PO-ból DPO (4. rész) - GDPR rendeletben szereplő határidők

Az átláthatóság és a gyors kereshetőség érdekében összeszedtem, hogy mely cikkben vagy preambulumban található határidő intézkedésre.

12. cikk 

Átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó intézkedések

(3) Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a 15–22. cikk szerinti kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri. 

(4) Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával. 

14. cikk 

Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg 

(3) Az adatkezelő az (1) és (2) bekezdés szerinti tájékoztatást az alábbiak szerint adja meg: 

• a)  a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;
  
• b)  ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy
  
• c)  ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor. 

16. cikk 

A helyesbítéshez való jog 

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

17. cikk 

A törléshez való jog („az elfeledtetéshez való jog”) 

(1) Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll: 

33. cikk 

Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak 

(1) Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. 

(2) Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek. 

34. cikk 

Az érintett tájékoztatása az adatvédelmi incidensről 

(1) Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek 

jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. 

35. cikk 

Adatvédelmi hatásvizsgálat 

(1) Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek. 

36. cikk 

Előzetes konzultáció 

(2) Ha a felügyeleti hatóság véleménye szerint az (1) bekezdés szerint tervezett adatkezelés megsértené e rendeletet – különösen, ha az adatkezelő a kockázatot nem elégséges módon 

Az adatkezelők, illetve adatfeldolgozók által végzett adatkezelési műveletek hatásainak 

azonosította vagy csökkentette –, a felügyeleti hatóság az adatkezelőnek és adott esetben az adatfeldolgozónak legkésőbb a konzultáció iránti megkeresés kézhezvételétől számított nyolc héten belül írásban tanácsot ad, továbbá gyakorolhatja az 58. cikkben említett hatásköreit. Ez a határidő – a tervezett adatkezelés összetettségétől függően – hat héttel meghosszabbítható. A felügyeleti hatóság a megkeresés kézhezvételétől számított egy hónapon belül tájékoztatja az adatkezelőt vagy adott esetben az adatfeldolgozót a meghosszabbításról és a késedelem okairól. Az említett időtartamok felfüggeszthetők arra az időtartamra, amíg a felügyeleti hatóság nem jut hozzá azokhoz az információkhoz, amelyeket adott esetben a konzultáció céljából kért. 

37. cikk 

Az adatvédelmi tisztviselő kijelölése 

(7) Az adatkezelő vagy az adatfeldolgozó közzéteszi az adatvédelmi tisztviselő nevét és elérhetőségét, és azokat a felügyeleti hatósággal közli. 

56. cikk 

A fő felügyeleti hatóság illetékessége 

(3) Az e cikk (2) bekezdésében említett esetekben a felügyeleti hatóság haladéktalanul tájékoztatja az ügyről a fő felügyeleti hatóságot. A fő felügyeleti hatóság a tájékoztatását követő három héten belül dönt arról, hogy a 60. cikkben foglalt eljárással összhangban eljár-e az ügyben, figyelembe véve azt, hogy az adatkezelő vagy az adatfeldolgozó rendelkezik-e tevékenységi hellyel abban a tagállamban, amelynek a felügyeleti hatósága a fő felügyeleti hatóságot tájékoztatta. 

60. cikk 

Együttműködés a fő felügyeleti hatóság és a többi érintett felügyeleti hatóság között 

(3) A fő felügyeleti hatóság késedelem nélkül közli a többi érintett felügyeleti hatósággal az üggyel kapcsolatos releváns információkat. A döntés tervezetét haladéktalanul benyújtja a többi érintett felügyeleti hatóságnak, hogy azok véleményezhessék, és véleményüket kellően figyelembe veszi. 

(4) Ha a többi érintett felügyeleti hatóság valamelyike az e cikk (3) bekezdése szerinti konzultációt követő négy héten belül releváns és megalapozott kifogást emel a döntéstervezettel szemben, a fő felügyeleti hatóság, ha nem ért egyet a releváns és megalapozott kifogással, vagy azt nem találja relevánsnak vagy megalapozottnak, az ügyet a 63. cikkben említett, egységességi mechanizmus keretében kezeli. 

