Minden, amit a GDPR-ról tudnod kell

GDPR rocketing

2018 május 25-én lépett hatályba a legújabb elektronikus adatokat szabályzó EU-s rendelet, a GDPR (General Data Protection Regulation). A rendelet minden Európai országot érint, illetve olyan cégeket, akik online adatokat kérnek ügyfeleiktől, és valamilyen módon tárolják azt. Annak ellenére, hogy tavaly lépett életbe, még mindig kapunk ehhez kapcsolódó kérdéseket 2019-ben is, így összeállítottuk neked ezt a cikket, amiben leírunk mindent, amit tudnod kell róla.

A NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) felmérései szerint a magyarországi vállalatok majdnem 50%-a még  minding nem áll készen egy esetleges GDPR auditra, mert még nem rendelkeznek a megfelelő technológiai háttérrel.

Amint az ország elkezdett GDPR lázban égni, megérkezett Gulyás Gergely Miniszterelnökségi vezető nyilatkozata arról, hogy jelenleg még nem jár súlyos pénzbüntetéssel a rendelet megszegése kis- és középvállalatok számára. Sokan fellélegeztek, de sajnos korai volt az öröm. Hiszen a parlament honlapján később megjelenő nyilatkozat egyáltalán nem említi külön a KKV-k helyzetét, illetve arról sem beszél, hogy bármilyen eshetőség esetén eltekintenének a büntetéstől. Így rengetek cégnek realizálnia kellett, hogy a hiányosságokért kapott szimpla figyelmeztetés, egy hiú ábránd volt csupán. Olvass tovább a büntetés mértékének kiderítéséért.

adatvédelem- rocketing

De mi is pontosan a GDPR?

A GDPR, magyarul általános adatvédelmi rendelet, amit az Európai Unió és Tanács fogadott el 2018-ban, az online adatkezelés és adatáramlás biztonsága és védelme érdekében. Ezelőtt is hatályban volt az Infotv rendelet, viszont ez nem volt központilag szabályozva, és minden tagállam a saját képére igazítva értelmezhette azt. Ezzel ellentétben, a GDPR komoly lépéseket határoz meg minden olyan cég számára, aki Európai Uniós lakosok online adataival dolgozik. Ha ezeket nem tartják be, súlyos büntetés vár a vállalatra.

Mikor büntetnek és mennyit kell fizetni, ha nem tartod be a szabályokat?

A magyar hatóság arra törekszik, hogy első alkalommal ne rögtön egy büntetést szabjon ki az audit alatt álló cégre. Ha csak kisebb hiányosságokat találnak, valószínűleg a vállalat megússza egy egyszer figyelmeztetéssel. De ez egyáltalán nem jelenti azt, hogy hátradőlhetsz a székedben, hiszen ez nem zárja ki az első ellenőrzés alatti bírságot. Súlyos esetekben azonnali szankciókra számíthatunk.

Ha megbüntetnek, akkor a következő összegekkel kell szembenézned, írja a www.gdpr.blog.hu:

  • alacsonyabb bírság

Meghatározott rendelkezések megsértése esetén “legfeljebb 10 millió euró összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összeggel sújtható (a kettő közül a magasabb összeget kell kiszabni)”

  • magasabb bírság

Meghatározott rendelkezések megsértése esetén “legfeljebb 20 millió euró összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel kell sújtani (a kettő közül a magasabb összeget kell kiszabni)”

Ha nem szeretnéd csődbe vinni cégedet hasonló adatvédelmi malőrökkel, akkor nézzük végig pontosan mit kell tenned.

GDPR szabályok

1. Adatvédelmi tisztviselő

Ki kell nevezned a cégeden belül egy adatvédelmi képviselőt, vagy egy külsős tagok felbérelni erre a pozícióra. aki folyamatosan ellenőri folyamataidat. Ennek a személynek folyamatosan ellenőriznie kell a GDPR-nak való megfelelést, tanácsokat kell adnia kérdéses szituációk esetén, valamint tartania kell a kapcsolatot a megfelelő hatóságokkal.

