Blog

A GDPR-ról honlap- és webáruház tulajdonosoknak

(Becsült olvasási idő: 8 - 15 perc)

Valószínűleg mindenkinek ismerősen cseng GDPR 4 betűje, de azt már csak kevesen tudják, hogy mit is jelent valójában, illetve, hogy miként érinti a cégek életét, marketing tevékenységét, webes jelenlétét (honlapját valamint webáruházát).

A GDPR rendelet az Európai Parlament által megfogalmazott jogszabály, az elnevezés rövidítése az angol General Data Protection Regulation kifejezés mozaik szava, ami magyarul annyit tesz: Általános Adatvédelmi Rendelet. Az új szabályozás 2018. május 25-én életbe lép életbe. A Nemzeti Adatvédelmi és Információszabadság Hatóság szigorú ellenőrzéseket helyezett kilátásba, ezért érdemes kellő odafigyelést, időt és energiát szánni a felkészülésre.

A rendelet célja röviden, hogy a (személyes) adatokkal kapcsolatba kerülők pontosan meghatározzák az adatok beérkezésének és feldolgozásának módját, céljait, tárolásuk módját és annak időbeliségét.

Milyen adatokról van szó?

A GDPR rendelet elsősorban a személyes adatok védelmére fókuszál, ami a közfelfogással élve szinte mindenhol előfordulhatnak. Az elmúlt hetekben, ha a találkozóim alkalmával szóba került a GDPR több ügyfelem is rávágta, hogy "oké, de mi nem kezelünk személyes adatokat". Biztosan?! - kérdeztem. Ugyanis az ügyfelektől bekért bármilyen adat személyes adatnak minősül. A rendelet szerint személyes adat az az információ, amely alapján egy személy beazonosítható közvetlenül az adat tartalma alapján, vagy közvetett módon az adatot más adattal kiegészítve. Így akár az üzlethelyiségben működő kamerarendszer rögzített képe is az; valamint ha van a helyiségben WiFi, annak eszközei is egy rakás olyan információt tárolnak, ami személyekhez köthető. Nem beszélve a munkavállalókkal-, könyvelőkkel-, partnercégekkel való kommunikációról (Webáruházaknál a futárszolgálat is érintett fél például). Szóval csak akkor nem kerülsz kapcsolatba személyes adatokkal, ha egy zárt szobában ücsörögsz, elvágva a külvilágtól. De lehet úgy vállalkozást vezetni?!

A lényeg tehát még egyszer: a tudomásunkra jutott illetve kezelésünkbe került személyes és egyéb érzékeny adatokkal kapcsolatos tevékenységeket, azok kezelési és tárolási módját adatvédelmi szabályzatba kell rögzítenünk és ennek megfelelően kezelnünk.

Bár ebben a cikkben főként a GDPR internetes adatkezelési részére fókuszálok, látható, hogy ez a terület nagyon kis része annak az egésznek, amire a rendelet vonatkozik. Ha szeretnéd a céged teljesen felkészíttetni a GDPR-re, használd a GDPR Security adatvédelmi dokumentum sablonjait, amit a https://start.gdprsecurity.hu oldalon vásárolhatsz meg (a TM10khp kuponkóddal 10% kedvezményt kapsz a végösszegből). Az oldalon személyes tanácsadást is kérhetsz a cégtől, a tanácsadó telefonszámát regisztrációt követően láthatod majd.

Ki az adatkezelő és az adatfeldolgozó?

Fontos, hogy röviden tisztázzuk az adatokkal kapcsolatba kerülő személyek, azaz az adatkezelő és az adatfeldolgozó fogalmát.

  • Az adatkezelő felelős azért, hogy meghatározza meg az adatkezelés célját, kijelölje az adatfeldolgozókat és döntsön az adatok sorsáról.
  • Az adatfeldolgozó az adatkezelő utasításai alapján végezhet műveleteket a rendelkezésére bocsájtott adatokkal. Adatfeldolgozók azok a társaságok, ügynökségek, partnercégek, futárszolgálatok, stb., akik hozzáférhetnek a személyes adatokhoz, tárolhatják ezeket, illetve az adatkezelő megbízásából kijelölt célra felhasználhatják azokat. (Zárójelben megjegyzem, hogy előbbiek miatt a megfelelő adatfeldolgozó kiválasztása mindig az adatkezelő az felelőssége.)

A GDPR és a (web)marketing

Elkerülhetetlen, hogy a marketing tevékenység során személyes adatokat kezelj: már a piackutatástól kezdődően a további elemzéseken át akár egy egyszerű nyereményjátékig be fognak futni hozzád olyan személyes adatok, mint például teljes név, születési dátum, közösségi oldalak profiljai, postai- és E-mail címek, IP címek, stb. Emiatt adatkezelőnek minősülsz és felelősséggel tartozol a tudomásodra jutott adatokért.

