A GDPR (General Data Protection Regulation) az elmúlt hetekben az egyik leggyakrabban használt kifejezés a vállalkozói körökben. Ha minimálisan követi az eseményeket, akkor valószínűleg Ön is hallott már róla. Ez az Európai Parlament és a Európai Unió Tanács személyes adatok védelméről szóló rendelete.
2016. április 27-én hirdették ki, és 2018. május 25-től kell alkalmazni. Tehát bőven lett volna időnk felkészülni, de mivel szinte mindenki csak most kapott észbe, ezért elég sok a hamis, vagy nem igazán pontos információ a témában, és persze ahogy ez ilyenkor lenni szokott, rengeteg nyerészkedő anyag is kering az Interneten.
Honnan tudom, hogy engem érint-e a GDPR?
Ha van egyetlen kapcsolati űrlapja, ahol Ön bekéri az illető nevét és email címét, akkor a GDPR szerint Ön már személyes adatot kezel. És persze az is érdekes lehet, hogy van-e Facebook Like-gomb, hírlevélfeliratkozás, vagy egy forráskódba ágyazott követőkód (pl. Google Analytics) az oldaladon.
Személyes adat bármilyen információ amivel be lehet azonosítani valakit közvetett vagy közvetlen módon. Ha ilyen adatok kér be a weboldalon, akkor minden esetben az illető hozzájárulását kell kérnie a személyes adatai kezeléséhez.
Mi történik, ha nem csinálunk semmit?
A hozzáértők egy része szerint valószínűleg nem lesz arra kapacitás, hogy a NAIH, azaz a Nemzeti Adatvédelmi és Információszabadság Hatóság ellenőrizze, és betartassa ezt a rendeletet. Sokak szerint viszont szinte borítékolhatóan komoly bírságoknak teszi ki magát az, aki nem foglalkozik az adatvédelemmel. Komoly összegekről van szó, a bírság akár 20 millió euró is lehet, de ezt persze számos tényezőtől teszik majd függővé. Adott esetben kártérítést is kell fizetni, tehát mindenkinek érdemes kicsit utánaolvasnia a GDPR-nek, ez például egy nagyon jó cikk a témában, és ez is hasznos lehet.
Tehát akkor mi a teendő május 25. után?
Amit általánosságba ki lehet jelenteni, hogy mindenképpen szükségünk lesz egy könnyen elérhető adatkezelési tájékoztatóra, melyben leírjuk, hogy nálunk hogyan történik az adatkezelés. Feliratkozásnál és egyéb űrlapoknál kell egy checkbox (minta), amit az érdeklődő be tud pipálni, mielőtt elküldi az üzenetét, illetve egy süti tájékoztató sem árt, amit az első látogatás során jelenik meg.
A hozzájárulást értelmezhető módon kell kérnünk, nem jogász nyelven amit csak ők értenek meg. A hozzájárulásoknak különállónak kell lenniük pl. nem használhatunk egy checkbox-ot az eDM meg az adatkezelési tájékoztató elfogadásához, nem lehet úgy megfogalmazni, összevonni, hogy egy pipával kelljen hozzájárulni mindkettőhöz.
Nem pipálhatjuk ki előre a checkbox-ot, a felhasználónak kell betennie a négyzetbe a pipát. Fontos, hogy a hozzájárulás olyan legyen, hogy a felhasználó bármikor kérhesse az adatok törlését, tehát visszavonható legyen.
Ennek a cikknek csak a figyelemfelkeltés a célja. Sok részletről nem esett szó, amely akár fontos is lehet. Javaslom, hogy mindenki egy kicsit ássa bele magát a témába, és ha szükséges, akkor konzultáljon egy GDPR szakértővel is, és csak ezt követően tegye meg a szükséges lépéseket!