Az új uniós adatvédelmi rendeletre nem csupán a nagyvállalatoknak, de a kis egyesületi weboldalak vagy személyes blogok kezelőinek is fel kell készülniük. Ellenkező esetben rájuk is súlyos bírság vár. Igaz, Gulyás Gergely Miniszterelnökséget vezető miniszter a héten azt mondta, hogy a kormány tervei szerint a Nemzeti Adatvédelmi és Információszabadság Hatóság csak figyelmeztethetné a kis- és közepes vállalkozásokat, ha megsértik a GDPR-t, más szankciót nem alkalmazhatna – írja a hvg.hu.
Miközben az Európai Unió május 25-étől alkalmazandó általános adatvédelmi rendeletével (General Data Protection Regulation) kapcsolatban a nagyvállalatoknál a hr-től az ügyfélszolgálatig már hetek óta minden részlegen négy betű körül forog a világ, a GDPR jóval túlmutat „a felső tízezer” szervezeten. Adatkezelést ugyanis nem csak a nagy cégek végeznek. Történhet ilyen akár egy alapvetően személyes célokra, saját magunk által létrehozott weboldalon, például blogon is.
„A magáncélú, magánszemélyek által végzett adatkezelés nem tartozik az új adatvédelmi rendelet hatáskörébe” – mondja Holló Dóra, a Holló Ügyvédi Iroda ügyvédje. Ilyen lehet például egy születésnapi buli megszervezése, ahol a barátok, ismerősök telefonszámát, e-mail-címét és más hasonló adatait „kezeljük”. Erre érthető módon nem vonatkozik a GDPR, az ennél csak kicsivel komolyabb, összetettebb esetekre azonban már igen.
„Ha az adatkezelés mögött felmerül bármilyen üzleti jellegű cél, akkor ugyanaz a szabályozás érvényes mindenkire, függetlenül az adatok mennyiségétől. A megítélés csupán attól függ, hogy kezel-e személyes adatot az illető, és milyen keretek között” – teszi hozzá a jogász.
Ha például valakinek van egy blogja, ahol hirdetéseket is megjelenít, akkor rá már vonatkozik az adatvédelmi rendelet, hiszen a hirdetésekből – legyenek azok akár csak a Google AdSense rendszerével megjelenített reklámok – bevétele származik. „Ez már üzleti jellegnek számít, ha pedig mellette – például felhasználói űrlapokkal – begyűjti a látogatói nevét, e-mail-címét, esetleg profilozza is őket, akkor már adatkezelőnek számít” – erősít rá a jogi álláspontra Czinege Balázs, a Crosssec Solutions GDPR-menedzsere.
Ennek értelmében még a legkisebb weboldal kezelőjének is fel kell készülnie arra, hogy megfeleljen az új elvárásoknak. Ilyen például a felhasználók tájékoztatása: ehhez egy adatvédelmi tájékoztatót kell feltüntetni az oldalon, amit az érintetteknek önszántukból kell elfogadniuk. Vagyis nem tehetjük meg, hogy az adatok bekérésekor a „Megértettem és elfogadom az adatvédelmi tájékoztatót” mező melletti check-boxot eleve „kipipálva” jelenítjük meg a weboldalon. Az persze más kérdés, hogy a „pipa” elhelyezése előtt valóban elolvassa-e a felhasználó a tájékoztatót – de ez már az ő felelőssége. Az adatvédelmi tájékoztatóban fel kell tüntetni, hogy pontosan ki az adatkezelő, mi az elérhetősége, milyen adatokat gyűjt, kezel és meddig, milyen jogalappal és milyen célból gyűjti az adatokat, valamint hogy milyen cégek, szolgáltatások érintettek még az adatkezelésben. Ilyen lehet például a Google, amelynek webszerte elterjedt Analytics szolgáltatása monitorozza Magyarországon is kisebb és nagyobb honlapok zömének olvasóit, és gyűjti a részletes látogatottsági adatokat. Emellett azt is meg kell adni, hogy az adatok törlésének, módosításának igényével kihez fordulhatnak a felhasználók. „Az elérhetőségre vonatkozó adatokat betehetjük az oldal impresszumába is, de akkor az adatvédelmi tájékoztatóban mindenképpen el kell helyezni egy erre mutató hivatkozást” – részletezi Czinege Balázs. Az elérhetőségnek tartalmaznia kell az adatkezelő címét, telefonszámát, e-mail-címét.
Az már évek óta előírás, hogy a weboldalak üzemeltetőinek a honlap megnyitásakor azonnal látható módon fel kell tüntetniük a felhasználók – akár csak név nélküli – követésére használható adatcsomagok (cookie-k vagy sütik) rögzítésének tényét.
Mostantól azonban arra is meg kell adni a lehetőséget, hogy a felhasználók beállítsák, a sok közül milyen célra lehessen használni ezeket a kódokat. Ha a cookie-menedzselő szoftver nem képes erre, akkor meg kell adni a lehetőséget a látogatóknak, hogy az adatfájlok rögzítése nélkül látogassák a honlapot – még akkor is, ha emiatt a weboldal bizonyos funkciói nem működnek majd rendeltetésszerűen. Czinege hangsúlyozza: a cookie-k rögzítése csak az után történhet meg, hogy erre kifejezett engedélyt adott a felhasználó – szemben a mai gyakorlattal, amikor sok esetben az oldal megnyitását követően azonnal elkezdődik az adatgyűjtés, még mielőtt az engedélyezés megtörtént volna. Emellett egy külön tájékoztatóra is szükség lesz, amelyben elolvasható, hogy pontosan mit kell tudni a sütikről, hogyan kezeli azokat az oldal, és hogyan lehet törölni ezeket a követőkódokat a számítógépről. Érdemes mindehhez olyan, harmadik fél által fejlesztett modult használni, amelyet eleve felkészítettek arra, hogy megfeleljen a GDPR követelményeinek. A legnépszerűbb tartalomkezelő rendszer, a WordPress esetén ilyen például az EU Cookie Law nevű, folyamatosan aktualizált, magyar nyelven is elérhető bővítmény.
Nemcsak a mindennapi adatkezelésben, de adatvédelmi incidens esetén is ugyanaz a protokoll vonatkozik a néhány felhasználó információit kezelő bloggerekre, mint a nagy cégekre. Ha például azt észlelik, hogy illetéktelenek behatoltak a honlapjuk háttérrendszereibe, és hozzáférhettek olvasóik-vásárlóik-felhasználóik bármilyen adatához, akkor 72 órán belül jelezniük kell a történteket az Adatvédelmi Hatóságnak. „Az adatokat mindenkinek meg kell védenie, függetlenül attól, hogy egy egyfős vállalkozásról vagy egy több ezer embert foglalkoztató cégről van szó. Az arányosság elve azonban érvényesülhet. Egy kis webshop nyilvánvalóan nem tud felkészülni egy átfogó adatlopásra, ugyanakkor bizonyos adatvédelmi lépések azért itt is elvárhatók. Ilyen például a kétfaktoros azonosítás bevezetése” – emeli ki Czinege Balázs.
Hogy volt régen...?
