A GDPR-ról röviden:

2018. május 25-től jelentős változások lesznek a digitálisan kezelt adatok területén.

A GDPR röviden az Európai Unió és a Tanács által elfogadott, a személyes adatok védelméről és az ilyen adatok szabad áramlásáról szóló rendelete, más néven általános adatvédelmi rendelet, angolul General Data Protection Regulation.

A téma azért kap kiemelt fókuszt, mert mindenkire vonatkozik, aki személyes adatot kezel. Ezidáig a személyes adatok kezeléséről csak Európai Uniós irányelv szólt, azt pedig a tagállamok eltérő módon alkalmazták, mostantól azonban a GDPR közvetlen jogkövetkezménnyel rendelkezik, minden tagállamban. Május 25. után ez a rendelet lesz a legfontosabb szabályanyag a személyes adatok kezelése és védelme tekintetében, így az Uniós állampolgároknak fokozottabb felügyeletük lesz saját adataik felett, a vállalkozások pedig egységesebb versenyfeltételekben részesülnek.

GDPR online vállalkozásoknak:

Az Unió már így is igen hosszú előkészületi időt hagyott az átállásra minden érintettnek, hiszen valójában már 2016. májusában közölték az új törvény bevezetését, mivel a türelmi és a bevezetésre szánt időszak pár nap múlva letelik, ezért minden online vállalkozásnak érdemes felülvizsgálni és szükség esetén adatvédelmi jogásszal átnézetni, adatkezelési gyakorlatát.  Meg kell felelned az új jogszabályi környezetnek minden esetben, amikor személyes adatok juthatnak a vállalkozásod birtokába. Ilyen például a hírlevélre való feliratkozás, illetve a weboldalad is ha azon van adatgyűjtő tartalom, de sok minden más is annak számít, akár egy követő kód elhelyezése, amit remarketingre használnál fel. A GDPR szerint a süti-azonosítók is alkalmasak a természetes személyek azonosítására, így erről is pontos tájékoztatást kell adni az oldal adatvédelmi tájékoztatójában. Mindenképpen érdemes tehát megfontolni egy szakember állásfoglalását, hogy vállalkozásunk mennyire felel meg az előírásoknak, hiszen az eddigieknél sokkal szigorúbban szankcionálják a kihágásokat.  A bírság maximális mértéke 20 millió euró vagy az előző év piaci árbevételének 4-%-a.

A legfontosabb adatvédelmi tudnivalók és változások:

Az adatkezeléssel kapcsolatos kötelezettségek az adatkezelőket terhelik. Adatkezelő lehet bármely természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy egyéb szerv, amely meghatározza a személyes adatok kezelésének céljait és eszközeit. Ennek megfelelően adatkezelőnek minősül tehát mindenki, aki az általa meghatározott célok alapján és eszközökkel mások személyes adatait kezeli.

Változások az adatgyűjtése kapcsán:

• Egyértelmű és világos információ, hogy milyen adatot gyűjtünk.
• Csak a legszükségesebb adatokat gyűjthetjük a felhasználókról.
• Egyértelmű kommunikáció, hogy miért gyűjtjük az adatot és hol használjuk fel és meddig.
• A begyűjtött adat mind technológiailag, mind szervezetileg megfelelő módon van tárolva.
• A tárolt adat bármikor módosítható, amennyiben a felhasználó ezt kéri.
• A tárolt adat bármikor lekérhető és mozgatható, ha a felhasználó ezt kéri.
• A tárolt információ kérésre bármikor törölhető.

Fontos információk, amiknek szerepelni kell az adatvédelmi tájékoztatóban:

• az adatkezelő neve, címe, elérhetősége,
• a kezelt adatok köre (pl, név, telefon, email)
• az adatkezelés célja (miért kezeled és mire használod, pl. hírlevél küldés, megrendelések teljesítése és számlázás),
• az érintettek köre
• az adatok megismerésére jogosult adatkezelők személye (pl. ha futárszolgálatnak átadod a
• csomagot kiküldésre, a céged ügyfélszolgálati munkatársai)
• az adatkezelés időtartama
• hogyan tudja a felhasználó megtekinteni, módosítani vagy törölni a regisztrációkor adatait,
• ha megrendelt valamit, hogyan tudja módosítani vagy töröltetni az adatait (pl. emailben, telefonon, személyesen)
• mennyi idő alatt válaszolsz az adatok megváltoztatásával vagy törlésével kapcsolatos kérésekre
• tájékoztatni kell a felhasználót az adathordozhatósághoz való jogról.
• tájékoztatni kell minden további jogáról és arról, hogy ezeket hogyan érvényesítheti.

Gyors konklúzió a témában:

Az igazán nagy probléma, hogy kevés és nem teljesen egyértelmű információ áll rendelkezésre. Hiányos dokumentáció áll rendelkezésre a NAIH oldalán, számos helyen egyedi adatkezelési megoldások és folyamatok vannak, továbbá annak nem minden kérdése teljesen kidolgozott és rögzített, így érdemes az adatvédelmi híreket folyamatosan nyomon követni. Azoknak a vállalkozásoknak, ahol a szervezet nem személyes adatkezeléseken alapuló üzleti tevékenységet folytat, nincs miért aggódni. Azok a cégek, akiknél folyik adatkezelés, de a fent leírtaknak megfelelően járnak el és igyekeznek minden tőlük telhetőt megtenni felhasználóik adatainak védelme érdekében, várhatóan nem rájuk fog lesújtani a magyar adatvédelmi hatóság szigora. Összességében tehát megállapíthatjuk, hogy a GDPR jelentősen kiterjeszti az érintettek jogait, kiskorúak adatainak szigorúbb védelmére vonatkozó szabályozást, fokozott terhet ró az adatkezelőkre és az eddiginél sokkal magasabb bírságokat vezet be. Az új törvényeknek való megfeleléshez és a rekord mértékű bírság elkerüléséhez pontos tájékozódásra és alapos felkészülésre van szükség.

# FutureManagement hasznos tipp és kiegészítés a témában:

1. Elkészült a hivatalos útmutató KKV-k számára sok hasznos és átlátható információval, érdemes átböngészni.
2. Felkészülés az Adatvédelmi Rendelet alkalmazására 12 lépésben.
3. AdWords remarketingre vonatkozó adatvédelmi irányelv.
4. Kinek kell a GDPR szerinti adatvédelmi tisztségviselőt alkalmaznia?
5. A Facebook is elkészítette saját adatvédelmi tájékoztatóját, hasznos információkkal.
6. Ha levelezőrendszerből a Mailchimpet használod, akkor itt találsz hasznos leírást.
7. Angol nyelvű összefoglalók.
8. Önellenőrző lista adatkezelők számára, kapcsolódó magyarázatokkal.