Május 25-én hatályba lép a GDPR – felkészültél?
2018. május 25-én lép hatályba az új, egységes EU-s adatvédelmi szabályozás, a GDPR. Az elmúlt hónapokban Facebook és egyéb közösségi média csoportok szerveződtek a téma köré és próbálnak közösen gondolkodni GDPR témakörben. A nagymértékű közösségi aktivitás hátterében az áll, hogy bár május 25-től büntethetőek a cégek, ha nem felelnek meg a GDPR előírásainak, mégis viszonylagosan sok bizonytalanság övezi az új szabályozást. Ennek hátterében az áll, hogy továbbra is várat magára az e-gdpr, amely megmutatná, hogyan felelhetünk meg az elvárásoknak az online környezetben, illetve a magyarországi adatvédelmi szakhatóság (NAIH) helyi értelmezése is várat magára.
Figyelem: az alábbi cikk a WebMa teljes mértékben szubjektív interpretációja, amely sem jogi állásfoglalásként, sem jogi iránymutatásként nem értelmezhető. Minden, a jogszabály által érintett gazdasági társaság saját maga kell, hogy értelmezze a jogszabályt – szakjogász segítségével – és megtegye a szükséges lépéseket a jogi megfelelőség biztosítása érdekében.
Hogyan biztosíthatjuk a megfelelőséget?
A GDPR megfelelőség biztosításának legelső lépése egy ún. vállalati adatleltár elkészítése, vagyis annak feltérképezése, hogy milyen személyes adatokat, milyen rendszerekben, milyen céllal, milyen jogalappal, mennyi ideig kezelünk, mely munkatársaink érintettek az adatkezelésben és hogyan biztosítjuk ezen adatok védelmét. Szintén fontos kérdés, hogy adattulajdonosként az érintett személyes adatok kezelése során igénybe veszünk-e adatfeldolgozókat, pontosan kiket és ők hogyan biztosítják a megfelelőséget.
Illetve mindkét vállalati szerepet végig kell zongoráznunk, azokat az eseteket is, amelyekben adattulajdonosként veszünk részt és azokat is, amelyekben adatkezelőként (pl. a weboldal tárhelyszolgáltató általában adatkezelőnek minősül minden nála hosting-olt weboldal tekintetében). Az adatkezelőinkkel szerződést kell kötnünk, ezt is kifejezetten előírja a GDPR szabályozás.
Az adatleltár elkészítésének bonyolultságát érzékelteti, hogy nem csupán egy-egy üzleti folyamat tekintetében kell ezt elvégeznünk, hanem a vállalatunk egészére vonatkozóan alapos leltárt kell végeznünk (sales folyamatok, hr folyamatok, pénzügyi folyamatok, szerződések teljesítése stb.).
Milyen előírásoknak kell megfelelnünk?
Fontos, hogy a személyes adat definíciója nagyon tágan értelmezetté válik. Már nem szükséges, hogy nevünk vagy email címünk legyen, bármilyen adat személyes adatnak tekintendő, amely közvetlenül vagy közvetetten bármilyen módon kapcsolatba hozható valamely természetes személlyel. Tehát a Google Analytics weboldal analitikai rendszerben is személyes adatok találhatóak (a cookie-t is nevesíti a GDP rendelet, mint személyes adatot, az IP azonosító és a user id mellett).
“Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell. Az álnevesített személyes adatok, amelyeket további információ felhasználásával valamely természetes személlyel kapcsolatba lehet hozni, azonosítható természetes személyre vonatkozó adatnak kell tekinteni. Valamely természetes személy azonosíthatóságának meghatározásakor minden olyan módszert figyelembe kell venni – ideértve például a megjelölést –, amelyről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja. “
A GDPR vonatkozik minden olyan személyes adatra, amely valamely nyilvántartási rendszerben rögzítésre kerül, valamit az automatizált adatkezelésre is. (Nyilvántartási rendszer = meghatározott ismérvek alapján hozzáférhető adat.) A GDPR vonatkozik a digitális adatokra (Google Analytics, marketing-automatizációs rendszerek) és a papír alapú adatokra is (szerződések, számlák).
Az adatkezelés jogalapja nem lehet ún. adatraktározás, ezt az új GDPR szabályozás bünteti. Személyes adat konkrét meghatározott céllal, az adott cél teljesüléséhez szükséges ideig és csupán az adott cél teljesítéséhez szükséges mértékig kezelhető, illetve csak a feltétlenül indokolt adatok. Tehát például hírlevél küldési célhoz indokoltan szükséges az email cím és a név (hogy megszólítást tehessünk a hírlevélbe).
