Tájékoztatás: Ez a cikk nem tekintendő az Európai Bizottság hivatalos álláspontját képviselő dokumentumnak, és csupán tájékoztató jellegű. A cikk megírásának idején még nincs tapasztalat a rendelet alkalmazásával kapcsolatban. Ha bizonytalan vagy, kérj a vállalkozásodra szabott ügyvédi állásfoglalást, mert ekkor a felelősséget és büntetési terhet is az ügyvéd vállalja.

UGRÁS A TEENDŐKHÖZ

GDPR madártávlatból

Mi frász az a GDPR?

GDPR: General Data Protection Regulation, magyarul Általános Adatvédelmi Rendelet.

Hol érhető el a GDPR teljes szövege?

A teljes szöveget magyarul és az Európai Unió további nyelvein ezen a linken éred el, kicsit tagoltabb formában angolul pedig ezen a linken olvashatod.

Mi a GDPR célja?

A GDPR célja, hogy szabványosított adatvédelmi törvényeket biztosítson az összes EU tagországban. Ez megkönnyítené az unió állampolgárai számára az adataik felhasználási módját, és panaszt emelhetnének még akkor is, ha nem abban a tagországban történt a szabálysértés, ahol ő él (Forrás: PrivacyTrust). Tehát nem az a cél, hogy ellehetetlenítse a vállalkozásokat, épp ellenkezőleg, hogy helyzetbe hozza őket az amerikai, orosz és kínai szervezetekkel szemben, így az EU állampolgárok adataival csak az EU rendelkezhessen.

Kire vonatkozik a GDPR?

A GDPR lényegében minden vállalkozásra vonatkozik, akik személyes adatokat kezelnek – a vállakozás méretétől függetlenül.  Nem csak az online adatkezelésekre érvényes, hanem az offline tárolt információkra is: a cég dolgozóinak pénzügyes papírjaitól kezdve egészen a vásárlói email listáig, akár időszakos adatgyűjtésekről és -mozgásokról van szó, akár automatizált folyamatokról.

Itt három fogalmat kell tisztáznunk: Adatkezelő, Adatfeldolgozó és Személyes adat.
Adatkezelő: Mindenki, aki a személyes adat kezelésének célját meghatározza, az adatkezelésre vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja. (Aki adatokat kezel, rögzít, gyűjt, tárol, használ, módosít vagy továbbít.)
Adatfeldolgozó: Bárki, aki szerződés alapján a személyes adatok feldolgozását végzi. Gyakorlatilag akinek továbbítod az adatokat.
Személyes adat: Minden, ami alapján a magánszemély közvetlenül vagy közvetve beazonosítható: név, cím, helymeghatározás, email cím, telefonszám, egészségügyi információ, jövedelem, kultúrális profil, IP cím, cookie ID vagy bármilyen más azonosító.

Például: adatkezelés, ha egy egyszerű Excel táblában gyűjtöd a partnereid email címeit, vagy ha a honlapodon feliratkoznak a hírleveledre, és megadják nevüket, email címüket. Ha ezek az adatok egy hírlevélszolgáltató rendszerébe kerülnek, az már adatfeldolgozás – ilyen pl a MailChimp, ActiveCampaign, vagy a magyar fejlesztésű SalesAutopilot. A célt itt te határozod meg, te döntöd el mi történik az adatokkal a rendszer csak feldolgozza a kérésedet.

Az Adatfeldolgozó felelőssége:

Az adatfeldolgozó mindig az adatkezelő utasítása alapján kell, hogy eljárjon, nem rendelkezik önálló döntési jogkörrel az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait illetően, ezekről mind az adatkezelővel kötött írásbeli szerződésben kell megállapodnia. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be a jogszabályokban meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el. (Forrás: JogászVilág)

Az érintettek jogai. Ezeket a jogokat kell tudnod biztosítani a magánszemélyeknek a GDPR kapcsán.

Megfelelő méretű, nyelvű, egyszerű nyelvezetű és könnyen fellelhető információt köteles adni az adatkezelő az adatkezelés lényeges szempontjairól (ki, mit, mire, hogyan, mettől meddig használ, stb.) – a GDPR pontosan meghatározza a szükséges információk körét. A tájékoztatásnak lehetőleg már a személyes adatok felvétele előtt meg kell történnie. Ha erre nincs mód – mert pl. az adatokat harmadik személytől szerzik be, mondjuk, valaki elküldi egy barátja önéletrajzát a HR-osztálynak – úgy az első lehetséges időpontban.

