Néhány GDPR fogalom, speciális kérdések
GDPR fogalmak
Ki az adatkezelő és ki az adatfeldolgozó?
Nagyon leegyszerűsítve:
– Adatkezelő az, aki a személyes adatokat gyűjti, pl. honlap, webáruház tulajdonos. Az adatkezelő felelős a tárolt személyes adatok védelméért.
– Adatfeldolgozó, aki az adatkezelő utasításai szerint műveleteket végez az adatokkal, pl. futár, tárhelyszolgáltató, e-mail szolgáltató. Ha megállapítást nyer, hogy az adatfeldolgozó gondatlan volt, akkor ő is felelős.
Mi a személyes adat?
Az azonosított vagy azonosítható természetes személyre vonatkozó bármely információ; például név, azonosítószám, online azonosító. élettani, mentális, gazdasági, kulturális vagy társadalmi identitás, stb.
Mi az adatfeldolgozás?
Feldolgozás bármely olyan művelet vagy műveletek csoportja, amelyet személyes adatokon vagy személyes adatok gyűjteményén, akár automatizált módon, akár gyűjtésen, rögzítésen, szervezésen, strukturáláson, tároláson, átalakításon, visszakeresésen, konzultációkon végeznek, pl. a közzététel, továbbítás, terjesztés vagy más módon történő hozzáférhetővé tétel, összehangolás vagy kombináció, korlátozás, törlés vagy megsemmisítés.
Mi az adatvédelmi incidens?
Az adatvédelmi incidens a személyes adatok bizalmas jellegének sérülését jelenti. A GDPR definíciója szerint: „a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.”
Kérdések, amire tudnod kell a választ.
Elöljáróban: az itt leírt információk nem minősülnek jogi tanácsadásnak, pusztán iránymutatások.
De én nem árulok semmit, akkor is meg kell felelnem?
A GDPR ilyen kérdéssel nem foglalkozik. Ha van egy weboldalad, ahol van egy kapcsolat űrlapod vagy kommentelési lehetőség, ahol nevet, e-mail címet adnak meg az emberek és ez a weboldal EU területén élő emberek számára elérhető, már személyes adatot gyűjtesz, meg kell felelned a GDPR követelményeinek.
Tehát: már akkor is személyes adatot kezelsz, ha egy kapcsolat űrlap van a honlapodon vagy hozzászólást engedsz a blogodhoz, ahol nevet, email címet meg kell adni.
Mit kell tenned, hogy megfelelj a GDPR-nek?
Elemezned kell a weboldalad, meg kell nézned, most milyen adatokat kezelsz. Ez alapján – valószínűleg – át kell dolgoznod az adatvédelmi irányelveidet, a cookie kezelésről szóló információkat, az impresszumodat.
Mondd el a felhasználóknak, hogy ki vagy, miért gyűjtöd össze az adatokat, hogy mennyi ideig kezeled, és ki fér hozzá (adattovábbítás).
Azaz, legyen egy megfelelő impresszumod, ami tartalmazza a weboldal fenntartó nevét, székhelyét, elérhetőségeit, szükség szerint munkatársak nevét, beosztását, tárhelyszolgáltató adatait, vállalkozás esetén adószámot, bírósági bejegyzés számát.
El kell mondanod, milyen személyes adatokat kezelsz, milyen célból gyűjtöd, mennyi ideig kezeled, kik férnek hozzá. Utóbbinál mindent vegyél számba, a Google-t (Gmail, Drive, Analytics) és a használt operációs rendszered is.
Szükség esetén kérj egyértelmű beleegyezést, mielőtt adatokat gyűjtenél. A belegyezésnek egyértelműnek, világosnak kell lenni. Minden célra külön kell hozzájárulást kérni. Pl. ha hírlevélszolgáltatást használsz a webáruházban, ahol szegmentálod a vevőket az előző vásárlások alapján, akkor extra mezőket kell hozzáadnod a pénztárnál, ahol a beleegyezését kéred vagy el kell döntened, hogy a vásárlók szegmentálását meghagyod-e ebben a formában.
Vagy például hírlevél esetén legyen ott a kipipálható checkbox az adatvédelmi tájékoztatód elfogadásáról, de ne legyen előre kipipálva. Ezt a pipa részt az egész weboldaladon nézd végig. Nem GDPR kompatibilis, ha előre ki van pipálva.
A GDPR nem mondja, hogy nem kérhetsz több adatot, csak azt mondja, hogy meg kell mondanod, miért akarod gyűjteni. Pl. ha kéred a születési dátumát, akkor mondhatod neki, hogy születésnapra ajándékkuponokat küldesz.
Amit nem tehetsz: az a homályos fogalmazás, pl. jövőbeni felhasználásra.
Engedd meg, hogy a felhasználók hozzáférjenek az adataikhoz, és le tudják menteni maguknak.
Engedd meg, hogy a felhasználók töröljék az adataikat.
Tájékoztasd a felhasználókat, ha adatszegés fordul elő.
Mi ennek a WordPress vonatkozása?
Egy átlagos WordPress webhely több módon gyűjthet felhasználói adatokat:
- felhasználói regisztrációk,
- hozzászólások,
- kapcsolatfelvételi űrlapot,
- elemzési és forgalmi napló megoldások,
- bármely más naplózó eszköz és plugin,
- biztonsági eszközök és bővítmények.
1. Megsértésről értesítés.
A GDPR-nek való megfelelés esetén, ha webhelyed bármilyen típusú adatmegszakítást tapasztal, akkor a jogsértést közölni kell a felhasználókkal.
Ez rendszerint feltörést jelent.
A GDPR szerint a bejelentést a megsértésről való tudomásszerzést követő 72 órán belül meg kell küldeni. Az adatfeldolgozóknak szintén értesíteni kell a felhasználókat, valamint az adatkezelőket, miután észlelték az adatszegést.
Egy WordPress-forgatókönyvben, ha észlelsz egy adatszegést, akkor mindenképpen értesítened kell a jogsértés által érintetteket a megadott időkereten belül. Azonban a bonyolultság itt a „felhasználók” fogalmának meghatározása – ezek a rendszeres weboldal felhasználók, kapcsolatfelvételi űrlapok kitöltői és potenciálisan akár kommentek is lehetnek.
A GDPR e záradéka tehát törvényi követelményt teremt a webhelyed biztonságának felmérésére és ellenőrzésére. Az ideális módja a webes forgalom és a webszerver naplóinak felügyelete, de a gyakorlati lehetőség az is, hogy valamelyik biztonsági bővítményt bekapcsolt értesítésekkel használod.
2. Adatgyűjtés, feldolgozás és tárolás
Ennek három eleme: a hozzáféréshez való jog, az elfelejtett jogok és az adatok hordozhatósága.
A hozzáférési jog a felhasználók számára teljes körű átláthatóságot biztosít az adatfeldolgozásban és tárolásban – milyen adatpontokat gyűjtenek, hol vannak ezek feldolgozása és tárolása, valamint az adatgyűjtés, feldolgozás és tárolás okai.
Az elfelejtéshez való jog lehetőséget ad a felhasználóknak a személyes adatok törlésére, és megakadályozza az adatok további összegyűjtését és feldolgozását. Ez a folyamat magában foglalja a felhasználónak a személyes adatok felhasználásának engedélyezését.
A GDPR adatátviteli záradéka biztosítja a felhasználók számára a személyes adataik letöltését, amelyekről korábban már megadták a hozzájárulást, és továbbíthatják ezeket az adatokat egy másik adatfeldolgozónak.
A tervezett adatvédelem arra ösztönzi az adatkezelőket, hogy olyan adatkezelési irányelveket érvényesítsenek, amelyek csak azokra az adatokra vonatkoznak, amelyek feltétlenül szükségesek.
Mint WordPress webhely tulajdonosa, először közzé kell tenned egy olyan részletes tájékoztatót, amelyben elmondod, milyen személyes adatpontokat használsz, hogyan dolgozod fel és hogyan tárolod azokat.
Ezután be kell állítani egy olyan lehetőséget, amely a felhasználók számára biztosítja az adatok egy példányát. Ez talán a folyamat legnehezebb része.
3. A bővítmények használata – a WordPress GDPR-megfelelőségének következményei
Az általad használt bővítményeknek meg kell felelniük a GDPR szabályainak. Webhelytulajdonosként továbbra is a Te felelősséged annak biztosítása, hogy minden bővítmény exportálhassa / törölje / törölhesse a GDPR-szabályoknak megfelelően összegyűjtött felhasználói adatokat.
Ez még mindig némi nehézséget jelent a legnépszerűbb pluginok számára. Például olyan megoldások, mint a GravityForms vagy a Jetpack, sok olyan modullal rendelkeznek, amelyek a felhasználói adatokat gyűjtik.
A beépülő modulok esetében ugyanezek a szabályok érvényesek.
Emellett van néhány eszköz, amelyek látszólag kívül esnek a WordPress webhelyen. Például az e-mail marketing eszközök. Gyakran előfordul, hogy a WordPress webhelyen integrálva vannak, és az e-mailek listáján alapuló promóciós e-maileket küldhetnek. A hírlevelek / listák futtatásától függően előfordulhat, hogy ezeket a címeket nem a felhasználók kifejezett hozzájárulásával szerezték meg.
Azaz, ha külső email szoftvert használsz, akkor is be kell tenned egy checkboxot az adatkezelés elfogadására.
Viszont az alapértelmezés szerint kipipált jelölőnégyzet a GDPR megsértésének számít.
Bár a végső felelősség a webhely tulajdonosáé, a WordPressnek is meg kell vizsgálnia folyamatait, hogy megfelelővé váljon. 2018 februárjától van egy ütemterv az adatvédelmi eszközök hozzáadásához a maghoz. És jelen pillanatban úgy néz ki, hogy megjelenik még a határidő előtt.
Ha WooCommerce webáruházad van
Nincs két egyforma megközelítése a témának, a különböző áruházak különböző bővítményeket használnak, más szállítási folyamatok vannak. Ez a rész segít eligazodni, de nem feltétlenül foglal mindent magában és jogi tanácsot sem nyújt.
Ha terméket, szolgáltatást webáruházon keresztül adsz el EU-s ügyfélnek, akkor meg kell felelni a webáruházadnak a GDRP-nek.
Ugyanakkor ott vannak az adójogszabályok, amik alapján bizonyos adatokat több évig meg kell tartanod. Ezért itt körülményesebben tudsz eljárni. Míg egy átlag WordPress honlapon lehetővé teszed a felhasználónak, hogy törölje a fiókját, itt ha engedélyezed, akkor törlődnek a vásárlási információk is.
Ebben az esetben meg kell tartanod azokat az adatokat, amelyeket törvény előír, de csak azokat és csak megőrzés van, más adatkezelés nem lehet.
Bekért adatok
Címek – fizikai terméknél a kiszállításhoz mindenképpen szükséged van a cím megadására. Ha azonban a vásárlás és a fizetés feldolgozásához nincs szigorúan szükséged rá, akkor gondold át, hogy nem gyűjtöd.
Az utcanevek fontosak a digitális letöltések és az online fizetések terén, mivel a számítógépes bűnözés és a csalás az egyik legnagyobb kellemetlenség ma, és ha egy ügyfél ellopott kártyát használ, akkor ez ellenőrizhető, ha megvizsgálod, hogy a megadott cím megegyezik-e a kártyával. Ebben a tekintetben az utcai címek kérése nem jelent problémát.
Érdemes megemlíteni, hogy nem szükséges engedélyezni a tranzakcióhoz szükséges személyes adatok gyűjtését.
Mikor van az ügyletnek vége?
Ezt pontosan meg kell határoznod. Ha olyan kényelmi funkciókat használsz, mint rendelés követése, korábbi rendelések megtekintése, vásárolt termék újrarendelése, akkor az adatok törlésével ezek a funkciók is elvesznek.
Elhagyott kosár probléma
A vásárlónak a helyszínre való visszahúzására használt jelenlegi taktika nem lehetséges, ha a GDPR-t helyesen alkalmazzák a webáruházban.
A probléma az adatgyűjtésnél indul. A vásárló / látogató adatainak összegyűjtéséhez explicit engedélyt kell szerezni. Ennek az engedélynek világosnak kell lennie, és a vásárló számára az információkat gyűjtő célnak egyértelműnek kell lennie. Mit fogsz odaírni? „Hozzájárulok, hogy az adataimat gyűjtsd, és ha elhagyom a kosarat, emailben emlékeztess, hogy nem fejeztem be a vásárlást”? Eléggé valószínűtlen, hogy így bárki is hozzájárul. Persze elvétve előfordulhat, főleg kedvezményvadász embereknél.
Regisztrált, bejelentkezett felhasználónál lehet jogszerű, ha az adatkezelési szabályaidban kitérsz erre is.
GDPR-rendeletek a marketing célú profilalkotáshoz
Mi a profilozás a GDPR alatt?
„A profilalkotás […] magában foglalja a természetes személyre vonatkozó személyes szempontokat értékelő személyes adatok automatizált feldolgozását, különös tekintettel az adatalany munkahelyi teljesítményére, gazdasági helyzetére, egészségére, személyes preferenciáira vagy érdekeire vonatkozó szempontok elemzésére vagy megjósolására, megbízhatósága vagy viselkedése, helyzete vagy mozgása, ha az őt érintő joghatásokat, vagy hasonló módon jelentősen érinti őt.”
A kulcsszó a hozzájárulás. Minden űrlapkészítőben tudsz felvenni megfelelő mező(ke)t, ahol elmondod, hogy hogyan használod fel az adatokat (linkkel az adatvédelmi irányelveidre), illetve egy checkboxot egy „Hozzájárulok az elküldött adatok összegyűjtéséhez és tárolásához” című sorral.
Harmadik féltől származó szolgáltatatások
– tárhelyszolgáltató
– domain regisztrátor
– futárok, üzleti partnerek
– harmadik féltől származó scriptek szolgáltatói (pl. Google Analytics)
– e-mail szolgáltatók (pl. MailChimp, MailGun)
– stb.
