Adatvédelmi kisokos - gyakori kérdések

Adatvédelmi kisokos - gyakori kérdések

Mi az a GDPR?

Általános adatvédelmi rendelet.

Az Európai Parlament és Tanács (EU) 2016/679 rendelete. A rendelet szövege itt érhető el

Az EU rendeletekről azt kell tudni, hogy teljes egészében kötelező a tagállamokra nézve, anélkül, hogy a hazai jogba beültetnék. Maradéktalanul be kell tartani, az egységes uniós jogi szabályozást segítik elő. Ez a gyakorlatban azt jelenti, hogy a hazai jog nem lehet vele ellentétes, és bárhol élünk, bárhova utazunk, bármelyik webáruházat használjuk az unió területén, az adatvédelmi szabályok megegyeznek.  


Miért jó ez nekünk?

Mert a természetes személyeket védi. A gyerekeket picit jobban. Mindenki egyértelmű és érthető tájékoztatást kap az adatairól. Ki kezeli? Hogyan kezeli? Miért kezeli? Meddig kezeli? Hogyan törölhető? Stb. Ez jó hír az online világban!

A Rendelet határozott célja a kockázatok csökkentése. Néha nincs választásunk, meg kell adni információkat magunkról. Néha mi döntünk úgy, hogy megadunk információkat magunkról. De ha már átadtuk ezeket az információkat, akkor igenis vigyázzon rá, akinek a birtokába került!

A vállalkozásoknak az egységes és kiszámítható szabályozás kiváló eszköz a bizalom növelésére. Amiben jobban bíznak az emberek, azt magabiztosabban használják, így új fejezet nyílhat az online szolgáltatásokban és új technológiák bevezetésében.


Miért nem akkor foglalkozunk vele, amikor már van jogszabály?

MÁR VAN JOGSZABÁLY! Két éve hirdették ki. Azért most beszélünk róla, mert közeleg a türelmi idő vége. Május 25-ig biztosítottak időt a felkészülésre. Ezt követően ellenőrizhető, hogy megfelel-e az adott vállalkozás a Rendeletben foglaltaknak. 


Kit érint a rendelet?

Minden olyan vállalkozást vagy egyéb szervezetet, amely ügyfelek vagy munkavállalók személyes adatait kezeli.


Egyéni vállalkozó vagyok, engem is érintenek a változások?

Igen, természetesen. Sőt nemcsak a változások, a jelenlegi szabályozás is vonatkozik rád. A vállalkozás típusa nem lényeges. A kulcskérdés az, hogy kezelsz-e személyes adatokat. Ha van egy alkalmazottad vagy magánszemélyek az ügyfeleid, akkor minden bizonnyal.


Külföldön van a vállalkozásom, engem is érint?

Ha az Európai Unió területén végzed a tevékenységed, akkor igen. Eleve minden tagállamban kötelező, de a GDPR egyik sajátossága a területi kiterjeszthetőség. Ez azt jelenti, hogy akkor is vonatkozik rád, ha nem valamelyik tagállamban van a tevékenységi helyed, de olyan magánszemélynek nyújtasz szolgálltatást, aki az Unió területén tartózkodik. 


Csak jogi személyek / cégek / vállakozások az ügyfeleim, partnereim. Foglalkozzak a GDPR-ral?

Ha van munkavállalód, feltétlenül.

A partnereid szervezeti formája fontos lehet, de nem ez a döntő. Azt kell megnézned, milyen szolgáltatást, tevékenységet végzel a partnereidnek, a partnereiddel közösen. Kerül hozzád személyes adat az együttműködés során?

Például a könyvelő is alapvetően vállalkozásokkal áll kapcsolatvan, de feldolgozza a céges partnerei azon számláit is, amelyet magánszemélyek részére állítottak ki, ezért foglalkoznia kell a GDPR-ral. Vagy a tárhelyszolgáltató tárolja a céges partnerei magánlevelezéseit a szerverén, ha honlapot is tárol, amelyet jellemzően magánszemélyek használnak, a személyes adatok egész sorát őrzi, tehát kell foglalkoznia a GDPR-ral. 

Ha a vállalkozásod kezel honlapot, kapcsolatfelvételi űrlappal vagy hírlevél feliratkozási lehetőséggel, ott sem szűrhető ki előzetesen, hogy csak jogi személyek küldjenek üzenetet, vagy iratkozzanak fel. Egy adatvédelmi tájékoztató elhelyezése indokolt.


A szépségiparban dolgozom, nincs honlapom, hírlevelet sem küldök. Van teendőm?

Vendégeid telefonszámát kezeled. Néha a fényképeit is, mint referencia képeket. 

