GDPR tájékoztató
a Keresőreklám Online Reklámügynökség ügyfeleinek
a Keresőreklám Online Reklámügynökség ügyfeleinek
2018. május 25-én életbe lép a GDPR, az Európai Unió új általános adatvédelmi rendelete. Ez mindenkit érint, aki valamilyen formában adatot kezel vagy felhasznál. Jogi tanácsadásnak nem minősülő, de a témában elmélyült hátterű leírásunk kifejezetten azzal a céllal készült hogy a pánikhangulat közepette egy józan, gyakorlatias, használható összeállítással segítsük ügyfeleinket kiigazodni a témában, amely nem olyan bonyolult mint elsőre tűnik. Ha további kérdése lenne, kérjük keresse cégünk adatvédelmi szakértőjét:
Benke Mihály
KERESŐREKLÁM ONLINE REKLÁMÜGYNÖKSÉG
https://keresoreklam.hu
info@keresoreklam.hu
Skype: marketing.keresoreklam
Örs Vezér Irodaház
1106 Budapest, Fehér út 1. B ép. VI. em. 611.
Jogi háttér dióhéjban:
Az adatkezelés szabályozása a GDPR életbe lépése előtt is összetett terület volt. A magyar Alaptörvény általános egy mondattal fogalmazza meg a lényeget: "Mindenkinek joga van személyes adatai védelméhez". Ennek gyakorlati megvalósulását biztosítják a különböző rendű és rangú törvények, rendeletek, soft-law praktikák és állásfoglalások.
Május 25-től a jogi hierarchia szabályai szerint közvetlenül a következő legmagasabb lépcsőként hatályba lép egy EU rendelet, amely erősségét tekintve a magyar törvényekkel van egy szinten. Vannak azonban szándékosan kihagyott területek, amiket nem szabályoz aprólékosan. Ezeket az adott ország ún. ágazati törvényei egészítik ki elsősorban. Nálunk ezek közül a legfontosabbak az "Info tv.", a "Reklám tv.", az "Elektronikus kereskedelmi tv.", a "DM tv." A tényleges jogi szabályozás alatt következnek az iránymutatások, állásfoglalások, a NAIH és bírósági gyakorlatok.
A fenti felépítményről azt fontos tudni, hogy megvan a GDPR, de nincs még kész az új Info tv. (2018.05.18.), és nincsenek készen a további ágazati tv-ek "GDPR-hoz igazításai" sem. Iránymutatások többé-kevésbé már vannak (van, ami csak angolul), ezek a NAIH oldalán elérhetőek, gyakorlat pedig nyilván a hatályba lépést követően lesz látható.
Az egyik legfontosabb hiány jelen pillanatban, hogy amíg nem születik új Info tv. vagy legalábbis egy kiegészítő módosítás, addig nem éles a NAIH hatósági jogosultsága, azaz elvileg nem büntethet. Azonban van rá esély, hogy akár május 25. előtt nem sokkal, akár ezt követően pár nappal, villámgyorsan annyi kiegészítést megkap az Info tv., hogy a NAIH eljárhasson, erre tehát nem építhetünk, hogy emiatt ne tartsuk be "a GDPR"-t. A legesélyesebb, hogy egy részletesebb Info tv. frissítés, illetve az ágazati tv-ek kiegészítései a jogalkotás őszi ülésszakában születnek meg. Rengeteg dolog van a GDPR-ral kapcsolatban amit viszont már biztosan lehet tudni, és fel lehet rá készülni.
A GDPR célja
A személyes adatok védelme. Legyen szó akár egy vállalkozás ügyfeleiről, vásárlóiról, hirdetési célcsoportjáról, alkalmazottainak adatairól, a GDPR mindenhol a természetes személyek adatait szándékozik védeni, és ennek módjait számonkérhetően leszabályozni. A GDPR alapvetően a lenti alapfogalmakkal modellezi le, hogy a személyes adatok kezelése során ki, mit csinálhat, mire kell figyelnie, mik a kötelező teendői.
- Személyes adat: (közvetlenül vagy közvetetten) azonosított v. azonosítható természetes személyre (="érintett") vonatkozó bármely információ. Ezen belül egy nevesített szűkebb adatcsoport (pl. faji v. etnikai származásra, vallásra v. egészségügyi adatokra vonatkozó információ) pedig különleges személyes adat. Aki személyes adatot kezel, arra "a GDPR" fog vonatkozni.
- Adatkezelő: minden vállalkozás (vagy természetes személy), aki saját céljai érdekében, a maga által meghatározott módokon és eszközökkel személyes adatokat kezel. (Pl. majdnem minden vállalkozás.)
- Adatfeldolgozó: az adatkezelő olyan partnere, amely az adatkezelő megbízásából, az adatkezelő céljainak megfelelően jár el, saját új célokat, feldolgozási módokat pedig nem telepít az adatkezelésre. (Pl. tárhelyszolgáltató, könyvelő, külső marketinges stb.)