A magánszemély bármikor kérheti az adatkezelőtől, hogy haladéktalanul adjon kimerítő tájékoztatást arról, hogy milyen adatokat tart nyilván, ezeket milyen céllal és meddig tárolja. Azt is meg kell tudni mondani, hogy a magánszemély mikor és milyen formában adta hozzájárulását a személyes adatai tárolásához és felhasználáshoz.

A magánszemély bármikor jelezheti, hogy az adatkezelő által kezelt rávonatkozó adatok hibásak és kérelmére azokat haladéktalanul módosítani kell, az adatok pontosságáért, helyességéért azonban az adatkezelő a felelős.

Kérelemre bármikor biztosítani kell a személyes adatok törlését. Ha az adatkezelő harmadik személynek is (adatfeldolgozó) hozzáférhetővé tette a magánszemély adatait, akkor mindenkit kötelessége tájékoztatni erről, akik hozzáférhetnek az érintett adatokhoz.

Ez teljesen új kitétel a szabályozásban, az érintett kifejezetten kérheti, hogy a rá vonatkozóan kezelt adatokat tagolt, széles körben használt, géppel olvasható formátumban, elektronikusan (pl. .doc, .pdf stb.) megkapja, jogosult arra is, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa, azaz lehetőséget biztosít arra, hogy a magánszemély személyes adatait az egyik adatkezelőtől a másikhoz vigye át.

Az érintett jogosult arra, hogy bármikor tiltakozzon személyes adatainak meghatározott okból történő kezelése ellen, tipikus esete a spam leveleknek, amikor az érintett nem adta hozzájárulását személyes adatai kezeléséhez.

Bizonyos esetekben a személyes adatok kezelésével érintett személy kérheti személyes adatai kezelésének korlátozását – például egy tisztázatlan, jogvitás helyzetben, vagy akkor, ha az adatkezelés nem szükséges már, de az adatalany azt mégis szeretné.

Adatai törlését bárki az adatkezelőhöz címzett nyilatkozattal kérheti szóban, írásban, postai címen, e-mail címen, weboldalon – célszerűen azon a fórumon, amelyen keresztül az adatok jogszerűen az adatkezelőhöz kerültek. Ezért is fontos, hogy az adatkezelő az adatvédelmi tájékoztatójában feltüntesse pontos elérhetőségeit.

(Forrás: ViragUtazo; További információ: Net-Jog)

Jogi és informatikai előírások

A GDPR egyik fő elve az elszámoltathatóság és a bizonyíthatóság. Ez azt jelenti, hogy vállalkozóként nem elég a szabályoknak megfelelni, hanem azt igazolni is tudni kell. Másrészt nem hivatkozhatsz arra, hogy a szabályoknak való megfelelés nem a te, hanem pl. a tárhelyszolgáltató, számlázó program szolgáltató, hírlevélküldő program szolgáltató stb. dolga, hanem bizony ezeknek az adatfeldolgozóknak a tevékenységéért a vállalkozás adatkezelőként felel (ez eddig is így volt). Ebből viszont következik az, hogy nem elég pusztán az adatkezelési tájékoztatót a GDPR-ral összhangba hozni, hanem figyelni kell arra is, hogy a tényleges informatikai és egyéb szervezeti műveletek is a GDPR-nak megfelelően történjenek. (Forrás: Unas)

Mi lehet a büntetés?

Minden esetet egyedileg bírálnak majd el, tehát figyelembe veszik a jogsértés mértékét és azt is, hogy szándékosan vagy véletlenül, esetleg nemtudásból követett el egy cég hibát. Érdemes figyelembe venni, hogy az EU célja nem a vállalkozások ellehetetlenítése, hanem a személyes adatokkal való visszaélés megszűntetése. A büntetés szigora a tagországok hozzáállásától is függ, Magyarországon ez a NAIH hatásköre.