(5) Ha a fő felügyeleti hatóság helyt kíván adni a releváns és megalapozott kifogásnak, módosított döntéstervezetet nyújt be a többi érintett felügyeleti hatóságnak, hogy azok véleményezhessék. A módosított döntéstervezet tekintetében két héten belül kell lefolytatni a (4) bekezdésben említett eljárást. 

(11) Ha egy érintett felügyeleti hatóság rendkívüli körülmények fennállása esetén megalapozottan úgy véli, hogy az érintettek érdekeinek védelme érdekében sürgős fellépésre van szükség, a 66. cikkben említett sürgősségi eljárást kell alkalmazni. 

61. cikk 

Kölcsönös segítségnyújtás 

(2) Minden felügyeleti hatóság megteszi a megfelelő intézkedéseket annak érdekében, hogy a más felügyeleti hatóságtól érkező megkereséseket indokolatlan késedelem nélkül, de legkésőbb a megkeresés kézhezvételétől számított egy hónapon belül megválaszolja. Ezen intézkedések közé tartozhat különösen a vizsgálatok lefolytatásával kapcsolatos releváns információk továbbítása. 

62. cikk 

A felügyeleti hatóságok közös műveletei 

(2) Ha az adatkezelő vagy az adatfeldolgozó több tagállamban is rendelkezik tevékenységi hellyel, vagy ha az adatkezelési műveletek több tagállamban is valószínűsíthetően jelentős mértékben érintenek nagyszámú érintettet, az összes szóban forgó tagállam felügyeleti hatósága jogosult részt venni a közös műveletekben. Az 56. cikk (1) vagy (4) bekezdése alapján illetékes felügyeleti hatóság felkéri az összes szóban forgó tagállam felügyeleti hatóságát, hogy vegyenek részt a közös műveletekben, és haladéktalanul válaszol a felügyeleti hatóság részvételre irányuló megkeresésére. 

64. cikk 

Az Európai Adatvédelmi Testület véleménye 

(3) Az (1) és (2) bekezdésben említett esetekben a Testület véleményt bocsát ki az elé terjesztett ügyről, kivéve, ha ugyanazon ügyről már bocsátott ki véleményt. A véleményt a Testület nyolc héten belül, tagjainak egyszerű többségével fogadja el. Az ügy összetettségére figyelemmel ez a határidő további hat héttel meghosszabbítható. Az (1) bekezdésben említett, a Testület tagjai részére a (5) bekezdésnek megfelelően eljuttatott döntéstervezetet illetően úgy kell tekinteni, hogy azok a tagok, akik az elnök által megszabott észszerű határidőn belül nem emeltek kifogást, egyetértenek a döntéstervezettel. 

(4) A felügyeleti hatóságok és a Bizottság indokolatlan késedelem nélkül elektronikus úton, egységes formátum alkalmazásával közölnek a Testülettel minden releváns információt, ideértve az esettől függően a tények összefoglalóját, a döntéstervezetet, az intézkedés megtételét szükségessé tevő indokokat, és más érintett felügyeleti hatóságok véleményét. 

(5) a) 

b) 

A Testület elnöke indokolatlan késedelem nélkül elektronikus úton tájékoztatja: 

egységes formátum alkalmazásával tájékoztatja a Testület tagjait és a Bizottságot a vele közölt releváns információkról. A Testület titkársága szükség esetén gondoskodik a releváns információk fordításáról; és 

tájékoztatja az esettől függően az (1) vagy a (2) bekezdésben említett felügyeleti hatóságot, valamint a Bizottságot a véleményről, amelyet nyilvánosságra hoz. 

(6)

(1) bekezdésben említett döntéstervezetét. 

Az illetékes felügyeleti hatóság a (3) bekezdésben említett határidőn belül nem fogadhatja el az 

(7) Az (1) bekezdésben említett felügyeleti hatóság a lehető legnagyobb mértékben figyelembe veszi a Testület véleményét, és a vélemény kézhezvételét követő két héten belül, elektronikus úton, egységes formátum alkalmazásával közli a Testület elnökével, hogy a döntéstervezetet változatlan formában fenntartja-e, vagy pedig módosítani fogja, és adott esetben megküldi a módosított döntéstervezetet. 

