GDPR: Mit kell tudnod róla online vállalkozóként?

Az elmúlt másfél évben számos cikk jelent meg az új európai Általános Adatvédelmi Rendeletről, ami május 25-től mindenkire érvényes lesz, aki valamilyen formában személyes adatokat kezel. Sokan megijednek a cikkek olvastán, mert gyakran nem derül ki, mit is kéne tenni, éppen ezért most jogi szakértő segítségével gyakorlatias formában igyekszem összefoglalni mi is a teendőd a rendelet kapcsán.

A lényeg röviden:

– május 25-től megváltozik a korábbi adatvédelmi rendelet és az egységes európai szabályozás lesz érvényes,
– ezentúl nem lesz szükség NAIH számra sem az adatkezeléshez, nem kell ilyet igényelned,
– minden oldalnak külön Adatvédelmi Tájékoztatót és Általános Szerződési Feltételeket kell készítettnie és a felhasználónak azt jóvá kell hagynia,
– továbbra is kötelező az oldalon jelezni, hogy sütiket használunk és azt a felhasználónak jóvá kell hagynia, azonban ezentúl arra is lehetőséget kell adni neki, hogy ha szeretné, akkor menet közben megváltoztathassa a döntését.

A rendelet teljes szövegét magyarul itt érheted el.

Mi az a GDPR?

General Data Protection Regulation, azaz általános adatvédelmi rendelet.

Mi is az a személyes adat?

Eddig ez szűken volt szabályozva, az új rendelet azonban sokkal szélesebb körre terjeszti ki. Mostantól gyakorlatilag minden, ami alapján az illető beazonosítható személyes adatnak számít: név, cím, email, telefon, IP, cookie ID vagy bármilyen más online azonosító.

Kire vonatkozik a rendelet?

Mindenkire, aki személyes adatokat kezel (rögzít, gyűjt, tárol, használ, módosít vagy továbbít – őt Adatkezelőnek nevezi a rendelet). Akinek továbbítod az adatokat, az az ún. Adatfeldolgozó (pl. a weboldaladon feliratkoznak a hírleveledre, megadják az email címüket – ez az adatkezelés, de az adatok egy hírlevélszolgáltató rendszerébe kerülnek – ez az Adatfeldolgozás). A célt itt te határozod meg, te döntöd el mi történik az adatokkal (milyen sorozatba kerülnek, milyen leveleket fognak kapni stb. a rendszer csak feldolgozza a kérésedet).
Nem vonatkozik a rendelet azokra, akik vállalkozások adatait kezelik (pl. partnerlista, ügyféllista, amin cégek adatai vannak)

Mindenkire vonatkozik a rendelet, aki
– az EU-n belül kezel adatokat (vállalkozásként, civil szervezetként vagy akár magánszemélyként)
– vagy az EU-n belül tartózkodó embereknek nyújt szolgáltatásokat (még akkor is, ha a tevékenységi hely az EU-n kívül van)

Mit kap, aki vét a szabályok ellen?

A bírság legfeljebb 20 millió Euró vagy a cég előző évi világpiaci árbevételének 4%-a lehet (amelyik a kettő közül magasabb). Minden esetet egyedileg bírálnak majd el, tehát figyelembe veszik a jogsértés mértékét és azt is, hogy szándékosan vagy véletlenül, esetleg nemtudásból követett el egy cég hibát.

Mit kell tenned a különféle marketing tevékenységek esetében?

Google Analytics

Ha az oldaladon csak Google Analytics van és más módon nem gyűjtesz adatokat (hírlevél, blogértesítő, remarketing stb.), akkor nem kell semmit tenned, mivel az adatokat itt a Google kezeli, neked csak statisztika formájában megmutatja.

Remarketing hirdetések

Ha az oldaladon van Google Adwords, Facebook vagy más oldalról származó pixel, ami a felhasználók adatait gyűjti, meg kell felelned az előírásoknak:
– az adatvédelmi tájékoztatóban szerepelnie kell annak, hogy ilyen célokra adatokat gyűjtesz és annak is, hogy ezekkel mihez kezdesz. Ennek a megírásában segíthet a Google ezirányú tájékoztatója.
– ha remarketing hirdetéseket használsz adatvédelmi tisztviselőt kell kijelölnöd vagy felkérned, ő felel majd azért, hogy a cégnél betartsátok a szabályokat, azonban felelősségre nem vonható. Az adatvédelmi tisztviselő lehet a céged egy alkalmazottja, egy külső cég vagy 1 személyes cégeknél, akár saját magad is, azonban az adatvédelmi tisztviselőnek rendelkeznie kell a szükséges jártassággal: a rendelet 37. cikk (5) bekezdése szerint az adatvédelmi tisztviselőt „szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 39. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni”. Ha tehát te magad szeretnéd ellátni ezt a tisztséget, érdemes résztvenned valamilyen adatvédelmi tisztviselő tanfolyamon (számos ilyen képzés érhető el országszerte). Részletesen arról, hogy kinek kell adatvédelmi tisztviselő és mik az ő feladatai itt olvashatsz.