A büntetés folyamata:

  1. Figyelmeztetés
  2. Megrovás
  3. Adatfeldolgozás felfüggesztése
  4. Bírság (A bírság maximális mértéke 20 millió Euró vagy a cég előző évi világpiaci árbevételének 4%-a – amelyik a kettő közül magasabb). (Forrás: ec.europa.eu)

GDPR figyelmeztetés

Mikortól lép hatályba?

2018.május 25-től, ezt követően nincs már türelmi idő.

GDPR TEENDŐLISTA

Ügyviteli Feladatok

Amire NEM lesz szükséged:

Milyen dokumentumokra lesz szükséged?

Ahány céllal dolgozol, annyi nyilatkozat kell. Itt kell külön készítened nyilvántartást a webshop regisztrációról, a vásárlásról vagy a hírlevél feliratkozásról. Vagy bármi másról.

A KKV-knak csak akkor kell adatnyilvántartást végezniük, ha az adatfeldolgozás:

  • Rendszeres
  • Veszélyezteti az emberek jogait és szabadságait
  • Érzékeny adatokat vagy bűnügyi adatokat érint

Adatvédelmi Nyilvántartás elkészítése

Fel kell mérned az adatkezelési eseteket, amik a honlapodon (és a vállalkozásodnál) előfordulhatnak. A legtöbbször ezek a pontok jönnek szóba:

  • működési és/vagy marketing sütik telepítése (IP-cím megjegyzése) az oldal látogatásakor
  • regisztráció, megrendelés, hírlevél feliratkozás
  • kapcsolatfelvétel (akár űrlapon, akár e-mailben), bármely marketing popup, ahol személyes adatot gyűjtünk (pl. e-mail címért kupon felajánlása, stb.)
  • nyereményjáték
  • garanciális panaszok, fogyasztóvédelmi panaszok kezelése

Természetesen a fentieken túl több adatkezelési cél előfordulhat, de ezek jellemzően lefedik egy honlap működését. Elsősorban a fent említett adatkezelési eseteken kell végig menni, és azokat nyilvántartásba venni, illetve az adatkezelési tájékoztatóban meghatározni az alábbiak szerint: jogalap, cél, időtartam, kezelt adatok köre.

A nyilvántartásnak tartalmaznia kell:

  • A vállalkozás nevét és elérhetőségi adatait
  • Az adatfeldolgozás indoklását és az az adatkezelés célját
  • Az adatalany- és személyesadat-kategóriák ismertetését, tehát az érintettek és a kezelt adatok körét
  • Annak tényét, ha történik profilalkotás az érintett kapcsán
  • Az adatokat megkapó szervezetek típusait
  • Az esetleges adattovábbításra vonatkozó információkat, beleértve a nemzetközi adattovábbításra vonatkozó információkat is
  • Az adatkezelési műveletek jogalapjait
  • A kezelt személyes adatok törlésének időpontját, amennyiben az ismert
  • A kezelt adatokkal összefüggésben felmerült adatvédelmi incidensek bekövetkezésének körülményeit, azok hatásait és a kezelésükre tett intézkedéseket

Tartalma:

Új GDPR pontok:

  • tájékoztatni kell a felhasználót az adathordozhatósághoz való jogról.
  • tájékoztatni kell minden további jogáról és arról, hogy ezeket hogyan érvényesítheti.
  • Ha remarketing hirdetéseket használsz, az adatvédelmi tájékoztatóban szerepelnie kell annak, hogy ilyen célokra adatokat gyűjtesz és annak is, hogy ezekkel mihez kezdesz. Ennek a megírásában segíthet a Google ezirányú tájékoztatója.

Eddig is kötelező elemek:

  • az Adatkezelő neve, címe, elérhetősége
  • a kezelt adatok köre (pl, név, telefon, email)
  • az adatkezelés célja (miért kezeled és mire használod, pl. hírlevél küldés, megrendelések teljesítése és számlázás)
  • az érintettek köre
  • az adatok megismerésére jogosult adatkezelők személye (pl. ha futárszolgálatnak átadod a csomagot kiküldésre, a céged ügyfélszolgálati munkatársai)
  • az adatkezelés időtartama: meddig tárolod az adatokat és mikor törlöd,
  • hogyan tudja a felhasználó megtekinteni, módosítani vagy törölni a regisztrációkor adatait,
  • ha megrendelt valamit, hogyan tudja módosítani vagy töröltetni az adatait (pl. emailben, telefonon, személyesen)
  • mennyi idő alatt válaszolsz az adatok megváltoztatásával vagy törlésével kapcsolatos kérésekre,

