Mi az a GDPR?

A GDPR az EU adatvédelmi rendelete, amely 2016. májusában lépett érvénybe, és a benne szereplő rendelkezések 2018. május 25-én válnak hatályossá. Gyakorlatilag a hazánkban jelenleg irányadó a 2011-es Infótörvény adatvédelemmel és adatkezeléssel kapcsolatos rendelkezéseinek egy részét váltja fel, egészíti ki.

Ebből tehát egyértelműen következik, hogy minden cégnek, így az e-kereskedelmi vállalkozásoknak is biztosan rendelkezésre kell hogy álljon már most is érvényes adatvédelmi, adatkezelési belső szabályozás, az már más kérdés hogy eddig erre ki mekkora hangsúlyt fektetett.
Azoknál, akik eddig is komolyan vették ezt a területet (mert felelősséget éreztek a dolgozóik, partnerik és vásárlóik adatai iránt, mint adatkezelőkés/vagy adatfeldolgozók), sokkal kisebb feladat lesz a GDPR átállás.

Mik a legfontosabb eltérések az Infótörvényhez képest?
A GDPR által okozott változásokat több csoportba lehet sorolni:

  • Új fogalmak, kötelezettségek
  • Meglévő szabályok szigorítása
  • Egyes eddig meglévő követelmények enyhítése

A teljes GDPR megfelelőség elérése egy vállalkozás számára sem valósulhat meg egy lépcsőben, legfőképp mert nagyon sok újonnan bevezetésre kerülő kötelezettségnek nincs sem működési, sem a hatóság részéről ellenőrzési gyakorlata. A NAIH lesz továbbra is az hatóság, amely akár egy saját maga által indított vizsgálat, akár egy külső bejelentés(!) alapján keletkezett ügy kivizsgálása során ellenőrizni fogja a GDPR megfelelőség betartását.

Amit talán mindenki hallott már, és ami a legijesztőbb lehet: az eddigi 20 millió forintos felső bírságolási határ jelentősen megemelkedik: nagyvállalatok esetében akár a forgalom 4%-a, vagy akár 20M euró is lehet.

Célzott adatkezelés

Először is minden belső adatkezelési folyamatnál (vásárlói regisztráció, rendelések kezelése, hírlevelezés, marketing kampányok, stb.) vegyük számba, hogy az általunk kezelt adatok esetében adatkezelők, vagy adatfeldolgozók vagyunk-e.
Például egy webáruház üzemeltetője minden esetben adatkezelő (a vásárló adatait saját céljaiból kezeli), de amennyiben egy külső szoftver is használja azokat az adatokat, a külső szoftver üzemeltetője adatfeldolgozóvá válik, és azért a webáruház tulajdonosnak ugyanúgy felelősséget kell vállalnia. Ezen felelősség szabályozására születik meg az adatkezelő és adatfeldolgozó között lévő szerződés.

Nagyon sok kellemetlenségből megmenekülhet a vállalkozás, ha első körben számba veszi, milyen adatokat kezel és tárol, valóban szüksége van-e arra az adatra, vagy csak egy folyamat részeként jut hozzá, de valójában nem is használja.
Számba kell venni minden külső és belső rendszer által, a vásárlóinktól, partnereinktől bekért adatot, amire nincs szükség azt az adatbázisból el kell távolítani, és a további adatgyűjtést meg kell szüntetni. Minden folyamatnál el kell határolni az adatkezelő és adatfeldolgozó személyét. Adatfeldolgozó (külső partner, külső szoftver) esetében ellenőrizni kell, hogy a vele kötött szerződés megfelelő-e, az adatkezelő rendelkezik-e GDPR megfelelősséggel.

Fontos, és általában külső szakértőhöz rendelt kérdéskör lehet az adatok titkosításának kérdése. Tipikusan ilyen a minden webáruháznál jelen lévő, a felhasználó személyes vásárlói fiókjához tartozó jelszó. Nem elég vélelmezni, hogy a webáruház rendszer ezt helyesen kezeli, meg is kell győződni erről.
Ugyanígy fontos lehet az adatbázisok átjárhatósága, azaz amennyiben egyes adatok (pl. hírlevéllisták) elkülönítve kerülnek tárolásra, az egyik rendszer károsodása ne okozzon adatvesztést, adatsérülést a másik rendszerben.
Saját fejlesztésű webáruház esetén ezekről a kérdésekről a webáruház fejlesztőjét kell nyilatkoztatni. Bérelt áruház esetén pedig annak ÁSZF-je az irányadó.

