GDPR Check List

Weboldal tulajdonosoknak

A te felelősséged
a személyes adatok védelme

Már számtalan bejegyzést találtam a GDPR fontosságáról, betartásáról, vagy elkerüléséről, de sehol nem volt konkrét leírás, hogy mit is kell pontosan csinálnom, ha weboldal tulajdonos vagyok és szeretnék megfelelni az elvárásoknak. Teszek egy próbát, hátha itt több kérdésedre választ kapsz 🙂 Amit itt találsz: jogszabályok, teendők, fontos tudnivalók ...folyamatosan bővítve, frissítve

GDPR - röviden...

A GDPR (General Data Protection Regulation) az Európai Unió 2018. május 25-én életbe lépő rendelete. Adatvédelmi szabályozással kapcsolatos egységes szabályrendszer, amely az Unióban működő valamennyi cégre érvényes, amely személyes adatokat gyűjt, tárol illetve dolgoz fel. A vállalat köteles megvédeni azon személyek jogait, akik megadják a személyes adataikat, és ezért pénzügyi felelősséggel is tartozik, emellett a kötelezettségek elmulasztása jelentős anyagi és jogi következményekkel járhat. Részleteket itt találsz:
EU általános adatvédelmi rendelet tartalomjegyzék
https://www.privacy-regulation.eu/hu/

Mi a „Személyes adat”?

Az általános európai adatvédelmi rendelet (GDPR) értelmében személyes adatnak minősül minden olyan információ, ami egy azonosított vagy azonosítható természetes személyre vonatkozik....

A gyermekek személyes adatai

A gyermekek személyes adatai különös védelmet érdemelnek, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményeivel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal.

Adatkezelési elvek - Mire figyelj?

- jogszerűség, tisztességes eljárás és átláthatóság - adattakarékosság - pontosság - korlátozott tárolhatóság - integritás és bizalmas jelleg - elszámoltathatóság

Az érintett jogosultságai

Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, hogy a személyes adatokhoz és információkhoz hozzáférést kapjon, stb...

Hogyan lesz jogszerű az adatkezelés?

A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül...

Hogyan kérd a hozzájárulást az adatkezeléshez?

Az adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja a természetes személyt érintő személyes adatok kezeléséhez. Ilyen hozzájárulásnak minősül az is, ha az érintett...

Adatvédelmi tisztségviselő... Kell vagy sem?

A GDPR szerint adatvédelmi tisztviselő kijelölése kötelező, ha...

Adatkezelési tájékoztatóban ezeket tüntesd fel...

Minden adatkezelő és – ha van ilyen – az adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. E nyilvántartás a következő információkat tartalmazza:

Ellenőrizd a weboldaladat!

Tájékoztatók, Sütik, Hírlevelek, Űrlapok, Regisztráció, Honlap tartalma: képek, bejegyzések...

Mi a „Személyes adat”?

Az általános európai adatvédelmi rendelet (GDPR) értelmében személyes adatnak minősül minden olyan információ, ami egy azonosított vagy azonosítható természetes személyre vonatkozik.

Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

A természetes személyek összefüggésbe hozhatók az általuk használt készülékek, alkalmazások, eszközök és protokollok által rendelkezésre bocsátott online azonosítókkal, például IP-címekkel és cookie-azonosítókkal, valamint egyéb azonosítókkal, például rádiófrekvenciás azonosító címkékkel. Ezáltal olyan nyomok keletkezhetnek, amelyek egyedi azonosítókkal és a szerverek által fogadott egyéb információkkal összekapcsolva felhasználhatók a természetes személyes profiljának létrehozására és az adott személy azonosítására.

Személyesnek minősül egy adat akkor, ha pl. valaki, aki – akár támadó jelleggel – az adatbázishoz hozzáfér, képes meghatározni, hogy egy adat melyik személyhez tartozik.

Egy adat személyes jellege tehát attól függ, hogy milyen potenciális támadók férhetnek hozzá az adathoz és azok képesek-e meghatározni legalább egy rekord (adat) tulajdonosát, mint természetes személyt. 