- Címzett: olyan további hatósági szereplő, akinek bizonyos meghatározott esetekben, az adatkezelő, adatokat köteles továbbítani. Pl. adóhatóság, vagy rendőrség
Miért nincs ok az aggodalomra
A GDPR-ral kapcsolatos aggodalmak fő fűtőeleme, hogy nagyon magas elvi büntetési tételeket rendeltek a szabályok betartatásához. A józan ész szerint, továbbra sem pl. a kkv-kat tervezik 20 millió euróra büntetni, és várhatóan a hatálybalépést követően is egy esetleges büntetésnél arányos lesz a tétel a vállalkozás méretével, a jogsértés súlyosságával, az érintettek darabszámával, és az érdeksérelem/kár mértékével. A mi meglátásunk szerint nincs ok az pánikra.
Az eddigi magyar szabályozás az egyik legszigorúbb európai szabályozásnak számított, tehát aki a jelen pillanatban érvényes adatkezelési szabályokat már betartja (pl. nincs engedély nélküli hírlevelezés, van impresszum, ÁSZF, adatkezelési tájékoztató, cookie tájékoztató, megfelelő checkbox-okkal kontrollált hozzájáruláskezelés témánként, NAIH bejelentés stb.) annak sokkal kevesebb teendője és félnivalója van. Azok, akik esetlegesen még a jelen szabályozás szerint se tettek semmit a témában, most tanácsos, hogy a fontosabb lépéseket végrehajtsák. A GDPR-nak szinte nincs 100%-os megfelelés, illetve az irracionális erőforrásokba kerülne, azonban törekednünk kell arra, hogy ezt megközelítsük, és ha így teszünk, nem lesz probléma.
Kiemelt területek
HR, hírlevelezés, online marketing, ügyféladatbázisok. Egy cégnél minimum a munkavállalói adatokat kezelni kell, de a HR területén több más GDPR érzékeny téma is van. Marketingben klasszikusan érzékeny a hírlevelezés, a telefonos, vagy postai DM, illetve az egyéb online reklám területe, mint például a Google Ads, Facebook, Google Analytics. Fontos továbbá áttekinteni minden olyan adatbázist, illetve folyamatot, amelyben az adott cég, illetve adatfeldolgozónak minősülő partnere személyes adatot tárol.
Új nyilvántartások, bizonylatok
A NAIH bejelentést leváltja a belső adatkezelői nyilvántartás. A korábbihoz nagyon hasonló struktúrában vezetni kell, hogy hol, mikor, milyen módon, milyen adatokat kezelünk, meddig kezeljük, ki férhet hozzá. Ez egy olyan dokumentum, amit vélhetően elsőként fog kérni a NAIH egy vizsgálatnál, ez tehát mindenképpen készüljön el. Innen letölthető egy ilyen adatvédelmi nyilvántartás sablon. Fontos, hogy május 25-től ez már kell, de az új Info tv-ig nem egyértelmű, hogy a NAIH bejelentés teljesen elhagyható-e. Aki biztosra akar menni, mindkettőt tegye meg.
Szügség lesz még:
-Adatvédelmi incidens "lepapírozásának” dokumentumára. Ez remélhetőleg nem, vagy csak ritkán fordul elő. Itt külön szabályok vannak, hogy ha megtörtént a baj, milyen esetben elég házon belül feljegyzést készíteni, mikor kell az adatvédelmi hatóságnak is jelezni, illetve az érintetteket is tájékoztatni
- Címzett (hatóság) részére történő bármilyen adattovábbítás dokumentálására
- Adatfeldolgozói szerződésekre az ennek minősülő partnerekkel (lásd lentebb)
Adatkezelési tájékoztató, impresszum, ÁSZF, cookie policy
A korábbi adatvédelmi szabályozás kapcsán is már ismert fenti anyagokat (adatkezelési tájékoztató, impresszum, ÁSZF, cookie policy) nagyon ajánlott elkészíteni, mivel ezek megléte vagy hiánya jelzi a hatóságok számára, hogy foglalkozunk-e egyáltalán a GDPR-ral, "érdemes-e" minket vizsgálni.
Lemásolhatok egy jól megírt adatvédelmi tájékoztatót vagy cookie policyt?
Ezek az anyagok olyan kiemelt fontosságúak a szabályozás betartása szempontjából, hogy nem, vagy csak korlátozottan vonatkoznak rájuk a szerzői jogi védelmi szabályok. Ha rendelkezésre áll a GDPR-ral már összhangba hozott jó minőségű anyag a fenti témákban, azt magunkra írva át szabad emelni akár a konkurenciától is. Persze nem mindegy hogy mit. Ha egy webshop egy másik e-kereskedő helyett egy szolgáltatást nyújtó vállalkozástól emeli át az ÁSZF-et, akkor az valószínűleg nem lesz megfelelő.
