GDPR adatvédelem a gyakorlatban
2018-05-06 00:06

GDPR a gyakorlatban

A Go Group Kft. az jogi, adatvédelmi megfelelőség  híve, ezért minden általunk nyújtott szolgáltatáshoz igyekszünk ügyfeleinknek segítséget nyújtani üzleti folyamatainak GDPR megfeleltetéséhez.

Bizonyára mindannyian hallottatok már az új GDPR szabályozásról, ami 2018 május 25.-től mindenkire érvényes, aki bármilyen módon tárolja ügyfelei adatait. Azonban az interneten számos jogi értelmezés kering, amiből nehéz az online vállalkozások gyakorlati teendőit kihámozni, annak ellenére, hogy már egy 2016-ban életbe lépő szabályozásról beszélünk.

Teljes GDPR hivatalos szabályzata itt elolvasható >>>

Hivatalos útmutató a KKV-k számára >>>

Akkor miért most? 

2018. május 25.-ig a kis- és középvállalkozások türelmi időt kaptak a szabályzat bevezetésére. Innentől az alkalmazása nemcsak kötelező lesz, de a bírságolás és az elszámoltatás is életbe lép. A tét pedig hatalmas, hiszen a bírság maximuma 20 millió Euró, vagy az előző évi forgalom 4%-a. Ráadásul míg eddig az elszámoltatás a bejelentést követően lépett életbe, innentől - az adózáshoz hasonlóan - a hatóság szúrópróba szerűen ellenőrizheti és elmondása szerint ellenőrizni is fogja.

Az alábbiakban nem magát a szabályzatot igyekszünk kielemezni, mert arról számos fórum és blog található az interneten, hanem a gyakorlati alkalmazására fókuszálunk. Persze mindehhez szükséges pár alapfogalmat tisztába tenni, melyekre maga a rendelet is támaszkodik.

Mi a GDPR, mi a lényege?


A GDPR (általános adatvédelmi rendelet) egy egységes európai szabályozás. A határidőt követően az eddigi szűk szabályozás helyett az új rendelet a beazonosítható személyes adatokat és az azok tárolását és felhasználását is szélesebb kőrre terjeszti ki. Innentől gyakorlatilag minden, ami alapján az illető beazonosítható.

A személyes adatok direkt és indirekt típusa. Direkt adatnak számít valaki neve, születési adatai, lakcíme, bankkártya száma stb. Ezzel szemben az indirekt adat nem köthető direkt módon egy felhasználóhoz, de több lépésen keresztül már igen. Ilyet pedig hozzájárulás nélkül nem kezelhetünk. A felhasználónak tehát hozzá kell járulnia ahhoz, mi az adatait kezelhessük vagy feldolgozzuk.

Itt arról van szó, hogy a felhasználó megkereshet minket, hogy a hozzá kapcsolódó személyes adatokat véglegesen (és visszamenőlegesen) töröljük.

Változás van a vállalati adatokban is, mert amíg eddig a vállalati emailcímekre, elérhetőségekre, adatokra nem vonatkozott a szabályzat, május 25.-től a szabályozás alá esnek azon vállalati adatok is, amelyek személyhez köthetőek.

Emberi és megkötés mentes

Üzleti emailcímek változása

Azaz az info@cegesweb.hu, vagy az beszerzes@cegesweb.hu emailcímek továbbra sem minősülnek személyes adatnak, a vezeteknev.keresztnev@cegesweb.hu igen. A gyakorlatban ez azt jelenti, hogy az céges adatbázisok ilyen jellegű adataira is engedélyt kell kérünk, lehetőleg a határidő lejárta előtt, a kérdések elkerülése végett.

Emberi és megkötés mentes

Magánszemélyek adatainak bekérése

A magánszemélyek adatainak bekérését eddig is szigorúan és igazoltan, bizonyíthatóan kellett rögzítenünk, itt mindössze néhány új technikai változtatásra és egy új, részletesebb adatvédelmi nyilatkozatra van szükség. Továbbá ki kell egészítenünk a természetes személyekkel kötött szerződésünket (az ÁSZF-et) egy adatkezelési tájékoztatóval.

Kire vonatkozik?

Amennyiben vállalkozásod iratai között legalább egy név szerepel - munkavállaló, alvállalkozó, vevő, lehetséges vevő, érdeklődő és bárki -, akkor ez Téged is érinteni fog!

Mint azt az előzőekben olvasható volt, mindenkire, aki személyes adatokat rögzít, gyűjt, tárol, használ, módosít vagy továbbít. Ők az ADATKEZELŐK, akiknek az adatokért felelősséget kell vállalniuk.

Emberi és megkötés mentes

Webáruház, weboldal üzemeltetők

A webáruház, weboldal üzemeltetők minden esetben adatkezelők. Weboldalukon adatokat személyes adatokat adnak meg a hírlevélhez, a vásárláshoz, a marketing tevékenységhez. Megadják a nevüket, emailcímüket, szállítási-, számlázási adataikat. A célt is ők határozzák meg, hogy mi történik ezen adatokkal, mire használja fel ezeket.

