GDPR tudnivalók 5 percben

A sajtó egy ideje a „GDPR” bevezetésétől hangos, ami nem véltetlen, hiszen a 2016-ban elfogadott EU Általános Adatvédelmi Rendelet (vagy angolul General Data Protection Regulation) hamarosan, 2018. május 25-étől lép hatályba.

A rendelet részleteivel minden, európai polgárokról szóló adatokat nyilvántartó, felhasználó vállalkozásoknak tisztában kell lennie, mivel a követelményeket megszegő piaci szereplőknek magas büntetésekre kell számítaniuk.

Mi az a GDPR?

Az új adatvédelmi rendelet a nemzeti előírásokat felülírva nemzetközi szinten egységesíti az adatkezelési szabályokat. A magánszemélyek részére átláthatóbbá teszi az adataik kezeléséről szóló információkat, egyidejűleg a cégek ez irányú kötelezettségeit növeli, a mulasztásokat pedig szigorúan bünteti.

Mikor lép hatályba az adatvédelmi rendelet?

2018. május 25-éig minden illetékes cégnek fel kell készülnie a szabályoknak megfelelő működésre. Türelmi idő ezen időpont után nincs.

Ki felügyeli a rendelet betartását?

A NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) felelős a követelmények betartatásáért.

Mekkora lehet a büntetés?

A konkrét bírság összege számos tényezőtől függ, de a maximális mértéke 20 millió euró vagy az előző év világpiaci árbevételének 4 %-a. (www.ado.hu)

Kit érint a rendelet?

Minden olyan vállalkozást, amely ellenőriz/kezel vagy felhasznál/tárol személyes és érzékeny adatokat az Európai Unió tagállamainak állampolgárairól, függetlenül a vállalkozás központjának lokációjától. Más szóval, amennyiben vállalkozásunk vagy céges ügyfeleink kezelnek/kezelni fognak EU tagállambeli egyének adatait – függetlenül, hogy a világ melyik részére van cégünk bejegyezve -, meg kell felelni a GDPR követelményeinek.

Abban az esetben is érint minket a rendelet, ha csak egy egyszerű weboldallal rendelkezünk, de azon található például egy Facebook Like gomb, hírlevél-feliratkozásra vonatkozó lehetőség, vagy „sütiket” használunk a weboldalon (tehát bármilyen adatgyűjtő tartalmat).

Mi számít személyes adatnak?

Az EU GDPR keretében „személyes adatnak minősül bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (érintettel) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés”. (www.mkih.hu)

Ez lehet egy e-mail cím, név, banki adat, közösségi oldalakon szerepelő poszt, egészségügyi információ vagy számítógépes IP cím.

Mi a különbség az adatkezelő és adatfeldolgozó funkció közt az adatvédelmi rendelet szerint?

A következő táblázat részletezi a különbségeket:

Adatkezelő	Adatfeldolgozó
A GDPR rendelet szerint…
„Az a személy vagy szervezet, aki/amely az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja.”	„Az személy vagy szervezet, aki/amely az adatkezelővel kötött szerződése alapján – beleértve a jogszabály rendelkezése alapján történő szerződéskötést is – az adatok feldolgozását végzi.”
Más szavakkal…
Az adatot gyűjtő, tároló, továbbító vállalkozás/cégtulajdonos	Azok a szervezetek, pl. szoftvercégek vagy ügynökök, akik megbízásból és más nevében végeznek adatfeldolgozó szolgáltatást

(www.naih.hu)

Hogyan készítsem fel a vállalkozásom?

Összegyűjtöttünk pár teendőt, amivel felkészíthetjük vállalkozásunkat az új adatvédelmi rendelet szerinti megfelelésre.

Kövessük a következő lépéseket:

Végezzünk gyors házon belüli adatellenőrzést.

Vizsgáljuk meg, hogy gyűjtjük az adatokat, milyen adatokat gyűjtünk, hogy használjuk fel, és hogy dokumentáljuk.

Bizonyosodjunk meg arról, hogy a weboldalunkon az adatvédelmi irányelvek fel vannak tüntetve.

Ha szükséges, használjunk kész sablonokat és csak frissítsük a saját kapcsolati adatainkkal.

Ellenőrizzük, hogy a felhasználói adatok rendszerezettek és elérhetők-e.

Az adatgyűjtés során mindig kérjünk be e-mail címet is, mert ez a legegyszerűbb formája, hogy a későbbiekben rákereshessünk a felhasználóra. Azt is mérjük fel, hogy kellő rendszert használunk-e az adatgyűjtésre. Az adatok levelekben vagy excelben tárolásra nem hatékony sem az adatmenedzsment, sem az adatkeresés, sem az adatvédelem szempontjából.

Biztosítsunk elérhetőséget a vevői megkeresésekre.

Az adatvédelmi irányelveink mellett tegyünk közzé egy e-mailes elérhetőséget, hogy a felhasználók tudják jelezni, ha meg szeretnék tekinteni a róluk gyűjtött adatokat, módosítani vagy töröltetni szeretnének valamit.

Kérjünk beleegyezést, mielőtt begyűjtjük az egyéni elérhetőségi adatokat.

Egészítsük ki az űrlapjainkat egy világos jóváhagyási résszel („kipipálós rész”), amelyen keresztül engedélyezi a felhasználó, hogy az adatait begyűjtsük. Bármikor névjegykártyát gyűjtünk be, kérjünk engedélyt, hogy az adatbázisunkhoz hozzáadhassuk az elérhetőségi adatokat. Az egyéni adatok jogszerű gyűjtésének módjáról bővebben Papp Gábor ír a Pitch GDPR bevezetéssel kapcsolatos blogjában.