Te már GDPR-kompatibilis vagy? A rendelet legfontosabb üzenetei vállalkozók részére.

A GDPR (General Data Protection Regulation) az új egységes Európai Uniós adatvédelmi szabályozás, amely 2018. május 25-én lépett hatályba az EU tagállamaiban. A szabályozás alapkoncepciója , hogy az adat, legyen az bármilyen típusú, egyre értékesebb információvá válik. A digitális bűnözők száma nő, adatainkkal pedig – ha azok nem megfelelő kezekbe kerülnek – nagyon könnyű visszaélni. A szabályozás tehát a magánszemélyek adatainak fokozott védelmére helyezi a hangsúlyt.

Új világ, új szemlélet

Kijelenthetjük, hogy a GDPR rendelettel egy új korszak veszi kezdetét, amelyhez elengedhetetlen a szemléletváltás, amely két kulcsszón alapszik: az elszámoltathatóságon és az átláthatóságon. Egyértelművé kell válnia annak, hogy egy adatkezelő milyen adatot, milyen felhatalmazás alapján, miért, mennyi ideig tárol és hogy azt pontosan miért is kéri tőlünk. Ezen felül átláthatóvá kell tenni a rendszert: a vállalkozónak képesnek kell lenni bizonyítani, hogy ő mindent megtett ügyfelei privát szférájának védelmében.

GDPR kisokos vállalkozóknak

  • Az új adatvédelmi rendelet mindenkire vonatkozik, aki adatot rögzít, tárol, használ vagy továbbít, legyen szó magánszemélyről, vállalkozásról, vagy civil szervezetről. A rendelet azonban nem vonatkozik azokra, akik kizárólag vállalkozások adatait kezelik.
  • A rendelet bevezetésével megszűnt a Nemzeti Adatvédelmi és Információs Hatóság (NAIH) által vezetett kötelező nyilvántartás. (Abban az esetben, ha adatvédelemmel kapcsolatos jogsértés következik be, természetesen azonnal jelezni kell a hatóságnak.)
  • Weboldaladon immáron nem elég csupán tájékoztatnod látogatóidat arról, hogy az oldaladon sütiket használsz: el is kell fogadtatni azokat. Ha a látogató ezt nem fogadja el, meg kell tagadni tőle a belépést, ugyanis sütik nélkül nem tud biztonságosan működni az oldal.
  • Azok a vállalkozók, akik e-mail marketingre specializálódtak (pl. űrlapok segítségével e-mail címeket gyűjtenek), adatkezelőnek minősülnek. Mostantól oda kell figyelni arra, hogy a feliratkozók szabad akaratukból járultak hozzá, hogy üzeneteket küldj nekik. Vagyis két jelölőnégyzetnek kell szerepelnie egy feliratkozási űrlapon: egy, amelyen az Adatvédelmi Irányelveket fogadja el a látogató és egy, amelyen pedig az Adatvédelmi Nyilatkozat átolvasásáról nyilatkozik. Fontos, hogy a rendelet bevezetésével egyértelműen látszódnia kell az e-mailekben a „leiratkozás” gombnak!
  • Webshop üzemeltetése esetén a megrendelőnek nyilatkoznia kell, hogy hozzájárult személyes adatainak megadásához. A megrendelő hozzájárulása nélkül nem szabad hírlevelet küldeni. Ha a vásárló nem járult hozzá az adatai kezeléséhez, azokat a megrendelés után rövid időn belül törölni kell.
  • Azoknak, akik kizárólag Facebook vagy AdWords kampányok segítségével hirdetik a vállalkozásukat, nincs különösebb tennivalójuk. Ennek oka, hogy ők kizárólag statisztikákhoz jutnak hozzá, személyes adatokhoz viszont nem.
  • Érdemes átnézned a szerződéseid, beleértve a munkaszerződéseket is abból a célból, hogy megfelelnek-e az új előírásoknak. Amennyiben kételyeid támadnak, érdemes új szerződésmintákat kidolgozni.

A rettegett bírság

Jó hír, hogy a rendelet - amely szerint a NAIH kerül kijelölésre a GDPR alapján eljáró hatóságként - azt deklarálta, hogy kis- és középvállalkozások esetében az első jogsértés bekövetkeztével inkább a figyelmeztetés eszközével élnek a hatóságok. Ez persze nem zárja ki a bírság lehetőségét.

Homályos jövőkép

Továbbra is nagy kérdés, hogy a GDPR rendelet szabályait miképp lehet hatékonyan alkalmazni a gyakorlatban úgy, hogy az életszerű működést biztosítson a magán- és a közszférában egyaránt. Ha véresen komolyan vesszük a rendeletet, akkor ugyanis egy névjegykártya cserét is csak adatkezelési tájékoztató és hozzájárulás kölcsönös aláírásával lehetne legálisan lebonyolítani.

GDPR szótár
A teljesség igénye nélkül összeszedtünk néhány alapfogalmat GDPR kapcsán.

Adatkezelőnek nevezzük azt, aki az adatkezelés célját meghatározza és az adatkezelésre vonatkozó döntéseket meghozza, míg az adatfeldolgozó az, aki az adatkezeléshez kapcsolódó technikai műveleteket elvégzi. Személyes adatnak minősül minden olyan információ, amely valamely azonosított vagy azonosítható élő személlyel kapcsolatos. Ilyen többek között a személyi igazolvány szám, TAJ szám, adóazonosító jel, útlevélszám, továbbá a név, becenév, internetes regisztrációk során megadott felhasználónév, a névre szóló e-mail cím és névre szóló céges e-mail cím is. Adatvédelmi incidensnek nevezzük azt, amikor személyes adatok integritásának és bizalmas jellegének a sérülése következik be.

A fentiek mellett természetesen még bőven találunk olyan kifejezéseket, amelyek tisztázásra szorulhatnak. Ezen a linken további hasznos fogalmakat ismerhetünk meg.