GDPR - Kérdések és válaszok
A GDPR-t számtalan mítosz és hamis információ övezi, ezért megpróbálunk válaszolni azokra a leggyakoribb kérdésekre, amik leginkább érdekelhetik.
Miért készült a GDPR?
A törvényhozók szándéka az volt, hogy nagyobb ellenőrzést adjanak az Európia Unió polgárainak afelett, hogy mi történik az adataikkal. Ezért a GDPR minden vállalatra és hivatalra, valamint olyan egyénre és az online szolgáltatóra is vonatkozik, aki az Európai unió polgárainak személyes adatait gyűjti, vagy feldolgozza. Ideértve azokat az EU területén kívüli társaságokat és intézményeket is, akik az európai piacon tevékenykednek, ez pedig az összes webáruházat felöleli. A jelenlegi állapothoz képest a személyes adatok kezelőinek és feldolgozóinak részletesebb és terjedelmesebb kötelezettség szabályozásáról van szó.
Mi mindent érinthet a GDPR a cégben?
Leginkább a személyes dokumentumok, a papír alapú és elektronikus formátumú dokumentumok védelméről, az épületekhez és irodákhoz való hozzáférés védelmének biztosításáról szól. A személyes adatok és a tevékenységi típusok terjedelmének és kategóriáinak függvényében ezeket a részlegeket érintheti: kereskedelmi, jogi, marketing, IT, személyzeti és bérszámfejtés.
Valóban fennáll a magas bírság veszélye?
Igen és nem. Bizonyára olvasott már a médiában 20 000 000 EUR összegű, vagy a vállalat teljes évi forgalmának 4%-át kitevő bírságról. Ugyanakkor nem kell félnie attól, hogy csak úgy a semmiből bírságot kapna, mindenféle figyelmeztetés, vagy helyreállítási idő meghagyása nélkül. Még akkor sem kap olyan mértékű bírságot, ami már a felszámoláshoz vezetne, ha esetleg figyelmen kívül hagyná a helyreállítási felszólítást (amit természetesen nem ajánlunk). Amennyiben időben felkészül, és a hiányosság feltárása esetén valódi szándékot mutat a helyreállításra, nincs mitől félnie.
Hogyan kell konkrétan felkészülni a GDPR-ra?
A szükséges dokumentumok és anyagok előkészítésében az általunk készített GDPR - Szükséges intézkedések listája segítséget nyújt önnek. Összefoglalva, a folyamat végén a következőkkel kellene rendelkeznie:
- személyes adatok, hozzáférési és marketing eszközök elemzése
- előbbiek szintjének kockázat- és döntéselemzése
- intézkedési terv és döntés annak elfogadásáról
- magának a szükséges intézkedésnek a bemutatása
- feldolgozási szerződések az adatfeldolgozóitól (azoktól a vállalatoktól és szolgáltatóktól, akik a személyes adatok feldolgozásában segítenek önnek)
- személyes adatok alanyinak a jogérvényesítő rendszere
- kezelési tevékenység nyilvántartási rendszere
- biztonsági eseményeket meghatározó és jelentő rendszer (Adatvédelmi Hivatal)
A teljes előkészítő folyamat kiindulásaként rendelkeznie kell egy mappával, ami az előbb felsoroltakat az Adatvédelmi Hivatal részéről történő ellenőrzés esetén bizonyítani tudja.
A feldolgozási szerződésben minden olyan üzleti partnerre vonatkozó konkrét információnak benne kell lennie, aki a személyes adatok feldolgozását végzi?
Nem. Kötelessége az ügyfeleit tájékoztatnia arról, hogy az adatai harmadik félnek kerülnek átadásra. Azonban az üzleti titok megőrzésének keretén belül megtagadhatja annak konkrét közlését, hogy ki a harmadik fél.
Szükséges a double opt-in (kettős igazolás) a hírlevélre történő feliratkozásnál?
Nem. A webáruház ügyfeleinek történő hírlevél küldés a kezelő jogos érdeke. Ezeket az ügyfeleket elég bizonyíthatóan tájékoztatni a célról, a személyes adataik kezelésének törvényes okairól, valamint egyéb GDPR-ban meghatározott tényekről az Általános Szerződési feltételek és az adatvédelmére vonatkozó feltételek megismerésének jelölőnégyzet bejelölésével történő elfogadással. Ugyanakkor minden hírlevélben az egyes tájékoztató szolgáltatást végző vállalatokra vonatkozó törvény szerint az adatkezelő kötelessége az ügyfelet tájékoztatni a leiratkozás lehetőségéről. A jogszabályok nem követelik meg az ügyfél második e-mailes igazolását.