Más vállalkozások az adatkezelők megbízásából ezen adatokkal dolgoznak, az adatkezelők üzleti érdekeit szem előtt tartva, illetve az Ő működésük elengedhetetlen partnereként. Ők az ADATFELDOLGOZÓK. Ezen vállalkozások az adatkezelőktől megkapják a személyes adatokat, azokat feldolgozzák, tárolják, de az előírások betartásáért az adatkezelőknek kell felelősséget vállalnia. Az adatfeldolgozók csak végrehajtanak, mert gyakran részesei a folyamatok kialakításának a végső döntést minden esetben az adatkezelőnek kell meghoznia.

Emberi és megkötés mentes

Üzletviteli partnerek

A gyakorlatban azon cégek, amelyek az üzemeléshez szükségesek, könyvelő, tárhelyszolgáltató, online fizetés üzemeltetője, 3. feles rendszerek üzemeltetője; és az értékesítési folyamatban résztvevő partnerek, mint a reklámügynökség mind adatfeldolgozók.

Mi a teendő?

A rendelet nem csak a weboldal(áruház), a marketingrendszer működését, szabályozását érinti, hanem a cégnél rendelkezésre álló minden személyes adatot, így a munkavállalók, az ügyfelek adatait is számos Önvizsgálatot kell tartani, azonban jelen írás nem ezt hívatott érthetővé tenni, hanem a különféle marketing tevékenység gyakorlati aspektusait vizsgálja.

Itt számos tájékoztató és iratminta megvásárolható és letölthető a vállalkozás teljes adatvédelmi rendszerének kialakításához >>>

1. A legfontosabb, hogy a minden kezelt adatra kiterjedő, jogalapot, célt és a kezelést részletező Adatvédelmi Nyilatkozat elkészítése mindenki számára kötelező!

Mit tartalmazzon?

  • Az Adatkezelő neve, címe, elérhetősége
  • A kezelt adatok köre (pl, név, telefon, email)
  • Az adatkezelés célja (miért kezeled és mire használod, pl. hírlevél küldés, megrendelések teljesítése és számlázás)
  • Az érintettek köre • Az adatok megismerésére jogosult adatfeldolgozók és adatkezelők személye
  • Az adatkezelés időtartama: meddig tárolod az adatokat és mikor törlöd,
  • Hogyan tudja a felhasználó megtekinteni, módosítani vagy törölni a regisztrációkor adatait
  • Hogyan tudja módosítani vagy töröltetni az adatait (pl. emailben, telefonon, személyesen) • Mennyi idő alatt válaszolsz az adatok megváltoztatásával vagy törlésével kapcsolatos kérésekre
  • Tájékoztatni kell a felhasználót az adathordozhatósághoz való jogról.

Ez egy új fogalom, miszerint a személyes adat tulajdonosának kérésére indoklás nélkül ki kell adni minden vele kapcsolatos tárolt adatot, bármilyen céllal is akarja azt felhasználni és Ő jogosult azt más adatkezelőhöz továbbítani. Kérheti az adatok közvetlen továbbítását is, ha ez technikailag megvalósítható. (pl. korábbi vásárlási, előfizetői adatokat, amennyiben más kereskedőnek azt rendelkezésére bocsájtaná). Ezért költségtérítés nem kérhető.

Az Adatkezelési Nyilatkozat minta számos helyen elérhető, ügyfeleink számára mi is rendelkezésre bocsájtunk egy értelmezési leírással. Célszerű azt mindenkinek személyre szabni, saját jogászával átnézetni, átfogalmazni a vitás helyzetek elkerülése végett. A felelősség ugyanis minden esetben az adatkezelőt terheli, az adatok felhasználásával kapcsolatban és ez a felelősség átvállalási nyilatkozat nélkül másra nem áthárítható.

2. Gondoskodni kell az adatok biztonságáról

Az adatkezelő felelőssége az adatok biztonsága, hogy az illetéktelen kezekbe ne kerüljön.

Tájékoztatni kell a munkatársakat az adatkezeléssel kapcsolatos óvintézkedésekről (pl. ismeretlen leveleket ne nyissanak meg, ismeretlen szoftvereket ne töltsenek le, ismeretlen pendrive-ot ne használjanak).

A támadás, vagy elégtelen adatkezelésből eredő incidenseket 72 órán belül jelenteni kell illetékes felügyeleti hatóságnál. Azonban ennek alkalmazására még nincs jogi gyakorlat.

Az adatkezelő köteles biztosítani megfelelő védelmet rendszereinek megfelelő tűzfal, vírusírtó, esetleges időszaki mentés alkalmazásával.

3. Dokumentációs kötelezettség

(2) Minden adatfeldolgozó és – ha van ilyen – az adatfeldolgozó képviselője nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról; a nyilvántartás a következő információkat tartalmazza:

a) az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei;

b) az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;

c) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdése szerinti továbbítás esetében a megfelelő garanciák leírása;

d) ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása.”

