Nézzünk meg néhány példát, mire érdemes figyelni egy weboldal tulajdonosnak a GDPR életbe lépését követően.
Google Analytics
Remarketing hirdetések
Ha az érintett cég weblapján van Google Adwords, Facebook pixel vagy más külső weblapról származó olyan beépülő megoldás ami a felhasználók adatait gyűjti, meg kell felelnie a cég weblapjának a következő előírásoknak:
- az adatvédelmi tájékoztatóban szerepelnie kell annak, hogy ilyen célokra gyűjt adatokat és annak is, hogy ezekkel mit tesz, mire használja fel.
- ha remarketing hirdetéseket használ, úgy adatvédelmi tisztviselőt kell kijelölni vagy felkérni. Ő felel azért, hogy a cégnél maradéktalanul betartásra kerüljenek a rendelet szabályai, azonban azok betartásáért felelősségre nem vonható. Az adatvédelmi tisztviselő lehet a cég egy alkalmazottja, vagy egy külső cég.
- Azonban az adatvédelmi tisztviselőnek rendelkeznie kell a szükséges jártassággal: a rendelet 37. cikk (5) bekezdése szerint az adatvédelmi tisztviselőt „szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 39. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni”.
E-mail marketing, kapcsolatfelvételi űrlapok
Az első dolog, amire mindenkinek oda kell figyelnie, az a hírlevél feliratkoztató űrlap. Ezen a felhasználónak nyilatkoznia kell arról, hogy szabad akaratából, konkrét célra, tájékoztatást követően járult hozzá adatai megadásához. A gyakorlatban ez azt jelenti, hogy mielőtt a feliratkozó gombra kattint, egy jelölőnégyzet bepipálásával hozzá kell járulnia ahhoz, hogy számára üzeneteket küldjön a weblap tulajdonosa és jeleznie kell, hogy elolvasta és tudomásul vette a vonatkozó adatvédelmi feltételeket.
Amennyiben ajánlatkérő formot alkalmazunk ugyanezen feltételeket kell figyelembe vennünk.Ha az ajánlatkérők számára később hírlevelet is szeretne a társaság kiküldeni, akkor erre az e-mail marketingre vonatkozó szabályok érvényesek.
Fontos, hogy:
- két jelölőnégyzetnek kell lennie (egy az adatvédelmi feltételek elfogadásáról, egy arról, hogy önszántából iratkozik fel),
- az űrlapot tartalmazó oldalról elérhetővé kell tenni az adatvédelmi feltételeket,
a jelölőnégyzetet nem szabad előre bepipálni és nem helyettesíthető azzal, hogy pl. “a gombra való kattintással elfogadja“. - A feliratkoztató űrlapon csak olyan személyes adatokat lehet bekérni, ami feltétlenül szükséges az adott tevékenységhez. Tehát pl. nem kérhető be egy hírlevél-feliratkoztató űrlapon telefonszám vagy lakcím, ha az nem szükséges a hírlevél kiküldéséhez, azonban bekérhető telefonszám pl. egy kapcsolatfelvételi űrlapon az oldalon.
Ha a későbbiek során nem küld ki hírlevelet a cég, csupán az ajánlatkérésre kíván válaszolni, a kapcsolatfelvételi űrlap alatt akkor is ott kell lennie az adatkezeléshez hozzájáruló jelölőnégyzetnek. A kiküldésre kerülő e-mailekből egyértelműen ki kell derülnie ki az adatkezelő és hasonlóan a korábbiakhoz biztosítani kell az egyszerű leiratkozás lehetőségét (ez a rész nem változott a korábbi szabályozás vonatkozásában).