A Facebook dolgozik rajta, hogy a szolgáltatásai megfeleljenek az új szabályozásnak.

E-mail marketing

Az első dolog, amire mindenkinek oda kell figyelnie, a hírlevél feliratkoztató űrlap. Ezen a felhasználónak nyilatkoznia kell arról, hogy szabad akaratából, konkrét célra, tájékoztatást követően járult hozzá adatai megadásához. A gyakorlatban ez azt jelenti, hogy mielőtt a feliratkozó gombra kattint, egy jelölőnégyzettel hozzá kell járulnia ahhoz, hogy számára üzeneteket küldj és jeleznie kell, hogy elolvasta és tudomásul vette az adatvédelmi feltételeket.

Ennek nagyjából így kell kinéznie:

Fontos, hogy:
– két jelölőnégyzetnek kell lennie (egy az adatvédelmi feltételek elfogadásáról, egy arról, hogy önszántából iratkozik fel),
– az űrlapot tartalmazó oldalról elérhetővé kell tenni az adatvédelmi feltételeket (ennek nem kell feltétlenül a szövegben lennie, lehet az űrlap alatt is, a legjobb, ha rákattintva felugró ablakban jelenik meg, így nem veszítesz konverziót azáltal, hogy az emberek kikattintanak a feliratkozó űrlapból feliratkozás közben)
– a jelölőnégyzetet nem szabad előre bepipálni és nem helyettesíthető azzal, hogy pl. „a gombra való kattintással elfogadod”)

A feliratkoztató űrlapon csak olyan személyes adatokat kérhetsz be, ami feltétlenül szükséges az adott tevékenységhez. Tehát pl. nem kérhetsz be egy hírlevélfeliratkoztatón telefonszámot vagy lakcímet, ha az nem szükséges a hírlevél kiküldéséhez, azonban bekérhetsz telefonszámot pl. egy kapcsolatfelvételi űrlapon az oldaladon.

Ha a feliratkoztatás nem a saját weboldaladon történik, hanem pl. egy Facebookba ágyazott űrlapon vagy a lead ad hirdetések segítségével, esetleg Facebookos bejelentkezéssel, ugyanúgy hozzájárulást kell kérned az adatok használatához.

Kapcsolatfelvételi űrlapok

Ha valaki a cégeddel egy kapcsolatfelvételi űrlapon keresztül veszi fel a kapcsolatot (pl. ajánlatkérés, érdeklődés stb.) alkalmaznod kell a rendelet szabályait.
Ha az ajánlatkérők számára később hírlevelet is szeretnél kiküldeni az email marketingre vonatkozó szabályok érvényesek.
Ha nem küldesz később hírlevelet csak az ajánlatkérésre válaszolsz, a kapcsolatfelvételi űrlap alatt akkor is ott kell lennie az adatkezeléshez hozzájáruló jelölőnégyzetnek.

Az emailekből egyértelműen ki kell derülnie ki az adatkezelő és hasonlóan a korábbiakhoz biztosítani kell az egyszerű leiratkozás lehetőségét.

Leiratkozáskor a felhasználó adatait törölni kell minden adatbázisból (természetesen a leirakozás céljának megfelelően, ha pl. valaki leiratkozik a hírleveledről, de közben ügyfeled is és ennek okán is megadta az adatait, pl. regisztrált a webáruházadba, innen nem kell törölnöd, csak ha azt kifejezetten kéri)

Nem jelent kibúvót a szabályozás alól, ha az ügyfelek a Facebookon iratkoznak fel egy ott elhelyezett feliratkozó űrlapon vagy pedig a szolgáltatód nem az EU-ban van, mivel a rendelet hatálya mindenkire kiterjed, aki EU-ban tartózkodó embereknek szolgáltat

Hűségprogramok

Ha van egy hűségprogramod, amiben pl. a vásárlóidnak bizonyos időközönként kuponokat küldesz vagy nyilvántartod, mikor vásároltak és ennek alapján kapnak további ajánlatokat, szintén adatvédelmi tisztségviselőt kell kijelölnöd.