A GDPR "két szentsége": jogalap, tájékoztatás
Bármilyen adatkezeléssel kapcsolatos 2 legfontosabb kérdés, hogy van-e rá jogalapunk, és megtörtént-e az érintett tájékoztatása. Ami nagyon fontos, hogy a GDPR rendelkezései alapján mindig az adatkezelőt terheli a bizonyítás kötelezettsége, azaz be kell tudnunk bizonyítani, hogy volt jogalapunk, és megtörtént a tájékoztatás.
Többféle adatkezelési jogalap létezik. Ezek közül van, aminek létrejöttéhez nem kell külön adatkezelésre vonatkozó aktus. Például munkaszerződés alapján kezelhetjük az alkalmazottak vonatkozó adatait. És van ahol az adatkezelés által érintett személy aktív közreműködése szükséges. Ilyen adatkezelési jogalap például a hozzájárulás, ami mondjuk egy hírlevél feliratkoztatáshoz szükséges.
A GDPR részletezi mind a jogalapokat, mind a hozzájárulás formáit, ezeket mind fontos részletesebben is megismerni, ez az egyik fő alapja, hogy értelmezni és minősíteni tudjuk a céges folyamatainkat adatkezelési szempontból. Marketing szempontból a hozzájárulás jogalap a legfontosabb és leggyakoribb.
Adatfeldolgozói szerződés
A GDPR szerint minden adatkezelés az adatkezelő érdekében, és az adatkezelő által meghatározott módokon történik, aminek a megvalósításában adatfeldolgozó segíthet neki. Tekintettel arra, hogy a felelősség alapelvként mindig az adatkezelőt terheli, fontos, hogy e két szereplő kapcsolata írásban is rögzítésre kerüljön, ez lesz az adatfeldolgozói szerződés, amelynek tartalmára vonatkozóan meglehetősen konkrét előírások találhatók a GDPR-ben. Miután ez kijelöli a kereteket és felelősségi határokat, az adatfeldolgozó minden adatkezeléssel kapcsolatos utasítást írásban kell, hogy megkapjon. Ez tehát mindkét fél számára egy tipikus GDPR-os, új dokumentációs terület. Innen letölthető az adatfeldolgozói szerződésmintánk.
Érintettek jogai
Az érintettek kérhetnek
a, tájékoztatást,
b, helyesbítést,
c, törlést, zárolást, személyes adataikkal összefüggésben
Szükség esetén a NAIH-hoz vagy NMHH-hoz fordulás mellett az érintettek bírósági jogorvoslattal élhetnek, kártérítést követelhetnek. A hozzájárulással együtt ezen jogok adják meg az információs önrendelkezési jog tartalmát. Kapcsolódó jog még a hordozhatósághoz való jog. Fontos azonban, hogy ezen jogaik nem írják felül a GDPR egyéb rendelkezéseit, különösen azt nem, hogy amíg jogalapunk van, kezelhetünk személyes adatokat akkor is, ha az érintett pl. azok törlését kérte. Tipikus eset például, hogy az adatkezelőnek utólag bizonyítani kell tudnia, hogy milyen kérésre, mikor, kinek, mit és honnan törölt = "jogos érdek". Hasonlóan pl. hírlevél leiratkozókról, vagy onnan törlést kérőkről is gyakorlatilag plusz listát kell vezetni a törléskérésről, nem pedig törölni mindent, hogy fellelhetetlen és bizonyíthatatlan legyen. A tájékoztatási kötelezettség viszont fennáll, tehát az érintettet tájékoztatni kell arról, hogy milyen adatát kezeljük. Mivel szükségtelenül fokozza a kedélyeket, ha a törléskérésre az a válasz, hogy "ok törölve lett innen- és innen, de mégis vezetem az adatait itt és itt" ezért célszerű már előre az adatkezelési tájékoztatóban kitérni arra, hogy a bizonyíthatóságot biztosító jogi kötelezettség miatt az érintett adatainak kezelése más formában tovább folytatódik.
Hatály, visszamenőlegesség, korábbi adatbázisok, címlisták
Mi legyen a GDPR előtt gyűjtött adatainkkal, pl. egy hírlevél címlistával? A GDPR-t konzervatívan értelmezve minden olyan adatkezelés folytatódhat csak, ahol tudom bizonyítani, hogy van jogalap (hírlevél esetében megtörtént a hozzájárulás), és a tájékoztatás is megtörtént, amit az érintett elfogadott. Ha ezt nem tudom teljesíteni a legbiztosabb a törlés. Legkésőbb május 25-ig ki kell fehéríteni ezeket a listákat, utána az új adatok már felhasználhatók lesznek. Lazább GDPR értelmezés szerint, ha az adatbekerülés pillanatában az akkor hatályos feltételeket teljesítettem, nem kizárt, hogy jogom van az anyaghoz, azonban az ezt a hozzáállást képviselők már kockázatnak teszik ki magukat, hogy ez az érvelésük megáll-e majd, ha történetesen épp bizonyítási kényszer van rajtuk egy eljárásban. Szürkezóna a meglévő listák kifehérítése. Itt az az érdekes helyzet, hogy a GDPR kevésbé szigorú, mint az éppen hatályos magyar Info tv., mivel a GDPR szerint elvileg küldhetünk arról e-mailt, hogy erősítse meg hozzájárulását, hogy rajta van az adott címlistán, azonban a magyar infotv. szerint már ez az e-mail is spamnek minősül, tehát ez a módszer mégsem ideális. Ilyenkor új tájékoztatás és új hozzájárulás mellett (az érintett újra meglátogatja honlapunkat más marketing csatornán keresztül) vagyunk igazán biztonságban.