A meglévő ügyfeleknek küldött üzleti értesítések küldésekor kérni kell új hozzájárulást a személyes adataik kezeléséhez?
Nem. A webáruház jogos érdekének érvényesítéséről van szó. Fontos szem előtt tartani, hogy az üzleti értesítés címzettjének lehetőséget kell biztosítani az egyszerű leiratkozásra a küldemény fogadásáról.
Lehet általános a szövegezés azokon a helyeken, ahol szükséges az adatkezeléshez való hozzájárulás?
Attól függ. Konkrétak kell megfogalmaznia, hogy milyen lépéssel történik meg a hozzájárulás, azaz például: „A megrendelés befejezésével hozzájárulását adja ahhoz, hogy ...“ vagy „Az e-mail-cím megadásával hozzájárulását adja ahhoz, hogy ...“ Jó, ha mindig olyan konkrét bejegyzésekre hivatkozik (így ÁSZF és Adatvédelmi szabályzat), ahol ezek a hozzájárulások részletesebben ki vannak bontva.
Jogosultak a vásárlók az összes személyes adatuk törlését kérni?
Amennyiben a vásárló más jogcím alatt kezelt adatokat akar törölni, mint a „hozzájárulás“ (például: bizonylatokat vagy megrendeléseket), úgy jogában áll azt megtagadni tőle. Kihasználhatja jogos igényét/kötelezettségét ezeknek az adatoknak egészen 15 év időtartamban történő megőrzésére, mégpedig a nem szándékosan okozott kár megtérítésére vonatkozó esetlegesen bekövetkező viták okán. Alkalmazottak esetén ez 30 év. Jogában áll közölni, hogy olyan magasabb jogcímmel (úgynevezett jogos igénnyel) rendelkezik, aminek alapján az adatokat gyűjti és megőrzi.
Meg kell fogalmazni, hogy milyen sütiket gyűjtünk?
A sütikről (cookies) adott tájékoztatási kötelezettség a terjedelemre és a célra vonatkozik, nem konkrétan a sütikre. A sütik terjedelme alatt a süti elhelyezés fajtái értendők. A tájékoztatási kötelezettség nem a technikai elhelyezésre vonatkozik, a sütik átviteli céljaihoz való hozzáférés nélkülözhetetlen annak a tájékoztató vállalatnak a szolgáltatás nyújtásához, aki szükséges résztvevő vagy felhasználó. Mindenki felhasználónak minősül, aki az elektronikus kommunikáció szolgáltatását igénybe veszi. Ezek nem csak természetes személyek - nem vállalkozók lehetnek.
Célszerű magában a tájékoztató listában elhelyeznie egy aktív hivatkozást arra a bejegyzésre, melyben az ügyfelet tájékoztatja a cookies gyűjtéséről, úgynevezett Adatvédelmi feltételekről (letölthető minta űrlap).
Milyen sütiket gyűjt a Shoptet alapértelmezett üzemmódban?
Köteles tájékoztatni a vásárlót arról, hogy úgynevezett süti gyűjtést végez, és ez a szolgáltatás minőségének javítására, személyre szabott kínálathoz, anonim adatgyűjtéshez és analitikus célokra szolgál a prezentációjában. Nem az ön kötelessége tájékoztatást adni arról, hogy milyen konkrét sütiket gyűjt és pontosan milyen célra. Amennyiben ennek ellenére mégis megtenné, úgy itt van azoknak a sütiknek a jegyzéke, amiket ön helyett magában a webáruházban gyűjtünk (azok a további szolgáltatások, melyeket ez után aktivál, nincsenek benne figyelembe véve).
| Cookie | Adminisztrációban beállítható | Cél | Minden felhasználóhoz |
|---|---|---|---|
| CookiesConsent | Nem | Hozzájárulás a sütik használatához - az újabb hozzájárulások esetében használjuk | Igen |
| CookiesOK | Nem | Hozzájárulás a sütik használatához - a régebbi típusu hozzájárulások esetében használjuk | Igen |
| externalFontsLoaded | Nem | Segíti a betűtípusok beolvasását | Igen |
| informationBanner | Igen - külalak beállítása | Információs sáv | Igen |
| pcart | Nem | Kosárba helyezés után, a felhasználót a hash köti össze az aktuálisan elmentett kosarával. | Igen |
| NOCACHE | Nem | Letiltja az adminisztrátori gyorsítótárat. | Kizárólag bejelentkezett adminhoz |
| PHPSESSID | Nem | Látogatói session | Igen |
| affiliateUniqueAccessId | Igen - jutalékrendszer | Az affiliate linken keresztüli érkezés után | Nem |
| displayDesktop | Nem | A régebbi változatokban a felhasználó érvényesítheti a desktop verziót | Nem |
| SRV_ID | Nem | Belső információ a magas hozzáférés biztosításához | Igen |
Ha csak a megrendelési célokra kerülnek gyűjtésre az adatok a webáruházhoz, mennyi ideig kell tárolni azokat?