Általánosan igaz, hogy a belső alkalmazottak gyakran a legvalószínűbb „támadók”, hiszen részükről kevés technikai felkészültséget igényel az adatlopás (eleve hozzáférésük van az adatbázisokhoz) függetlenül attól, hogy milyen biztonsági megoldásokkal (tűzfal, jelszó, antivírus szoftver, hálózati szegregálás /elkülönítés/ , stb.) védik az adatokat külső „hacker” támadásoktól (miközben ezek sem nyújtanak 100% garanciát külső támadásokkal szemben).

A gyakorlatban szükséges lehet az egyes támadások kockázatának elemzése, amit a GDPR is megkövetel az Adatvédelmi hatásvizsgálat (Data Protection Impact Assessment) részeként.

Egy ilyen elemzés a plauzibilitás /valószínűség/ és sikervalószínűségek becslésén túl szükségessé teheti a támadásban érintett személyek/rekordok számának, valamint a személyeknek okozott potenciális materiális/erkölcsi/fizikai károk becslését is.

Anonim információ

Az adatvédelem elveit az anonim információkra nem kell alkalmazni, nevezetesen olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható. Ez a rendelet ezért nem vonatkozik az ilyen anonim információk kezelésére, a statisztikai vagy kutatási célú adatkezelést is ideértve.

A gyermekek személyes adatai

A gyermekek személyes adatai különös védelmet érdemelnek, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményeivel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal. Ezt a különös védelmet főként a gyermekek személyes adatainak olyan felhasználására kell alkalmazni, amely marketingcélokat, illetve személyi vagy felhasználói profilok létrehozásának célját szolgálja, továbbá a gyermekek személyes adatainak a közvetlenül a részükre nyújtott szolgáltatások igénybevétele során történő gyűjtésére. A közvetlenül a gyermek részére nyújtott megelőzési és tanácsadási szolgáltatások esetében nincs szükség a szülői felügyelet gyakorlójának hozzájárulására.

Az új szabályok értelmében a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte. A hozzájárulás tekintetében a tagállamok 13. életévnél nem alacsonyabb életkort is megállapíthatnak. 

A személyes adatok kezelésére vonatkozó elvek

A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni (“jogszerűség, tisztességes eljárás és átláthatóság”)

A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon.

Az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk (“adattakarékosság”).

Pontosnak és szükség esetén naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék (“pontosság”)

A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé. (“korlátozott tárolhatóság”)

Kivéve, ha az adatkezelésre közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel. – (lásd Általános Adatvédelmi rendelet 89. cikk)

A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve (“integritás és bizalmas jelleg”).

Az adatkezelő felelős a fent felsorolt elveknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (“elszámoltathatóság”).

"Az adatkezelés jogszerűsége"

Annak érdekében, hogy a személyes adatok kezelése jogszerű legyen, annak pl. az érintett hozzájárulásán kell alapulnia.

Ha az adatkezelés az érintett hozzájárulásán alapul, az adatkezelő számára lehetővé kell tenni, hogy bizonyítani tudja, hogy az adatkezelési művelethez az érintett hozzájárult.

Különösen a más ügyben tett írásbeli nyilatkozattal összefüggésben garanciákkal szükséges biztosítani azt, hogy az érintett tisztában legyen azzal a ténnyel, hogy hozzájárulását adta, valamint azzal, hogy ezt milyen mértékben tette.

A 93/13/EGK tanácsi irányelvnek (10) megfelelően az adatkezelő előre megfogalmazott hozzájárulási nyilatkozatról gondoskodik, amelyet érthető és könnyen hozzáférhető formában bocsát rendelkezésre, nyelvezetének pedig világosnak és egyszerűnek kell lennie, és nem tartalmazhat tisztességtelen feltételeket. Ahhoz, hogy a hozzájárulás tájékoztatáson alapulónak minősüljön, az érintettnek legalább tisztában kell lennie az adatkezelő kilétével és a személyes adatok kezelésének céljával. A hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna.

Az adatkezelés jogszerűnek minősül, ha arra valamely szerződés vagy szerződéskötési szándék keretében van szükség.

Az adatkezelést szintén jogszerűnek kell tekinteni akkor, amikor az az érintett életének vagy érdekeinek védelmében történik.

Jogalapot teremthet az adatkezelésre, amikor releváns és megfelelő kapcsolat áll fenn az érintett és az adatkezelő között, például olyan esetekben, amikor az érintett az adatkezelő ügyfele vagy annak alkalmazásában áll.