  • Az adatokat csak úgy szabad bekérned az érintettekről, ha előtte pontos tájékoztatást adsz nekik az adatkezelés céljáról, módjáról és arról, hogy az adatokhoz kik férhetnek hozzá. Fontos változás, hogy az adatkezelési szabályzatodnak közérthetően kell fogalmaznia, könnyen befogadhatónak kell lennie és olyan nyelvezetet kell használnia, amit a célcsoportod biztosan meg fog érteni.
  • Biztosítanod kell, hogy az adatbázisodból az érintettek könnyen törölhessék az adataikat. Leegyszerűsítve például egy hírlevélre ugyanolyan egyszerű legyen leiratkozni, mint amilyen egyszerű volt feliratkozni rá.
  • Az adatok tárolásáról (mindamellett, hogy előre meghatározod az adattárolás idejét) úgy kell gondoskodnod, hogy ahhoz illetéktelenek ne férhessenek hozzá, ellenkező esetben magas bírságokra számíthatsz (amely akár 20 millió euró vagy az éves árbevételed 4%-a is lehet). Minden adatvédelmi incidenst (például adatbázis feltörést, adatlopást vagy ha az adatok egy rendszerhiba miatt megsemmisülnek) haladéktalanul jelentened kell a hatóság felé.

Leegyszerűsítve a hatóság elvárása az, hogy az érdeklődők marketing célú hozzájárulásait külön kell kezelni és egyértelmű hozzájárulást kell kérni tőlük minden egyes nyilatkozathoz.

Honlapok, webáruházak és a GDPR

Mindenekelőtt a legfontosabb, hogy feltöltsd az adatkezelési tájékoztatódat a honlapodra és erre a tájékoztatóra minden adatbekérés előtt felhívd a látogató figyelmét. Tehát a honlapod összes adatbekérő felületére (regisztrációs oldalra, üzenetküldő alkalmazásokba, kapcsolatfelvételi illetve ajánlatkérő űrlapra, a letöltéseket E-mail címért cserébe biztosító alkalmazásokba) fel kell tenned plusz egy kijelölhető opciót (checkbox-ot), ahol a látogató kijelenti, hogy megismerte és elfogadja az adatkezelési nyilatkozatodat.

Különösen fontos, hogy erre az opcióra való kattintással megnyitható legyen az adatkezelési információkat tartalmazó oldalad; valamint hogy az űrlapot csak akkor küldhesse le a látogató, ha elfogadta ezt az opciót (ügyelj rá, hogy ellenkező esetben az űrlapot ne lehessen elküldeni, azaz adatok ne érkezzenek be hozzád). A GDPR szerint az adatkezelőnek kell ugyanis bizonyítania, hogy az adatkezeléshez az érintett hozzájárult.

Az 4 legfontosabb dolog, amit tartalmaznia kell az adatvédemi nyilatkozatodanak:

  1. A valódi (tényleges) adatkezelő nevét és adatait (címét, cégjegyzékszámát, stb).
  2. Fel kell tüntetened az összes adatfeldolgozó ("segítő") adatait.
  3. Meg kell jelölnöd az adatkezelés célját és időtartalmát. Az adatokat ezután csak erre a célra és eddig az ideig használhatod fel.
  4. Részletes ismertetőt kell adnod arról, hogy ki hogyan, miért kezeli az adatokat a cégedben. Ez minden esetben cégfüggő, a saját üzleti gyakorlatodat és értékesítési folyamataid figyelembe véve kell megírnod (nincs rá általános formula).

2018. május 25. után nem végez több adatvédelmi auditot a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH), az adatkezelés szabályait ezentúl a GDPR rendelet határozza meg. Amennyiben adatvédelmi tisztviselőt kell kijelölnöd (csak speciális esetekben van erre szükség), őt itt tudod bejelenteni: http://naih.hu/adatvedelmi-tisztvisel--bejelent--rendszer.html

Fentieken túl ne feledkezz meg arról sem, hogy a honlapon használt mérőkódok, konverziókövetők vagy elemző szoftverek (Google Analytics valamint Remarketing kód, Facebook Pixel, stb.) szintén tárolnak személyes adatokat, így erről is tájékoztatnod kell a látogatókat, valamint ezen adatok felhasználásának módját is tartalmaznia kell a honlapra, webáruházadra szabott adatvédelmi szabályzatnak.

Cégen belül a honlapot vagy webáruházat kezelők feladatainak és jogosultságainak körét, az adatbiztonsági követelményeket és az adatvédelmi incidensekre vonatkozó cselekvési tervet belső szabályzatban kell meghatároznod, melyhez ajánlott jogi szakértő segítségét kell kérned.

