A GDPR online marketing vonatkozásai
2018. május 25-én lép hatályba a korábbinál jóval súlyosabb, egy egységes EU-s adatvédelmi szabályozást megvalósító, GDPR néven ismertté vált rendelet, amely a vállalatok online marketing tevékenységét is nagyban érinti.
Ismerjük meg a legfontosabb változásokat, előírásokat!
Figyelem: az alábbi cikk a WebMa teljes mértékben szubjektív interpretációja, amely sem jogi állásfoglalásként, sem jogi iránymutatásként nem értelmezhető. Minden, a jogszabály által érintett gazdasági társaság saját maga kell, hogy értelmezze a jogszabályt – szakjogász segítségével – és megtegye a szükséges lépéseket a jogi megfelelőség biztosítása érdekében.
A GDPR háttere
A személyes adatok védelmére vonatkozó, egységes EU-s előírásokat az európai uniós jogszabályi háttér egységessé tételének, valamint a technikai fejlődés révén lehetővé vált, az érintettek által legtöbbször nem is érzékelt vagy bennük nem tudatosodó, teljesen új típusú, digitális adatkezelési lehetőségek elterjedése indokol.
A személyes adat definíciója nagyon tágan értelmezett. Nem szükséges, hogy egy adat ténylegesen egy adott természetes személyhez hozzá legyen rendelve, pusztán ha fennáll a lehetőség, hogy adott személyhez hozzárendelhető – akár utánajárással vagy internetes kereséssel -, akkor már személyes adatnak számít. Függetlenül attól, ha az adatkezelő cég nem végzi el ezt – az elméletben lehetséges – hozzárendelést. Tehát ha pl. egy email címlistánk van, az személyes adatnak számít annak ellenére, hogy személynevünk nincsen az adott email címekhez. Ennek indoka pedig az, hogy elméletben kideríthető a hiányzó információ (az adott email szolgáltató rendszerében ez rendelkezésre áll). Sőt, személyes adatnak számít egy weboldalon megadott felhasználónév is önmagában, mivel a rendszerből kinyerhető az érintett valódi személyazonossága (melyet a regisztrációnál megadott).
A GDPR lényege az átláthatóság biztosítása a személyes adatok kezelésével kapcsolatban. Az érintett személyes adatainak gyűjtése, tárolása és kezelése kizárólag az érintett explicit hozzájárulásával lehetséges, valamint biztosítani kell a hozzájárulás során az érintett döntéséhez szükséges információkat: pontosan milyen célra, mely adatait és mennyi ideig tároljuk. A hozzájárulás önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű kell legyen, valamint az egyes adatkezelési célokra vonatkozóan külön kell megtenni.
Szintén biztosítani kell az érintettek számára azt a jogot, hogy betekinthessenek a cégünk által tárolt adataikba, kérhessenek adathelyesbítést, megtiltsák a további hozzájárulást akár csak valamely adatkezelési célra vonatkozóan vagy kérhessék adataik törlését, sőt, az ún. adathordozhatóságot is biztosítani kell, vagyis az érintett kérésére ki kell tudnunk adni neki a nálunk tárolt adatait olyan formában, hogy ő azt egy másik adatkezelőhöz átvihesse.
Személyes adatokat kizárólag meghatározott célra, csak az ehhez feltétlenül szükséges adatokat, az érintett hozzájárulásával és az adott adatkezelési cél eléréséig kezelhetünk. Csak bizonyos – a rendelet által definiált – célokra engedélyezett az adatkezelés (pl. közvetlen üzletszerzés).
Szigorú előírások vonatkoznak a természetes személyek viselkedés-megfigyelésére. Ide tartozik például az is, hogyha valamilyen marketing automatizációs rendszert használunk, a rendszerbe felvitt kontaktok weboldalunkon történt látogatásait rögzítjük, az általuk megtekintett tartalmakat is látjuk – amelynek célja, hogy releváns ajánlatokkal kereshessük meg az érintettet. Az ilyen viselkedési adatok gyűjtéséhez szintén hozzá kell járulnia az érintetteknek.