Személyes adatok közvetlen üzletszerzési célú kezelése szintén jogos érdeken alapulónak tekinthető. 

 (Személyes adatoknak a csalások megelőzése céljából feltétlenül szükséges kezelése szintén az érintett adatkezelő jogos érdekének minősül.)

A személyes adatoknak a gyűjtésük eredeti céljától eltérő egyéb célból történő kezelése csak akkor megengedett, ha az adatkezelés összeegyeztethető az adatkezelés eredeti céljaival, amelyekre a személyes adatokat eredetileg gyűjtötték. Ebben az esetben nincs szükség attól a jogalaptól eltérő, külön jogalapra, mint amely lehetővé tette a személyes adatok gyűjtését.

A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

Az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez.

Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél.

Az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.

Az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

Az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges.

Az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges.

Az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. (nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.)

A személyes adatok különleges kategóriáinak kezelése

A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos. 

Hozzájárulás az adatkezeléshez

Az adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja a természetes személyt érintő személyes adatok kezeléséhez.

Ilyen hozzájárulásnak minősül az is, ha az érintett valamely internetes honlap megtekintése során bejelöl egy erre vonatkozó négyzetet, az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi.

A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak. A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni. Ha az érintett hozzájárulását elektronikus felkérést követően adja meg, a felkérésnek egyértelműnek és tömörnek kell lennie, és az nem gátolhatja szükségtelenül azon szolgáltatás igénybevételét, amely vonatkozásában a hozzájárulást kérik. (alap 32)

A hozzájárulás feltételei

(1) Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult. 

(2) Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti e rendeletet, kötelező erővel nem bír.

(3) Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását. 

(4) Annak megállapítása során, hogy a hozzájárulás önkéntes-e, a lehető legnagyobb mértékben figyelembe kell venni azt a tényt, egyebek mellett, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez. 

Ha az adatkezelés az érintett hozzájárulásán alapul, az adatkezelő számára lehetővé kell tenni, hogy bizonyítani tudja, hogy az adatkezelési művelethez az érintett hozzájárult. Különösen a más ügyben tett írásbeli nyilatkozattal összefüggésben garanciákkal szükséges biztosítani azt, hogy az érintett tisztában legyen azzal a ténnyel, hogy hozzájárulását adta, valamint azzal, hogy ezt milyen mértékben tette. A 93/13/EGK tanácsi irányelvnek (10) megfelelően az adatkezelő előre megfogalmazott hozzájárulási nyilatkozatról gondoskodik, amelyet érthető és könnyen hozzáférhető formában bocsát rendelkezésre, nyelvezetének pedig világosnak és egyszerűnek kell lennie, és nem tartalmazhat tisztességtelen feltételeket. Ahhoz, hogy a hozzájárulás tájékoztatáson alapulónak minősüljön, az érintettnek legalább tisztában kell lennie az adatkezelő kilétével és a személyes adatok kezelésének céljával. A hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna. (alap 42)

E rendelet hatályon kívül helyezi a 95/46/EK irányelvet. Az e rendelet alkalmazásának időpontja előtt megkezdett adatkezelést e rendelet hatálybalépésének időpontjától számított két éven belül összhangba kell hozni e rendelettel. Ha az adatkezelés a 95/46/EK irányelv szerinti hozzájáruláson alapul és az érintett az e rendeletben foglalt feltételekkel összhangban adta meg hozzájárulását, nem kell ismételten az érintett engedélyét kérni ahhoz, hogy az adatkezelő e rendelet alkalmazási időpontját követően is folytathassa az adatkezelést. A 95/46/EK irányelv alapján a Bizottság által hozott határozatok, valamint a felügyeleti hatóságok által kiadott engedélyek hatályban maradnak mindaddig, amíg módosításukra, felváltásukra vagy hatályon kívül helyezésükre sor nem kerül.

95/46/EK irányelv: https://eur-lex.europa.eu/legal-content/HU/TXT/?uri=LEGISSUM%3Al14012

 

 A hozzájárulás nem tekinthető önkéntesnek, ha nem tesz lehetővé külön-külön hozzájárulást a különböző személyes adatkezelési műveletekhez, illetve ha egy – például szolgáltatási – szerződés teljesítését a hozzájárulástól teszik függővé, annak ellenére, hogy a hozzájárulás nem szükséges a szerződés teljesítéséhez.