65. cikk 

A Testület vitarendezési eljárása 

(2) Az (1) bekezdésben említett döntést a Testület az ügy benyújtásától számított egy hónapon belül, tagjainak kétharmados többségével fogadja el. Az ügy összetettségére figyelemmel ez a határidő további egy hónappal meghosszabbítható. Az (1) bekezdésben említett döntést indokolni kell, és meg kell küldeni a fő felügyeleti hatóságnak és minden érintett felügyeleti hatóságnak, amelyekre nézve kötelező erővel rendelkezik. 

(3) Ha a Testület döntését nem képes a (2) bekezdésben említett határidőkön belül elfogadni, a döntést a (2) bekezdésben említett második hónap leteltét követő két héten belül, tagjainak egyszerű többségével fogadja el. A Testület tagjainak szavazategyenlősége esetén a döntés elfogadásáról az elnök szavazata dönt. 

(6) A fő felügyeleti hatóság vagy – az esettől függően – az a felügyeleti hatóság, amelyhez a panaszt benyújtották, az e cikk (1) bekezdésében említett döntés alapján indokolatlan késedelem nélkül, de legkésőbb egy hónappal azt követően, hogy a Testület bejelentette döntését elfogadja jogerős döntését. A fő felügyeleti hatóság vagy – az esettől függően – az a felügyeleti hatóság, amelyhez a panaszt benyújtották, tájékoztatja a Testületet arról a dátumról, amikor az adatkezelővel, az adatfeldolgozóval, illetve az érintettel közli jogerős döntését. Az érintett felügyeleti hatóságok jogerős döntését a 60. cikk (7), (8) és (9) bekezdésében foglaltaknak megfelelően kell elfogadni. A jogerős döntésben utalni kell az e cikk (1) bekezdésben említett döntésre, valamint közölni kell, hogy az (1) bekezdésében említett döntést a (5) bekezdéssel összhangban közzé fogják tenni a Testület honlapján. A jogerős döntéshez csatolni kell az e cikk (1) bekezdésében említett döntést. 

66. cikk 

Sürgősségi eljárás 

(4) A 64. cikk (3) bekezdésétől és a 65. cikk (2) bekezdésétől eltérve az e cikk (2) és (3) bekezdésében említett, sürgősségi eljárás keretében elfogadandó véleményt, illetve kötelező erejű döntést a Testület két héten belül, tagjainak egyszerű többségével fogadja el. 

78. cikk 

A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog 

(2) Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden érintett jogosult a hatékony bírósági jogorvoslatra, ha az 55. vagy 56. cikk alapján illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a 77. cikk alapján benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről. 

92. cikk 

A felhatalmazás gyakorlása 

(5) A 12. cikk (8) bekezdése és a 43. cikk (8) bekezdése értelmében elfogadott, felhatalmazáson alapuló jogi aktus csak akkor lép hatályba, ha az Európai Parlamentnek és a Tanácsnak a jogi aktusról való értesítését követő három hónapon belül sem az Európai Parlament, sem a Tanács nem emelt ellene kifogást, illetve ha az említett időtartam lejártát megelőzően mind az Európai Parlament, mind a Tanács arról tájékoztatta a Bizottságot, hogy nem fog kifogást emelni. Az Európai Parlament vagy a Tanács kezdeményezésére ez az időtartam három hónappal meghosszabbodik. 

Preambulum

(137)Az érintettek jogainak és szabadságainak védelme céljából sürgős intézkedésre is szükség lehet, különösen abban az esetben, amikor fennáll annak a veszélye, hogy az érintett jelentősen akadályoztatva van jogainak gyakorlásában. A felügyeleti hatóság számára ezért lehetővé kell tenni, hogy a tagállamának területére vonatkozóan kellően indokolt ideiglenes intézkedéseket fogadjon el; amely intézkedések érvényessége meghatározott időtartamra, de legfeljebb három hónapra szólhat. 