Az érintettek jogai 

A webáruház vásárlói, akiknek az adatait a vállalkozás kezeli, érintetté válnak. A GDPR különös figyelmet fordít az érintettek jogaira, úgy mint:

  • tájékoztatás a webáruház által végzett adatkezelésről
    • az adatkezelés joga, célja, és szükségessége
    • az adatkezelés időtartama
    • szükség esetén az adatvédelmi tisztségviselő elérhetősége
  • hozzáférési jog: a vásárló kérésére a webáruház köteles kiadni az általa a vásárlóról tárolt, kezelt adatokat
  • helyesbítéshez, törléshez, hordozáshoz való jog: a vásárló kérésére haladéktalanul el kell végezni a személyes adataival kapcsolatban kért módosításokat, beleértve az adatok végleges törlését is.
  • automatizált adatkezelés: a vásárló dönthet arról, ha nem akar részt venni automatizált adatkezelésben (pl. profilozás).

Egy webáruház oldalán eddig is kötelező volt elérhetővé tenni (letölthető formátumban is!) az adatkezelési szabályzatot. Ezt érdemes átnézni, és szükség esetén az új szabályok figyelembe vételével pontosítani, bővíteni.

Alapelvek:

  • csak olyan adatot kérjük a vásárlótól, amire tényleg szükségünk van!
  • vezessük végig a működési folyamatainkat (rendelés feldolgozása, ügyfélpanaszok kezelése, marketing tevékenységek), nézzük meg hol kerülnek az adatok harmadik fél számára átadásra. Itt se adjunk át többet, mint amennyi feltétlen szükséges!
  • alaposan nézzük át a harmadik felekkel (mint adatfeldolgozókkal) kötött szerződéseinket, illetve magát a szerződő partnerünket nyilatkoztassuk a megfelelőségről!

Egy webáruház működése során elkerülhetetlen, hogy külső partnerek, mint adatfeldolgozók jelenjenek meg az adatkezelési folyamatban. A tipikus, szinte mindenhol előforduló esetek:

  • weboldal üzemeltető partner (vevő adatbázis tárolása, beleértve a biztonsági mentéseket is!)
  • hírlevél küldő rendszer (vásárló személyes adatai, neve, email címe)
  • logisztikai partner, aki az áruk kiszállítását végzi (vevő személyes adatai, neve, címe, elérhetőségei)
  • affiliate partnerek, amennyiben vevő-adatbázis megosztás történik
  • ajánlórendszert üzemeltető külső partner (amennyiben kap konkrét vásárlói adatokat, itt akár a profilozás is felmerülhet)

Incidensek kezelése 

Adatvédelmi incidensnek tekintendő minden olyan eset, amikor az adatkezelő (tehát a webáruház) által kezelt adatok megsemmisülnek, vagy elvesznek, illetéktelenekhez kerülnek. Az adatkezelő felelőssége, hogy:

  • képes legyen észrevenni ha ilyen eset történik
  • maximum három napon belül bejelentést kell tenni a hatóságnak
  • meg kell tervezni szükséges lépéseket (kezelt adatok tulajdonosainak védelme, adatok visszaszerzése, visszaállítása)

Fentiek közül a legfontosabb az első pont, azaz az észlelés: a webáruházak esetében megfelelő folyamatleírás kell annak érdekében, hogy az adatbiztonsági ellenőrzések rendszeresen megtörténjenek. Tipikusan érdemes az adatfeldolgozói szerződések áttekintése, hiszen itt egy harmadik félnek adunk át olyan adatokat, amelyekért nekünk kell felelősséget vállalnunk.

Ellenőrzések, hatósági felügyelet 

A GDPR életbelépésével megszűnik a NAIH-hoz történő előzetes bejelentési kötelezettség, azaz új e-kereskedelmi vállalkozás indításánál már nem kell NAIH azonosítót kérni.

Ugyanakkor minden érintett jogosult lesz arra, hogy panasszal, bejelentéssel éljen közvetlenül a hatóság felé. A gyakorlatban ez azt fogja jelenteni, hogy egy webáruház vásárlója közvetlenül a hatósághoz fordulhat, amennyiben úgy érzi hogy mint értintett, az az adatkezelővel szemben panasszal kínál élni.

Bár a GDPR lehetőség ad arra, hogy az adatkezelési elveinkről csak az adatkezelés megkezdése pillanatában tájékoztassuk az érintetteket, mégis pont azért hogy az ügyfeleink, partnereink transzparensen lássák a működésünk, ugyanúgy mint eddig érdemes ezt előre megtenni.

Összefoglalás 

A GDPR-ra való átmenet nem azt jelenti, hogy 2018. május 25-én bizonyos rendszereket lekapcsolunk, más új rendszereket pedig be. A két éves türelmi idő pont azért volt, hogy minden webáruház folyamatosan, saját erőforrásaihoz mérten ütemezve tudjon felkészülni az új követelmények betartására.