2.  Egyablakos ügyintézés

Ez azt takarja, hogy minden cégnek csupán egy adatvédelmi hatósággal kell összeköttetésben lennie, még akkor is ha több Uniós tagállambeli székhellyel rendelkezik. Számára kijelölik a megfelelő hatóságot, az elsődleges székhelye alapján.

3. Adatvédelmi incidens bejelentése

Ha bárminemű adatvédelmi incidens, feltörés, hackelés történt a weboldalon, azt az adatvédelmi tisztviselőnek kötelessége jelentei 72 órán belül a kijelölt hatóság felé.

4. Adatvédelmi nyilatkozat

Minden online adattal dolgozó cégnek kötelessége publikusan elérhetővé tennie a felhasználók számára az adatvédelmi nyilatkozatot. Ebben le kell írni tisztán és érthetően, hogy a cég milyen adatokat tárol, dolgoz fel, ezeket milyen okból és hogyan gyűjti. Valamint biztosítania kell a felhasználókat arról, hogy mindent megtesznek azért, hogy adataikat más okból nem használják fel, és nem adják ki más harmadik személyeknek, cégeknek. Továbbá meg kell győződniük arról, hogy ezeket az adatokat megfelelő biztonságban tartják.

5. Nemzetközi adattovábbítások

Amennyiben a céged nemzetközi, nem EU-s kapcsolatokkal rendelkezik, meg kell győződnöd arról, hogy megfelelsz az adattovábbítási szabályoknak.

6. Alkalmazottak tudatosítása

Tanítsd meg az alkalmazottaidnak, hogyan kezeljenek bizonyos adatvédelmi szituációkat, és oktasd őket a GDPR-ról.

7. Érintettek jogainak közlése

Nagyon fontos, hogy a felhasználóid tisztában legyenek adatvédelmi jogaikkal. Írd bele az Adatvédelmi Nyilatkozatba azt is, hogy kihez fordulhatnak, ha adatvédelmi incidenst észlelnek. Értesíteni kell őket arról, hogy joguk van az adataik módosítására és törlésére is. Részletezd, hogy ezt hogyan tehetik meg.

8. Információ megtekintése és adathordozhatóság

Biztosítanod kell a felhasználókat arról, hogy bármikor tudatod velük, hogy milyen információkat tárolsz róluk, ha ők erre kíváncsiak. Az is nagyon fontos, hogy ezt egy meghatározott időn belül biztosítanod kell, és rendelkezned kell egy olyan adatbázissal, amiből az adatokat kinyered, törlöd és módosítod kérés esetén.

Ha valaki már nem szeretné az általad nyújtott szolgáltatásokat igénybe venni, de szeretné az általad tárolt információt az új szolgáltatójához áthelyezni, akkor meg kell bizonyosodnod arról, hogy egy ilyen kérésnek meg tudsz majd felelni.

GDPR- rocketing

9. Tiltakozáshoz való jog

Amennyiben a felhasználó tiltakozik adatainak direkt marketing felhasználásával kapcsolatban, ezeket többet nem lehet hasonló folyamatokban felhasználni.

10. Hozzájárulás

Egyszerűvé kell tenned, hogy felhasználóid hozzájáruljanak az adataik felhasználásához azokhoz a módszerekhez, amiket az Adatvédelmi Nyilatkozatodban listázol. Ezért kell a jelölő négyzetet odatenned minden egyes feliratkozás, kapcsolati űrlap és más adatkérő űrlap alá. Ne felejtsd el, hogy ezek a négyzetek nem lehetnek automatikusan kipipálva, hiszen az nem felel meg a GDPR előírásoknak.

Fontos az is, hogy tájékoztasd az online látogatódat at általad használt cookie-król. Ezt gyakran egy alulról felugró sávban szokták a cégek jelezni, viszont bizonyosodj meg arról, hogy addig nem használod az emberek adatait, amíg ők azt el nem fogadták.