Sok szakember külön nyilvántartást vezet a vendégeiről, ahol az alkalmazott kezelések kerülnek rögzítésre. Erre a nyilvántartásra is érvényesek a szabályok.

Ha alkalmazottaid vannak, az ő adataikat is kezeled.


Mindenhol találkozom ezzel a szóval: "érintett". Mit vagy kit értsek alatta?

Az érintett az a magánszeméy, aki azonosított vagy azonosítható. Azonosítható egy telefonszámról, egy személyi igazolvány számról, egy fényképről. Bármilyen személyes adatról. Mindegy, hogy közvetlenül, például név alapján, vagy több lépcsőben. 


Igaz, hogy jóval szigorúbbak lesznek a szabályok 2018. május 25-étől?

Nem, ez nem igaz. Az eddigi magyar szabályozás kiemelkedően szigorú volt európai viszonylatban. Bevezet ugyan új fogalmakat és szabályokat a GDPR, számos kérdésben azonban enyhülés tapasztalható.

Nem kényszerülnek gyökeres változtatásokra azok a vállalkozások, amelyek eddig is betartották az adatvédelmi szabályokat. 


A jelenlegi szabályoknak megfelelek. Mi változik ezekhez képest?

Regény helyett nézzük a legfontosabb változásokat!


Felkészültnek tekinthetem a vállalkozásomat, ha a GDPR rendelkezéseinek megfelelek?

Ez egy súlyos TÉVHIT. Nem elég a GDPR rendelkezéseinek megfelelni, sok kérdés nemzeti hatáskörben marad. így pl. a foglalkoztatással összefüggő adatkezelés, az egészségügyi, genetikai, biometriai adatok kezelésére vonatkozó további szabályok, és bizony minden olyan kérdés, amelyet maga a Rendelet nem szabályoz. Ez azt jelenti, hogy a nemzeti jogszabályokat továbbra is figyelemmel kell kísérni és alkalmazni.


Milyen adatokról beszélünk?

A személyes adatokról. Életünk minden területén jelen vannak. Ezeket az adatokat kell fokozottabban védenie minden vállalkozásnak vagy állami szervezetnek, amely kezel ilyeneket. Tehát a magánszemélyeket védi a Rendelet, a vállalkozások adatai nem személyes adatok. 


Egyáltalán mi számít személyes adatnak?

Sokan nem is gondolják, mennyi minden! Ha nehéz eldönteni, személyes adatról beszélünk-e, fel kell tenni a következő kérdéseket:

Tudom azonosítani a természetes személyt? (név, lakóhely, TAJ-szám, adóazonosító, születési hely és idő, édesanyja neve - tipikusan ilyenek)

Tudok következtetést levonni az adatból az illetőre nézve? (egészségi állapotára, politikai véleményére, vallására, anyagi helyzetére, külsejére, vagyoni helyzetére stb.)

A személyes adatok definícióját a Rendelet így fogalmazza meg: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó BÁRMELY INFORMÁCIÓ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható. 


Alig kezelek személyes adatot, most tényleg foglalkozzak ezzel?

Nem a kezelt adatok mennyisége dönti el, hogy kell-e védenünk őket. A kevesebb kezelt adat következménye az, hogy rövidebb felkészülési idő szükséges a rendeletnek való megfelelésre.  


Kevés az idő, mivel kezdjem a felkészülést?

Itt elhelyeztünk egy tájékoztatót a legfontosabb teendőkről, sorrendben. Jogi szempontból ezeket az intézkedéseket kell megtenned. 


Mennyi időt szánjak a felkészülésre?

Attól függ, milyen mértékben kezelsz személyes adatokat, mekkora a szervezet mérete, milyen tevékenységi körökben kezel adatokat. Kis vállalkozásoknak, amelyek kevés és fokozott védelemben nem részesülő adatot kezelnek, néhány óra, néhány nap elég, megfelelő irányítással. Nagyobb vállalkozásoknak, bonyolultabb adatkezelés, összetettebb szervezetrendszer esetén több időt kell rá szánni. 

Attól is függ, hogy önállóan kezded-e a felkészülést. Mindent elolvasni és értelmezni szintén hónapokig tart. 


Egyedül szeretnék felkészülni, létezik erre egy sablon?

Nem ismerünk ilyen sablont. Az önálló felkészülést csak akkor javasoljuk, ha széleskörű ismeretekkel rendelkezel a vonatkozó szabályok és gyakorlat területén. 

Iránymutatások, ajánlások fellelhetőek. Érdemes tagállami hatóságok oldalait is böngészni. 