Vásárlók, megrendelők adatainak kezelése

Ha online veszel fel megrendeléseket (megrendelő űrlappal vagy webáruház rendszerrel) a következőknek kell megfelelned:

1. Megrendelés előtt a felhasználónak jeleznie kell, hogy hozzájárul a személyes adatok kezeléséhez (a megrendelőlap alatt található jelölőnégyzet alkalmas erre).
Ha később hírlevelet is szeretnél a vásárlóknak küldeni, ehhez is külön hozzájáruló nyilatkozat szükséges (még egy jelölőnégyzet a megrendelés alatt). Ennek hiányában csak a megrendeléssel kapcsolatos legszükségesebb információkkal kapcsolatban küldhetsz neki emaileket.

2. Biztosítanod kell az adatok biztonságát.

3. Az ügylet végeztével az adatokat törölnöd kell, kivéve, ha az ügyfél hozzájárult ahhoz, hogy továbbra is kezeld őket. Tehát nem tárolhatod a webáruházadban a végtelenségig a korábbi megrendelők adatait, ha ők ehhez nem járultak hozzá. Ha a vásárlás regisztrációhoz kötött, a regisztrációba beépíthetsz egy olyan jelölőnégyzetet, amivel hozzájárulnak a további adatkezeléshez. Ha nem regisztrációhoz kötött a vásárlási folyamat, akkor az adatvédelmi szabályodban kell megfogalmazni, mit jelent az ügylet lezárása pontosan (ez lehet az, amikor az illető a csomagot átvette, de akár egy későbbi időpont is meghatározható)

Kérdőívek

Ha kérdőívet készítesz piackutatás céljából és azon nem kérsz be személyes adatokat (név, email stb.), akkor nem kell semmit tenned. Ha kérsz be rajta személyes adatokat (pl. azért, hogy elküldd nekik emailben az eredményeket), akkor erre engedélyt kell kérned és kell rendelkezned adatvédelmi tájékoztatóval is, amit el kell fogadtatnod (ld. az email marketingről szóló részt)

Ha hírlevél-feliratkozásnál szeretnél további adatokat bekérni (a néven és az email címen kívül), mivel ez nem a levelezés céljával összefüggő adat, ezért nem kérheted be őket. Kivéve, ha a hírlevél céljával összefügg az adat (pl. megadja, hogy férfi vagy nő és az ennek megfelelő hírlevelet kapja meg). Ha piackutatási céllal szeretnél adatokat bekérni a felhasználókról, azt megteheted úgy, hogy a feliratkozás után megjelenő új oldalon teszel fel néhány kérdést, így a kérdőív a feliratkozó személyéhez nem köthető.

Ha hírlevélsorozatodban szegmentált hírleveleket küldesz pl. korábbi viselkedés, kattintások alapján, azt a továbbiakban is megteheted.

Messenger bot

Messenger bot használata esetén te vagy az adatkezelő, a bot szolgáltatója pedig az adatfeldolgozó. Ha csak simán ír valaki a botnak, a bot pedig válaszol neki, nincs semmi teendőd, ha azonban reklám tartalmú tömeges üzeneteket küldesz a feliratkozóknak, előzetesen a beleegyezésüket kell kérned ehhez, ami úgy történhet, hogy feliratkozás után a bot küld nekik egy tájékoztatást és azt pl. egy adott szó beírásával el kell fogadniuk.

Amit még ezen kívül meg kell tenned:

1. Elkészítettni az Adatvédelmi Tájékoztatót (ha eddig nem volt) vagy frissíteni az új rendeletnek megfelelően

Mi legyen benne?

– az Adatkezelő neve, címe, elérhetősége,
– a kezelt adatok köre (pl, név, telefon, email) ,
– az adatkezelés célja (miért kezeled és mire használod, pl. hírlevél küldés, megrendelések teljesítése és számlázás),
– az érintettek köre
– az adatok megismerésére jogosult adatkezelők személye (pl. ha futárszolgálatnak átadod a csomagot kiküldésre, a céged ügyfélszolgálati munkatársai)
– az adatkezelés időtartama: meddig tárolod az adatokat és mikor törlöd,
– hogyan tudja a felhasználó megtekinteni, módosítani vagy törölni a regisztrációkor adatait,
– ha megrendelt valamit, hogyan tudja módosítani vagy töröltetni az adatait (pl. emailben, telefonon, személyesen)
– mennyi idő alatt válaszolsz az adatok megváltoztatásával vagy törlésével kapcsolatos kérésekre,

(ezek azok a dolgok, amiket eddig is fel kellett tüntetni a tájékoztatóban), ami új:

– tájékoztatni kell a felhasználót az adathordozhatósághoz való jogról.