Ha valaki az adatainak törlését kéri tőled, akkor a honlap vagy webáruház kezelőjeként haladéktalanul eleget kell tennied ennek, de legfeljebb a kérelem beérkezésétől számított 1 hónapon belül tájékoztatnod kell őt a jogai érvényesítésével kapcsolatos intézkedésekről. (Sok kérelem esetén ez a határidő további 2 hónappal meghosszabbítható.) Ellenkező esetben az érintett panaszt nyújthat be az adatvédelmi hatóságnál és élhet a bírósági jogorvoslat jogával.

Ha konzultáltál jogi szakértővel és szeretnéd a honlapodat vagy Webáruházadat technikailag is felkészíteni a GDPR-ra, kérd a segítségünket elérhetőségeinken!

E-mail, hírlevelek és a GDPR

Régen a hírlevél feliratkozás box úgy nézett ki, hogy a honlap bekérte az E-mail címet a látogatótól, és egy feliratkozás gombra való kattintással rögzítette azt. Az előző bekezdésekben leírtakkal összhangban mostantól ezeket az űrlapokat úgy kell elkészítetned (átalakítatnod), hogy legyen rajta egy plusz opció, amit a látogató "bejelölve" kijelenti, hogy megismerte és elfogadta az adatkezelési nyilatkozatot. Ebben az új opcióban hivatkoznod kell az adatkezelési szabályzatodra, a szabály pedig az, hogy az adatbekérő űrlaptól legfeljebb 2 kattintásra "távolságra" lehet ez a dokumentum. Valamint felhívnám a figyelmedet arra is, hogy ezt az opciót a látogatónak kell elfogadnia, nem lehet alapból "bepipálva" hagyni, mert az szintén bírságot von maga után.

A hírlevél célú adatbekéréseknél fentieken túl hozzájárulást is kell kérned a látogatótól, hogy számára hírleveleket is küldhess. Ezt tehát az eddigiekhez képest a második olyan bejelölhető plusz opció, amelynek egy GDPR-kompatibilis feliratkozó űrlapon szerepelnie kell.

Ezt a két opciót nem lehet összevonni, így ha hírlevelezni szeretnél, két külön jelölhető opciós mezőt kell közzé tenned a feliratkozó űrlapon. Az adatkezelés mellett ugyanis meg kell szerezned a felhasználó külön hozzájárulását ahhoz, hogy marketing tartalmú hírleveleket küldhess neki.

  • E-mail küldésekor ügyelj rá, hogy a küldőnél az adatkezelő pontos nevét kell feltüntetned. Amennyiben márkanevet használsz, úgy a szövegezésben kell feltüntetned az adatkezelő nevét.
  • A címzett csak az az egy személy lehet akinek a levelet küldöd. A címzettek nem láthatják egymás E-mail címét, hiszen az már jogellenes adatkezelésnek minősül, amiért bírságol a hatóság.
  • Az E-mail végén (a szövegezés alatt) minden akalommal hivatkoznod kell az adatvédemi szabályzatra, valamit biztosítanod kell a címzettnek a leiratkozás lehetőségét is.

Ne felejtsd el, hogy a levél alján lévő linken túl a látogatónak a honlapodon is biztosítanod kell, hogy bármikor ugyanolyan egyszerűen leiratkozzon a hírleveledről (és törölhesse az adatait az adatbázisodból), mint amilyen egyszerűen feliratkozott rá.

Közösségi oldalak és a GDPR

Akkor is adatkezelőnek minősülsz, ha a vállalkozásodnak van közösségi oldala (például: Facebook, Instagram, Twitter, Stb.). Hiszen az ezeken végzett tevékenységek során hozzád, mint az oldalak tulajdonosához vagy megbízottjaidhoz is befutnak személyes adatok (többek között mint teljes név, profilkép, e-mail cím, telefonszám, egyéb adatok ha kampányokat futtatsz), melyek kezeléséért és bárminemű felhasználásáért felelősségel tartozol. Célszerű tehát a honlapra feltöltött adatkezelési nyilatkozatodat a közösségi oldaladról is elérhetővé tenni, abban pedig ajánlott szót ejteni az ezen oldalakon kezelt adatokról is.

Mi a teendőd adatvédelmi incidens esetén?

Előfordulhat, hogy a továbbított, tárolt vagy más módon kezelt adatok véletlenül vagy jogellenesen megsemmisülnek, elvesznek, megváltoznak, vagy valaki azokhoz jogosulatlan hozzáférést szerez. Ha ilyen történik, azt a honlap illetve webáruház tulajdonosának késedelem nélkül, de legkésőbb 72 órával az esemény tudomásodra jutása után jelentened kell az adatvédelmi hatóság felé egy úgynevezett adatvédelmi incidens jegyzőkönyv minta segítségével. (Melynek formai és tartalmi követelményeit pontosan meghatározza a GDPR rendelet.) Ha 72 órát túlléped, csatolnod kell a bejelentéshez a késedelem okának igazolására szolgáló dokumentumokat is. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár, akkor késedelem nélkül tájékoztatnod kell az ügyfeleidet is erről egy megfelelő nyilatkozat segítségével. Nincs bejelentési kötelezettséged akkor, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Elsősorban azonban a megelőzésről kell gondoskodnod: kiemelten fontos lesz ezután a honlapod és webáruházad informatikai és adatbiztonsági rendszerének felülvizsgálata, folyamatos szakember általi felügyelete, fejlesztése. Ezen túlmenően cselevési tervet is ki kell kidolgoznod az esetleges adatvédelmi incidensekre vonatkozóan.