Az adatkezelési tájékoztatód elkészítéséhez nagyon hasznos segítséget találsz az egyik bejegyzésünkben. Bővebb iránymutatás pedig a NAIH oldalán. Ez azonban csak kis szelete a felkészülésnek. 

A hatásvizsgálatokról itt tudsz olvasni.

Az adatvédelmi incidenssel kapcsolatban magyar nyelvű, hivatalos anyagot még nem találtunk. Az angol és a francia hatóságok tettek ki hasznos dokumentumok az oldalaikra. A hogyan jelentsük be az adatvédelmi incidens kérdéskörben ezeket az ajánlásokat vettük figyelembe. 

Várható még sok magyar nyelvű tájékoztató a NAIH oldalán, ezekről folyamatosan hírt adunk. 


Mi az az adattérkép?

Egy összesítés. Amely segít átlátni, hogy milyen személyes adatokat kezelsz, mi a célja az adatkezelésnek, miért gondolod úgy, hogy kezelheted ezeket az adatokat, meddig kezelheted, ki látja a nyilvántartásaidban, kinek adod át feldolgozásra. Ebből az összesítésből alakítod ki a tájékoztatóidat, szabályzataidat, nyilvántartásaidat. Minden vállalkozásnak más az adattérképe, igazodva a tevékenységéhez. Az adattérképet időről-időre felül kell vizsgálni és aktualizálni.


Kötelező adattérképet készíteni?

Nem kötelező, de olyan mértékben megkönnyíti az adatkezelést, hogy bőven kifizetődik az erre szánt idő. Önellenőrzésre is kiváló. 


Hogyan készítsem el az előzetes tájékoztatásaimat?

Az adatkezelési tájékoztatók típushibáiról készítettünk egy összefoglalást, itt találod.

Az előzetes tájékoztatás tartalma részben kötött. Erről tájékoztatást itt találsz. A rendeletben is találsz útmutatást.

A kötelező tartalmi elemeket a saját vállalkozásodra szabottan kell kialakítani. Ha van adattérképed, jelentős részét már meg is írtad.

Segítséget itt kérhetsz a megíráshoz: info@merosus.hu


Nincs honlapom, akkor is kell előzetes tájékoztatót készítenem?

Az előzetes tájékoztatás mindig kötelező, ha személyes adatot kezelsz, független a honlaptól. 


Szóban is nyújthatok előzetes tájékoztatást?

Nem lehetetlen, de alapelv az elszámoltathatóság. A szóbeli tájékoztatás megtörténtét nagyon nehezen tudod majd igazolni.


Kitettem a sütikről a tájékoztatást a honlapomra, az nem elég?

Nem, az nem elég. A sütikről való tájékoztatás pici szelete a kötelezően megjelenítendő információknak.


Fitnesztermem van, aláírattam a vendégeimmel, hogy hozzájárulnak hírlevelek küldéséhez és kezelhetem az adataikat, helyesen jártam el?

Ha megfelel a GDPR-ban foglalt követelményeknek, megfelelő tájékoztatás előzte meg az aláírást és nem egy általános hozzájárulást kértél, akkor igen. A helyszín nem releváns, történhet a hozzájárulás kérése egy honlapon, egy edzőteremben, egy iskolában, egy konferencián, mindegyikre ugyanazok a feltételek vonatkoznak. Ezekről a felételekről több részletes írásunk is megtalálható, itt és itt.


Igaz, hogy a webáruházakra más szabályok vonatkoznak majd?

A webáruházak működtetésére jelenleg is több jogszabály tartalmaz előírásokat, mint a más típusú honlapoknál. A webáruházakra vonatkozó adatvédelmi szabályokról itt találsz nagyszerű tájékoztatót.


Hírlevél küldés esetén mire figyeljek?

A hírlevél küldés az egyik leggyakoribb példa a tisztességtelen adatkezelésre, amennyiben valaki úgy kap hírlevelet, hogy ezt kifejezetten nem kérte. Ilyen esetekben a hírlevél küldője a más okból megadott adatokat eltérő célra használja fel.

A hírlevél küldése csak abban az esetben lehetséges, ha önkéntes hozzájárulás alapján történik. Nem valósul meg az önkéntesség, ha az érintettnek nincs választási lehetősége. Pl. egy webáruházban a vásárlással egyidejűleg azt is elfogadtatják az érintettel, hogy ezentúl hírlevelet kap.

További feltétele az önkéntes hozzájárulásnak a határozottság és a félreérthetetlen kinyilatkoztatás. Ha a "hírlevélre feliratkozom" mondat mellett eleve kipipálva van a kis négyzet, akkor előfordulhat, hogy az érintett olyan nyilatkozatot tesz pusztán figyelmetlenségből, amelyet egyébként nem tett volna meg. 