– tájékoztatni kell minden további jogáról és arról, hogy ezeket hogyan érvényesítheti.

Magam is megcsinálhatom a tájékoztatót?

Nem javaslom, hogy máshonnan átmásold, mert minden adatkezelés más, később vitás helyzetekben nem lesz mire hivatkoznod, ha hiányos a tájékoztatód. A legbiztosabb megoldás az, ha adatvédelemhez értő jogásszal készítesz egy saját változatot, az egyszerűbb esetekben elég, ha megrendelsz egy kész csomagot, amit a céged sajátosságaira alakítanak (ilyeneket érhetsz el pl. a net-jog.hu-n)

2. Gondoskodnod kell róla, hogy az általad kezelt adatok ne jussanak illetéktelenek birtokába (pl. hackertámadás)

Ennek érdekében:
– tájékoztatnod kell a kollégáidat az adatkezeléssel kapcsolatos legfontosabb óvintézkedésekről (pl. ismeretlen leveleket ne nyissanak meg, ismeretlen szoftvereket ne töltsenek le, ismeretlen pendrive-ot ne használjanak), mert gyakran a dolgozók figyelmetlensége miatt.
– tudd, hogy támadás esetén mit kell tenned (72 órán belül jelentened kell, erre hamarosan lesz egy formanyomtatvány, ami jelenleg még nem elérhető)
– védd meg a rendszereidet a támadásoktól (tűzfal, vírusírtó, a weboldalad védelme a támadásoktól pl. Sucurival stb.)

3. Dokumentációs kötelességed is van, ennek körét a rendelet pontosan meghatározza:

„(2) Minden adatfeldolgozó és – ha van ilyen – az adatfeldolgozó képviselője nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról; a nyilvántartás a következő információkat tartalmazza:
a)
az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei;
b)
az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;
c)
adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdése szerinti továbbítás esetében a megfelelő garanciák leírása;
d)
ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása.”

Ha esetleg van még kérdésed a rendelettel kapcsolatban, tedd fel bátran hozzászólásban és jogi szakértőnk bevonásával választ adunk rá!

Kiegészítés: Elkészült a hivatalos útmutató KKV-k számára sok hasznos és átlátható információval, érdemes átböngészni

105 Comments

  • Leelu

    2018. november 06. kedd

    Kedves Ági,
    Köszönöm a sok hasznos tanácsot.
    Én azzal kapcsolatban szeretnélek kérdezni, hogy ha a hírlevél feliratkozók táborát szeretnénk növelni, és erre a célra egy nyeremény sorsolást szeretnénk használni az újonnan feliratkozók körében, az aránytalan hátrányt jelent e azoknak akik nincsenek feliratkozva?
    Elég sok véleményt hallottam a témában, és nehéz eldönteni, hogy alkalmazhatjuk e a nyeremény sorsolást adatbázis növelés érdekében?
    A lényeg, hogy iratkozz fel hírlevelünkre, és sorsoláson veszel részt. A nyereményjáték oldalán elkérjük az ügyfél nevét, és e-mail címét. A küldés gomb alatt található egy tájékoztató szöveg:
    Adataim elküldésével hozzájárulok, hogy adataimat az XY Kft. a nyereményjáték lebonyolításával kapcsolatosan kezelje, és ezzel egyidőben elfogadom a nyereményjáték szabályzatát. A szabályzat linken keresztül elérhető.
    Illetve van egy check box amit az ügyfélnek kell bepipálnia: Feliratkozásommal elfogadom az elektronikus hírlevélküldésre vonatkozó feltételeket(link), és tudomásul veszem, hogy beleegyezésemet bármikor visszavonhatom.
    Szóval a kérdésem az lenne, hogy végeredményben használhatunk e lead generálásra nyereményjátékot, melyen való részvételt x dátumtól y dátumig történő feliratkozáshoz kötünk?
    Kaptam már olyan választ, hogy nem tehetjük meg, és olyat is hogy elfogadható.

    Előre is köszönöm a segítségedet.

    • Vida Agi

      2018. november 13. kedd

      Lehet ilyet csinálni, ha megfelelő az ügyfél tájékoztatás és van adatvédelmi hozzájárulás. Sok nagy cég is csinálja.

  • Gabriella

    2018. szeptember 28. péntek

    Kedves Ági!
    Ha egy Google űrlapon készítek felmérést, és bejelölöm, hogy e-mail címeket gyűjtök be, mi a helyzet? Az abból származó e-mail listával mit lehet csinálni? Köszönöm!

    • Vida Agi

      2018. október 16. kedd

      A Google űrlapnak ez a funkciója megfelelő, de az adatvédelmi szabályzatodat ugyanúgy be kell linkelni az oldalra és el kell fogadtatni.

  • Dia

    2018. július 02. hétfő

    Kedves Ági!
    Azt szeretném kérdezni, hogy kell e részletezni az adatkezelési tájékoztatóban, hogy milyen technikai megoldással gondoskodunk az adatok biztonságáról. Pl.: jelszóval védett pen-drive vagy külső hard-drive vagy jelszóval védett elkülönített mappa a laptopon, egyéb adathordozó? Papíralapú nyomtatványok esetén-pl. garanciális ügyintézés során szükséges munkalapok stb. tárolására vonatkozóan van bármilyen speciális előírás? Illetve a megsemmisítés módját szükséges részletezni-bármelyik esetben?

    Köszönöm a választ!
    Üdvözlettel:
    Dia

    • Vida Agi

      2018. július 08. vasárnap

      Nem kell részletezni.

      • Dia

        2018. július 09. hétfő

        Köszönöm szépen!

  • Lovas Péter

    2018. május 29. kedd

    Kedves Ági!

    Köszönöm ezt az oldalt, nagyon hasznos!

    Szeretnék kérdezni, van egy BT-m, honlapunk, a honlapon nincsenek cookie-k meg Google Analytics és hasonlók sem, saját fejlesztésű programokat árulok, ezeket e-mail-be lehet megrendelni.
    Hírlevelet is küldök (évente kb. 2-3 darab), olyan e-mail címekre, amiket internetes kereséssel gyűjtöttem.
    Elég-e a hírlevélbe, betenni a leiratkozást?
    Vagy egyáltalán nem lehet hírlevelet küldeni, az ilyen keresésekből talált e-mail címekre?

    Köszönöm!

    • Vida Agi

      2018. június 05. kedd

      Csak akkor küldhetsz ezekre a címekre levelet, ha ezek céges címek (nem tartalmazza magánszemélyek neveit pl. icuka@cegnev.hu vagy kovacs@cegnev.hu). Ha magánszemélyeknek küldesz levelet, csak akkor teheted meg, ha beleegyeztek abba, hogy reklám tartalmú levelet kapjanak tőled.

      • Lovas Péter

        2018. június 05. kedd

        Kedves Ági!

        Köszönöm a választ, akkor icuka@cegnev.hu-ra csak hozzájárulással küldhetek. Akkor még, azt szeretném kérdezni, hogy a cegnev@gmail.com-ra küldhetek-e. Köszönöm!

        • Vida Agi

          2018. június 07. csütörtök

          Igen, küldhetsz, mert nem tartalmaz a cím személyes adatot.

  • Bleszer Kata

    2018. május 29. kedd

    Köszönöm a feltöltést. 🙂
    Sehol nem találok arról semmit, hogy a TELEFONON felvett megrendeléseknél, a vásárló által megadott személyes adatok kezelése milyen változásokkal jár? Hiszen aki telefonon rendel, az nem olvasta el az adatvédelmi tájékoztatót, de az adatait bediktálja és a terméket ugyan úgy megkapja, mint aki webshopban rendel.

    • Vida Agi

      2018. június 05. kedd

      Telefonos megrendeléskor ugyanúgy felveheted az adatokat, csak kérd hozzájárulást az adatkezeléshez az ügyféltől. És, ha van rá mód, a biztonság kedvéért kérj egy email címet tőle, ahova elküldheted a számlát és az adatvédelmi tájékoztatást.

  • Balogh Orsolya

    2018. május 24. csütörtök

    Kedves Ági!
    Köszönöm szépen a felvilágosító cikket! Próbáltam az enyémhez hasonló kérdés-választ találni itt,de nem teljesen sikerült.Van egy .hu-s magazinom,ami jelenleg csak tartalmat àllít elő.Egyelőre nem tervezek üzleti tevékenységet folytatni rajta,még csak cégem sincsem. Ha leveszem róla a hírlevélfeliratkozàsi lehetőséget,amit eddig sem használtam,akkor van bármilyen màs kötelezettségem?Előre is köszönöm szépen a segítségedet!

    • Vida Agi

      2018. május 29. kedd

      Ha van bármilyen cookie pl. statisztika az oldaladon, vagy lehet hozzászólni a cikkekhez, akkor kezelsz adatokat, tehát kell adatvédelmi tájékoztatás az oldaladra.

  • Szonja

    2018. május 24. csütörtök

    Üdvözlöm!

    Azt szeretném megkérdezni, hogy milyen teendők vannak abban az esetben, ha kamerarendszerrel van ellátva az üzlethelyiség? Minden egyes vásárlóval és nézelődővel alá kell íratni a tájékoztatót, vagy elérhető helyre kell tenni, hogy aki akarja elolvassa? Egyszerűen nem értem ennek a kivitelezését.

    Válaszát előre is köszönöm:
    Szonja

  • Fodor Tímea

    2018. május 23. szerda

    Kedves Ági!
    Egy olyan weboldal esetén, amely nem webáruház és nem kínál semmiféle szolgáltatást, a GDPR szerint elegendő az adatkezelési tájékoztató vagy ez esetben is szükséges feltölteni egy ÁSZF-et?

    • Vida Agi

      2018. május 23. szerda

      Ilyen esetben csak adatkezelési tájékoztató kell.

      • Edit Vizer

        2018. június 14. csütörtök

        Kedves Ági, ide kapcsolódik az én kérdésem is.

        Jelenleg van egy honlapom (saját tárhelyen, egy nem magyar, de EU-s tárhely szolgáltatótól vásárolt) – ez per pillanat csak bemutatkozó felületként és a korábbi munkáim portfóliójaként működik. Más célt nem szolgál, nem zajlik e-kereskedelem, és semmilyen szolgáltatást nem hirdetek ott. Nem gyűjtök adatokat a látogatóktól, és nem küldök hírleveleket stb. sem.
        Kell-e ÁSZF és/vagy GDPR infót kitennem az oldalra? És ha igen, mire kellene itt figyelni?

        Tervben van: Vállalkozói szolgáltatások (oktatás, tanácsadás, szakértés, kutatás és fejlesztés, stb) hirdetése – ezeket részben a saját honlapomon és szociális médiákon (Facebook, Instagram) keresztül juttatnám el az emberekhez. Hírleveleken keresztül is.
        Kell-e ÁSZF és GDPR infót kitennem a saját oldalra? Elegendő így megoldani a tájékoztatást, vagy másra is figyelnem kell?

        A honlapomat jelenleg egy open-source honlapszerkesztő szolgáltatáson keresztül tartom életben. (Saját szerveren tárolok mindent.) Ajánlott lenne áttérni egy WordPress vagy hasonló webdesign szolgáltatásra?

        Hol lehetne segítséget kérni egy megfelelő, vállalkozásra szabott tájékoztató elkészítésében? Plusz, a hírlevélhez be kell gyűjtenem az adatokat, és elfogadtattni a tájékoztatót, amihez szintén keresnék segítséget.

        • Vida Agi

          2018. június 15. péntek

          Ha csak tartalom van fent és nem lehet hozzászólni az oldalhoz, adatokat elküldeni neked (pl. űrlapon keresztül) és statisztika sincs az oldalon, akkor nem kell adatvédelmi feltételeket kitenned. Ha van, akkor kell és ebben le kell írnod, milyen adatokat gyűjtesz és milyen szolgáltatáson keresztül, pl. statisztikai adatok Google Analyticsen keresztül, benne kell lennie, meddig tárolod az adatokat, kik az adatfeldolgozóid (tárhelyszolgáltató, hírlevélszolgáltató stb.)

          A másik honlapnál egyértelműen szükséges az adatvédelmi nyilatkozat és mivel ott megrendelés is van, ezért az ÁSZF is.

          A hírlevélnél olyan szolgáltatót válassz (pl. Listamester, Silihost, Mailchimp), ami megfelel a GDPR feltételeinek és megoldották a beleegyezést. A tájékoztatót lehet testreszabható formában is megvenni jogászoktól pl. a http://www.net-jog.hu -tól.

  • Kereki Kriszta

    2018. május 22. kedd

    Szuper anyag, köszönöm!
    Amit még nem látok tisztán:

    Ha sima emailt kapok a weboldalon megadott email címemre, vagy facebook üzenetben az üzleti oldalamon, amiben vannak személyes adatok -email cím és név már alapból, de ezen felül egy ajánlatkéréshez egyéb adatok, még fotó is szokott lenni, akkor ez már önkéntes hozzájárulásnak számít az adatkezeléshez, vagy mit kell tenni?
    Az oldalon természetesen elérhető az adatkezelési tájékoztató, amiben kitérek erre a jelenségre is (meddig tárolom stb).

    • Vida Agi

      2018. május 23. szerda

      A legbiztosabb az, ha amikor valaki elküldi neked az adatait, tájékoztatod az adatkezelés feltételeiről és megkéred, hogy járuljon hozzá az adatkezeléshez (ezt emailben is megteheti), így biztosan nem lehet belekötni.

  • Judit

    2018. május 19. szombat

    Szia Ági!

    Először is nagyon köszönöm, hogy elkészítetted és ingyenesen hozzáférhetővé tetted ezt a tájékoztatót!
    A kérdésem az, hogy életvezetési tanácsadással foglalkozva ezentúl az első találkozó alkalmával alá kell írassak egy adatkezelési hozzájárulási nyilatkozatot a kliensekkel, h beleegyeznek abba, hogy felvegyem az adataikat? 😮
    (Szóban eddig is tájékoztattam őket, de aláírást nem kértem..)

    Köszönöm!
    Judit

    • Vida Agi

      2018. május 22. kedd

      Igen, a szó elszáll, az írás marad. Vedd fel az adataikat és vagy irass alá egy nyilatkozatot vagy magán az adatfelvételi lapon legyen ott egy rész, amit alá kell írnia arról, hogy felvetted az adatait. A harmadik lehetőség, hogy ha online jelentkezik hozzád, már a jelentkezéskor az online űrlapon jeleznie kell, hogy beleegyezik, hogy felvedd az adatait.

  • Hegedűs Ági

    2018. május 12. szombat

    Kedves Ági!

    Ha nincs hírlevelem, csak blogbejegyzés-értesítőre lehet feliratkozni, akkor mi az a minimum, amit teljesítenem kell vállalkozás nélküli magánszemélyként?

    Köszönöm szépen a részletes tájékoztatót.

    Ági

    • Vida Agi

      2018. május 17. csütörtök

      Legyen adatvédelmi nyilatkozat a honlapodon, ami tartalmazza, hogy milyen adatokat kezelsz és hogyan.

  • Anita

    2018. május 07. hétfő

    Kedves Ági!

    Kiskereskedelmi tevékenységet ellátó üzlethelyiséggel van teendő?
    Csak FB oldalunk van,amit követőink tájékoztatására használunk( beérkezett termékek,nyitva tartás változás….stb.)
    Valamint készpénzfizetési számla kiállítás történik.
    Sajnos nincs pontos információ,hogy ebben az esetben is szükséges-e GDPR alkalmazása!?

    Köszönöm válaszát!

    • Vida Agi

      2018. május 17. csütörtök

      Igen, szükséges, hiszen a számla kiállításához is felveszitek az adatokat.

  • Dóra

    2018. május 04. péntek

    Kedves Ági!

    Köszönöm a részletes összefoglalót, nagyon hasznosnak találtam! Érdeklődni szeretnék, hogy véleményetek szerint mikor törölhetem legkorábban ügyfeleim honlapomon, eseményekre szóló, elektronikus formában megadott regisztrációs adatait, ha a könyvviteli bizonylatok, nyugták, számlák papír alapon kerülnek megőrzésre a törvényi előírások szerint 8 évig?

    Másik kérdésem pedig: ügyfeleim az eseményekre szóló regisztráció, a regisztrációs adatok megadása során, a regisztrációs űrlapon kattinthatják be, kérnek-e hírlevelet. Majd az űrlap alatt hozzájárulásukat is kérem mindehhez. (Tehát az oldalamon nincs külön hírlevél feliratkozás.)Így viszont a hírlevélhez is több személyes adatot kérek be, mint amennyi szükséges lenne, mivel a regisztráció során pl. címüket is megadják. Mit gondoltok, az új rendelet értelmében maradhat ez így?

    Köszönettel:Dóra

    • Vida Agi

      2018. május 17. csütörtök

      Amit a számviteli törvény előír, azt őrizd meg, minden mást törölhetsz kérésre, vagy amikor már nincs rá szükség. Tehát pl. a számlamásolatot megőrzöd, de a szállítási címet nem kell megőrizni, ha már nincs rá szükség.

      A regisztrációs eset ugyanaz, mint amikor egy webshopban vásárol valaki és a megrendelő űrlap alján bekattinthatja, hogy kér-e hírlevelet a továbbiakban. Tehát itt nem a hírlevél miatt kérsz be adatokat, hanem a regisztrációhoz kéred be, de vele együtt a hírlevélre is feliratkoznak. Ez akkor szabályos, ha az űrlap alján egy jelölőnégyzetben bepipálják, hogy kérnek hírlevelet is.

