Webáruház és weboldal tulajdonosok egyre többen keresnek az utóbbi hetekben, hogy mit kell tenniük, hogy megfeleljenek a GDPR (Általános Adatvédelmi Rendelet) szabályozásnak és elkerüljék a jelentősen mértékű büntetést. Álljon itt egy hasznos összefoglaló a május 25.-től életbe lépő szabályozásról.
Mi is az a GDPR?
General Data Protection Regulation, azaz Általános Adatvédelmi Rendelet (EU 2016/679). A rendelet teljes szövege elérhető itt. Fontos megjegyezni, hogy hazánkban ez az első olyan módon bevezetett EU-s rendelet, amely bevezetése során az alkalmazó ország eltérhet az egységes rendelettől, ha attól szigorúbb feltételeket támaszt!
Kikre vonatkozik a GDPR rendelet?
Mindenkire, aki személyes adatokat kezel (rögzít, gyűjt, tárol, használ, módosít vagy továbbít – a rendelet fogalmi körében, őket nevezi Adatkezelőnek). Az a szervezet vagy személy, aki számára továbbításra kerül az adat, az az ún. Adatfeldolgozó (pl. ha egy weboldalon a felhasználók feliratkoznak a hírlevélre, amely feliratkozás során megadják az email címüket – ez adatkezelés, de az adatok egy hírlevél szolgáltató rendszerébe kerülnek továbbításra – ez az Adatfeldolgozás).
Ilyen esetekben a weblap tulajdonosa határozza meg az adatkezelés célját, vagyis hogy mi történik az adatokkal (milyen belső értékelési szempontok alapján kerülnek pl. szétválogatásra (ügyfél, potenciális ügyfél, stb.), pontosan mely leveleket fognak megkapni stb. az informatikai rendszer csak feldolgozza ezeket a beállításokat).
Mindenkire vonatkozik tehát a rendelet, aki
- az EU-n belül kezel adatokat (vállalkozásként, civil szervezetként vagy akár magánszemélyként)
- vagy az EU-n belül tartózkodó embereknek nyújt szolgáltatásokat (még akkor is, ha a tevékenységi hely az EU-n kívül van)
Viszont fontos megjegyzés, hogy nem vonatkozik a rendelet azokra, akik vállalkozások adatait kezelik (pl. partnerlista, ügyféllista, amin cégek adatai vannak)!
Mi minősül személyes adatnak, melynek a kezeléséről a GDPR szól?
A korábbi szabályozásban ez pontosan és körülhatárolt módon eléggé szűken volt leírva, az új rendelet azonban sokkal szélesebb körre terjeszti ki a személyes adatnak minősülő adatok körét. Bevezetésétől kezdve gyakorlatilag minden, ami alapján az illető beazonosítható személyes adatnak számít: név, cím, email, telefon, IP-cím, cookie, adott informatikai rendszerbeli egyedi azonosítója (ID) vagy bármilyen más online azonosító.
A GDPR-rel kapcsolatos bírságolásról
Az adatkezelés nem megfelelő módja miatti bírság legfeljebb 20 millió Euró vagy az érintett cég előző évi világpiaci árbevételének 4%-a lehet (amelyik a kettő közül magasabb). Azonban minden esetben egyedileg bírálnak el, tehát figyelembe veszik a jogsértés mértékét és azt is, hogy szándékosan vagy véletlenül, esetleg nem-tudásból követett el egy cég hibát vagy sem.
A weblapokat érintő főbb változások röviden összefoglalva:
- május 25-től megváltozik a korábbi adatvédelmi rendelet és az egységes európai szabályozás lesz érvényes,
- ezentúl nem lesz szükség NAIH számra az adatkezeléshez,
- minden weblapnak külön Adatvédelmi Tájékoztatót és Általános Szerződési Feltételeket kell készíttetnie és a felhasználónak azt jóvá kell hagynia (ennek a jóváhagyásnak a pontos mikéntje a gyakorlati megvalósításban elég széles skálán mozoghat),
- viszont továbbra is kötelező az weblapon jelezni, hogy sütiket használunk és azt a felhasználónak jóvá kell hagynia, azonban ezentúl arra is lehetőséget kell adni neki, hogy ha szeretné, akkor menet közben megváltoztathassa a döntését.
Az egyes marketing megoldások esetén milyen GDPR érintettség léphet fel?
Google Analytics
Amennyiben az adott weblapon CSAK és kizárólag Google Analytics került alkalmazásra és más módon nem gyűjt felhasználói személyes adatokat (hírlevél, blogértesítő, remarketing stb.), akkor nem szükséges semmit tenni a honlappal, mivel az adatokat itt a Google kezeli, a weblap tulajdonosa felé csak statisztika formájában mutatja meg azokat.