Ugyanez a helyzet, ha az van odaírva a kis négyzet mellé, hogy akkor kell kipipálni, ha az érintett nem tart igényt a hírlevélre.

A hírlevélről történő leiratkozást jól látható helyen lehetővé kell tenni és ezt követően tilos az érintett e-mail címére hírlevelet küldeni.

FONTOS: a hírlevél nem egyenlő eDM. Ha hírlevelet is küldesz és reklámajánlatokat is, indokolt a külön hottájárulás.


Hírlevélre feliratkozásnál egy pipa vagy két pipa legyen?

Ilyen mélységben nem található rendelkezés a GDPR-ban. Sem más jogszabályban. A hírlevélküldés jogalapja az önkéntes hozzájárulás. Az önkéntes hozzájárulásról már olvashatunk a GDPR-ban. Konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulást kell beszerezni a  természetes személyt érintő személyes adatok kezeléséhez. Ilyen hozzájárulásnak minősül az is, ha az érintett valamely internetes honlap megtekintése során bejelöl egy erre vonatkozó négyzetet, mert ez egyértelmű jelzésnek minősül. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés nem minősül hozzájárulásnak.  

Több felkészítő anyagban olvasható, hogy mostantól két jelölő négyzetet kell elhelyezni a hírlevélre feliratkozáshoz. Az egyik négyzetben kipipálja a feliratkozó, hogy megismerte az adatvédelmi tájékoztatóban foglaltakat, a másikban kipipálja, hogy feliratkozik a hírlevélre. Véleményünk szerint az elszámoltathatóságot könnyíti meg, ha a honlaptulajdonos így jár el.

Nem tartjuk rossznak azt a megoldást sem, ha egyetlen mondat és egyetlen jelölő négyzet szerepel az oldalon, pl. "Az adatkezelési tájékoztatóban foglaltakat megismertem, a hírlevélre feliratkozom". A szövegbe természetesen beágyazottnak kell lennie a linknek, ahol egyetlen kattintással megnyíilik a tájékoztató. 

Miért fontos ez? Mert az adatkezelőnek kell igazolnia az adatkezelés jogszerűségét. A tájékoztatásnak előzetesnek kell lennie. Ha biztosak akarunk lenni benne, hogy nem kerülte el a feliratkozó figyelmét a tájékoztatás, akkor célszerű itt is elhelyezni. Akkor is, ha eleve jól látható helyen van a honlapon.


Van már egy jól működő hírlevél listám, azt most kidobhatom és újra be kell szereznem a hozzájárulásokat?

Akkor kezelheted a címlistádat 2018. május 25-e után, ha a korábbi hozzájárulások megfeleltek a GDPR rendelkezéseinek. Amennyiben ebben kételkedsz vagy biztosan tudod, hogy nem megfelelően szerezted be a hozzájárulást, azokat újra be kell szerezned. 


Honnan tudom, hogy a korábbi listám nem megfelelő hozzájárulás alapján készült?

Biztosan újra be kell szerezned a hozzájárulásokat, ha például ezeket a hibákat elkövetted:


Szükségem van adatvédelmi tisztviselőre?

Ez egy összetett kérdés. Néhány esetben nincs választási lehetőség, mert kötelező. Néhány esetben a későbbi gyakorlat alakítja majd a szabályt.

Rengetegen vannak, akiknek nem kötelező, de ezt indokolni kell és írásban rögzíteni.

Annyi biztos, hogy a kérdéssel foglalkozni kell. Minden adatkezelőnek át kell tekinteni a jelenlegi gyakorlatát, a kezelt adatok körét és levonni a következtetést. Részletesebb tájékoztató anyagunk ezen a linken található: Önállóan vagy segítséggel?

A hivatalos és még részletesebb tájékoztató itt olvasható


Mit jelent, hogy "adatvédelmi incidens"?

Erre külön bejegyzésben térünk ki itt. 


Hogyan tudom bejelenteni, ha adatvédelmi incidens történt?

Lásd részletes leírásunkat itt.


Mit jelent a hatásvizsgálat?

Részletes leírásunk itt található.


Mekkora bírságra számíthatok?

A bírságokról szóló bejegyzésünket olvasd el! A gyakorlatot még senki sem ismeri. Az első döntések lesznek irányadóak. Annyi biztos, hogy rengeteg szempont alapján mérlegel majd a hatóság. Az egy jó pont, ha mindent megteszel a szabályos adatkezelésért.