A gyermek hozzájárulására vonatkozó feltételek az információs társadalommal összefüggő szolgáltatások vonatkozásában

A gyermekek személyes adatai különös védelmet érdemelnek, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményeivel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal. Ezt a különös védelmet főként a gyermekek személyes adatainak olyan felhasználására kell alkalmazni, amely marketingcélokat, illetve személyi vagy felhasználói profilok létrehozásának célját szolgálja, továbbá a gyermekek személyes adatainak a közvetlenül a részükre nyújtott szolgáltatások igénybevétele során történő gyűjtésére. A közvetlenül a gyermek részére nyújtott megelőzési és tanácsadási szolgáltatások esetében nincs szükség a szülői felügyelet gyakorlójának hozzájárulására.

Ha az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez, a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte. 

Az adatkezelő – figyelembe véve az elérhető technológiát – ésszerű erőfeszítéseket tesz, hogy ilyen esetekben ellenőrizze, hogy a hozzájárulást a gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve engedélyezte.  

ADATVÉDELMI TISZTVISELŐ? KELL VAGY SEM?

A GDPR szerint adatvédelmi tisztviselő kijelölése kötelező, ha:

  1. az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;
  2. az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;
  3. az adatkezelő vagy az adatfeldolgozó fő tevékenységei személyes adatok különleges kategóriának és büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagymértékű kezelését foglalják magukban.

Ha azonban nyilvánvaló, hogy a szervezet nem köteles adatvédelmi tisztviselőt kijelölni, akkor a Munkacsoport azt ajánlja, hogy ezt a szervezet dokumentálják, azaz végezzenek erre vonatkozóan belső elemzést, hogy az elszámoltathatóság jegyében majd bizonyítani tudja, hogy az érintett tényezőket figyelembe vették.

Amennyiben a szervezet önkéntes alapon jelöl adatvédelmi tisztviselőt, akkor is a 37-39. cikkben foglaltakat kell alkalmazni.

A szervezetek azonban természetesen alkalmazhatnak külön külső szakértőket, akik tanácsadóként járnak el, de egyértelműen jelölni kell majd, hogy ők nem adatvédelmi tisztviselők.

1.     Közhatalmi vagy egyéb, közfeladatot ellátó szervek

Ezek definícióját a Rendelet nem határozza meg, de a tagállami jogok ezt pontosan tartalmazza.

A Munkacsoport good practice-ként azt javasolja, hogy ide tartoznak a nemzeti regionális, helyi hatóságok és egy sor egyéb közintézmény is.

Így ide tartoznak majd egyéb közfeladatot ellátó, de gazdasági társaság formában működő vállalatok is (pl.: közlekedési, vízközmű, útfenntartó, és energetikai vállalatok, valamint közszolgálati műsorszolgáltatók, szakmai testületek) ezért ezek esetében is kimondható, hogy a szabályozás alá tartoznak, és így adatvédelmi tisztségviselőt kell választaniuk.

Ide tartoznak olyan magánszervezetek, amelyek közfeladatokat látnak el, illetve közhatalmat gyakorolnak.

A kijelölt adatvédelmi tisztviselő tevékenysége kiterjed valamennyi adatkezelési, adatfeldolgozási műveletre. (ideértve a közfeladatot és a munkavállalói adatkezeléseket is)

2/a.     Főtevékenység fogalma

Az adatkezelés nem csak akkor minősül főtevékenységnek, ha a tevékenység kifejezetten erre irányul, hanem akkor is ha a főtevékenység végzéséhez elengedhetetlenül szükséges (pl.: a kórházak az egészségügyi tevékenység végzéséhez betegadatokat kell kezeljenek.

Egy másik példa az, amikor magán biztonsági cégek végeznek CCTV-n keresztül megfigyeléseket pl: bevásárlóközpontokban, közterületeken. Ez pedig elválaszthatatlan a személyes adatok kezelésétől, feldolgozásától, és így itt is ki kell jelölni egy adatvédelmi tisztviselőt.