Remarketing hirdetések
Ha az érintett cég weblapján van Google Adwords, Facebook vagy más külső weblapról származó olyan beépülő megoldás, amely során a külső weboldal ami a felhasználók adatait gyűjti, meg kell felelnie a cég weblapjának a következő előírásoknak:
- az adatvédelmi tájékoztatóban szerepelnie kell annak, hogy ilyen célokra adatokat gyűjt és annak is, hogy ezekkel mit tesz, mire használja fel. Ennek pontos megfogalmazásában segítséget nyújthat a Google ez irányú tájékoztatója.
- ha remarketing hirdetéseket használ egy cég weblapja, úgy adatvédelmi tisztviselőt kell kijelölni vagy felkérni. Ő felel azért, hogy a cégnél maradéktalanul betartásra kerüljenek a rendelet szabályai, azonban azok betartásáért felelősségre nem vonható. Az adatvédelmi tisztviselő lehet a cég egy alkalmazottja, egy külső cég, azonban az adatvédelmi tisztviselőnek rendelkeznie kell a szükséges jártassággal: a rendelet 37. cikk (5) bekezdése szerint az adatvédelmi tisztviselőt „szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 39. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni”.
Jelen pillanatban a Facebook még dolgozik rajta, hogy a szolgáltatásai megfeleljenek az új szabályozásnak.
E-mail marketing, kapcsolatfelvételi űrlapok
Az első dolog, amire mindenkinek oda kell figyelnie, az a hírlevél feliratkoztató űrlap. Ezen a felhasználónak nyilatkoznia kell arról, hogy szabad akaratából, konkrét célra, tájékoztatást követően járult hozzá adatai megadásához. A gyakorlatban ez azt jelenti, hogy mielőtt a feliratkozó gombra kattint, egy jelölőnégyzet bepipálásával hozzá kell járulnia ahhoz, hogy számára üzeneteket küldjön a weblap tulajdonosa és jeleznie kell, hogy elolvasta és tudomásul vette a vonatkozó adatvédelmi feltételeket.
Fontos, hogy:
- két jelölőnégyzetnek kell lennie (egy az adatvédelmi feltételek elfogadásáról, egy arról, hogy önszántából iratkozik fel),
- az űrlapot tartalmazó oldalról elérhetővé kell tenni az adatvédelmi feltételeket,
- a jelölőnégyzetet nem szabad előre bepipálni és nem helyettesíthető azzal, hogy pl. “a gombra való kattintással elfogadja“.
A feliratkoztató űrlapon csak olyan személyes adatokat lehet bekérni, ami feltétlenül szükséges az adott tevékenységhez. Tehát pl. nem kérhető be egy hírlevél-feliratkoztató űrlapon telefonszám vagy lakcím, ha az nem szükséges a hírlevél kiküldéséhez, azonban bekérhető telefonszám pl. egy kapcsolatfelvételi űrlapon az oldalon.
Ha a feliratkoztatás nem a saját weboldaladon történik, hanem pl. egy Facebookba ágyazott űrlapon vagy ún. “lead ad” hirdetések segítségével, esetleg Facebookos bejelentkezéssel, ugyanúgy hozzájárulást kell kérni az adatok használatához.
Ha valaki a céggel egy kapcsolatfelvételi űrlapon keresztül veszi fel a kapcsolatot (pl. ajánlatkérés, érdeklődés stb.), akkor is alkalmazni kell a rendelet szabályait.
Ha az ajánlatkérők számára később hírlevelet is szeretne a társaság kiküldeni, akkor erre az e-mail marketingre vonatkozó szabályok érvényesek.
Ha a későbbiek során nem küld ki hírlevelet a cég, csupán az ajánlatkérésre kíván válaszolni, a kapcsolatfelvételi űrlap alatt akkor is ott kell lennie az adatkezeléshez hozzájáruló jelölőnégyzetnek. A kiküldésre kerülő e-mailekből egyértelműen ki kell derülnie ki az adatkezelő és hasonlóan a korábbiakhoz biztosítani kell az egyszerű leiratkozás lehetőségét (ez a rész nem változott a korábbi szabályozás vonatkozásában).
Leiratkozáskor a felhasználó adatait törölni kell minden adatbázisból (természetesen a leiratkozás céljának megfelelően, ha pl. valaki leiratkozik a hírlevélről, de közben ügyfélé is vált és ennek okán is megadta az adatait (pl. regisztrált a webáruházba), innen nem kell törölni az adatokat. Jól mutatja ez a sajátossága a rendeletnek, hogy az egyes adatkezelési célok szerint kell nyilvántartani és kezelni elkülönültem a személyes adatokat. (A rendelet érvénybelépése előtti feliratkozások tekintetében azonban ha azok a korábbi szabályozásnak megfelelően kerültek kezelésre, nem szükséges törölni a rendelet érvénybelépésénél.)
