GDPR – Mit kell tenned?

A tartalmi oldal
- meg kell vizsgálnod az adatkezelési folyamataidat
- kell hogy legyen adatvédelmi tájékoztatód, cookie kezelésről szóló információid, impresszumod
- el kell mondanod a felhasználóknak ki vagy, miért gyűjtöd az adatokat, mennyi ideig tárolod, ki fér hozzá
- minden célra külön hozzájárulást kell kérned
- felül kell vizsgálnod a szerződéseidet, GDPR záradékkal ellátni
- egyszerűen, világosan, közérthetően kell fogalmaznod
- szükség esetén meg kell jelölnöd a cégedben egy adatvédelmi felelőst
Teendők
- ha adatsérülés történik, értesítened kell az érintetteket és be kell jelentened az adatvédelmi biztosnak
- biztosítanod kell a hozzáféréshez való jogot
- biztosítanod kell az elfelejtéshez való jogot
- biztosítanod kell az adatok hordozhatóságát
Dokumentumok, melyeket el kell készíteni
- Tájékoztatók – Például a weboldaladon adatkezelési tájékoztató
- Nyilatkozatok
- Belső adatvédelmi nyilvántartás
- Szerződések (ügyfelekkel, adatfeldolgozókkal)
- Belső szabályzatok (adatkezelési, panaszkezelési, incidensbejelentési, adatvédelmi hatásvizsgálat elkészítésére vonatkozó szabályzat, stb.)
Technikailag
- ha eddig nem foglalkoztál a honlapod biztonságával, akkor most kiemelten kell vele foglalkoznod
- a honlapodon el kell helyezned az adatkezelési tájékoztatót, cookie kezelésről szóló tájékoztatót, impresszumot
- ahol adatot kérsz, el kell helyezned egy checkboxot az adatkezelés elfogadásához, itt linkelned kell az adatkezelési tájékoztatót
- biztosítanod kell, hogy a felhasználók kijavíthassák az adataikat
- biztosítanod kell, hogy a felhasználók hozzáférjenek a kezelt adatokhoz letölthető formában,
- biztosítanod kell a személyes adatok törölhetőségét
Milyen jogai vannak az adat birtokosának?
- tájékoztatáshoz való jog – A GDPR meghatározza, milyen információkat kell az adatkezelési tájékoztatódban elhelyezni
- hozzáféréshez való jog – meg kell válaszolnod az érintett kérdését – kezeled-e az adatait, ha igen, akkor mely adatait
- adatok helyesbítésének joga – ha az érintett adatai pontatlanok, kérheti a módosítását
- törléshez való jog – az érintett kérheti adatai törlését, ebben az esetben azokat is tájékoztatnod kell, akiknek hozzáférést adtál az adatokhoz
- adatkezelés korlátozásához való jog – az érintett kérheti adatainak korlátozott felhasználását
- adathordozhatósághoz való jog – az érintett kérheti, hoagy a kezelt adatokat olvasható formátumban (.pdf, .txt, .csv, stb) formátumban megkapja és akár másik adatkezelőnek átadja
- tiltakozáshoz való jog – az érintett jogosult arra, bármikor tiltakozzon személyes adatainak meghatározott okból történő kezelése ellen, pl. nem adott előzőleg hozzájárulást az adatai kezeléséhez
Az adatok törlését az adatkezelőhöz címzett nyilatkozattal lehet kérni, ami történhet szóban, írásban, weboldalon, stb. A törlést indokolatlan késedelem nélkül el kell végezned.
Az adatvédelmi tájékoztatóban meg kell jelölnöd, hová fordulhat panasz esetén az érintett (bíróság NAIH vagy EU adatvédelmi biztos)
Adatvédelmi incidens
Az adatvédelmi incidenst az adatkezelőnek indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, be kell jelenteni az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Az adatkezelőnek nyilvántartást kell vezetnie az adatvédelmi incidensekről, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek indokolatlan késedelem nélkül tájékoztatnia kell az érintettet az adatvédelmi incidensről. Nem kell az érintetteket tájékoztatni, ha az adatkezelő megfelelő védelmi intézkedéseket tett, amelyek biztosítják, hogy az előbb említett magas kockázat nem valósul meg, vagy a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Utóbbi esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
Hogyan jelentheted be?
Az adatvédelmi nyilvántartásba történő bejelentkezés 2018. május 25-től megszűnik. Az adatvédelmi incidensek bejelentési kötelezettség teljesítésére vonatkozóan még nincs információ.
Kötelezettségeid, mint adatkezelő
- Az adatkezelés során olyan technikai és szervezési intézkedéseket kell alkalmaznod, amelyek biztosítják a GDPR-ben foglalt alapelveknek, szabályoknak megfelelést és az érintetti jogok védelmét
- Gondoskodnod kell arról, hogy kizárólag azokat az adatokat kezeld, amelyek az adatkezelési cél elérése érdekében feltétlenül szükségesek.
- Mindig a legmagasabb fokú adatvédelmi beállításokat kell alapértelmezetten nyújtanod.
- Unión kívüli vállalkozásod esetén ki kell jelölnöd egy képviselőt, aki az adatkezeléssel összefüggő minden ügyben eljár. (Nem szükséges, ha az adatkezlés alkalmi jellegű és nem vonatkozik különleges adatokra.)
- Fektess be újabb biztonsági eszközökbe, ha szükséges. Ne feledd, nemcsak a weboldaladra vonatkozik, de a számítógépeden, adathordozóidon is megfelelő biztonság kell, ha ott személyes adatot tárolsz, kezelsz.
Adatvédelmi hatásvizsgálat, eszik vagy isszák?
Nyakatekert fogalom, de azért a tartalma nem annyira bonyolult.
Meg kell vizsgálnod, hgy az adatkezelés magas kockázattal jár-e.
Egy új technológia vagy adatkezelés bevezetése előtt értékelned kell, hogy magas adatvédelmi kockázattal jár-e.
Azaz azt kell megvizsgálnod, hogy az adatkezelési folyamataidban hol, hogyan kerülhet ki / sérülhet adat.
Szeretnéd, ha megcsinálnánk a technikai oldalát?
Ha kéred a technikai megoldásban a közreműködésünket:
- Ha eddig nem gondoskodtál a biztonságról, nem védi SSL a honlapodat, átnézzük, mire van szükséged és beállítjuk.
- Ha még nincs, létrehozzuk a szükséges oldalakat (adatvédelem és társai), ezek az oldalak alapértelmezetten üresek lesznek, tartalommal Neked kell megtölteni, mivel a saját vállalkozásod folyamatait Te ismered.
- Átnézzük és módosítjuk az űrlapjaidat, hogy megfeleljen a GDPR-nek. Előfordulhat, hogy az űrlapkezelődet le kell cserélni, mert nem GDPR kompatibilis.
- Webáruház esetén a fizetés oldalon elhelyezzük a megfelelő checkboxot. Utasításaid szerint beállítjuk, mely adatokat kell a vásárlónak megadni.
- Beállítjuk a cookie-kezelési szabályaidat (utasításaid alapján, azaz rendelkezésünkre kell bocsátanod, hogy milyen eszközöket használsz a standard WordPress cookie-kon kívül. Ilyenekre gondolj, mint pl. Google Analytics, MailChimp, PayPal, stb).
Mennyibe fog ez Neked kerülni? Attól függ, hogy hagyományos WordPress honlapod van vagy WooCommerce webáruházad és csak a GDPR-rel kell foglalkoznunk vagy még az SSL-t is most kell beállítani, a biztonságról is most kell gondoskodnunk, 20-50000 Ft közötti költséggel és 4-10 óra közötti idővel számolhatsz.
Magadnak csinálnád a technikai részt is?
Csütörtök/péntek. Ezen a héten. Ekkorra van ígérve egy olyan WordPress frissítés, amiben olyan GDPR nyalánkságok is vannak, hogy például bizonyítani is tudod vele az anonimizálást. A rendszered mindenképpen frissíteni kell.
Hamarosan jön a GDPR kompatibilis WooCommerce core frissítés is. Azt is frissíteni kell, ha webáruházad van és be kell állítgatni.
Ha magadnak akarod megcsinálni:
- a frissítést, az ezzel járó beállításokat,
- az űrlapjaid záradékolását,
- a cookie kezelés ellenőrzését,
- az SSL beállítását, ha még nincs,
- a biztonság maximalizálását (nemcsak a weboldaladon, hanem minden számítógépen, amivel kapcsolódsz vagy munkatársaid kapcsolódnak a weboldalhoz)
el kell végezned.
GravityForms & GDPR
Ma már a legtöbb esetben a legjobb űrlapkészítő alkalmazással, a GravityFormssal készül az ügyfeleink honlapja.
Ennek jellemzője, hogy az űrlap adatokat menti az adatbázisba a feldolgozáshoz. Pl. automatikus válaszlevél, admin értesítő küldéséhez vagy felhasználó regisztrációhoz, PayPal fizetéshez szükséges, hogy az adatok elérhetők legyenek az értesítések küldésekor, illetve hogy ezek a tevékenységek feldolgozásra kerüljenek.
Az adatok tárolása az adatbázisban viszont nem mindig indokolt. Át kell gondolnod, hogy szükséges-e ezeknek az adatoknak az adatbázisban történő tárolása. Ha szükséges, akkor erre is térj ki az adatvédelmi szabályzatodban, ha nem szükséges, akkor a feldolgozás után törölni kell, amit megtehetsz az űrlapkészítőben a bejegyzések kijelölésével és törlésével, de a bővítmény API-jának köszönhetően ez automatizálható is.
Ha ügyfelünk vagy, elkérheted a mi adatvédelmi szabályzatunkat, cookie szabályzatunkat. Ezeket a dokumentumokat a vállalkozásod tevékenységéhez igazíthatod.