Témakörönkénti összefoglaló a GDPR által bevezetett legfontosabb változásokról:

  1. Személyes adatvédelem - Az egyénnek joga van a személyes adataihoz való hozzáférésre, azok exportálására, törlésére, adatainak javítására, módosítására; valamint kifogást emelhet a személyes adatok kezelése ellen.
  2. Szabályozás és értesítések - Avállalkozások kötelesek megfelelő biztonsági megoldásokat alkalmazni a személyes adatok védelmére; értesíteniük kell a hatóságokat a személyes adatok adatokat érintő incidensekről; hozzájárulást kell kérniük a személyes adatok gyűjtéséhez; rögzíteniük kell az adatkezelési tevékenységeket.
  3. Átláthatóság - A vállalkozások kötelesek olyan szabályokat alkalmazni, melyek egyértelmű tájékoztatást adnak az adatgyűjtésről; leírják miért és mikor történik a személyes adatok feldolgozása; meghatározzák az adatmegőrzésre és törlése vonatkozó szabályokat.
  4. Informatika, Web és képzés - A vállalkozások kötelesek alkalmazottjaikat adatvédelmi és biztonsági gyakorlatokból továbbképezni; frissíteni az adatvédelmi irányelveiket; az előírásoknak megfelelő beszállítói szerződéseket kidolgozni; és szükség esetén adatvédelmi tisztviselőt alkalmazni.

Ezenkívül felhívom a figyelmed, hogy ez a tájékoztató leírás nem tekinthető és nem is minősül jogi tanácsadásnak, a cégedben használt rendszerek és folyamatok teljes GDPR kompatibilissá tételének érdekében konzultálj jogi szakértővel! A rendeletről további anyagokat közérthetően az Európa Parlament oldalán, a http://ec.europa.eu/justice/smedataprotect/index_hu.htmhttp://ec.europa.eu/justice/smedataprotect/index_hu.htm címen is olvashatsz.

Miről olvashatsz a Blogban?

Napról-napra rengeteg újdonság jelenik meg az interneten és legalább ennyi dolog változik is. Ha honlapod vagy webáruházad van nagyon fontos, hogy lépést tarts ezekkel a változásokkal! Ezen a blogon minden olyan információt megtalálsz, ami az online jelenléted szempontjából fontos lehet számodra. Így nem kell információk után keresgélned - elég elolvasnod az írásaimat, utána pedig nyugodtan a cégedre fókuszálhatsz!

Timár Mátyás

Timár Mátyás vagyok, honlapkészítéssel, webfejlesztéssel foglalkozom 2005 óta. A szakmám a hobbim is egyben: az a feladatom, hogy odafigyeljek ügyfeleim honlapjaira, webáruházaira és online kampányaira, így ők kézzel fogható eredményeket érjenek el az interneten. Ha te még nem vagy az ügyfelem akkor is számíthatsz rám: bejegyzéseimmel neked is segítek, hogy "képben legyél" minden olyan témában, amiről fontos tudnod és ismerj minden olyan trükköt, amit vállalkozóként eredményesen használhatsz a weboldaladon.

Kérj árajánlatot!

Bízd profikra az új honlapodat! Kérj ajánlatot, megkeresésedre pár órán belül válaszolunk!

Ajánlatkérés

Kisalföld

Kövesd a Netes újdonságokkal, honlapkészítéssel és webmarketinggel foglalkozó Blogomat a Kisalföld.huBlogomat a Kisalföld.hu-n is!

WebID - Honlapkészítés

 9081 Győrújbarát, Petőfi utca 59.

 Hétfő - péntek 10:00-16:00

 +36-30/542-1588

Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.

Ajánlatkérés

Hasznos tippek E-mailben

Csatlakoz hozzánk és E-mailben elsőként értesítünk minden Netes újdonságról, ami a vállalkozásod számára fontos.

Leveleinket Mailchimp-pel küldjük.

Kövess a Twitteren!

Saeco szilikoncső tejhabosítóhoz 3.500 Ft / 30 cm, hagyományos szilikoncső dettó ugyan ehhez 100 Ft / m.
Kövess a Twitteren!

Telefonálj!