A személyes adatok kezelésének jogalapja többféle lehet. Alapvetően az érintett hozzájárulásán kell alapulnia vagy az érintett érdekében kell történnie vagy “jogos érdek”-en alapulnia, illetve ha olyan szerződés teljesítéséhez szükséges, amiben az érintett az egyik fél. Ezekből a hozzájárulás alapján kezelt személyes adat a legtisztább. A hozzájárulás célhoz kötött, kifejezett és önkéntes kell legyen.
Az érintetteket fontos megfelelő – érthető – módon tájékoztatni a kezelt adatok köréről, az adatkezelés céljáról, módjáról, időtartamáról és az általa érvényesíthető jogokról.
Az érintettek jogai röviden:
- tájékoztatáshoz való jog (milyen adatait, milyen céllal, ki kezeli, milyen módon),
- adathordozhatósághoz való jog (nálunk kezelt adatait más adatkezelőhöz átvihesse),
- adathelyesbítéshez való jog, illetve
- az adattörléshez való jog.
Mi nem személyes adat?
Az ún. “anonomizált” adatok a továbbiakban nem minősülnek személyes adatnak. Ennek feltétele, hogy az anonimizálás olyan módon történjen, hogy az lehetetlenné tegye a későbbiekben az adat természetes személyhez történő hozzárendelését. Pl. ilyen anonimizált adat az AdWords szolgáltatásba vagy Facebook hirdetéskezelőbe feltöltött saját email címlista, ez anonimizálásra kerül, az email címek a továbbiakban nem tekinthetőek meg.
Egyéb tudnivalók
Ne feledkezzünk meg a munkatársakra vonatkozó előírásokról sem! Az új GDPR rendelet szerint a munkavállalóinkat is tájékoztatnunk kell az őket érintő adatkezelésről, pl. videós megfigyelésről, email megfigyelésről és minden egyébről, ami adatkezelési szempontból érinti őket. A legtöbb cégnél külsős könyvelő végzi pl. a könyvelési feladatokat, ilyenkor adattovábbítás, illetve adatfeldolgozó igénybevétele történik, a munkatársaknak erről is tudniuk kell és a megfelelő adatok kezeléséhez adattovábbításhoz a hozzájárulásokat kell kérnünk, írásban. Szintén kötelező a GDPR szerint a munkatársak tájékoztatása is.
A GDPR rendelet különleges kategóriaként definiálja a profilalkotást, amely a magatartáskövetést, érdeklődés alapú hirdetéseket is magába foglalja (pl. AdWords Remarketing hirdetések), ha ilyet főtevékenységként végzünk, akkor ún. adatvédelem hatásvizsgálatot is kell végeztetnünk a cégünkre vonatkozóan.
A 250 fő feletti vállalkozásoknál adatvédelmi tisztségviselő kijelölése is kötelező, amelyre vonatkozóan további konkrét előírások vannak.
Fontos, hogy az adatvédelmi bírság – amelyet akkor kaphatunk, ha megsértjük a GDPR valamely rendelkezését, jogalap nélkül vagy jogsértő módon kezelünk személyes adatokat – a teljes vállalatcsoport világszintű éves árbevételének 4%-ára is rúghat!
Összegzésképpen
Jó pár hónapja tartja lázban a hazai vállalatokat is a GDPR május 25-ei hatálybalépése. A leggyakoribb két reakció általában vagy a kivárás (“megvárjuk, amíg kiderül pontosan mit is kell tenni”) vagy a paranoia és félelem (“lehetetlen minden előírásnak megfelelni”).
Ne essünk bele e két nagy hiba egyikébe se! Készüljünk fel tudatosan és alaposan.
Térképezzük fel adatkezelési gyakorlatunkat, szabályozzuk le a folyamatainkat, készítsük el a szükséges dokumentumokat, kérjünk jogilag minden szempontból megfelelő hozzájárulást az érintettektől és implementáljuk a szükséges változtatásokat vállalati rendszerünkbe.
Szükség esetén vegyük igénybe adatvédelmi szakjogász, vagy egy tapasztalt jogász segítségét, olyanét, aki ismeri és megfelelően értelmezi a számunkra a csaknem 80 oldalas GDPR rendeletet és átlátja a teljes szabályozási környezetet és segít cégünknek a megfelelőség biztosításában.
Hasznos információforrások GDPR témában:
- A GDPR rendelet teljes szövege
http://www.adatvedelmirendelet.hu/a-rendelet-szovege/ - The GDPR Compliance Checklist
http://gdprchecklist.io/ - 7Blog – A nagy GDPR kérdezz-felelek
http://7blog.hu/gdpr/ - The GDPR is coming. Here’s how it will affect your AdWords account
http://www.wordstream.com/blog/ws/2018/05/14/adwords-gdpr
Keressen minket bizalommal, ha online marketing aktivitásaihoz profi segítségre van szüksége!