Másrészt a legtöbb vállalkozás, szervezet bizonyos tevékenységeit kiszervezi, mint pl: a bérszámfejtési tevékenység, vagy az IT üzemeltetési vagy support-támogatói tevékenység, amelyek elengedhetetlenül szükségesek a vállalkozás, szervezet fő tevékenységének a végzéséhez, így ezeknél is szükség lesz kijelölésre.

Valamennyi cég kezel adatokat a munkavállalói tekintetében; így különösen a bérek kifizetése vagy az informatikai szolgáltatások biztosítása kapcsán. Ezek elengedhetetlenül szükségesek a vállalkozás fő tevékenységének a végzéséhez, azonban „kisegítő” funkciónak tekinthetőek, és nem főtevékenységnek, ezért az ilyen adatkezelés nem teszi kötelezővé az adatvédelmi tisztviselő kinevezését.

2/b.     A „ jelentős, nagy arányú ” fogalmi elem jelentése:

A rendelet maga ezt a fogalmat nem határozza meg bővebben, de a Preambulum 91. pontja beszél arról, hogy nagymértékű adatkezelési műveletek azok, amelyek jelentős mennyiségű személyes adat regionális, nemzeti vagy szupranacionális szintű kezelését célozzák, és amelyek az érintettek jelentős számára hatással lehetnek.

Illetve még például az adatok érzékenysége folytán valószínűsíthetően magas kockázattal járnak, másrészt azokra az adatkezelési műveletekre, amelyeknél nagy arányban a technológia elismert állásának megfelelő új technológiát alkalmaznak, valamint olyan más adatkezelési műveletekre is, amelyek magas kockázattal járnak az érintettek jogaira és szabadságaira nézve.

A személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik.

Így ezen esetekben figyelembe kell

  • az érintettek számát,
  • (ii) a kezelt személyes adatok mennyiségét és típusát,
  • (iii) az adatkezelés idejét, és
  • (iv) az érintett földrajzi területet.

Példálózóan az Iránymutatás megemlíti, hogy a következő személyeknél az adatkezelés általában „nagymértékűnek” minősül: egészségügyi intézmények, kórházak esetében, tömeg közlekedési vállalatok esetében, geolokációs GPS-alapú technológiát alkalmazók esetében, biztosítók és bankok ügyfelei esetében, viselkedés alapú reklámozást alkalmazók, valamint telekommunikációs vállalatok esetében.

A személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik.

2/c.     „Rendszeres és szisztematikus megfigyelés”

A Rendelet a fogalmat pontosan nem határozza meg, de az adatalanyok viselkedésének a megfigyelése, nyomon követése, a profilalkotás, a viselkedés alapú reklámok mindenképpen ide tartoznak majd.

Ez a megfigyelés nem korlátozódik majd az online környezetre, ezért ehhez figyelembe kell venni a következőket:

  • folyamatos vagy meghatározott időközönként egy adott időszakra vonatkozik,
  • ismétlődően vagy folyamatosan jelentkező megfigyelés.

Az iránymutatás a rendszeres és szisztematikus adatkezelésre példaként említi a telekommunikációs hálózat üzemeltetését, a távközlési szolgáltatásokat, az e-mail retargeting szolgáltatást, a kockázat elemző rendszerek működtetését (a hitelképesség elbírálása, a bónusz malusz rendszerek, visszaélés megelőzési és pénzmosás figyelő rendszerek), a lokációfigyelést, a hűség programokat, viselkedés alapú reklámozást, egészségügyi állapot figyelését, valamint az összekapcsolt rendszereket (okos mérők, okos otthonok és közlekedési eszközök).

A GDPR új alapokra helyezi az adatvédelmi tisztviselők szabályozását. A 37. cikk (5) bekezdése – többek között – kimondja, hogy az adatvédelmi tisztviselőket (DPO) szakmai rátermettség, az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a jogszabályban meghatározott feladatok ellátására való alkalmasság alapján kell kijelölni. A GDPR ugyanakkor nem határozza meg azt, hogy a DPO-nak pontosan milyen képzettséggel kell rendelkeznie ahhoz, hogy a feladataikat elláthassák.

A pontos kvalifikációs követelmények hiányának az oka, hogy a jogalkotó ily módon teszi lehetővé az adatkezelők számára, hogy a saját tevékenységi körükhöz igazodóan tudjanak tisztviselőt kijelölni. A kiválasztás során figyelembe kell venni az általuk végzett adatkezelési műveleteket, az adatkezelés terjedelmét, a kezelt adatok fajtáit, és a megvalósítandó adatbiztonsági intézkedéseket. A DPO-k oldaláról nézve a pozíció betöltéséhez szükséges ismeretek felölelik az adatvédelem hazai és európai szabályozását, az adatkezelő által végzett adatkezelések, a felhasznált IT és adatbiztonsági megoldásokat, az adott szektor és az adatkezelőt, valamint azon képességet, hogy a DPO elő tudja mozdítani a magas szintű adatvédelmet az adatkezelő szervezetén belül. A képesítést adó szervezeteket is figyelembe kell venni: bizonyos ismereteket egyetemi, másokat pedig akkreditált felnőttképzés keretében lehet megszerezni. A DPO-któl megkövetelt végzettségi szintnek is a megvalósítandó feladatokhoz kell igazodnia.

A szabályozás keretjellege tehát végeredményben azt szolgálja, hogy az adatkezelők mindenkor a legmegfelelőbb, szakmailag legrátermettebb jelöltet választhassák ki a GDPR szempontjából kiemelt feladatot ellátó DPO-nak.

ADATKEZELÉSI TÁJÉKOZTATÓBAN EZEKET IS TÜNTESD FEL

Adatkezelési tevékenységek nyilvántartása:

Minden adatkezelő és – ha van ilyen – az adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. E nyilvántartás a következő információkat tartalmazza: 
=> cikk: 4,

  1. az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége; ,
  2. az adatkezelés céljai;
  3. az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;
  4. olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket; 
  5. adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a  cikk– Különös helyzetekben biztosított eltérések”> 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása; ,
  6. ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
  7. ha lehetséges, a  cikk– Az adatkezelés biztonsága”> 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása.

ELLENŐRIZD A WEBOLDALADAT

Tájékoztatók

  • Jól látható helyen kint van a megfelelő adatvédelmi tájékoztató.
  • Webáruház esetén az ÁSZF és az adatvédelmi tájékoztató két különálló dokumentum. Ha nem webáruház vagy, de helyeztél ki ÁSZF-et, a szabály akkor is él.
  • A sütikről való tájékoztatás is benne van az adatvédelmi tájékoztatóban.
  • A sütiket el kell fogadni.

Sütik

 A honlapod informatikai szempontból megfelel a GDPR-nek? Különösen a sütik tekintetében ellenőrizd.

Léteznek sütik, melyek már az elfogadás előtt elhelyezkednek a látogató számítógépén.

Szükséges Cookie-k: A szükséges cookie-k segítik a weboldalak használatát olyan alapfunkciók, mint például az oldalak navigálása és a webhelyek biztonságos területeihez való hozzáférés engedélyezéséhez. A weboldal nem működhet megfelelően ezen cookie-k nélkül.

Előnyben részesített cookie-k: Az előnyben részesített cookie-k lehetővé teszik a weboldal számára, hogy emlékezzen olyan információkra, amelyek megváltoztatják a webhely viselkedését vagy megjelenését, például az áldalad preferált nyelvet vagy régiót.

A statisztikai cookie-k segítenek a webhelyek tulajdonosainak megérteni, hogy a látogatók miként hatnak a weboldalakra azáltal, hogy névtelenül gyűjtik és jelentik az információkat.

Marketing cookie-k: A marketing cookie-kat a weboldalak látogatóinak nyomon követésére használják. A cél az, hogy olyan hirdetéseket jelenítsenek meg, amelyek relevánsak, érdekesek és értékesek az adott felhasználó számára.

Ha a látogató nem fogadja el a sütiket, azokat le kell tudni állítani. Nem köthető az oldal használata a sütik elfogadásához./kivéve amelyek nélkül az oldal nem tud működni/ Az adatvédelmi tájékoztatóban is hívd fel rá a figyelmet, hogy ha valaki nem akarja a sütiket a gépére, tiltsa le a böngészőjében.