Nem jelent kibúvót a szabályozás alól, ha az ügyfelek a Facebookon iratkoznak fel egy ott elhelyezett feliratkozó űrlapon vagy pedig a szolgáltató nem az EU-ban van, mivel a rendelet hatálya mindenkire kiterjed, aki EU-ban tartózkodó embereknek szolgáltat.
Hűségprogramok, kuponozás
Ha van a weblapon bárminemű hűségprogram amiben pl. a vásárlók számára bizonyos időközönként kuponok kerülnek kiküldésre vagy egyszerűen csak a nyilvántartásban szerepel, hogy mikor vásároltak és ennek alapján kapnak további ajánlatokat, szintén adatvédelmi tisztségviselőt kell kijelölni, mivel ez (a vásárlás ténye és időpontja) személyes adatnak minősül.
Azonban nem kell adatvédelmi tisztségviselőt kineveznie, ha a vállalkozás az adatgyűjtést nem főtevékenységként végzi, és nem végez olyan adatkezelői műveleteket, amelyek “jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé”. Például egy boltban a saját kamerarendszer használata során kell adatvédelmi tisztségviselő, de a videós kaputelefon felhasználásánál nem kell. Hasonlóan, ha a weblap tulajdonosa egy olyan ügynökség, amely remarketing hirdetéseket futtat, akkor kell adatvédelmi tisztségviselő, de ha megbíz egy ilyen céget, akkor nem kell.
Vásárlók, megrendelők adatainak kezelése
Ha az érintett weblapon keresztül online lehet felvenni megrendeléseket (megrendelői űrlappal vagy webáruház rendszerrel) annak a következőknek kell megfelelnie:
- Megrendelés előtt a felhasználónak jeleznie kell, hogy hozzájárul a személyes adatok kezeléséhez (a megrendelőlap alatt található jelölőnégyzet alkalmas erre).
Ha később hírlevelet is szeretne a weblap a vásárlóknak küldeni, ehhez is külön hozzájáruló nyilatkozat szükséges (még egy jelölőnégyzet a megrendelés alatt). Ennek hiányában csak a megrendeléssel kapcsolatos legszükségesebb információkkal kapcsolatban küldhető neki e-mail. - Biztosítani kell a kezelt adatok biztonságát.
- Az ügylet végeztével az adatokat törölni kell, kivéve, ha az ügyfél hozzájárult ahhoz, hogy továbbra is kezelje a weblap tulajdonosa azokat. Tehát nem tárolható a webáruházban a végtelenségig a korábbi megrendelők adatai, ha ők ehhez nem járultak hozzá. Ha a vásárlás regisztrációhoz kötött, a regisztrációba beépíthető egy olyan jelölőnégyzetet, amivel hozzájárulnak a további adatkezeléshez. Ha nem regisztrációhoz kötött a vásárlási folyamat, akkor az adatvédelmi szabályokban kell megfogalmazni, mit jelent az ügylet lezárása pontosan (ez lehet az, amikor az illető a csomagot átvette, de akár egy későbbi időpont is meghatározható, pl. a garanciális időszak vége).
Alapesetben minden webáruháznak tudnia kell vásárlóit elkülönülten kezelnie: anonim (regisztráció nélküli) és regisztrált. A vásárlási folyamat és adatkérés ez alapján történik. Amennyiben az adott webáruház nem küld hírlevelet, vagy a személyes adatokat nem használja fel más célra, nem adja át másnak, nem kell külön felhívni a figyelmet, hogy pár adat ami a számlához kell megőrzésre kerül, a számviteli szabályokat be kell tartani (pl. a kisboltban sem kérdezik meg ha számlát kérek, hogy “hozzájárulok e adataim kezeléséhez”), online forgalom esetén nincs nyugta, csak számla. Viszont minden vásárlónak el kell fogadnia az ÁSZF-et.
Webáruház tulajdonosának nem kell tisztségviselőt alkalmaznia, kivéve ha: olyan azonosítót is bekér pl. számlázáskor, mely tömeges adatbázis esetén egyértelmű beazonosításra ad lehetőséget. Ilyen Magyarországon az adóazonosító, a TAJ szám, a személyi szám illetve cég esetén adószám, cégjegyzékszám; alapítvány, egyesület esetén a nyilvántartási szám. (Értsd: sok esetben adatbázis adatokat egyedileg létrehozott azonosítóval tárol /pl. adóazonosító/, mely során összekapcsolt személyes információbázis jön létre. Ilyen adatbázis pl. az egészségügyi, ahol nem a lakcímünk, nevünk stb. hanem a TAJ a meghatározó.)
