül online lehet felvenni megrendeléseket (megrendelői űrlappal vagy webáruház rendszerrel) annak a következőknek kell megfelelnie:

  • Megrendelés előtt a felhasználónak jeleznie kell, hogy hozzájárul a személyes adatok kezeléséhez (a megrendelőlap alatt található jelölőnégyzet alkalmas erre).
  • Ha később hírlevelet is szeretne a weblap a vásárlóknak küldeni, ehhez is külön hozzájáruló nyilatkozat szükséges (még egy jelölőnégyzet a megrendelés alatt). Ennek hiányában csak a megrendeléssel kapcsolatos legszükségesebb információkkal kapcsolatban küldhető neki e-mail.
  • Biztosítani kell a kezelt adatok biztonságát.
  • Az ügylet végeztével az adatokat törölni kell, kivéve, ha az ügyfél hozzájárult ahhoz, hogy továbbra is kezelje a weblap tulajdonosa azokat. Tehát nem tárolható a webáruházban a végtelenségig a korábbi megrendelők adatai, ha ők ehhez nem járultak hozzá. Ha a vásárlás regisztrációhoz kötött, a regisztrációba beépíthető egy olyan jelölőnégyzetet, amivel hozzájárulnak a további adatkezeléshez. Ha nem regisztrációhoz kötött a vásárlási folyamat, akkor az adatvédelmi szabályokban kell megfogalmazni, mit jelent az ügylet lezárása pontosan (ez lehet az, amikor az illető a csomagot átvette, de akár egy későbbi időpont is meghatározható, pl. a garanciális időszak vége).
  • Alapesetben minden webáruháznak tudnia kell vásárlóit elkülönülten kezelnie: anonim (regisztráció nélküli) és regisztrált. A vásárlási folyamat és adatkérés ez alapján történik.
  • Amennyiben az adott webáruház nem küld hírlevelet, vagy a személyes adatokat nem használja fel más célra, nem adja át másnak, nem kell külön felhívni a figyelmet, hogy pár adat ami a számlához kell megőrzésre kerül, a számviteli szabályokat be kell tartani (pl. a kisboltban sem kérdezik meg ha számlát kérek, hogy “hozzájárulok e adataim kezeléséhez”), online forgalom esetén nincs nyugta, csak számla.
  • Viszont minden vásárlónak el kell fogadnia az Adatkezelési nyilatkozatot.


Webáruház tulajdonosának nem kell tisztségviselőt alkalmaznia, kivéve ha: olyan azonosítót is bekér pl. számlázáskor, mely tömeges adatbázis esetén egyértelmű beazonosításra ad lehetőséget. Ilyen Magyarországon az adóazonosító, a TAJ szám, a személyi szám illetve cég esetén adószám, cégjegyzékszám; alapítvány, egyesület esetén a nyilvántartási szám.


Kérdőívek

  • Ha kérdőívet készít a weblap üzemeltetője piackutatás céljából és azon nem kér be személyes adatokat (név, email stb.), akkor nem kell semmit tennie. Ha szerepelnek rajta személyes adatok (pl. azért, hogy elküldésre kerüljenek számára a kérdőív eredményei e-mailben), akkor erre engedélyt kell kérni és kell rendelkezni adatvédelmi tájékoztatóval is, amit el kell fogadtatni a kérdőív kitöltése előtt.

  • Ha hírlevél-feliratkozásnál szeretne az érintett weblap további adatokat bekérni (a néven és az e-mail címen kívül), mivel ez nem a levelezés céljával összefüggő adat, ezért nem kérhető be. Kivéve, ha a hírlevél céljával összefügg az adat (pl. megadja, hogy férfi vagy nő és az ennek megfelelő hírlevelet kapja meg). Ha piackutatási céllal szeretne a weblap tulajdonosa adatokat bekérni a felhasználókról, azt megteheti úgy, hogy a feliratkozás után megjelenő új oldalon teszi fel kérdésként és elkülönülten kezeli úgy, hogy az új kérdőív a feliratkozó személyéhez nem köthető.

  • Ha egy hírlevélsorozatban szegmentált hírlevelek kerülnek kiküldésre (pl. korábbi viselkedés, kattintások alapján), az a továbbiakban is megtehető.


Messenger bot


Messenger bot használata esetén a weblap/bot tulajdonosa az adatkezelő, a bot szolgáltatója pedig az adatfeldolgozó. Ha csak simán ír valaki a botnak, a bot pedig válaszol neki, nincs semmi teendő, ha azonban reklám tartalmú tömeges üzenetek kerülnek kiküldésre a feliratkozóknak, előzetesen a beleegyezésüket kell kérni ehhez, ami úgy történhet, hogy feliratkozás után a bot küld nekik egy tájékoztatást és azt pl. egy adott szó beírásával el kell fogadniuk.


Amit mindenképpen meg kell tenni egy weblap tulajdonosnak a GDPR kapcsán


El kell készíttetni az Adatvédelmi Tájékoztatót (ha eddig nem volt) vagy frissíteni az új rendeletnek megfelelően. Mi legyen benne?

  • az Adatkezelő neve, címe, elérhetősége,
  • a kezelt adatok köre (pl, név, telefon, e-mail),
  • az adatkezelés célja (miért kezeli a társaság és mire használja, pl. hírlevél küldés, megrendelések teljesítése és számlázás),
  • az érintettek köre, vagyis, hogy kire terjed ki az adatkezelés (pl. az oldal minden látogatójára, vagy csak a webshopban vásárlókra),
  • az adatok megismerésére jogosult adatkezelők személye (pl. ha futárszolgálatnak átadásra kerülnek a csomagok kiküldésre, akkor ő is kezeli a személyes adatok egy részét, vagy a weblap tulajdonos cég ügyfélszolgálati munkatársai, stb.)
  • az adatkezelés időtartama: meddig kerülnek tárolásra az adatok és mikor kerülnek törlésre,
  • hogyan tudja a felhasználó megtekinteni, módosítani vagy törölni a regisztrációkor adatait,
  • ha megrendelt valamit, hogyan tudja módosítani vagy töröltetni az adatait (pl. e-mailben, telefonon, személyesen),
  • mennyi idő alatt válaszol a weblap tulajdonosa az adatok megváltoztatásával vagy törlésével kapcsolatos kérésekre,
  • tájékoztatni kell a felhasználót az adathordozhatósághoz való jogról,
  • tájékoztatni kell minden további jogáról és arról, hogy ezeket hogyan érvényesítheti.
  • Gondoskodni kell róla, hogy a weblap által kezelt adatok ne jussanak illetéktelenek birtokába, ennek érdekében:
  • tájékoztatni kell az érintett kollégákat az adatkezeléssel kapcsolatos legfontosabb óvintézkedésekről (pl. ismeretlen leveleket ne nyissanak meg, ismeretlen szoftvereket ne töltsenek le, ismeretlen pendrive-ot ne használjanak), mert gyakran a dolgozók figyelmetlensége miatt következhet be adatlopás a cégnél.
  • a weblap tulajdonosának tudnia kell, hogy a weblapját ért támadás esetén mit kell tennie (72 órán belül jelentenie kell, erre hamarosan lesz egy formanyomtatvány, ami jelenleg még nem elérhető)
    meg kell védenie a rendszereit a támadásoktól (tűzfal, vírusirtó, a weboldal védelme a támadásoktól stb.)

Kezdjük el a közös munkát, 

kérje díjmentes ajánlatunkat