GDPR kérdezz-felelek

Így hogy már tisztában vagy az előírásokkal, nézzünk át néhány életszerű példát a felhasználóid adatkezelésére.

Vásárolt listák használata

Kezdjük azzal, hogy az innen-onnan vásárolt e-mail listák alapból nem hatékony online marketing megoldások. Semmi sem garantálja azt, hogy az ott lévő e-mailek gazdái bárminemű érdeklődést mutatnak a te terméked/szolgáltatásod iránt. A GDPR szabályozásai tisztán leírják, hogy hozzájárulás nélküli e-mailek és adatok tárolása, marketing és értékesítési célra való használata tilos. Ezért mi azt javasoljuk neked, hogy jobb az ilyen listákat elkerülni.

Ha már birtokában vagy egy ilyen listának, akkor eldöntheted, hogy végleg megszabadulsz tőle vagy egy nem értékesítési hangnemű, baráti levéllel felkeresed az illetőt egy hozzájárulási nyilatkozattal. Ilyenkor annyit tehetsz, hogy leírod nekik egy bemutatkozó levélben, hogy ki vagy, mivel foglalkozol, és megkérdezed, hogy szeretnének-e értesítéseket kapni a vállalatodtól. Az e-mailhez csatolnod kell egy hozzájárulási nyilatkozatot, vagy el kell vezetned őket arra az oldalra ahol fel tudnak iratkozni. Talán ez esetben azok az emberek akik potenciális ügyfelek lehetnek kitöltik majd a nyilatkozatot vagy feliratkoznak, így bekerülnek az értékesítési tölcséredbe.

GDPR hírlevél

Feliratkozók migrálása

Ha hírlevél küldő szolgáltatót szeretnél váltani, nagyon egyszerűen elvégezheted az adatok migrálását. Ha már alapból olyan szolgáltatót használsz, aki GDPR kompatibilis, akkor rendelkeznie kell egy exportálási funkcióval. Itt kiválaszthatod, hogy milyen formában szeretnéd exportálni az adatokat, majd egyszerűen az új szolgáltatód rendszerébe importálod a fájl használatával. Egyszerű, ugye?

Hírlevél feliratkozás

Ahhoz, hogy GDPR kompatibilissé tedd a weboldalad, nem csak az adatvédelmi nyilatkozatodnak kell megfelelőnek lennie, hanem a feliratkozó blokkodnak/widget-ednek is.

Érthetően és átláthatóan fogalmazd meg az olvasónak, hogy mit fognak kapni, milyen rendszerességgel ha megadják számodra az adataikat. Miután kitöltötték a mezőket, tedd kötelezővé az Adatvédelem és ÁSZF elfogadását, hogy anélkül ne tudjanak feliratkozni. A hozzájáruló szöveg vezessen a nyilatkozatodhoz. Viszont arra figyelj, hogy ne legyen a jelölő négyzet automatikusan bepipálva.

Hirdetések futtatása

Nem igazán ismerünk olyan céget, aki ne futtatna hirdetéseket. Ha te is használsz Google Ads (Adwords) vagy Facebook hirdetéseket, amik a weboldaladra vezetnek, akkor ezt mindenképpen írd bele az Adatvédelmi nyilatkozatodba. Írd bele, hogy pontosan milyen szolgáltatásokat használsz, milyen célból és ez mivel jár a felhasználók számára. Ha biztosra akarsz menni, akkor választhatóvá is teheted a felhasználók számára, hogy hozzájárulnak-e hasonló módszerekben való részvételhez.

Reméljük, hogy már sokkal tisztábban látsz, ha GDPR-ról esik szó, és most már tudod, hogy pontosan milyen hiányosságokkal kell szembenézned cégeden belül. Ne feledd, csak egyszer kell meggyőződnöd arról, hogy megfelelsz az összes elvárásnak, még ha rengeteg energiabefektetéssel is jár, utána nem kell majd tartanod a milliós bírságoktól.

Nézd meg a többi cikkünket is: