GDPR

GDPR
2018. április 23.

Cikkünk folyamatosan bővül!

Itt leírok olyan teendőket, amelyek webáruházakra hárulnak a 2018. május 25-én életbe lépő GDPR (Általános Adatvédelmi Rendelet) következtében. A teendőket nem logikai sorrendben írom le,  hanem egyes webáruházak tevékenységi  köreire vonatkozóan.

vedelem_gdpr.jpg

 

HÍRLEVÉL

1. Hírlevélben adatkezelést csak akkor végezhet egy webáruház, ha ahhoz a feliratkozó

     önkéntesen,

     konkrét célokra igent mondva és

     pontos tájékoztatás után

ad engedélyt a webáruháznak adatai (e-mail cím, név) kezelésére.

Vagyis: nem lehet a feliratkozás négyzetbe a pipát előre beírni. Szükséges tájékoztató szöveget (Adatkezelési Tájékoztató) adni a webáruház felületén, melyet meg kell ismernie a webáruház hírlevelére föliratkozónak és a megismerés tényéről szintén egy előre be nem pipált négyzet bepipálásával jeleznie kell. (GDPR Preambulum 39)

2. Mit jelentenek az eddigiek a gyakorlatban? Mit kell tenned a hírlevelddel ahhoz, hogy ne kaphass GDPR-bírságot? 

A feliratkozáshoz 2 jelölőnégyzetet használj! Egyik se legyen előre kitöltve!

Az első négyzet kipipálásával a feliratkozó nyilatkozik, hogy kéri a hírlevelet, amely marketing célokat szolgál.

A második négyzet kipipálásával nyilatkozik a feliratkozó, hogy ismeri és elfogadja az Adatkezelési Tájékoztatót.

Az Adatkezelési Tájékoztatóban meg kell jelölni az adatkezelő kilétét és a személyes adatok kezelésének célját. (GDPR Preambulum 42)

3. Ha a hírlevélben mást is szeretnénk kiküldeni, mint amit eredetileg mondtunk, akkor azt is megtehetjük, de csak akkor, ha "az adatkezelés összeegyeztethető az adatkezelés eredeti céljával". (GDPR Preambulum 50)

DPO, azaz ADATVÉDELMI TISZTVISELŐ

Ki az adatvédelmi tisztviselő? 

Egy olyan rátermett ember, aki ismeri az eu-s és hazai adatvédelmi jogot és ez ügyben egy cégnél vagy egy cégnek tanácsot tud adni minden olyan ügyben, amely személyes adatok kezelésével jár vagy azzal kapcsolatos.

Mikor kell egy webáruháznak adatvédelmi tisztviselőt (DPO-t) akár külső szerződő félként felfogadnia, akár belső munkatársként alkalmaznia?

Ha a webáruház tevékenysége kiterjed az érintettek rendszeres és szisztematikus, nagymértékű megfigyelésére. (Vö! GDPR 37. cikk/1/b.)

Mi minősül rendszeres és szisztematikus megfigyelésnek?

Ezt a GDPR-hoz készült „Iránymutatás az adatvédelmi tisztviselőkkel kapcsolatban” című, a 29. cikk szerinti adatvédelmi munkacsoport dokumentumában, a dokumentum 2.1.3-as és a 2.1.4-es pontjaiban közli az EU. A dokumentum utóbbi pontja meg is nevez ilyen tevékenységeket. Ezeket idézem:„Távközlési hálózat működése; távközlési szolgáltatások nyújtása; célközönség e-mail alapú újbóli meghatározása; adatvezérelt marketing tevékenységek; profilalkotás és pontozás kockázatkezelési célból (pl. hitelbesorolás, biztosítási díjak megállapítása, csalások megelőzése, pénzmosás felderítése céljából); helymeghatározás, például mobilalkalmazások útján; hűségprogramok; viselkedés alapú reklám (pl. süti van egy honlapon és remarketinget folytat a honlap); wellness, fitness és egészségügyi adatok megfigyelésére viselhető eszközökön keresztül; zárt láncú televízió; csatlakoztatott eszközök, például intelligens mérőberendezések, intelligens gépjárművek, lakásautomatizálás stb."
Ebből látszik, hogy minden olyan webáruháznak kell DPO, amely

  használ sütiket vagy

  van hűségprogramja vagy

  van olyan raktára, ahol biztonsági kamerarendszer működik,

Mit csinál egy adatvédelmi tisztviselő?