Szemléletváltás
A GDPR a sok-sok gyakorlati lépés mellett egy kevésbé kézzelfogható, de hangsúlyos követelményt is támaszt: szemléletváltást ír elő a gazdasági folyamatok tervezésénél. A lényege, hogy mindent, ami GDPR, legfőképpen az adatkezelési elveket, az érintettek jogait már a gazdasági folyamatok kialakításánál "by design" vegyék figyelembe a szereplők, pl. azt, hogy eleve ne kérjünk be olyan adatot egy szerződéshez, ami nem szükséges a teljesítéséhez. Újító vállalkozói ötleteknél, új termékeknél, szolgáltatásoknál, innovatív adatkezeléseknél adatvédelmi hatásvizsgálatot is kell végezni, ami elsősorban az érintettekre vonatkoztatott potenciális kockázatokat kell, hogy mérlegelje, és adott esetben az adatvédelmi hatósághoz is be kell jelenteni, illetve jóváhagyatni.
Adatvédelmi tisztviselő
A GDPR nevesített esetekben adatvédelmi tisztviselő (DPO) kinevezését/megbízását írja elő, akit a hatóságnak is be kell jelenteni. Ez az egyik olyan kérdés, amelyben sokszínű az értelmezés attól kezdve, hogy minden webshopnak kell DPO, addig, hogy csak a Google-nek kell, mindenféle vélemény olvasható. A definíció szerint nem a közszférában, és nem különleges személyes adat kezelése esetén, azaz "normál esetben" csak akkor kellene adatvédelmi tisztviselő, ha az adatkezelő fő tevékenységének része az érintettek rendszeres és szisztematikus, nagymértékű megfigyelése. Egy tipikus webshop fő tevékenysége a kereskedelem, és még egy okosabb remarketing hirdetési forma is csak mellékes marketing. A definícióból következően inkább van szó pl. egy heatmap készítő cégről (mondjuk Hotjar) vagy egy magándetektív kamerázási tevékenységéről, mint egy átlagos vállalkozásról. Ha valakinél mégis DPO-t kell kijelölni, a GDPR tovább részletezi az alkalmazandó összeférhetetlenségi szabályokat, illetve a működésének a leírását.
Mi legyen az online marketing kampányokkal, a cookie-kkal, a mérőkódokkal, a remarketinggel?
A GDPR jelenlegi formájában csak részleteket szabályoz a fenti modern, komplex területből. Átfogóbb szabályozás az EU ún. "ePrivacy Regulations" csomagjában várható, ez azonban még nem készült el. Az átmeneti időszakban a GDPR és a magyar ágazati törvények általános elveit, ill. néhány vonatkozó szabályát kell alkalmazni. A GDPR pl. kifejezett hozzájárulást, és további kikötéseket szab feltételül "profilozás" jellegű automatizált marketinges adatkezelésekhez.
A szerint a lényeg hogy elvileg minden különböző típusú sütihez (marketing, statisztikai stb.) külön-külön hozzájárulás kell, és nem lehet egy hozzájárulást kérni mindenhez egyszerre. Mivel a sütik eleve egy oldal megnyitása és bármilyen jóváhagyás előtt települnek egy látogató böngészőjére, ezért egyelőre teljesen életszerűtlennek tűnik a szabályozás, és a szakma is csak találgatja, hogy mi legyen az üdvözítő megoldás.
Az átmeneti helyzethez való alkalmazkodás részeként felmerül bizonyos korábbi hirdetési technikák, funkciók "lebutítása", esetleges teljes lekapcsolása május 25-től. Partnereinknél ezzel kapcsolatban mindig az egyedi körülmények jellemzőit figyelembe véve a megbízóval együtt (ő adatkezelő, a marketingcég általában adatfeldolgozó) tudjuk eldönteni, hogy milyen eljárás lehet a legcélravezetőbb.
Összefoglalás:
Fenti tájékoztatót segítségül szántuk, de tisztában vagyunk vele, hogy ez nem teljeskörű. A GDPR konkrét alkalmazásához figyelembe kell venni az adott vállalkozás sajátosságait, illetve jelen pillanatban még vannak részei a kérdésnek amiket még csak most dolgoz ki a törvényhozás. Hangsúlyozzuk, hogy iránymutatásunk nem minősül jogi tanácsadásnak. Akinek a téma ilyen mélységű megközelítése nem elegendő, hanem jogi garanciákkal is rendelkező GDPR szakértővel szeretne konzultálni, jelezze nekünk, ebben is tudunk segíteni. Kapcsolatban állunk adatvédelmi szakértő jogászokkal, akik közül fogunk tudni ajánlani megfelelő kompetenciákkal rendelkező szakembert.