(143)Minden természetes vagy jogi személy jogosult, hogy az EUMSZ 263. cikkében meghatározott feltételek szerint eljárást indítson a Bíróságon a Testület döntéseinek megsemmisítése iránt. Azok az érintett felügyeleti hatóságok, amelyek e döntések címzettjeiként fellebbezni kívánnak azok ellen, az EUMSZ 263. cikkének megfelelően a döntésről való értesítésüket követő két hónapon belül indítják meg keresetüket. Ha a Testület döntései közvetlenül és egyénileg érintenek valamely adatkezelőt, adatfeldolgozót vagy a panaszost, a panaszos az EUMSZ 263. cikkének megfelelően eljárást indíthat az adott döntések megsemmisítése iránt, mégpedig azoknak a Testület honlapján való közzététele dátumától számított két hónapon belül. 

PO-ból DPO (3. rész) - Webshop teendői a GDPR szerint

Olvasva a Facebook csoportokat és különböző blogokat, nagyon sok helyen találkozok pánikkal, haraggal a GDPR-ral kapcsolatban, így szeretnék pár fontos, webshopokat (online felületeket) érintő kérdést és teendőt tisztázni. Azt gondolom, hogy user oldalról sem fog mindenki ezzel foglalkozni, hiszen eddig is tojtak rá, hogy mi van az adataikkal és ezután is az lesz a célja, hogy mielőbb megvásárolhassa a terméket vagy használhassa a szolgáltatást, lásd jelenlegi cookie tájékoztató elfogadás.

Pár fontos alapelv

A GDPR egyik betartandó alapelve az adattakarékosság, aminek célja, hogy valóban csak annyi adatot kérjünk be és annyi ideig tároljuk, amíg az valóban szükséges.

Az adatkezelésben nincs akkor változás és továbbra is használhatjuk a felhasználok adatait, de pontosan meg kell határozni a célt és a jogalapot, valamint ezekhez egyértelműbb tájékoztatás kell a user felé és/vagy hozzájárulás a felhasználótól. 

Ehhez kapcsolódik, hogy a user számára átláthatóbbá kell tenni az adatkezelést és adattovábbítást, és a jogait könnyebben kell tudnia gyakorolni (hozzáférés, helyesbítés, törlés, korlátozás, hordozhatóság).

Ezek mellett az adatok biztonságos kezelése is előtérbe helyeződött, mivel eddig ez nem volt annyira biztosított, tisztelet a kivételnek.

És mégegy: GDPR is not optional.

Hogyan tud egy webshop első körben megfelelni az új GDPR-nak

Összeszedtem, hogy mik azok a legfontosabb pontok, amik egy ellenőrzés során elsőként kerülnek a figyelembe. Nem nyújt 100%-os védelmet, de nagyban csökkenti a kockázatot. Véleményem szerint, amíg a NAIH se ad minden kérdésre választ és nem jön ki a végleges módosított Info. Törvény, addig nem is lehet teljes megfelelőséget elérni az adatkezelési folyamatokban.

Szóval a teendők:

1. Adatkezelési tájékoztató

Frissítsük az oldalon található adatkezelési tájékoztatót az alábbiak szerint:

- a webshopot üzemeltetőt és elérhetőségeit;

- az adatvédelmi tisztviselő elérhetőségeit, ha van ilyen;

- a személyes adatok tervezett kezelésének célja, az adatkezelés jogalapját, a webshop vagy harmadik fél jogos érdekei;

- a személyes adatok címzettjeit, ha van ilyen;

- adott esetben annak tényét, hogy a webshop harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat

A NAIH Adatvédelmi Nyilvántartási Számot 2018. május 25-től nem fog kiadni, így azt már nem is kell feltüntetni a jövőben.

2. Adatkezelési tájékoztató elérhetősége

Nem csak regisztrációs formon és a láblécben kell elhelyezni mostantól az Adatkezelési tájékoztató linkjét, hanem minden olyan oldalon, ahol személyes adatot kérünk be, vagy adható meg.

Itt egy érdekes problémával is találkozhatunk, hiszen több helyen van úgynevezett megjegyzés mező, pl. rendelés leadása során, ahova szintén bármit beírhat a felhasználó, akár személyes adatokat is. Figyeljünk erre is!
Fontos, hogy ha az adott oldalon van form, akkor nem elég, hogy a láblécben ott van az Adatkezelési tájékoztató linkje, hanem az adott formban is fel kell tüntetni.

3. Regsiztráció során jelölő négyzetek bővítése (adatkezelőnként)

Ez még jelenleg egy homályos pont, mert a rendelet szerint adatkezelőnként és adatkezelési célonként kellene hozzájárulást kérni a felhasználótól a regisztráció során. Jó esetben jelenleg az ÁSZF és az Adatkezelési tájékoztatót kell elfogadni egy checkbox keretében.

A jövőben az alábbi checkobox biztosan kelleni fognak:

- Elolvastam és elfogadom az Általános Szerződési Feltétleket

- Elolvastam és elfogadom az Adatkezelési tájékoztatót

- Hozzájárulok hírlevelek fogadásához (itt több opciói is lehet, lásd következő pont)

4. Hirlevél fel- és leiratkozás

Eddigi gyakorlat szerint volt egy mező, ahova beírhatta a user az email címét és egy gomb, hogy feliratkozik a hírlevelekre.

A jövőben ennek úgy kell kinéznie, hogy:

- van egy mező, ahova beírhatja az email címét

- van egy checkbox: Elolvastam és elfogadom az Adatkezelési tájékoztatót (linknek kell lennie és nem lehet bepipálva)

- hozzájárulás mező: szintén egy vagy több checkbox és nem lehet bepipálva (lásd az opcióknál)

- Feliratkozó gomb

Opciók a hozzárjárulás checkbox esetén:

1. saját hírlevél, saját reklámok küldése
2. eDM (külső ajánlatok partnerektől)
3. hozzájárulok email címem átadására 3dik félnek reklám céljából

A leiratkozásnak ugyanolyan könnyűnek kell lennie, mint a feliratkozásnak, így biztosítani kell az oldalon is és a kiküldött levelekben is. A kiküldött hírlevél láblécében szerepelnie kell az Adatkezelési tájékoztató linkjének és egy leiratkozást segítő linknek/gombnak.

Update:
- ha már egy regisztrált usernek szeretnénk küldeni hírlevelet egy új termékünkről, akkor a jogalap lehet hozzájárulás vagy jogos érdek és mindkét esetben tájékoztatni kell. Első esetben a visszavonásig, második esetben tiltakozásig tárolhatjuk az e-mail címet
- ha egy sima hírlevelet küldünk feliratkozott usernek, akkor jogos érdek a jogalap és tájékoztatás után tiltakozásig tárolhatjuk az e-mail címet

5. Adatbázisok életben tartása és a profilozás

2018. május 25. utána csak olyan személyes adatokat tárolhatunk és használhatunk, amik megfelelnek az új rendeletnek. Így szükséges a régi adatbázisok életben tartása. Ezek esetében a következő képpen kell eljárni: tájékoztatni kell a felhasználót az új célokról, és ez ellen tiltakozhat.

Ha van olyan funkcióink (pl. ajánló rendszer), ahol profilozás történik, akkor ott is a legegyszerűbb megoldás, hogy tájékoztatjuk az ügyfelet, aki ez ellen tiltakozhat. Ilyenkor vagy kikapcsolom az adott szolgáltatás működését vagy megtagadom tőle a regisztráció lehetőségét.

6. Automatikus döntéshozatal

Kevés helyen tárgyalt, de annál fontosabb téma. Ha a weboldalamon pl. a szállítási költség a user címe alapján módosulhat, akkor az automatikus döntéshozatalnak számít és erről tájékoztatnom kell a felhasználót az Adatkezelési tájékoztatóban. Vegyük sorra, hol található ilyen jellegű logika és ezeket írjuk bele a tájékoztatóba.

Célok és jogalapok

A bevezetőben említettem, hogy kicsit kavar van a fejekben és túlzottan félünk a GDPR-tól, pedig sok esetben könnyítést ad. Cserébe csak annyit vár el, hogy az adatokat valódi céloknak és megfelelő jogalap mellett kérjük be, tároljuk.

A GDPR 6. cikke foglalkozik azzal, hogy milyen jogon kérhetünk be és tarolhatunk adatokat.

a, a felhasználó hozzájárult az adatkezeléshez, tehát bepipált egy checkboxot, ahol tájékoztattuk, hogy ott miért és mire kell az adat
b, szerződés teljesítéséhez szükséges az adat, pl. vásárláshoz
c, jogi kötelezettség teszi szükségessé az adatkezelést, pl. számla kiállítása
d, az érintett érdekeinek védelmében (pl. baleset)
e, közérdekű feladat végrehajtásához (pl. önkormányzati adatkezelés)
f, jogos érdek (pl. fraud vizsgálat, IT biztonság)

Egy webshop esteében általában az a, b, c és f jogalapok szoktak szükségesek lenni. Az f, pont az egyik olyan kiskapu, amit elég sok mindenre rá lehet húzni. Nekem, mint webshop pl. jogos érdekem, hogy eladjak és mondjuk ezt egy hírlevélben kiküldött konkrét ajánlattal tudom elérni...

Minden adat kezelés esetén szükséges a felhasználó tájékoztatása vagy hozzájárulása. Hozzájárulás esetén is kötelező tájékoztatni a felhasználót:

- az adatkezelő elérhetőségéről

- az adatkezelés céljáról

- az érintettek és a személyes adatok kategóriáról

- címzettek kategóriáról (adatfeldolgozókról)

- az adattárolás időtartamáról

Lényeges különbség, hogy tájékoztatás esetén csak tiltakozhat a user, hozzájárulás esetén pedig visszavonhatja a hozzájárulását. Itt érdemes figyelni arra, hogyha közös hozzájárulást kérünk több adatkezelési célhoz és az egyikhez visszavonja a hozzájárulást, akkor a többi esteében is törölni kell. 

Nagyon fontos és erről is kevés szó hangzik el, hogy IT technikai oldalról ez egy olyan feladatot ró ránk, hogy tudnunk kell az adatbázisban tárolt adatokat cél és jogalap szerint csoportosítani, kezelni, törölni.

Mit is jelent a kifejezett hozzájárulás módja:

- aláírt

- email megerősítés, online form

- lényeg: egy gomb megnyomása mellett van egy második megerősítés

Facebook és Google

Ezt is sokszor félreértelmezik a hirdetések, remarketing esetén. A Facebook az adatkezelő, ha saját adatai alapján targetál

Ha az én adataim alapján, az általam beadott felhasználói adatok alapján targetál, akkor a Facebook az adatfeldolgozó és én vagyok az adatkezelő.

Google dolgozik már rajta, hoyg az Analytics szolgáltatását GDPR kompatibilissé tegye. Új beállítás lesz elérhető oldal property szinten, amivel be lehet állítani, mennyi ideig tárolod 1-1 felhasználó adatait az utolsó aktivitásától számítva (vagy úgy általában).

Szintén hamarosan érkezik a programozott módon elérhető adattörlés, aminél client ID (cookie), user ID (saját weboldalad azonosítója) vagy App ID segítségével lehet törölni 1-1 konkrét felhasználó history-ját Analyticsben.

GDPR szempontból valószínűleg consent nélkül is futtatható lesz az alap GA mérés az ún. Advertising features nélkül, amihez viszont már user consent kell. Ez főleg a demográfiai riportok adatmennyiségére és a remarketing lehetőségekre lesz várhatóan erősen kihatással.

Szállítási cím probléma

A GDPR egyik fontos alapelve az adattakarékosság, tehát csak annyi adatot kérjünk be és tároljunk, amennyi valóban szükséges, és csak addig tárolhatjuk, amíg szükséges. És ez felvet egy olyan problémát, hogy a szállítási címre csak addig van szükségünk, amíg a rendelés kiszállítása megtörtént. Így utána törölni kell ezeket az adatokat. Nem életszerű és mint user roppant bosszantó lenne, ha minden alaklommal újra be kellene írnom a szállítási címemet egy már regisztrált webshopban leadott rendelés esetén.