GDPR alkalmazása a legjellemzőbb marketing tevékenységekhez:


Google Analytics és Facebook Analytics/Webtracking

Amennyiben az oldalon Analytics kód van beágyazva és ezen keresztül gyűjtöd a statisztikai adatokat semmi eddigiektől eltérő tevékenység sincsen szükség, hiszen a Google és a Facebook gyűjti közvetlenül a személyes az adatokat Ők az Adatkezelők és azt Neked már csak összesített statisztikai adatokként jeleníti meg, abból személyes adat nem kivehető.

További tájékoztatók:
https://policies.google.com/privacy?hl=hu
https://www.facebook.com/business/gdpr

Remarketing hirdetések, profilalkotás

Ha van az oldaladban beágyazva Adwords vagy Pixel kód már meg kell felelned a GDPR szabályoknak, igaz a remarketing adatgyűjtés mellett statisztikai adatgyűjtést is végeznek, mégis a profilalkotásnál, mikor meghatározott céllal és szabályzással a Google és a Facebook is neked adatokat gyűjt, amiket Te hirdetésre használsz fel. Ebben az esetben azonban Te vagy az adatkezelő az adatot gyűjtő vállalkozások csak adatfeldolgozó szerepet látnak el. Ebben az esetben az adatvédelmi tájékoztatóban szerepelnie kell a gyűjtés céljának és a felhasználás módjának. Ennek megírásában és pontos a technológia pontos megértésében segíthet a Google és a Facebook tájékoztatója is.

Adatvédelmi Tisztségviselő

Remarketing hirdetések alkalmazásakor adatvédelmi tisztségviselő felkérése szükséges, aki felel a cégnél a adatvédelmi szabályok betartásáért, de felelősségre nem vonható. A tisztségviselő lehet Te, munkatársad, külső alvállalkozó is, azonban előírás, hogy rendelkezzen a feladati elvégzéséhez a kellő adatvédelmi jogi és gyakorlati tudással.

Részletesen erről itt olvashatsz.

Hűségprogramok esetén (pl. amikor bizonyos vásárlói, érdeklődői csoportoknak egyedi ajánlatokat küldesz) szintén szükséges a tisztségviselő kijelölése.

Itt elolvashatod, milyen egyéb esetekben kell a GDPR szerinti adatvédelmi tisztségviselőt alkalmazni! 

E-mail, hírlevél, adatbekérés, kapcsolatfelvételi űrlap

Itt az elsődleges újítás, hogy a feliratkozó űrlapon nyilatkoztatni kell a adatvédelmi szabályzat elfogadásáról (itt elérhetővé kell tenni az adatvédelmi nyilatkozatot is), ennek elfogadása nélkül nem regisztrálhatjuk a jelentkezését. Ezt követően vagy elhelyezünk még egy X-elegendő négyzetet, hogy önszántából jelentkezik, vagy az eddigiekhez hasonlóan aktiváló levelet küldünk neki. Előírás, hogy ezen elfogadó és nyilatkozó jelölőnégyzeteket neki kell bejelölnie, az X alapértelmezetten nem lehet ott és nem helyettesíthető mással, pl. gombbal.

A feliratkoztató és adatbekérő űrlapokon innentől csak olyan személyes adatokat kérhetsz be, ami feltétlenül szükséges az adott tevékenységhez. Tehát pl. nem kérhetsz be egy hírlevélre való feliratkozáskor telefonszámot vagy lakcímet, ha az nem szükséges a Hírlevél kiküldéséhez, azonban bekérhetsz telefonszámot pl. egy kapcsolatfelvételi űrlapon, az oldaladon.

A fenti előírások bármely rendszerben történő adatbekérésnél (pl. Google Forms, Facebook Surveys) is a fentiek szerint kell történjen.

A nem marketing céllal alkalmazott Kapcsolatfelvételi Űrlapon is előírás az Adatvédelmi szabályzat elfogadására a jelölőnégyzet elhelyezése a fentiek szerint.

A hírleveleken továbbra is lehetőséget kell biztosítani leiratkozási, de a leiratkozási kérés esetén nem elég a levenni a levelezési listáról, hanem valóban fizikailag is törölni kell, de csak onnan ahonnan a leiratkozását kérte. A többi előzőleg beleegyezést nyilvánított céllal adatai felhasználhatóak (pl. a webáruház ügyfelei közül nem kell törölni)

Kérdőívek, piackutatás, játékok

Csak akkor van teendő, ha a kérdőíven személyes adatot kérsz be, ha csak szokásokat vizsgálsz, az adatokat anonim kéred be nincs semmi feladat. Azonban ha bármilyen elérhetőséget, nevet rögzítesz (pl. hogy elküld neki az eredményt, nyereményt) akkor el kell velük fogadtatni az adatvédelmi tájékoztatót, ahol az adatkezelés céljának szerepelnie kell annak tárolási idejével. Azonban reklámot, hírlevelet csak akkor küldhetsz ezt követően nekik, ha erre külön beleegyezést kérsz.


Az adatbekérésnél az egyik leglényegesebb szabály, hogy egy űrlap (ha több oldal is) annak céljával/céljaival és annak személyi adattartalmával kell engedélyeztetni. Az űrlapok egymástól függetlenül kezelendők, akkor is ha sorban egymás után kapja meg azt a kitöltője.