Két hét van az általános adatvédelmi rendelet megalkotására

2018-05-09 10:33:14


 

Paks, 2018. május 9.. szerda (PAKS-PRESS) - Idén május 25-től alapvető változások lesznek a digitálisan kezelt adatok területén, ez minden, az online térben érintett cégnek többletmunkát, változtatási kényszert jelent. Közel két hét van hátra, a GDPR 2018 legfontosabb történései közé tartozik az online marketingben.

 

Az Európai Unió és a Tanács által elfogadott, a személyes adatok védelméről és az ilyen adatok szabad áramlásáról szóló rendelete, más (General Data Protection Regulation, GDPR).

A téma azért tart számot nagy közérdeklődésre, mert mindeddig a személyes adatok kezeléséről csak európai uniós irányelv szólt. Ez változik, a GDPR közvetlen hatállyal rendelkezik, minden tagállamban kötelezően alkalmazandó. Ennél fogva minden tagállamban ez a rendelet lesz a legfontosabb szabályanyag a személyes adatok kezelése és védelme tekintetében, attól eltérni csak akkor lehet, ha azt maga a GDPR megengedi.

 

Az adatkezelés magában foglal szinte minden, a személyes adatokon végzett cselekményt, így azok felvételét, gyűjtését, tárolását, különböző célokra történő felhasználását, továbbítását, módosítását. Az ezt végző személy az Adatkezelő. Az, aki az adatkezelő megbízásából és nevében személyes adatokkal dolgozik, az Adatfeldolgozó.

A fontos különbség az, hogy míg az adatkezelő meghatározza az adatkezelés célját is, azaz dönt az adatok sorsáról, addig az adatfeldolgozó csak az adatkezelő utasításai alapján végez – jellemzően technikai – műveleteket az adatokon (pl. webtárhely szolgáltatója).

 

Uniós rendelet lévén a GDPR az EU-hoz valamilyen oknál fogva kapcsolódó adatkezelésekre állapít meg rendelkezéseket. Így alkalmazni kell a GDPR-t, ha a vállalkozás tevékenységét az Unió területén fejti ki, és az adatkezelés e tevékenységével összefüggésben valósul meg.

 

Ugyanakkor a GDPR továbbmegy ennél: alkalmazandó ugyanis azokra az adatkezelésekre, adatfeldolgozási műveletekre is, amelyeket az Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó végez, ám áruknak vagy szolgáltatásoknak az Unióban tartózkodó érintettek számára történő nyújtásához kapcsolódnak, vagy az érintettek Unió területén belül tanúsított viselkedésének megfigyeléséhez kapcsolódnak.

 

A rendeletet 2018. május 25-től kell alkalmazni. A változás kétirányú: egyrészt megszűnik a most működő, a NAIH által vezetett adatvédelmi nyilvántartás, az egyes adatkezeléseket nem kell bejelenteni.

 

Bejelentési kötelezettség keletkezik viszont az adatkezelő oldalán ún. adatvédelmi incidensek, azaz személyes adatokkal kapcsolatos jogsértések esetén, az adatkezelő általi tudomásszerzést követően haladéktalanul, de legkésőbb 72 órán belül.

Kivétel ez alól, ha a személyes adatok megsértése „valószínűsíthetően” (ezt persze nehéz konkretizálni) nem okoz nagy sérelmet az érintettek számára. A bejelentést ilyenkor a NAIH felé kell megtenni. Az incidenssel érintett személyeket csak akkor kell értesíteni, ha az adatsértés számukra valószínűsíthetően nagy kockázatot jelent, pl. banki kódok kiszivárgása esetén. Ha az adatfeldolgozó észlel jogsértést, ő is köteles ezt bejelenteni, mégpedig az adatkezelő felé.

 

GDPR szempontjából a weboldalon található „adatgyűjtő tartalom” megléte fontos. Gondolhatunk itt akár egy Facebook Like-gombra, vagy akár egy hírlevél-feliratkozásra is, de vannak kevésbé szemet szúró adatkezelések is, mint például egy forráskódba ágyazott követőkód.