Ezt a szerződést kell megkösd az adatfeldolgozóiddal, és be kell jegyezned őket az Adatvédelmi Nyilvántartásodba, valamint fel kell tüntetned az Adatvédelmi Tájékoztatódban is. Ha a szerződő partnered továbbszerződik egy alvállalkozóval, akkor őt már nem kell bevenned.

Kik lehetnek adatfeldolgozók? Például: marketing ügynökséged, a futár, a számlázó program, a könyvelő, külső szoftverek, webfejlesztő vagy a bérelhető webáruház fejlesztői, külső fizetési megoldás (Simlepay, Barion), tárhelyszolgáltató, hírlevelező rendszer (MailChimp, ActiveCampaign, SalesAutopilot, stb), Analitikai szoftver (Google Analytics), Remarketinghez rendszerek (AdWords, Facebook), Virtuális asszisztens.

(Amennyiben adatfeldolgozó bevonásával végzed a tevékenységed egy részét, a GDPR megköveteli az adatkezelőtől, hogy az adatfeldolgozóval kötött szerződésben térjen ki egy listában meghatározott, részben új kérdések kezelésére.)

A cégeknek meg kell szerezniük azoknak a személyeknek (képviselőknek, kapcsolattartóknak, stb.) az adatkezelési hozzájárulását, akik a cég nem természetes személlyel kötött szerződéseiben vannak megnevezve.

Ha valaki kéri az adatának törlését, akkor azt neked törölnöd kell és erről nyilatkoznod kell felé, hogy megtörtént.

Adatlopás esetén kell készítened egy jegyzőkönyvet, ami alapján a NAIH tud dolgozni.

Ha az általad tárolt adatok illetéktelenek kezébe jutottak (pl. hackertámadás, rablás), erről jegyzőkönyvet kell felvenned és értesítened az érintetteket (pl. feliratkozót, adatfeldolgozót).  Az ilyen eseteket 72 órán belül jelentened is kell a NAIH felé, amire lesz egy formanyomtatvány, de jelenleg még nem elérhető.

A fenti dokumentumok elkészítésében ügyvéd tud számodra segítséget nyújtani. A szükséges, vagy szükségesnek vélt dokumentumok listája ügyvédenként és cégenként eltérő lehet.

Szükséged van-e adatvédelmi tisztviselőre?

Ha a személyes adatok feldolgozását reklámok célközönségének megtalálásához végzed, mégpedig keresőmotorokon keresztül, az emberek online viselkedése alapján (vagy remarketing hirdetéseket használsz), akkor IGEN. Ha viszont pl. évente egyszer küldesz hirdetést ügyfeleinek helyi élelmiszeripari vállalkozásod reklámozása céljából, akkor nem. (forrás: ec.europa.eu)

Ki lehet adatvédelmi tisztviselő? Az EU ezzel kapcsolatban nem fogalmaz meg szigorú elvárásokat, csak annyit, hogy ki kell jelölni egy személyt a cégben, aki az egész adatkezelésért felelős, megadható kapcsolattartónak, eljár az ügyben és kezeli az incidenseket. A NAIH viszont már nem ennyire megengedő, megfogalmazta az összeférhetetlenség elvét, ami alapján tisztviselő nem végezhet olyan egyéb feladatot, melynek során meg kell határoznia az adatkezelés célját, eszközeit, így nem lehet ügyvezetői pozícióban, IT vagy HR vezető. Bízzunk benne, hogy a gyakorlat során enyhülni fog ez a kitétel. (forrás: gdpr.blog.hu)

Technikai Feladatok

Megnézzük sorban a weboldal funkcióit, marketing eszközeit, és az ezekhez szükséges beállításokat.

Mikor nincs teendőd a weboldaladdal?