Remélhetőleg itt még történik egy módosítás, vagy állásfoglalás a NAIH-tól, addig is van rá egy kiskapu... 

Az ugye tiszta, hogy futárszolgálat esetén adatfeldolgozásról van szó, nem pedig adatkezelésről, mert a vásárlás teljesítéséhez igénybe kell vennem a futárt!? Mindaddig, amíg a futár cég nem veszi át és használja saját célra az adatokat!

Webshop motorok

Ha valamilyen webshop motort használsz, akkor gondban lehetsz az ügyben, hogy hol tárolódnak az adatok. Ilyen esteben ugye aláírod a Service agrement-et, és tájékoztat arról, hogy hol és hogyan tárolja, kezeli az adatokat. Ezt meg kell tenned a felhasználóid felé is.

Fontos, hogy pl. a Shopify nem adatkezelő (nem hoz döntést), csak tárolja az adatokat. De ez EU-n kívüli adattovábbításnak minősül és kifejezett hozzájárulás nem kell csak tájékoztatás.

IT biztonság és üzemeltetési problémák

Sajnos üzemeltetési szempontból is akadnak nem életszerű megfelelési kötelezettségek. Ilyen a felejtés joga esetén a biztonsági mentésekből is törölni kellene az adatokat, de ez nem életszerű és nem kivitelezhető ésszerű keretek között. Erre is várunk még állásfoglalást.

Ami itt fontos lehet, hogy egyrészt biztosítani kell a megfelelő biztonsági intézkedéseket, az adatok biztonságát, saját szerver esetén a jogosulatlan hozzáférés megakadályozását. Ha keretrendszerrel dolgozunk és különböző verziók vannak, akkor jelezni kell, hogy nem friss a keretrendszer, ami biztosági kockázat. Ilyenkor az ügyfél (tulajdonos) a felelős, hogy a frissítés költségét kifizeti-e vagy vállalja a régebbi rendszer sebezhetőségéből adódó kockázatot, mivel ő az adatkezelő.

Összefoglalva

A lényeg a megfelelő tájékoztatás, a felhasználói jogok gyakorlásának biztosítása, az adatok kezelésének időtartamára vonatkozó előírások betartása és figyeljünk oda, hogy különleges adatokat csak kifejezett hozzájárulás esetén tárolhatunk (9. cikk)

Igyekszem a profilozásról is írni hamarosan egy újabb bejegyzésebn.

Addig is: úgy kezeld mások adatait, ahogy elvárnád, hogy a tiedet kezeljék!

PO-ból DPO (2. rész) - HR és backoffice teendők

Az előző GDPR-ral kapcsolatos bejegyzésemben említettem, hogy a következő etap a belső folyamataink felmérése volt, hogy pontosan hol és milyen személyes adatokat kezelünk, ezekhez milyen folyamatok útján kik férnek hozzá. Három területre bontottam a működésünk alapján a vizsgálandó területeket:

1. HR/backoffice/sales
2. IT biztonság (üzemeltetés)
3. Ügyfeleink rendszereinek fejlesztése és azok megfelelése

Elsőként a belső folyamatokat vizsgáltuk meg, egy kisebb csapattal, ahol az érintett területek képviselték magukat. Ez fontos, hiszen DPO-ként nem feltétlenül ismerem az adott terület folyamatait és nem is kötelességem ismerni azt.

HR workshop eredménye

Az előzetes vizsgálat és a csapatmunka során az alábbi helyeken történik adatkezelés vagy továbbítás:

- jelentkezési folyamat (reqruitment/CV kezelése)

- felvétel/beléptetés (munkaszerződés, email hozzáférés, céges telefon, laptop)

- bérszámfejtés

- kiléptetés (munkaviszony megszüntetése)

- a saját honlapunkon kapcsolat felvételi form, adatkezelési nyilatkozat

- üzemorvos

- jogosultság kezelés

- iroda ház kamera rendszer

Nézzük pár példát, hogy milyen kérdések merültek fel és milyen érdekes folyamatok vannak, amikkel foglalkoznunk kell:

- ügyfél scoring rendszer

- belső munkatársak DISC elemzése, teljesítmény értékelése

- fotós belső eseményeken

Ezekhez is kell külön hozzájárulás, tájékoztatás, illetve, ha ezeket az értékelési adatokat felhasználjuk a fizetésemelés mértékének megállapításához, akkor profilozásról beszélünk és hatásvizsgálatot kell készíteni.