Akikkel kapcsolatban állsz, olyan formában, hogy az ügyfeled bármely személyes adatához hozzáfér, azoknak meg kell felelni a GDPR-nek.
Cookie kezelés
Eltérő vélemények vannak jelenleg ebben a témakörben.
Van, aki szerint bármikor külön engedélyezhetőnek, tilthatónak kell lenni a weboldalon, van aki szerint elég leírni, hogy a böngészőjében hogyan tudja ezt kezelni.
A rendelet azt írja elő, hogy lehetősége legyen a felhasználónak engedélyezni vagy tiltani (és a későbbiekben megváltoztatni) a sütiket. A technikai megoldást nem írja le, így azt bárhogyan meg lehet valósítani.
Összefoglalva
Frissítsd az adatvédelmi irányelvedet (tájékoztatódat) a GDPR szerint, és értesítsd ügyfeleidet a változásról. Legyél nyitott és előretekintő az új adatvédelmi irányelvekben. Ismerd meg a GDPR-t, hogy pontosan megállapítsd: ki vagy, miért gyűjtesz személyes adatokat, hogyan fogod felhasználni, mennyi ideig fogod megőrizni, stb. a rekordot, a felhasználó hogyan törölheti vagy módosíthatja az adatokat, hogyan iratkozhat le stb. A Twitter adatvédelmi irányelveinek frissített verziója jó példa lehet erre.
A GDPR szerint az embereknek több adatvédelmi választási lehetőséget kell adni, ezért minden opcionális opciót kötelezővé kell tenni. A webhelyen található összes űrlapnak azt kell jeleznie, hogy a felhasználóknak először is el kell fogadniuk az adatvédelmi irányelveidet.
Korlátozd saját hozzáférésed az egyén adataihoz – csak olyan személyes adatokat kérj, amelyekre biztosan szükséged van. Minél kevesebb információt tárolsz, annál jobb. Ne felejtsd el újra megmondani az embereknek, hogy miért van szükség személyes adataira (pl. E-maileket küldünk promóciós kampányainkról).
Győződj meg róla, hogy webhelyed SSL titkosítva van, hogy megvédd az adatlopásoktól.
Elemezz minden olyan csatornát, amely összegyűjti a felhasználók adatait, és ellenőrizd, hogy működésük megfelel-e a GDPR-nek.
A jövőben csak olyan adatokat gyűjts, amelyekre feltétlenül szükséged van a vállalkozás futtatásához.
Töröld a szervereken, számítógépeden, stb. tárolt személyes adatokat, amelyeket már nem használsz. Csak egy változatot tarts meg. Másolatokat csak biztonsági mentés és visszaállítás céljából tárolhatsz, egészen pontosan 4 mentést. Ha esetleg többet tartasz, akkor azt meg kell indokolnod.
Extra információk gyűjtése, jövőbeni felhasználásra többé nem jogszerű.
Néhány példa adatszegésre:
Személyes adatok átadása vagy illetéktelen adatfeldolgozó vagy alprocesszor birtoklása.
A személyes adatok átadása nem GDPR szerinti országba.
A személyes adatok átadása harmadik személynek az érintett tudomása nélkül.
Személyes adatok kiszivárgása a weboldalon történő hackelás eredményeként.
Mit mond a NAIH a GDPR-ről?
Címszavakban:
- Egyéni vállalkozókra is vonatkozik a GDPR
- Adatvédelmi szabályzat helyett Adatvédelmi tájékoztatód legyen, és legyen a weboldalon elhelyezve. Nem popup-ban, nem e-mailben.
- A nyilvántartás részeként papír alapon tárolt adatokra is vonatkozik a GDPR. A nem nyilvántartás részeként kezelt adatokra ugyan nem terjed ki a GDPR, de az Infotv. tervezett módosítása a GDPR alkalmazását fogja előírni ezekre is.
További tájékoztatást szerezhetsz innen
- https://www.eugdpr.org/ – Hivatalos GDPR honlap
- gdpr_rendelet_magyarul – A GDPR rendelet magyar nyelvű szövege
- https://gdpr-info.eu/ – Teljes GDPR iránymutatás
- http://ec.europa.eu/justice/smedataprotect/index_en.htm – GDPR infografika az Európai Bizottságtól
- https://www.gdprwp.com/ – WordPress GDPR oldal
- https://woocommerce.wordpress.com/2018/04/10/how-were-tackling-gdpr-in-woocommerce-core/ – WooCommerce GDPR info
- http://www.naih.hu/az-adatvedelmi-reformmal-kapcsolatos-allasfoglalasok.html – NAIH GDPR állásfoglalások