  • Ha nincs személyes adatok bevitelére szolgáló mező a honlapodon (kapcsolatfelvételi űrlap, feliratkozó űrlap), és csak kapcsolatfelvételi adatokat adsz meg (cím, email cím, telefonszám, stb.)
  • Ha nem használsz sütiket (cookie) a honlapodon
  • Ha csak kérdőívet készítesz piackutatási céllal, és azon nem kérsz be személyes adatokat (email cím, név, stb.). Ha viszont már ki szeretnéd küldeni az eredményt a kitöltőnek, akkor meg kell felelned a GDPR előírásainak
  • Ha csak AdWords-ben vagy Facebook-on hirdetsz, és nem használsz remarketinget, vagy saját adatbázist
  • és természetesen, ha már megfelelsz a GDPR előírásainak 🙂

ŰRLAPOK

Mit ír elő a GDPR a felhasználó adatainak megadásával kapcsolatban?

  1. legyen önkéntes;
  2. alapuljon konkrét és megfelelő tájékoztatáson;
  3. jelezze az érintett félreérthetetlen cselekmény útján, egyértelmű kinyilvánítással, hogy személyes adatai kezeléséhez hozzájárul.

Űrlapok adatbekéréséről általánosságban

  • A félreérthetetlen cselekmény EGYIK, de nem egyetlen technikai megoldása az üres jelölő négyzet, amelyet ki kell pipálni, vagy ikszelni.
  • El kell helyezni egy adatvédelmi tájékoztatót az oldalra, jól látható helyre, ezzel alapozzuk meg a megfelelő tájékoztatást;
  • Csak olyan jellegű és mennyiségű személyes adatot lehet kezelni (bekérni), amely az adatkezelés céljához feltétlenül szükséges és arra alkalmas. Mindig csak a minimum adatkört lehet kezelni, amelyek felhasználásával a cél – amelyből az adatokat gyűjtik – már megvalósítható. (Forrás: Merosus)

Kapcsolatfélveteli / Ajánlatkérő űrlap

Ez az egyik leggyakoribb eleme a honlapoknak. Kell-e jelölőnégyzet (checkbox) ezekre az űrlapokra? Jelenleg két megoldás létezik ezzel kapcsolatban.. 🙂

  1. Nem kell.
    Mivel ebben az esetben egyértelmű, hogy ajánlatkérésről beszélünk és ez az adatkezelés célja, így a checkbox elhagyható. Ebben az esetben viszont ki kell írni, hogy a gomb lenyomásával ő hozzájárul az adatok kezeléséhez, és be kell linkelni az adatvédelmi tájékoztatót jól látható helyre.
  2. Kell.
    A gomb fölé, a kitöltendő mezők alá el kell helyezni egy jelölő négyzetet (kötelező mező) “Elolvastam és elfogadom az adatvédelmi tájékoztatóban foglaltakat.” figyelmeztetéssel, és be kell linkelni az adatvédelmi tájékoztatót. GDPR biztos megoldás.

Mindkét megoldás jó, további jelölőnégyzet nem kell, legalábbis nem javasolt az ilyen típusú űrlapra. Fontos, hogy ezekben az esetekben nem küldhesz eDM leveleket (elektronikus direkt marketing leveleket) az ajánlatkérőnek. Ha ilyet szeretnél tenni, akkor plusz egy jelölőnégyzetet kell elhelyezni a gomb fölé valami hasonló szöveggel: “Hozzájárulok, hogy számomra a (cég vagy honlap neve) eDM-et küldjön.”, és itt az eDM jelentését érdemes elmagyarázni egy-két mondattal (link vagy popup formájában).

Feliratkozó űrlapok (hírlevél)

Itt is alapvetően két megoldás van:

a; Ha a feliratkozás szövegében felhívjuk a figyelmet arra, hogy leveleink reklámot is tartalmaznak, akkor elég egy jelölőnégyzet, amiben az Adatvédelmi Tájékoztatót fogadtatjuk el. (Pl: “Iratkozz fel reklámot is tartalmazó hírlevelünkre!”)