 

Ezeknél minden esetben személyes adatok juthatnak a vállalkozás birtokába, például egy hírlevélre történő feliratkozás során név, email cím biztosan. Ebben az esetben pedig már meg kell felelni a GDPR rendelkezéseinek.

 

Egyébként nem is lehet automatikusan, „kéretlenül” hírlevelet, direkt marketing anyagokat küldeni, a hírlevelek, reklámanyagok küldéséhez előzetes hozzájárulás szükséges. A hozzájárulás pedig a GDPR szerint csak tevőleges magatartással valósulhat meg. Ilyennek minősül, ha maga a weboldal látogatója pipálja ki a hozzájáruló négyzetet. Nem elfogadható például az a gyakorlat, amely szerint a négyzet már kipipált, és azt a látogató csak jóváhagyólag – vagy éppen figyelmetlenségből – úgy hagyja.

 

A GDPR szerint a süti-azonosítók alkalmasak a természetes személyek azonosítására, így kiterjed rájuk a GDPR hatálya. A süti-sávról, azaz a „cookie-k”-ról ezért egyértelmű és pontos tájékoztatást kell adni az oldal adatvédelmi tájékoztatójában, és a felhasználónak kifejezetten és egyértelműen hozzá is kell járulnia ahhoz, hogy az oldal cookie-kat használjon. Sőt, lehetőséget kell adni neki arra is, hogy megváltoztassa döntését, azaz egy ponton úgy döntsön, a továbbiakban nem járul hozzá a cookie-k alkalmazásához.

 

A sütikkel kapcsolatban egy informatikai megjegyzés: a süti-tájékoztató megjelenítéséhez a rendszernek (weboldal) tisztában kell lennie azzal, hogy az adott felhasználó először látogat-e ide és/vagy elfogadta-e a süti-tájékoztatóban foglaltakat. Ez kétféle módon történhet: a felhasználó regisztrált a weboldalra, ebben az esetben eltárolható ez a döntése, vagyis nem kérdés, hogy elfogadja-e, hiszen regisztrációkor már megtette – ez a ritkábban alkalmazott eset.

A másik eset, amikor először felmegy az adott weboldalra a látogató és a rendszer megnézi, hogy a számítógépén található-e ehhez a weboldalhoz tartozó süti, ami azt jelenti, hogy már nyilatkozott az elfogadásról vagy sem, elfogadta-e vagy sem. Ezáltal azzal, hogy megjelenítjük neki a süti-tájékoztató csíkot, már egy cookie-t megnéztünk a számítógépén, méghozzá azelőtt, hogy egyáltalán hozzá tudott volna járulni.

 

GDPR hatályát semmibevevők borítékolhatóan komoly bírságoknak teszik ki magukat és a cégüket. Magyarországon a NAIH, azaz a Nemzeti Adatvédelmi és Információszabadság Hatóság felel majd a GDPR betartatásáért, ellenőrzéseket folytathat le, az adatvédelmi szabályok megsértőit szankcionálhatja. Emellett iránymutatást biztosító, jogszabály-értelmezést segítő feladatai is vannak.

 

Javasolt tehát mindenkinek felülvizsgálnia és hatályosítania az adatkezelési gyakorlatát, mert a GDPR az eddigieknél sokkal szigorúbb szankcionálási eszközöket ad a nemzeti hatóságok (Magyarországon a NAIH) kezébe: a bírság maximális mértéke 20 millió euró vagy az előző év világpiaci árbevételének 4 százaléka.

A kettő közül a magasabb jelenti a felső határt. Természetesen a NAIH a konkrét bírság összegét számos tényezőtől teszi majd függővé, így figyelembe veszi a jogsértés súlyát, mértékét, az okozott sérelem nagyságát, illetve azt, hogy az gondatlanságból, szándékosságból, netán menthető nemtudásból fakad-e.

 

A GDPR szövege magyar nyelven letölthető ezen a linken keresztül.

https://naih.hu/files/CELEX_32016R0679_HU_TXT.pdf