Leiratkozáskor a felhasználó adatait törölni kell minden adatbázisból (természetesen a leiratkozás céljának megfelelően, ha pl. valaki leiratkozik a hírlevélről, de közben ügyfélé is vált és ennek okán is megadta az adatait (pl. regisztrált a webáruházba), innen nem kell törölni az adatokat. Jól mutatja ez a sajátossága a rendeletnek, hogy az egyes adatkezelési célok szerint kell nyilvántartani és kezelni elkülönültem a személyes adatokat. (A rendelet érvénybelépése előtti feliratkozások tekintetében azonban ha azok a korábbi szabályozásnak megfelelően kerültek kezelésre, nem szükséges törölni a rendelet érvénybelépésénél.)
Vásárlók, megrendelők adatainak kezelése
Ha az érintett weblapon keresztül online lehet felvenni megrendeléseket (megrendelői űrlappal vagy webáruház rendszerrel) annak a következőknek kell megfelelnie:
- Megrendelés előtt a felhasználónak jeleznie kell, hogy hozzájárul a személyes adatok kezeléséhez (a megrendelőlap alatt található jelölőnégyzet alkalmas erre).
- Ha később hírlevelet is szeretne a weblap a vásárlóknak küldeni, ehhez is külön hozzájáruló nyilatkozat szükséges (még egy jelölőnégyzet a megrendelés alatt). Ennek hiányában csak a megrendeléssel kapcsolatos legszükségesebb információkkal kapcsolatban küldhető neki e-mail.
- Biztosítani kell a kezelt adatok biztonságát.
- Az ügylet végeztével az adatokat törölni kell, kivéve, ha az ügyfél hozzájárult ahhoz, hogy továbbra is kezelje a weblap tulajdonosa azokat. Tehát nem tárolható a webáruházban a végtelenségig a korábbi megrendelők adatai, ha ők ehhez nem járultak hozzá. Ha a vásárlás regisztrációhoz kötött, a regisztrációba beépíthető egy olyan jelölőnégyzetet, amivel hozzájárulnak a további adatkezeléshez. Ha nem regisztrációhoz kötött a vásárlási folyamat, akkor az adatvédelmi szabályokban kell megfogalmazni, mit jelent az ügylet lezárása pontosan (ez lehet az, amikor az illető a csomagot átvette, de akár egy későbbi időpont is meghatározható, pl. a garanciális időszak vége).
- Alapesetben minden webáruháznak tudnia kell vásárlóit elkülönülten kezelnie: anonim (regisztráció nélküli) és regisztrált. A vásárlási folyamat és adatkérés ez alapján történik.
- Amennyiben az adott webáruház nem küld hírlevelet, vagy a személyes adatokat nem használja fel más célra, nem adja át másnak, nem kell külön felhívni a figyelmet, hogy pár adat ami a számlához kell megőrzésre kerül, a számviteli szabályokat be kell tartani (pl. a kisboltban sem kérdezik meg ha számlát kérek, hogy “hozzájárulok e adataim kezeléséhez”), online forgalom esetén nincs nyugta, csak számla.
- Viszont minden vásárlónak el kell fogadnia az Adatkezelési nyilatkozatot.
Webáruház tulajdonosának nem kell tisztségviselőt alkalmaznia, kivéve ha: olyan azonosítót is bekér pl. számlázáskor, mely tömeges adatbázis esetén egyértelmű beazonosításra ad lehetőséget. Ilyen Magyarországon az adóazonosító, a TAJ szám, a személyi szám illetve cég esetén adószám, cégjegyzékszám; alapítvány, egyesület esetén a nyilvántartási szám.
Kérdőívek
- Ha kérdőívet készít a weblap üzemeltetője piackutatás céljából és azon nem kér be személyes adatokat (név, email stb.), akkor nem kell semmit tennie. Ha szerepelnek rajta személyes adatok (pl. azért, hogy elküldésre kerüljenek számára a kérdőív eredményei e-mailben), akkor erre engedélyt kell kérni és kell rendelkezni adatvédelmi tájékoztatóval is, amit el kell fogadtatni a kérdőív kitöltése előtt.