Jó megoldás az is, ha egy jelölő négyzetet helyezel el, amely az eDM küldéshez hozzájárulás, valamint egy rövid, jól látható tájékoztatást a nyomógomb alá, például a következő szöveggel: „a hírlevél feliratkozással hozzájárul, hogy az XY vállalkozás a felhasználó adatait (név és e-mail cím) a fenti célból kezelje”.

b; Ha csak annyit írunk, hogy pl. “Hírlevél feliratkozás”, és nem hívjuk fel a leírásban a figyelmet arra, hogy reklámot is küldünk, akkor kell gondoskodnunk az Adatvédelmi Tájékoztató elfogadtatásán túl egy második jelölőnégyzetről, amiben a marketing célú levelek küldéséhez kérjük a hozzájárulást. (Mindkét mezőt kötelezővé kell tenni).

Példa: A jobb oldalon látható űrlap a GDPR előrásainak megfelelő:

GDPR biztos űrlap

Regisztráció vásárlás esetén

Ha a vásárlás regisztrációhoz kötött, a regisztrációba be kell építened egy olyan jelölőnégyzetet, amivel a látogató hozzájárul az adatai további kezeléshez. Ha a vásárlás nem regisztrációhoz kötött az ügylet végeztével az adatokat törölnöd kell, kivéve, ha az ügyfél hozzájárult ahhoz, hogy továbbra is kezeld őket. Tehát nem tárolhatod a webáruházadban a végtelenségig a korábbi megrendelők adatait, ha ők ehhez nem járultak hozzá.

4; Email marketing

Ha már rendelkezel feliratkozókkal, de ők még nem fogadták el az új adatkezelési irányelveket, akkor nekik új köremailt kell küldened, amiben megkéred őket ennek elfogadására. Ha ezt nem teszik meg, nem küldhetsz számukra eDM leveleket a későbbien.

Olyan hírlevélküldő rendszert kell választanod, amelyik logolja, hogy a feliratkozás során elfogadta-e a látogató az adatvédelmi irányelveket (illetve annak megfelelő verzióját), mert ennek bizonyítása egy esetleges ellenőrzés során a te feladatod lesz. Ezt a funkciót a nagyobb szolgáltatók már tudják (MailChimp, ActiveCampaign, SalesAutopilot), de mindenképp ellenőrizd a saját rendszered, és nézd meg, hogyan tudod ezt lekérdezni!

Milyen leveleket küldhetsz a korábbi feliratkozóidnak, akik nem fogadták el az új adatvédelmi irányelveket?

  • Ha ügyfeled, és módosítjátok a számlázási vagy rendelési adatokat, vagy küldhetsz neki tájékoztató emaileket, amikor megváltozik a szolgáltatói szerződés, esetleg lejárt számlája van.
  • Ha folyamatos szerződésetek van (pl support), akkor (valószínűleg) a köztetek lévő szerződés értelmében küldhetsz szorosan a támogatáshoz kapcsolódó emaileket.
  • Ha letöltött korábban valamilyen feliratkozáshoz kötött PDF-et, akkor ésszerű időkereten belül elküldheted a PDF esetleges frissítéseit.

Jogi szempontból különbség van a hírlevél és az eDM között. A hírlevél nem jelent többet, mint néhány rendszerüzenetet, pl. az oldal karbantartásáról, frissítési információkról, rendszerinformációk az oldal használatáról, megrendelés visszaigazolása stb.

Mi az eDM jogi szempontból? Babaruhát árulsz és az első gólyák megérkezéséről küldesz fotókat a feliratkozóknak? Ha benne van a vállalkozásod neve az elektronikus levélben, már reklám. Éttermed van és a reformételekről írsz egy tájékoztatást? Ha az elektronikus levél tartalmazza a vállalkozásod nevét, már reklám. Fitnesztermet üzemeltetsz és e-mailben kiküldöd az órarendet a feliratkozóknak? Ha tartalmazza a vállalkozásod nevét, már reklám.

Bármelyik üzenet, amelyet a feliratkozóknak küldesz, reklámnak minősül, ha arra irányul, hogy a szolgáltatásodat, a termékedet, a vállalkozásod nevét, a tevékenységedet népszerűsítse, előmozdítsa az igénybevételt, növelje az értékesítési mutatóidat. Például: elektronikus katalógusok, elektronikus levelek kiárusításról, ajándékokról, kedvezményekről, kuponokról, új termékekről stb.

Erről a jogi megkülönböztetésről nem a GDPR rendelkezik, hanem egy nemzeti jogszabályunk. (Forrás: Merosus)

SÜTIK (Cookies)

Mi egyáltalán az a cookie (süti)?