Kérdőívek
Ha kérdőívet készít a weblap üzemeltetője piackutatás céljából és azon nem kér be személyes adatokat (név, email stb.), akkor nem kell semmit tennie. Ha szerepelnek rajta személyes adatok (pl. azért, hogy elküldésre kerüljenek számára a kérdőív eredményei e-mailben), akkor erre engedélyt kell kérni és kell rendelkezni adatvédelmi tájékoztatóval is, amit el kell fogadtatni a kérdőív kitöltése előtt.
Ha hírlevél-feliratkozásnál szeretne az érintett weblap további adatokat bekérni (a néven és az e-mail címen kívül), mivel ez nem a levelezés céljával összefüggő adat, ezért nem kérhető be. Kivéve, ha a hírlevél céljával összefügg az adat (pl. megadja, hogy férfi vagy nő és az ennek megfelelő hírlevelet kapja meg). Ha piackutatási céllal szeretne a weblap tulajdonosa adatokat bekérni a felhasználókról, azt megteheti úgy, hogy a feliratkozás után megjelenő új oldalon teszi fel kérdésként és elkülönülten kezeli úgy, hogy az új kérdőív a feliratkozó személyéhez nem köthető.
Ha egy hírlevélsorozatban szegmentált hírlevelek kerülnek kiküldésre (pl. korábbi viselkedés, kattintások alapján), az a továbbiakban is megtehető.
Messenger bot
Messenger bot használata esetén a weblap/bot tulajdonosa az adatkezelő, a bot szolgáltatója pedig az adatfeldolgozó. Ha csak simán ír valaki a botnak, a bot pedig válaszol neki, nincs semmi teendő, ha azonban reklám tartalmú tömeges üzenetek kerülnek kiküldésre a feliratkozóknak, előzetesen a beleegyezésüket kell kérni ehhez, ami úgy történhet, hogy feliratkozás után a bot küld nekik egy tájékoztatást és azt pl. egy adott szó beírásával el kell fogadniuk.
Amit mindenképpen meg kell tenni egy weblap tulajdonosnak a GDPR kapcsán
- El kell készíttetni az Adatvédelmi Tájékoztatót (ha eddig nem volt) vagy frissíteni az új rendeletnek megfelelően. Mi legyen benne?
- az Adatkezelő neve, címe, elérhetősége,
- a kezelt adatok köre (pl, név, telefon, e-mail),
- az adatkezelés célja (miért kezeli a társaság és mire használja, pl. hírlevél küldés, megrendelések teljesítése és számlázás),
- az érintettek köre, vagyis, hogy kire terjed ki az adatkezelés (pl. az oldal minden látogatójára, vagy csak a webshopban vásárlókra),
- az adatok megismerésére jogosult adatkezelők személye (pl. ha futárszolgálatnak átadásra kerülnek a csomagok kiküldésre, akkor ő is kezeli a személyes adatok egy részét, vagy a weblap tulajdonos cég ügyfélszolgálati munkatársai, stb.)
- az adatkezelés időtartama: meddig kerülnek tárolásra az adatok és mikor kerülnek törlésre,
- hogyan tudja a felhasználó megtekinteni, módosítani vagy törölni a regisztrációkor adatait,
- ha megrendelt valamit, hogyan tudja módosítani vagy töröltetni az adatait (pl. e-mailben, telefonon, személyesen),
- mennyi idő alatt válaszol a weblap tulajdonosa az adatok megváltoztatásával vagy törlésével kapcsolatos kérésekre,
- tájékoztatni kell a felhasználót az adathordozhatósághoz való jogról,
- tájékoztatni kell minden további jogáról és arról, hogy ezeket hogyan érvényesítheti.
- Gondoskodni kell róla, hogy a weblap által kezelt adatok ne jussanak illetéktelenek birtokába, ennek érdekében:
- tájékoztatni kell az érintett kollégákat az adatkezeléssel kapcsolatos legfontosabb óvintézkedésekről (pl. ismeretlen leveleket ne nyissanak meg, ismeretlen szoftvereket ne töltsenek le, ismeretlen pendrive-ot ne használjanak), mert gyakran a dolgozók figyelmetlensége miatt következhet be adatlopás a cégnél.
- a weblap tulajdonosának tudnia kell, hogy a weblapját ért támadás esetén mit kell tennie (72 órán belül jelentenie kell, erre hamarosan lesz egy formanyomtatvány, ami jelenleg még nem elérhető)
- meg kell védenie a rendszereit a támadásoktól (tűzfal, vírusirtó, a weboldal védelme a támadásoktól stb.)
- Dokumentációs kötelessége is van, ennek körét a rendelet pontosan meghatározza, lásd a 2. cikkelyt.
Amennyiben nem tudja, hogy weboldala megfelel-e a GDPR előírásainak, esetleg korszerűtlen weboldal helyett szeretne egy újat, forduljon hozzánk bizalommal elérhetőségeink bármelyikén.