Benke Mihály
KERESŐREKLÁM ONLINE REKLÁMÜGYNÖKSÉG
https://keresoreklam.hu
info@keresoreklam.hu
Skype: marketing.keresoreklam
Örs Vezér Irodaház
1106 Budapest, Fehér út 1. B ép. VI. em. 611.
Jogi háttér dióhéjban:
Az adatkezelés szabályozása a GDPR életbe lépése előtt is összetett terület volt. A magyar Alaptörvény általános egy mondattal fogalmazza meg a lényeget: "Mindenkinek joga van személyes adatai védelméhez". Ennek gyakorlati megvalósulását biztosítják a különböző rendű és rangú törvények, rendeletek, soft-law praktikák és állásfoglalások.
Május 25-től a jogi hierarchia szabályai szerint közvetlenül a következő legmagasabb lépcsőként hatályba lép egy EU rendelet, amely erősségét tekintve a magyar törvényekkel van egy szinten. Vannak azonban szándékosan kihagyott területek, amiket nem szabályoz aprólékosan. Ezeket az adott ország ún. ágazati törvényei egészítik ki elsősorban. Nálunk ezek közül a legfontosabbak az "Info tv.", a "Reklám tv.", az "Elektronikus kereskedelmi tv.", a "DM tv." A tényleges jogi szabályozás alatt következnek az iránymutatások, állásfoglalások, a NAIH és bírósági gyakorlatok.
A fenti felépítményről azt fontos tudni, hogy megvan a GDPR, de nincs még kész az új Info tv. (2018.05.18.), és nincsenek készen a további ágazati tv-ek "GDPR-hoz igazításai" sem. Iránymutatások többé-kevésbé már vannak (van, ami csak angolul), ezek a NAIH oldalán elérhetőek, gyakorlat pedig nyilván a hatályba lépést követően lesz látható.
Az egyik legfontosabb hiány jelen pillanatban, hogy amíg nem születik új Info tv. vagy legalábbis egy kiegészítő módosítás, addig nem éles a NAIH hatósági jogosultsága, azaz elvileg nem büntethet. Azonban van rá esély, hogy akár május 25. előtt nem sokkal, akár ezt követően pár nappal, villámgyorsan annyi kiegészítést megkap az Info tv., hogy a NAIH eljárhasson, erre tehát nem építhetünk, hogy emiatt ne tartsuk be "a GDPR"-t. A legesélyesebb, hogy egy részletesebb Info tv. frissítés, illetve az ágazati tv-ek kiegészítései a jogalkotás őszi ülésszakában születnek meg. Rengeteg dolog van a GDPR-ral kapcsolatban amit viszont már biztosan lehet tudni, és fel lehet rá készülni.
A GDPR célja
A személyes adatok védelme. Legyen szó akár egy vállalkozás ügyfeleiről, vásárlóiról, hirdetési célcsoportjáról, alkalmazottainak adatairól, a GDPR mindenhol a természetes személyek adatait szándékozik védeni, és ennek módjait számonkérhetően leszabályozni. A GDPR alapvetően a lenti alapfogalmakkal modellezi le, hogy a személyes adatok kezelése során ki, mit csinálhat, mire kell figyelnie, mik a kötelező teendői.
- Személyes adat: (közvetlenül vagy közvetetten) azonosított v. azonosítható természetes személyre (="érintett") vonatkozó bármely információ. Ezen belül egy nevesített szűkebb adatcsoport (pl. faji v. etnikai származásra, vallásra v. egészségügyi adatokra vonatkozó információ) pedig különleges személyes adat. Aki személyes adatot kezel, arra "a GDPR" fog vonatkozni.
- Adatkezelő: minden vállalkozás (vagy természetes személy), aki saját céljai érdekében, a maga által meghatározott módokon és eszközökkel személyes adatokat kezel. (Pl. majdnem minden vállalkozás.)
- Adatfeldolgozó: az adatkezelő olyan partnere, amely az adatkezelő megbízásából, az adatkezelő céljainak megfelelően jár el, saját új célokat, feldolgozási módokat pedig nem telepít az adatkezelésre. (Pl. tárhelyszolgáltató, könyvelő, külső marketinges stb.)
- Címzett: olyan további hatósági szereplő, akinek bizonyos meghatározott esetekben, az adatkezelő, adatokat köteles továbbítani. Pl. adóhatóság, vagy rendőrség
Miért nincs ok az aggodalomra
A GDPR-ral kapcsolatos aggodalmak fő fűtőeleme, hogy nagyon magas elvi büntetési tételeket rendeltek a szabályok betartatásához. A józan ész szerint, továbbra sem pl. a kkv-kat tervezik 20 millió euróra büntetni, és várhatóan a hatálybalépést követően is egy esetleges büntetésnél arányos lesz a tétel a vállalkozás méretével, a jogsértés súlyosságával, az érintettek darabszámával, és az érdeksérelem/kár mértékével. A mi meglátásunk szerint nincs ok az pánikra.