- Ha hírlevél-feliratkozásnál szeretne az érintett weblap további adatokat bekérni (a néven és az e-mail címen kívül), mivel ez nem a levelezés céljával összefüggő adat, ezért nem kérhető be. Kivéve, ha a hírlevél céljával összefügg az adat (pl. megadja, hogy férfi vagy nő és az ennek megfelelő hírlevelet kapja meg). Ha piackutatási céllal szeretne a weblap tulajdonosa adatokat bekérni a felhasználókról, azt megteheti úgy, hogy a feliratkozás után megjelenő új oldalon teszi fel kérdésként és elkülönülten kezeli úgy, hogy az új kérdőív a feliratkozó személyéhez nem köthető.
- Ha egy hírlevélsorozatban szegmentált hírlevelek kerülnek kiküldésre (pl. korábbi viselkedés, kattintások alapján), az a továbbiakban is megtehető.
Messenger bot
Messenger bot használata esetén a weblap/bot tulajdonosa az adatkezelő, a bot szolgáltatója pedig az adatfeldolgozó. Ha csak simán ír valaki a botnak, a bot pedig válaszol neki, nincs semmi teendő, ha azonban reklám tartalmú tömeges üzenetek kerülnek kiküldésre a feliratkozóknak, előzetesen a beleegyezésüket kell kérni ehhez, ami úgy történhet, hogy feliratkozás után a bot küld nekik egy tájékoztatást és azt pl. egy adott szó beírásával el kell fogadniuk.
Amit mindenképpen meg kell tenni egy weblap tulajdonosnak a GDPR kapcsán
El kell készíttetni az Adatvédelmi Tájékoztatót (ha eddig nem volt) vagy frissíteni az új rendeletnek megfelelően. Mi legyen benne?
- az Adatkezelő neve, címe, elérhetősége,
- a kezelt adatok köre (pl, név, telefon, e-mail),
- az adatkezelés célja (miért kezeli a társaság és mire használja, pl. hírlevél küldés, megrendelések teljesítése és számlázás),
- az érintettek köre, vagyis, hogy kire terjed ki az adatkezelés (pl. az oldal minden látogatójára, vagy csak a webshopban vásárlókra),
- az adatok megismerésére jogosult adatkezelők személye (pl. ha futárszolgálatnak átadásra kerülnek a csomagok kiküldésre, akkor ő is kezeli a személyes adatok egy részét, vagy a weblap tulajdonos cég ügyfélszolgálati munkatársai, stb.)
- az adatkezelés időtartama: meddig kerülnek tárolásra az adatok és mikor kerülnek törlésre,
- hogyan tudja a felhasználó megtekinteni, módosítani vagy törölni a regisztrációkor adatait,
- ha megrendelt valamit, hogyan tudja módosítani vagy töröltetni az adatait (pl. e-mailben, telefonon, személyesen),
- mennyi idő alatt válaszol a weblap tulajdonosa az adatok megváltoztatásával vagy törlésével kapcsolatos kérésekre,
- tájékoztatni kell a felhasználót az adathordozhatósághoz való jogról,
- tájékoztatni kell minden további jogáról és arról, hogy ezeket hogyan érvényesítheti.
- Gondoskodni kell róla, hogy a weblap által kezelt adatok ne jussanak illetéktelenek birtokába, ennek érdekében:
- tájékoztatni kell az érintett kollégákat az adatkezeléssel kapcsolatos legfontosabb óvintézkedésekről (pl. ismeretlen leveleket ne nyissanak meg, ismeretlen szoftvereket ne töltsenek le, ismeretlen pendrive-ot ne használjanak), mert gyakran a dolgozók figyelmetlensége miatt következhet be adatlopás a cégnél.
- a weblap tulajdonosának tudnia kell, hogy a weblapját ért támadás esetén mit kell tennie (72 órán belül jelentenie kell, erre hamarosan lesz egy formanyomtatvány, ami jelenleg még nem elérhető)
meg kell védenie a rendszereit a támadásoktól (tűzfal, vírusirtó, a weboldal védelme a támadásoktól stb.)