Mobil és laptop

A mobil és laptop használat esetében is sok csavart tartalmaz a GDPR. Mobiltelefon céges környezetben történő használata esetén az alábbi esetekkel találkozhatunk:

1. saját mobil, céges sim
2. saját mobil, saját sim
3. céges mobil, céges sim
4. saját szám, saját sim, de beviszem a flottába

A GDPR-nak való megfelelés esetén, ha magánszámot tárolok a céges mobilon, akkor írásban engedélyt kell kérnem az adott magánszemélytől, aki ezt később visszavonhatja. De ha magánkézbe lévő készüléket használok, akkor céges adatokat nem tárolhatok rajta. Legjobb a saját mobil céges sim, amikor a céges számokat a céges sim kátyán tárolom.

De ha bevitted a cégbe a saját számod, akkor sajnos bonyolódik a helyzet, mivel a telefonszámod bekerül pl. az emailben az aláírásodba. Ebben az esetben kilépéskor a szerződésekből, emailekből törölni kell(ene). Mi a megoldás?

A legegyszerűbb, hogy a munkavállaló nem hozhatja be vagy nem viheti ki a számát. Második megoldás, hogy belépéskor vagy kilépéskor tájékoztatni, hogy ezeket az adatokat te, mint munkáltató tovább tárolod. Ilyenkor tiltakozhat. Ha kilépéskor hozzájárulást kérsz, akkor azt később visszavonhatja.

Laptopok, PC-k esetében elkerülhetetlen, hogy személyes adatok kerüljenek rá, ami szintén okozhat jogi problémát. Ezt szintén meg tudjuk előzni tájékoztatással, amelyben jelezzük, hogy minden, céges gépen tárolt adat céges adatnak minősül, így a felelősséget áthárítjuk a munkavállalóra.

A laptopok esetén az integritást és bizalmas jelleget is szem előtt kell tartani és mindent megtenni annak érdekében, hogy az adott OS napra kész legyen, az OS által nyújtott biztonsági beállítások be legyenek kapcsolva. A titkosított HDD ésszerű megoldás, így ajánlott.

Hogyan járjunk el az aktuális munkavállalókkal?

Új belépő munkavállaló esetén a szerződés aláíráskor kell vagy a szerződésbe foglalni az adatvédelmi szabályzatnak való megfelelést, vagy külön dokumentumként kezelni. Már meglévő munkavállalók esetében szerződés módosítás vagy tájékoztatás után, de minden esetben a munkavállalónak kell bepipálnia, hogy hozzájárul adott adatok munkáltató általi kezeléséhez és alá kell írnia.

Érdemes kitérni minden adatkezelési esetre:

- email server

- tender

- fotó

- stb.

Az egyik legfontosabb tudnivaló, hogy az esetek többségében törvényi vagy szerződéses jogalap van az adatok kezelésére, tarolására és a munkavállalók tájékoztatás vagy hozzájárulása szükséges hozzá.

Érdemes arra figyelni, hogy hozzájárulás esetén élhet a visszavonás jogával, de tájékoztatás esetén csak tiltakozhat, amit, az adott esetet megvizsgálva, el is utasíthatunk.

Ha a belső szabályzatunk részletesen kitér minden adatkezelési folyamatra, akkor első körben jól jártunk el.

Ha a szerződéseket, aktákat, személyes adatokat tartalmazó dokumentumokat papír alapon tárolunk, akkor azokat mindig elzárva kell tartani és egy úgynevezett kulcsrendet létrehozni, amiben nyilván van tartva, hogy kik férhetnek hozzá az adott szekrény tartalmához. Ezt a kulcsrendet is ebben a zárható részben kell tárolni.

Következő részben a webshopok teendőiről fogok írni.