A cookie egy kis text fájl (szöveges fájl), ami a te merevlemezeden tárolódik el (a böngésződ mappájában), amikor meglátogatsz egy weboldalt.

Mire jó ez a süti, és milyen típusai vannak?

Többek között információt gyűjtenek, megjegyzik a látogató egyéni beállításait, felhasználásra kerülnek pl. az online bevásárlókosarak használatakor, és általánosságban megkönnyítik a weboldal használatát a felhasználók számára. Alapvetően három típusú sütit különböztetünk meg, és a céljük is háromféle:

  1. Ideiglenes sütik (Session cookie vagy munkamenet idejére létrejövő süti)
    Ezeket szokták sok helyen kötelező sütiknek, vagy “rendszersütiknek” is hívni. Bárhogy is nevezzük, a lényeg, hogy ezek törlődnek, amikor bezárod a böngésződ, vagy elhagyod az adott oldalt, és nem gyűjtenek információkat a felhasználó számítógépéről, vagy aktivitásáról. A tiltásuk elég bonyolult, a Facebook és Google használatához például szükséges az engedélyezésük, de ezt a típusú sütit használják a webáruházak is, amikor a bevásárlólistához adsz egy terméket.
  2. Állandó sütik (Persistent cookie, Tracking cookie, de marketing sütiként is ismert)
    Az ideiglenes sütivel ellentétben ez nem törlődik, miután elhagytad az oldalt. Ezeknek van egy meghatározott lejárati dátuma, ameddig a süti továbbítja az információkat a webhely szerverére, amikor a felhasználó a lejárati dátumig meglátogatja az oldalt (Ez az időtartam nem lehet hosszabb 6 hónapnál). Marketing szempontból használják, a felhasználói viselkedés tömeges tanulmányozására. Nem tudják a felhasználót személy szerint beazonosítani, olyan adatokat lehet vizsgálni vele, hogy az oldal látogatója menny időt töltött az adott oldalon, és az adott honlap mely oldalait nézte meg.
    De azt a típusú sütit használjuk akkor is, amikor egy honlapra való belépésnél arra kattintasz, hogy “maradjak bejelentkezve”.
  3. Harmadik félnél keletkező sütik (Third-party cookies)
    Azokat a sütiket hívjuk “third-party” sütiknek, amik egy másik domainen lettek beállítva. Összegyűjtik a böngészési adatokat, és több webhelyen is átívelő kimutatásokat készítünk segítésgükkel (pl hogy melyik weboldalról érkezett a látogató hozzánk.) Ilyen sütiket használ pl: Facebook, Google Analytics, Twitter, Youtube, Google Maps.
    Sokszor használatos még, ha egy márkának több honlapja is van, és a honlapok közötti “átjárást” szeretnék statisztikai adatokkal vizsgálni.

Kell-e a cookie figyelmeztető sáv?

Igen, a GDPR életbelépése után is kötelező elem lesz figyelmeztető sáv alhelyezése a honlapodon. A sütiket a felhasználó tárolja, pontosabban a böngészője, ezért ha ő nem akar pl. remarketing kampányokat kapni, akkor azt ő manuálisan a saját böngészőjében a sütik törlésével meg tudja akadályozni. A sütik kezelésével kapcsolatos dokumentációban térj ki arra, hogyan tud eljárni a felhasználó ezzel kapcsolatban. (First party cookie-k esetében ez nem annyira bonyolult, de third-party cookiekesetében technológiailag nem megoldható ezek törlése. Ilyenkor érdemes ezeknek a sütiknek a Súgó oldalait belinkelni a felhasználók számára.)

Annak érdekében, hogy ne is jöjjenek létre ezek a sütik, lehetővé teheted a felhasználó számára, hogy a honlapodon keresztül állíthassa be ezeket. Erre példa a IBM, a MySQL és a HealtCare.