Hírlevél  

  • A hírlevélre feliratkozásnál nem pipálhatod ki előre a jelölő négyzetet.
  • A rendszer automatikusan sem pipálja ki a jelölő négyzetet, ha más műveletet hajt végre a látogató (pl. megrendel valamit).
  • Az adatvédelmi tájékoztatót a látogató a hírlevélre feliratkozásnál is meg tudja nyitni.
  • A hírlevélre feliratkozás aktív cselekvést követel meg a látogatótól, pl. pipáljon ki valamit, nyomjon meg egy gombot stb.
  • A hírlevélre feliratkozásnál a feliratkozónak meg kell adnia a nevét és az e-mail címét. Más adatot ezen a helyen nem kérhetsz be, mert szükségtelenek a cél megvalósulásához, ami itt a hírlevél küldés.
  • Az eDM nem egyenlő a hírlevéllel. Az eDM fogadásához külön hozzájárulás kell. 

 

Kapcsolatfelvételi űrlap 

  • A kapcsolatfelvételi űrlapnál (ajánlatkérés, érdeklődés) is ott kell lennie a jelölő négyzetnek, amelyben az érintett hozzájárul az adatai kezeléséhez. A kapcsolatfelvétel még nem megrendelés, ezért kell a hozzájárulás. Megrendelésnél eleve ott van az ÁSZF és az adatvédelmi tájékoztató elfogadására a nyilatkozat.
  • A kapcsolatfelvételi űrlap csak azokat a mezőket tartalmazza, amelyek feltétlenül szükségesek a kapcsolat felvételéhez, nem kérsz olyan információt, amely indokolatlan, nincs joglapja, nincs célja az adatkezelésnek. Kizárólag a minimum adatkör kérhető be, amelyek elengedhetetlenek a cél megvalósulásához.  

 

Regisztáció a honlapra 

  • A regisztráció céljától függően kérhetőek az adatok:

–  ha a regisztráció célja pl. egy belső adatbázis elérése: név és jelszó, vagy e-mail és jelszó;

– ha a regisztráció célja megrendelés: email, jelszó, szállítási cím és név, számlázási cím és név, telefonszám;

– bármilyen más célból regisztrál valaki az oldalra, csak annyi adat kérhető, amennyi a cél teljesüléshez feltétlenül szükséges.

  • Bármilyen okból regisztrál valaki az oldalra, a regisztrációra is igaz, hogy a véglegesítés előtt kell tájékoztatni a látogatót az adatvédelemről, tehát itt is elérhetőnek kell lennie a megfelelő dokumentumnak.  
  • A regisztráció sohasem alapozhat meg hírlevél küldést, azt a fentiek szerint, külön kell kezelni.

Közösségi oldalakról történő belépés engedélyezése a honlapodra

  • Felhívod a felhasználó figyelmét arra, hogy a honlapod a közösségi oldal adatait is felhasználhatja. Egyértelművé kell tenned, hogy mely adatokat.
  • Lehetővé kell tenned, hogy az érintett az adatokat gyorsan áttekintse, ha erre igényt tart.
  • Feltűnő gombot kell elhelyezned a folytatáshoz, amelyre rá kell kattintania a felhasználónak, pl. folytatás, mint XY.
  • El kell helyezned itt is az adatvédelmi tájékoztatót (bérelt webáruháznál ez a szoftverkészítő cég tájékoztatója lesz). Az alkalmazás felhasználási feltételeit is el kell helyezned.
  • Célszerű egy megnyugtató sort is kitenni, amely szerint az alkalmazás nem kap engedélyt arra, hogy bejegyzéseket tegyen közzé a közösségi oldalon.

A honlap tartalma: bejegyzések, fényképek, részleges űrlapkitöltés 

  • Nem lehet az oldaladon egyetlen olyan blogbejegyzés, rövidhír, hosszú hír, bármilyen szöveges információ, amely jogalap nélkül tartalmaz személyes adatot. A jogalap itt nagy valószínűséggel a hozzájárulás lesz.
  • Ugyanez vonatkozik a fényképekre, fényképrészletekre is, ha természetes személyt ábrázolnak és azonosíthatóak. Csakis a megfelelő jogalappal helyezheted ki őket. Ha olyan fényképet használsz az oldaladon, amelyet nem te készítettél, hanem például stockfotó oldalról vásároltad, töltötted le, nem kell ellenőrizned a jogalapot. Ezek az áruházak komoly ellenőrzés után teszik letölthetővé a képeket. Ha bizonytalan forrásból töltöttél le képet, két dolgot tehetsz. Ellenőrzöd a forrást, hogy mennyire megbízható, vagy lecseréled másik képre.
  • A részleges űrlapkitöltés megfelelő biztonsági intézkedésekkel ellátott. Ebben kérd informatikusod segítségét.  Ha a weblapod engedélyezi a részleges űrlapkitöltést, győződj meg róla, hogy tényleg az arra jogosult használja az oldalt. Ha a böngésző jegyzi meg az űrlap beviteli mezőjében tárolt adatokat, az a felhasználó döntésén múlik, hogy mit engedélyez a böngésző programjának.