A szerződés fennállásának időtartama alatt és megszűnését követően akár 15 évnél hosszabb ideig is meg kell őriznie, ami a kárigény érvényesítés elévülésének jogszabályokból adódó jogos időtartama.
Hogyan kell tárolni a nyomtatott bizonylatokat? Elég hozzá a szekrény, vagy páncélszekrényre van szükség?
Általános és különleges intézkedések léteznek erre. Az általános intézkedések közé tartozik például a zár az irodán és a zárható szekrényen, ahová a papíralapú dokumentumok elhelyezését valóban javasoljuk. Így a vásárlók, beszállítók, szerződések stb. mappáit. Ezeknél elvárás, hogy zárral legyenek biztosítva. Ami a különleges intézkedéseket illeti, ezekhez az épületben elhelyezett riasztók típusai, bejárati ajtó kódjai stb. tartoznak, de ez már a nagyobb adatkezelőkre vonatkozik.
Le kell mondanom a Mailchimppel az együttműködést az EU-n kívüli szerverei miatt?
Egyáltalán nem. Azonban fontos, hogy az adatvédelmi szabályzatban feltüntesse azt a tényt, hogy a személyes adatokat harmadik országba, azaz az EU területén kívülre küldi.
Milyen nagynak kell lennie a cégnek ahhoz, hogy kötelező legyen megbízottat alkalmazni?
Ez a kötelezettség nem a vállalat méretéből, hanem annak a tevékenységéből következik. Azaz olyan vállalatnak kell megbízottal rendelkeznie, aki a személyes adatok rendszeres kezelését nagy terjedelemben végzi. Továbbá olyan vállalatnak, aki érzékeny adatok széleskörű feldolgozását végzi. A harmadik eset pedig az a vállalat, ahol a személyes adatok kezelője közületi szerv. A kisebb webáruházak általában egyik ilyen kategóriában sem tartoznak, így nem kell adatvédelmi megbízottal rendelkeznie, és ez nagyon sok kötelezettséget levesz a válláról.
Hogyan kell megőrizni azokat a már regisztrált ügyfeleket, akik hozzájárultak a személyes adataik kezeléséhez, valamint a hírlevelek fogadásához?
Elsősorban meg kell nézni a saját jelenlegi adatvédelmi szabályát és ellenőrizni kell, hogy megfelel-e az új GDPR szövegezésének. A hozzájárulással kapcsolatos teendőknél a GDPR nagyobb hangsúlyt helyez a hozzájárulásra, így annak feltétel nélkülinek és világosan megfogalmazottnak kell lennie, ezért valóban felül kell vizsgálni, hogy ez az aktuális formájában teljesül-e. Természetesen ezzel összefügg annak ellenőrzése is, hogy a szabályzatban feltüntetésre került-e az összes olyan jog, amivel az egyes végfelhasználók rendelkeznek.
Segítséget jelent a GDPR keretén belül a titoktartási szerződés?
Igen, az olyan alkalmazotti viszonyoknál, mint az úgynevezett munkaszerződés kiterjesztése, segítséget jelent. Olyan beszállítói kapcsolatok keretén belül is segít, melyeknek a webáruház és a Shoptet közötti adatfeldolgozói szerződés képezi az alapját. A Shoptetnek is titoktartási szerződéssel kell köteleznie az embereit arra, hogy nem adják ki azokat a személyes adatokat, amelyekről a munkájuk teljesítése során tudomást szereznek.
Mi az alapja a GDPR kidolgozásának egy kisebb cégben? Mi mindent kell egy webáruházas szemszögéből megtenni?
Összeállítottunk egy webáruházakra vonatkozó áttekinthető listát. Ez egy olyan iránytű, amiből megtudhatja, hogy mit kell megtennie és mire kell ügyelnie. Javasoljuk, hogy figyelmesen menjen végig rajta, mert jelentősen megkönnyítheti a munkáját.
Kitől lehet a GDPR-ral kapcsolatban segítséget kérni?
A szervezet típusa és mérete, valamint a személyes adatok terjedelme és kategóriái szerint a GDPR-nak való megfelelést házon belül, vagy külső jogi szakértők segítségével is biztosíthatja.