GDPR adatvédelmi beállítás példa

Google Analytics

Ezzel az eszközzel vizsgáljuk a felhasználók viselkedését a honlapunkon, pl hogy honnan érkeznek az oldalunkra, milyen kampánytevékenység hatására, és ott milyen tevékenységet hajtanak végre, milyen oldalakat néznek meg, mennyi időt töltenek nálunk, stb. Fontos, hogy a méréseket minél hamarabb el tudd indítani GDPR kompatibilis formában, ennek módja:

Felhasználó engedélyéhez kötött beállítások:

  • Állítsd be, maximum mennyi ideig tárolódjanak a felhasználói adatok (felhasználó tájékoztatása – Data Retention)
  • Rendelésazonosító tárolásának bekapcsolása webáruházak esetén

Remarketing

A remarketing mérőkódokat (Facebook Pixel, AdWords), csak a felhasználó hozzájárulása után lehet elindítani, és a mérőkód működését hozzá kell kötni egy beleegyező gomb megnyomásához, ahol engedélyt ad a felhasználó a mérőkód futtatásába. Ettől kezdve gyűjt információt róla az oldalunk. Érdemes egy olyan aloldalt létrehozni, ahol részletesen leírjuk, hogy milyen cookie-kat használunk, és azok mire jók. Itt jelezzük, hogy ezeket milyen formában lehet törölni. (lásd feljebb)

Ne feledd! Ha az oldaladon van Google Adwords, Facebook vagy más oldalról származó pixel:

  • az adatvédelmi tájékoztatóban szerepelnie kell annak, hogy ilyen célokra adatokat gyűjtesz és annak is, hogy ezekkel mihez kezdesz. Ennek a megírásában segíthet a Google ezirányú tájékoztatója.
  • ha remarketing hirdetéseket használsz adatvédelmi tisztviselőt kell kijelölnöd vagy felkérned, ő felel majd azért, hogy a cégnél betartsátok a szabályokat, azonban felelősségre nem vonható.

Google AdWords és Facebook hirdetések

Végre egy jó hír: felhasználói adatok nem érkeznek a hirdetéseken keresztül, csak egy statisztika. A konkrét felhasználói adatokkal a Google, illetve a Facebook rendelkezik, tehát ilyen hirdetések futtatásakor nincs teendőd.

Ha viszont pl. a Facebook hirdetésekkel saját magad által épített adatbázist szeretnél megcélozni (email cím alapján), akkor az email címek gyűjtésénél és kezelésénél meg kell felelned a GDPR fent részletezett előírásainak.

Facebook csoportok

A Facebook-csoport nem tartozik a GDPR hatálya alá amíg az nagy tömegek számára nem férhető hozzá, és csak olyan személyes adatokat hoz nyilvánosságra, amelyeket maga az érintett töltött fel.

Biztonsági beállítások

A GDPR értelmében a fent leírt kötelezettségeken túl a nálad lévő adatok biztonságáról is gondoskod kell, ami természetesen a te alapvető érdeked is. Ezt a honlapod és marketinged tekintetében a következőképp tudod megtenni:

  • Válassz az adminisztrációs felülethez való belépéshez egyedi (az “admin”-tól, a cégnevedtől és domainnevedtől különböző) felhasználónevet
  • Válassz erős jelszót (min. 8 karakter, legyen benne kisbetű, nagybetű, szám, és egy különleges karakter)
  • Maximalizáld a hibás belépési kísérletek számát a weboldalad admin felületéhez
  • Használj két faktoros autentikációt ahol csak lehet (honlapod admin felületéhez, a Facebook fiókodhoz, emailedhez, és egyéb érzékeny adatokat tartalmazó felületekhez)
  • Mindig telepítsd az elérhető frissítéseket a használt programokhoz
  • Legyen rendszeres mentésed

Ezek a legfontosabb feladatok, amik gyorsan elvégezhetőek, és amikkel már jelentősen növeled adataid és weboldalad biztonságát.

Segítségre van szükséged?

GDPR megfeleltetés és audit

Technológiai oldalról vállaljuk honlapod teljes DGPR megfeleltetését

Ha kérdésed van a technikai megvalósításával kapcsolatban, vagy szeretnéd kérni segítségünket, akkor keress minket bizalommal, és szem előtt tartva egyedi igényeidet, elvégezzük a szükséges módosításokat a honlapodon.

Vedd fel velünk a kapcsolatot a weboldalunkon található elérhetőségek egyikén.

Kérdésed van? Mindig örömmel segítünk!