Régi kereskedői alapszabály, hogy „mindig a vásárlónak van igaza” – ehhez kapcsolódóan alapelv az is hogy a vásárlóim által rám bízott adatokért felelős vagyok. Ha eddig is felelős adatkezelőként jártam el, azaz előre megterveztem, figyelemmel kísértem, és ellenőriztem azon rendszereim működését, amelyek a rám bízott adatokat kezelték, akkor a GDPR megfelelőség elérése sokkal könnyebb lesz.

Ha egy kereskedő bizonytalan, még mindig nem késő segítséget kérnie olyan cégektől, akik szakértőként, hiteles tudásanyaggal segíthetnek mind a belső folyamatok rendbetételében, mind pedig a szükséges dokumentumok elkészítésében.

 

Amit még ezen kívül meg kell tenned:

1. Elkészítettni az Adatvédelmi Tájékoztatót (ha eddig nem volt) vagy frissíteni az új rendeletnek megfelelően

Mi legyen benne?

– az Adatkezelő neve, címe, elérhetősége,
– a kezelt adatok köre (pl, név, telefon, email) ,
– az adatkezelés célja (miért kezeled és mire használod, pl. hírlevél küldés, megrendelések teljesítése és számlázás),
– az érintettek köre
– az adatok megismerésére jogosult adatkezelők személye (pl. ha futárszolgálatnak átadod a csomagot kiküldésre, a céged ügyfélszolgálati munkatársai)
– az adatkezelés időtartama: meddig tárolod az adatokat és mikor törlöd,
– hogyan tudja a felhasználó megtekinteni, módosítani vagy törölni a regisztrációkor adatait,
– ha megrendelt valamit, hogyan tudja módosítani vagy töröltetni az adatait (pl. emailben, telefonon, személyesen)
– mennyi idő alatt válaszolsz az adatok megváltoztatásával vagy törlésével kapcsolatos kérésekre,

(ezek azok a dolgok, amiket eddig is fel kellett tüntetni a tájékoztatóban), ami új:

– tájékoztatni kell a felhasználót az adathordozhatósághoz való jogról.

– tájékoztatni kell minden további jogáról és arról, hogy ezeket hogyan érvényesítheti.

Magam is megcsinálhatom a tájékoztatót?

Nem javaslom, hogy máshonnan átmásold, mert minden adatkezelés más, később vitás helyzetekben nem lesz mire hivatkoznod, ha hiányos a tájékoztatód. A legbiztosabb megoldás az, ha adatvédelemhez értő jogásszal készítesz egy saját változatot, az egyszerűbb esetekben elég, ha megrendelsz egy kész csomagot, amit a céged sajátosságaira alakítanak (ilyeneket érhetsz el pl. a net-jog.hu-n)

2. Gondoskodnod kell róla, hogy az általad kezelt adatok ne jussanak illetéktelenek birtokába (pl. hackertámadás)

Ennek érdekében:
– tájékoztatnod kell a kollégáidat az adatkezeléssel kapcsolatos legfontosabb óvintézkedésekről (pl. ismeretlen leveleket ne nyissanak meg, ismeretlen szoftvereket ne töltsenek le, ismeretlen pendrive-ot ne használjanak), mert gyakran a dolgozók figyelmetlensége miatt.
– tudd, hogy támadás esetén mit kell tenned (72 órán belül jelentened kell, erre hamarosan lesz egy formanyomtatvány, ami jelenleg még nem elérhető)
– védd meg a rendszereidet a támadásoktól (tűzfal, vírusírtó, a weboldalad védelme a támadásoktól pl. Sucurival stb.)

3. Dokumentációs kötelességed is van, ennek körét a rendelet pontosan meghatározza:

“(2) Minden adatfeldolgozó és – ha van ilyen – az adatfeldolgozó képviselője nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról; a nyilvántartás a következő információkat tartalmazza:
a)
az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei;
b)
az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;
c)
adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdése szerinti továbbítás esetében a megfelelő garanciák leírása;
d)
ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása.”

Ha esetleg van még kérdésed a rendelettel kapcsolatban, tedd fel bátran hozzászólásban és jogi szakértőnk bevonásával választ adunk rá!

Kiegészítés: Elkészült a hivatalos útmutató KKV-k számára sok hasznos és átlátható információval, érdemes átböngészni

A honlap további használatához a sütik használatát el kell fogadni. További információ

A süti beállítások ennél a honlapnál engedélyezett a legjobb felhasználói élmény érdekében. Amennyiben a beállítás változtatása nélkül kerül sor a honlap használatára, vagy az "Elfogadás" gombra történik kattintás, azzal a felhasználó elfogadja a az Adatvédelmi irányelveket és a sütik -Cookie szabályzatban foglaltakat.

Bezárás