Az eddigi magyar szabályozás az egyik legszigorúbb európai szabályozásnak számított, tehát aki a jelen pillanatban érvényes adatkezelési szabályokat már betartja (pl. nincs engedély nélküli hírlevelezés, van impresszum, ÁSZF, adatkezelési tájékoztató, cookie tájékoztató, megfelelő checkbox-okkal kontrollált hozzájáruláskezelés témánként, NAIH bejelentés stb.) annak sokkal kevesebb teendője és félnivalója van. Azok, akik esetlegesen még a jelen szabályozás szerint se tettek semmit a témában, most tanácsos, hogy a fontosabb lépéseket végrehajtsák. A GDPR-nak szinte nincs 100%-os megfelelés, illetve az irracionális erőforrásokba kerülne, azonban törekednünk kell arra, hogy ezt megközelítsük, és ha így teszünk, nem lesz probléma.
Kiemelt területek
HR, hírlevelezés, online marketing, ügyféladatbázisok. Egy cégnél minimum a munkavállalói adatokat kezelni kell, de a HR területén több más GDPR érzékeny téma is van. Marketingben klasszikusan érzékeny a hírlevelezés, a telefonos, vagy postai DM, illetve az egyéb online reklám területe, mint például a Google Ads, Facebook, Google Analytics. Fontos továbbá áttekinteni minden olyan adatbázist, illetve folyamatot, amelyben az adott cég, illetve adatfeldolgozónak minősülő partnere személyes adatot tárol.
Új nyilvántartások, bizonylatok
A NAIH bejelentést leváltja a belső adatkezelői nyilvántartás. A korábbihoz nagyon hasonló struktúrában vezetni kell, hogy hol, mikor, milyen módon, milyen adatokat kezelünk, meddig kezeljük, ki férhet hozzá. Ez egy olyan dokumentum, amit vélhetően elsőként fog kérni a NAIH egy vizsgálatnál, ez tehát mindenképpen készüljön el. Innen letölthető egy ilyen adatvédelmi nyilvántartás sablon. Fontos, hogy május 25-től ez már kell, de az új Info tv-ig nem egyértelmű, hogy a NAIH bejelentés teljesen elhagyható-e. Aki biztosra akar menni, mindkettőt tegye meg.
Szügség lesz még:
-Adatvédelmi incidens "lepapírozásának” dokumentumára. Ez remélhetőleg nem, vagy csak ritkán fordul elő. Itt külön szabályok vannak, hogy ha megtörtént a baj, milyen esetben elég házon belül feljegyzést készíteni, mikor kell az adatvédelmi hatóságnak is jelezni, illetve az érintetteket is tájékoztatni
- Címzett (hatóság) részére történő bármilyen adattovábbítás dokumentálására
- Adatfeldolgozói szerződésekre az ennek minősülő partnerekkel (lásd lentebb)
Adatkezelési tájékoztató, impresszum, ÁSZF, cookie policy
A korábbi adatvédelmi szabályozás kapcsán is már ismert fenti anyagokat (adatkezelési tájékoztató, impresszum, ÁSZF, cookie policy) nagyon ajánlott elkészíteni, mivel ezek megléte vagy hiánya jelzi a hatóságok számára, hogy foglalkozunk-e egyáltalán a GDPR-ral, "érdemes-e" minket vizsgálni.
Lemásolhatok egy jól megírt adatvédelmi tájékoztatót vagy cookie policyt?
Ezek az anyagok olyan kiemelt fontosságúak a szabályozás betartása szempontjából, hogy nem, vagy csak korlátozottan vonatkoznak rájuk a szerzői jogi védelmi szabályok. Ha rendelkezésre áll a GDPR-ral már összhangba hozott jó minőségű anyag a fenti témákban, azt magunkra írva át szabad emelni akár a konkurenciától is. Persze nem mindegy hogy mit. Ha egy webshop egy másik e-kereskedő helyett egy szolgáltatást nyújtó vállalkozástól emeli át az ÁSZF-et, akkor az valószínűleg nem lesz megfelelő.
A GDPR "két szentsége": jogalap, tájékoztatás
Bármilyen adatkezeléssel kapcsolatos 2 legfontosabb kérdés, hogy van-e rá jogalapunk, és megtörtént-e az érintett tájékoztatása. Ami nagyon fontos, hogy a GDPR rendelkezései alapján mindig az adatkezelőt terheli a bizonyítás kötelezettsége, azaz be kell tudnunk bizonyítani, hogy volt jogalapunk, és megtörtént a tájékoztatás.
Többféle adatkezelési jogalap létezik. Ezek közül van, aminek létrejöttéhez nem kell külön adatkezelésre vonatkozó aktus. Például munkaszerződés alapján kezelhetjük az alkalmazottak vonatkozó adatait. És van ahol az adatkezelés által érintett személy aktív közreműködése szükséges. Ilyen adatkezelési jogalap például a hozzájárulás, ami mondjuk egy hírlevél feliratkoztatáshoz szükséges.
A GDPR részletezi mind a jogalapokat, mind a hozzájárulás formáit, ezeket mind fontos részletesebben is megismerni, ez az egyik fő alapja, hogy értelmezni és minősíteni tudjuk a céges folyamatainkat adatkezelési szempontból. Marketing szempontból a hozzájárulás jogalap a legfontosabb és leggyakoribb.
Adatfeldolgozói szerződés
A GDPR szerint minden adatkezelés az adatkezelő érdekében, és az adatkezelő által meghatározott módokon történik, aminek a megvalósításában adatfeldolgozó segíthet neki. Tekintettel arra, hogy a felelősség alapelvként mindig az adatkezelőt terheli, fontos, hogy e két szereplő kapcsolata írásban is rögzítésre kerüljön, ez lesz az adatfeldolgozói szerződés, amelynek tartalmára vonatkozóan meglehetősen konkrét előírások találhatók a GDPR-ben. Miután ez kijelöli a kereteket és felelősségi határokat, az adatfeldolgozó minden adatkezeléssel kapcsolatos utasítást írásban kell, hogy megkapjon. Ez tehát mindkét fél számára egy tipikus GDPR-os, új dokumentációs terület. Innen letölthető az adatfeldolgozói szerződésmintánk.
Érintettek jogai
Az érintettek kérhetnek
a, tájékoztatást,
b, helyesbítést,
c, törlést, zárolást, személyes adataikkal összefüggésben
Szükség esetén a NAIH-hoz vagy NMHH-hoz fordulás mellett az érintettek bírósági jogorvoslattal élhetnek, kártérítést követelhetnek. A hozzájárulással együtt ezen jogok adják meg az információs önrendelkezési jog tartalmát. Kapcsolódó jog még a hordozhatósághoz való jog. Fontos azonban, hogy ezen jogaik nem írják felül a GDPR egyéb rendelkezéseit, különösen azt nem, hogy amíg jogalapunk van, kezelhetünk személyes adatokat akkor is, ha az érintett pl. azok törlését kérte. Tipikus eset például, hogy az adatkezelőnek utólag bizonyítani kell tudnia, hogy milyen kérésre, mikor, kinek, mit és honnan törölt = "jogos érdek". Hasonlóan pl. hírlevél leiratkozókról, vagy onnan törlést kérőkről is gyakorlatilag plusz listát kell vezetni a törléskérésről, nem pedig törölni mindent, hogy fellelhetetlen és bizonyíthatatlan legyen. A tájékoztatási kötelezettség viszont fennáll, tehát az érintettet tájékoztatni kell arról, hogy milyen adatát kezeljük. Mivel szükségtelenül fokozza a kedélyeket, ha a törléskérésre az a válasz, hogy "ok törölve lett innen- és innen, de mégis vezetem az adatait itt és itt" ezért célszerű már előre az adatkezelési tájékoztatóban kitérni arra, hogy a bizonyíthatóságot biztosító jogi kötelezettség miatt az érintett adatainak kezelése más formában tovább folytatódik.
Hatály, visszamenőlegesség, korábbi adatbázisok, címlisták
Mi legyen a GDPR előtt gyűjtött adatainkkal, pl. egy hírlevél címlistával? A GDPR-t konzervatívan értelmezve minden olyan adatkezelés folytatódhat csak, ahol tudom bizonyítani, hogy van jogalap (hírlevél esetében megtörtént a hozzájárulás), és a tájékoztatás is megtörtént, amit az érintett elfogadott. Ha ezt nem tudom teljesíteni a legbiztosabb a törlés. Legkésőbb május 25-ig ki kell fehéríteni ezeket a listákat, utána az új adatok már felhasználhatók lesznek. Lazább GDPR értelmezés szerint, ha az adatbekerülés pillanatában az akkor hatályos feltételeket teljesítettem, nem kizárt, hogy jogom van az anyaghoz, azonban az ezt a hozzáállást képviselők már kockázatnak teszik ki magukat, hogy ez az érvelésük megáll-e majd, ha történetesen épp bizonyítási kényszer van rajtuk egy eljárásban. Szürkezóna a meglévő listák kifehérítése. Itt az az érdekes helyzet, hogy a GDPR kevésbé szigorú, mint az éppen hatályos magyar Info tv., mivel a GDPR szerint elvileg küldhetünk arról e-mailt, hogy erősítse meg hozzájárulását, hogy rajta van az adott címlistán, azonban a magyar infotv. szerint már ez az e-mail is spamnek minősül, tehát ez a módszer mégsem ideális. Ilyenkor új tájékoztatás és új hozzájárulás mellett (az érintett újra meglátogatja honlapunkat más marketing csatornán keresztül) vagyunk igazán biztonságban.
Szemléletváltás
A GDPR a sok-sok gyakorlati lépés mellett egy kevésbé kézzelfogható, de hangsúlyos követelményt is támaszt: szemléletváltást ír elő a gazdasági folyamatok tervezésénél. A lényege, hogy mindent, ami GDPR, legfőképpen az adatkezelési elveket, az érintettek jogait már a gazdasági folyamatok kialakításánál "by design" vegyék figyelembe a szereplők, pl. azt, hogy eleve ne kérjünk be olyan adatot egy szerződéshez, ami nem szükséges a teljesítéséhez. Újító vállalkozói ötleteknél, új termékeknél, szolgáltatásoknál, innovatív adatkezeléseknél adatvédelmi hatásvizsgálatot is kell végezni, ami elsősorban az érintettekre vonatkoztatott potenciális kockázatokat kell, hogy mérlegelje, és adott esetben az adatvédelmi hatósághoz is be kell jelenteni, illetve jóváhagyatni.
Adatvédelmi tisztviselő
A GDPR nevesített esetekben adatvédelmi tisztviselő (DPO) kinevezését/megbízását írja elő, akit a hatóságnak is be kell jelenteni. Ez az egyik olyan kérdés, amelyben sokszínű az értelmezés attól kezdve, hogy minden webshopnak kell DPO, addig, hogy csak a Google-nek kell, mindenféle vélemény olvasható. A definíció szerint nem a közszférában, és nem különleges személyes adat kezelése esetén, azaz "normál esetben" csak akkor kellene adatvédelmi tisztviselő, ha az adatkezelő fő tevékenységének része az érintettek rendszeres és szisztematikus, nagymértékű megfigyelése. Egy tipikus webshop fő tevékenysége a kereskedelem, és még egy okosabb remarketing hirdetési forma is csak mellékes marketing. A definícióból következően inkább van szó pl. egy heatmap készítő cégről (mondjuk Hotjar) vagy egy magándetektív kamerázási tevékenységéről, mint egy átlagos vállalkozásról. Ha valakinél mégis DPO-t kell kijelölni, a GDPR tovább részletezi az alkalmazandó összeférhetetlenségi szabályokat, illetve a működésének a leírását.
Mi legyen az online marketing kampányokkal, a cookie-kkal, a mérőkódokkal, a remarketinggel?
A GDPR jelenlegi formájában csak részleteket szabályoz a fenti modern, komplex területből. Átfogóbb szabályozás az EU ún. "ePrivacy Regulations" csomagjában várható, ez azonban még nem készült el. Az átmeneti időszakban a GDPR és a magyar ágazati törvények általános elveit, ill. néhány vonatkozó szabályát kell alkalmazni. A GDPR pl. kifejezett hozzájárulást, és további kikötéseket szab feltételül "profilozás" jellegű automatizált marketinges adatkezelésekhez.
A szerint a lényeg hogy elvileg minden különböző típusú sütihez (marketing, statisztikai stb.) külön-külön hozzájárulás kell, és nem lehet egy hozzájárulást kérni mindenhez egyszerre. Mivel a sütik eleve egy oldal megnyitása és bármilyen jóváhagyás előtt települnek egy látogató böngészőjére, ezért egyelőre teljesen életszerűtlennek tűnik a szabályozás, és a szakma is csak találgatja, hogy mi legyen az üdvözítő megoldás.
Az átmeneti helyzethez való alkalmazkodás részeként felmerül bizonyos korábbi hirdetési technikák, funkciók "lebutítása", esetleges teljes lekapcsolása május 25-től. Partnereinknél ezzel kapcsolatban mindig az egyedi körülmények jellemzőit figyelembe véve a megbízóval együtt (ő adatkezelő, a marketingcég általában adatfeldolgozó) tudjuk eldönteni, hogy milyen eljárás lehet a legcélravezetőbb.
Összefoglalás:
Fenti tájékoztatót segítségül szántuk, de tisztában vagyunk vele, hogy ez nem teljeskörű. A GDPR konkrét alkalmazásához figyelembe kell venni az adott vállalkozás sajátosságait, illetve jelen pillanatban még vannak részei a kérdésnek amiket még csak most dolgoz ki a törvényhozás. Hangsúlyozzuk, hogy iránymutatásunk nem minősül jogi tanácsadásnak. Akinek a téma ilyen mélységű megközelítése nem elegendő, hanem jogi garanciákkal is rendelkező GDPR szakértővel szeretne konzultálni, jelezze nekünk, ebben is tudunk segíteni. Kapcsolatban állunk adatvédelmi szakértő jogászokkal, akik közül fogunk tudni ajánlani megfelelő kompetenciákkal rendelkező szakembert.
KERESŐREKLÁM ONLINE REKLÁMÜGYNÖKSÉG
https://keresoreklam.hu
+36 (20) 422 4342
info@keresoreklam.hu
Skype: marketing.keresoreklam
Örs Vezér Irodaház
1106 Budapest, Fehér út 1. B ép. VI. em. 611.
https://keresoreklam.hu
+36 (20) 422 4342
info@keresoreklam.hu
Skype: marketing.keresoreklam
Örs Vezér Irodaház
1106 Budapest, Fehér út 1. B ép. VI. em. 611.