 

A következő ötletek nem minősülnek jogi tanácsoknak! Csak néhány lehetőség, hogy ne essünk a GDPR rendelettel hatálya alá.

Az adatvédelmi törvény azokra vonatkozik, akik adatot kezelnek, amennyiben lehetséges és a tevékenységedet nem befolyásolja drasztikusan, akkor kerüld el az adatgyűjtést a weboldaladon

1. Kapcsolati űrlapok

Ha eddig sem nagyon használták, vedd ki a kapcsolati űrlapot az oldaladból!

Minden olyan esetben, amikor a kapcsolati űrlapot kizárólag arra használod, hogy az érdeklődők ajánlatot kérjenek, kiválthatod azzal, hogy megkéred, küldjenek inkább emailt. A kapcsolati űrlapon minimálisan elkéred a nevét és az email címét, ez a pár adat is számtalan kellemetlen adminisztrációval jár. Az esetek többségében az emberek nem is szívesen használják az oldalon elhelyezett űrlapot, én is inkább felhívom telefonon a céget és egyeztetek egy személyes találkozót, vagy ha konkrét kérdésem van, írok egy emailt. Sokszor ott pihen az oldalon egy árva űrlap ártatlanul, senki nem használja, de ha jön az ellenőrzés, fel kell mutatni a dokumentumokat, adatkezelési szabályzatot, valamint az adatkezelő felelőssége, hogy ezek a tárolt adatok helyesek legyenek. Minek? Felesleges!

A kapcsolati oldalon legyen ott a telefonszám és az email cím, illetve az elérhetőségek! Ha speciális a szolgáltatás szerepeljenek a kérdések, amelyekre választ várunk az ajánlatkérő e-mailben. Ha nem készül a bejövő levelekből lista és nem használod a továbbiakban a címeket egyéb célra, nem tekinthető adatkezelésnek.

Természetesen vannak helyzetek, amikor nem lehet kikerülni, hogy bekérjük az ügyfél adatait, ilyen például a regisztráció egy eseményre. Ekkor kötelező adatkezelési nyilatkozatot készíteni, nem lehet megúszni!

2. Ne küldj hírlevelet!

Vannak célcsoportok és témák, amelyeket a hírlevéllel lehet a leghatékonyabban megszólítani, de ha nem túl nagyszámú a listád és a nyitási arány sem magas elhagyhatod.

Nézd át az elavult, nem használt/kikapcsolt oldalaidat, aloldalaidat!

Gondold át, hogy nincsenek-e nem használt lapok, landing oldalak, amelyek egy régebbi, már nem aktuális projektből maradtak vissza. Lehetnek ilyenek és ezek időzített bombaként ketyegnek a feledés homályában. A folyamatok felmérése során találtunk mi is néhány félbehagyott oldalt, amibe már bekerültek a kapcsolati űrlapok. Sajnos az ilyeneket sem kíméli a rendelet, ha a mi nevünkön vannak, mi felelünk érte jogilag.

Egyelőre ennyi...folyt. köv.

Még nem vagy elkésve - 2018.05.25!

Vevőszolgálat

 
Vandizájn®
H-6500 Baja, Bernhart S. u. 126.
Zsuzsi: +36 20 389 9313
e-mail: info@vandizajn.hu
 

Impresszum

 
Az oldal üzemeltetője:
Vandizájn – Steinbach Zsuzsanna ev.
Adószám:67575141-1-23
Nyilvántartási szám: 50433711
6500 Baja, Bernhart S. u. 126.

Kövess a Facebook-on

 

Nem találtad meg, amit kerestél?