A cégnek (webáruháznak) ellenőrzi az adatvédelmi hatásvizsgálatának e rendeletnek való megfelelőségét, Ő tart kapcsolatot a cég nevében a NAIH-hal. Hozzá fordulhatnak azok az érintettek, akik úgy gondolják, hogy a webáruház megsértette az adatbiztonsághoz fűződő jogukat. Megvizsgálja, hogy a céges adatvédelmi szabályzat és gyakorlat megfelel-e a törvényeknek.

Mit nem csinál az adatvédelmi tisztviselő (DPO)?

Nem ő végzi az adatvédelmi hatásvizsgálatot. (És persze nem csönget a villamos helyett egy picit... Magyarán: a kérdésre, hogy mit nem csinál viccesen bármit lehet mondani, de nem érdemes velem élcelődni, mert attól nem lesz senkinek jobb. Viszont abból baj lehet, ha a DPO csinálja az adatvédelmi hatásvizsgálatot. Ő csak ellenőrzi.)

ADATVÉDELMI HATÁSVIZSGÁLAT

Mely cégeknek kell adatvédelmi hatásvizsgálatot végezni?

Minden cégnek (és így minden webáruházat üzemeltető cégnek is), amelynek vezetői úgy látják, hogy adatkezelésük során magas kockázata van annak, hogy vevőik személyes adataikhoz kapcsolódó joguk sérül. Ha úgy gondolják, hogy ezzel kapcsoltban károk érhetik őket. Ilyen károk lehetnek pl. hátrányos megkülönböztetés, személyazonosságuk ellopása, személyazonosságukkal való visszaélés, a jó hírnév sérelme, álnevesítésük engedély nélküli feloldása stb. (Vö! GDPR Preambulum 85.pont) Fontos azonban tudni, hogy vannak helyzetek, amikor kötelező hatásvizsgálatot végezni. Ezeket leírja a GDPR 35. cikkének 2. pontja. Az ebben foglaltak lényeget megtartó, de nem minden részletre kitérő összefoglalása és hétköznapi nyelvbe öntése a következő is lehet.

Akkor kötelező egy webáruházat működtető cégnek adatvédelmi hatásvizsgálatot végeznie, ha van nála legalább egy olyan tevékenység, amit az imént idéztem a DPO-val kapcsoltban. Ezeket most ismét idézem. „Távközlési hálózat működése; távközlési szolgáltatások nyújtása; célközönség e-mail alapú újbóli meghatározása; adatvezérelt marketing tevékenységek; profilalkotás és pontozás kockázatkezelési célból (pl. hitelbesorolás, biztosítási díjak megállapítása, csalások megelőzése, pénzmosás felderítése céljából); helymeghatározás, például mobilalkalmazások útján; hűségprogramok; viselkedés alapú reklám (pl. süti van egy honlapon és remarketinget folytat a honlap); wellness, fitness és egészségügyi adatok megfigyelésére viselhető eszközökön keresztül; zárt láncú televízió; csatlakoztatott eszközök, például intelligens mérőberendezések, intelligens gépjárművek, lakásautomatizálás stb."

Hogyan lehet egy adatvédelmi hatásvizsgálatot lefolytatni?

Ez az én szaktudásom. Ha ez iránt komolyan érdeklődsz, keress meg e-mailen. sikerszerviz[kukac]gmail[pont]com

FONOTOS! EZ A TÁJÉKOZTATÁS  A LEGNAGYOBB KÖRÜLTEKINTÉSSEL KÉSZÜLT, DE NEM MINSÜL TANÁCSADÁSNAK!

A bejegyzés trackback címe:

https://interneteskereskedelem.blog.hu/api/trackback/id/tr2913856792