Fontos előírás még, hogy ha az adattulajdonos az adatok kezelésével egy adatfeldolgozót bíz meg, akkor az adatfeldolgozónak éppúgy meg kell felelnie a GDPR előírásainak, mint az adattulajdosnak. Tehát ha például egy weboldalunk van, melyen űrlap beküldés történik és a weboldalunk adatainak háttérmentését egy másik cég végzi a számunkra (aki hozzáfér a gyűjtött személyes adatokhoz is), akkor ők is felelősségre vonhatóak a GDPR előírásainak való megfelelőség szempontjából.
Az adatkezelő cégeket a GDPR rendelet kötelezi arra, hogy adatkezelési nyilvántartást vezessenek és írásba foglalják az adatkezelésre vonatkozó belső szabályaikat, folyamataikat és felkészüljenek a személyes adatok kezelését érintő esetleges “adatvédelmi incidensekre” is. Rögzítenünk kell tehát, hogy pontosan milyen rendszerekben, milyen adatokat kezelnek, hogyan szabályozzák az ezekhez való hozzáférést, hogyan reagálnak egy esetleges technológiai támadásra (pl. rendszerfeltörés vagy adatlopás), valamint hogyan szűrik ki az illetéktelen kollégák által okozott esetleges károkat. Adatkezelési vészhelyzet – jogosultaltan adatkezelés vagy adatfeldolgozás) esetén 72 órán belül értesíteni kell az érintett szakhatóságot az incidensről!
Sütik (cookie-k)
A cookie-kra vonatkozó egységes EU-s szabályozás már néhány éve életbe lépett. Ekkor lepték el nagy hirtelenséggel a weboldalakat a cookie hozzájárulást kérő ablakok és cookie szabályzatok. A sütik kezelésében nem jelent komoly változást az új GDPR rendelet, mivel ez esetben a weboldal tulajdonosnak nincsenek a birtokában személyes adatok (csupán listaméretet lát pl. a weboldalon gyűjtött remarketing listák esetében), az adatok ebben az esetben a Google rendszerében találhatóak – aki tudomásunk szerint álnevesítve tárolja azokat, nem visszafejthető módon. Tehát ebben az esetben a Google az, akinek meg kell felelnie a GDPR rendelet előírásainak (profilalkotás fogalma).
Felhőszolgáltatások
Ha vállalatunkon belül ún. felhőszolgáltatásokat veszünk igénybe, akkor ezen szolgáltatások esetében a használó vállalat marad az adatkezelő, a felhőszolgálttató pedig az adatfeldolgozó. Tehát azon túl, hogy a vállalatunknak meg kell felelni a GDPR előírásainak, az igénybevett felhőszolgáltató – mint az adataink tárhelye – szintén meg kell, hogy feleljen a rendelet előírásainak éppúgy, mint az adattulajdonos cégnek. Nézzünk utána, hogy az általunk igénybevett, az adataink tárolását végző felhőszolgáltató – pl. Google, Microsoft – mit kommunikál a GDPR előírásainak történő megfelelőség tekintetében!
Vegyük figyelembe, hogy a vállalati weboldalunk esetében – amennyiben a weboldal tárhelyén is történik személyes adatok tárolása és kezelése, nem csupán a weboldal tulajdonos cégnél – a weboldalunk tárhelyszolgáltatójának is meg kell felelnie az új GDPR előírásainak (mivel ő is adatkezelő). Ha ez az eset fennáll, akkor bizony annak is utána kell néznünk, hogy a tárhelyszolgáltatónk felkészült-e a GDPR előírásainak történő megfelelésre.
Felhasznált források:
Keressen minket bizalommal, ha online marketing aktivitásaihoz profi segítségre van szüksége!