  • Varga Fruzsina

    2018. május 02. szerda

    Hogyan tudjuk igazolni az adatvédelmi hozzájárulást megadta az érintett?

    E-mailből való automatikus beléptetés szabályos-e.

    • Varga Fruzsina

      2018. május 02. szerda

      Valamint biztosítani kell-e a személyes adatok önálló törlését vagy elég ha kérvényezhetik?

      Köszönöm válaszokat.

      • Vida Agi

        2018. május 17. csütörtök

        Nem kell önállóan törölniük, elég, ha csak van rá mód, hogy kérhessék azt.

    • Vida Agi

      2018. május 17. csütörtök

      Akkor adja meg, ha félreérthetetlen a bizonyíték arra, hogy megadta (pl. egy gombra kell kattintani vagy egy jelölőnégyzetet kipipálni).
      Automatikus beléptetés alatt mit értesz? Ha a belépéshez rá kell kattintani egy gombra is, akkor minden oké. Ha a tudomásán kívül lép be, akkor pedig nem oké.

  • white

    2018. április 27. péntek

    Kedves Ági, a telefon könyvel mi az álláspont, ha én eltárolom a telefonomba valakinek a telefonszámát, címét, nevét e-mail címét, stb.
    megbüntethetnek 20M euróra?

    • Vida Agi

      2018. április 29. vasárnap

      Természetesen nem. A rendelet szerint:
      „(18) Ez a rendelet nem alkalmazandó a személyes adatoknak a természetes személy által kizárólag személyes vagy otthoni tevékenység keretében végzett kezelésére, amely így semmilyen szakmai vagy üzleti tevékenységgel nem hozható összefüggésbe. Személyes vagy otthoni tevékenységnek minősül például a levelezés, a címtárolás, valamint az említett személyes és otthoni tevékenységek keretében végzett, közösségi hálózatokon történő kapcsolattartás és online tevékenységek.”

  • Lili

    2018. április 25. szerda

    Egyéni vállalkozónak is kell adatvédelmi tisztviselő? Köszönöm!

    • Vida Agi

      2018. április 29. vasárnap

      Ha kezel személyes adatokat (megrendelők adatai, hírlevélfeliratkozók, remarketing adatok), akkor igen.

  • Gabor

    2018. április 23. hétfő

    Kedves Ági!

    Köszönöm az összefoglalót. Remek lett. Lenne egy kérdésem: mennyire terheli felelősség a weboldal készítőjét a GDPR megfelelőséget illetően, ha a szerződésben ez nincs külön belefoglalva? Köszönöm válaszát előre is.

    • Vida Agi

      2018. április 29. vasárnap

      Semennyire, ez a készíttető felelőssége.

  • Brigitta

    2018. április 17. kedd

    Kedves Ági! Köszönjük az összefoglalót!
    Én hobbi bloggerként terveznék blogot indítani a blog.hu oldalon. Webshopot nem tervezek, de hírlevélküldést igen. Ha jól tudom a blog.hu használ google analitics-t illetve facebook/instagram like gombokat az oldalon elhelyezve.
    Kérdésem: tudsz olyan feliratkozós űrlap készítő – hobbi blogról lévén szó esetleg ingyenes – rendszert/szoftvert ajánlani, ami megfelel a direktíváknak és a blog.hu felületen használható?
    Továbbá nem tudom, hogy mi a helyzet a sütikkel a blog.hu oldalán, de esetleg ehhez is tudsz plugint ajánlani?
    Előre is hálásan köszönöm a segítséget!

    Brigi

    • Vida Agi

      2018. április 29. vasárnap

      A Google és a Facebook az elmúlt 1-2 hétben bevezette azokat a változásokat, amiknek köszönhetően most már GDPR kompatibilisek, tehát ezzel nincs gond és a hírlevélszolgáltatók is dolgoznak rajta. Pl. a Listamester már elkezdte bevezetni a szükséges változtatásokat. A sütik tekintetében ezesetben a Blog.hu-nak kell tennie, mert ők adják a felületet, nem a te felelősséged, mert nem a te tárhelyed.

  • Viki

    2018. április 17. kedd

    Kedves Ági! A blogokkal mi a helyzet? Nem saját, hanem indexes felületen blogolok, de van gyárilag facebook like gomb, illetve van facebook oldal és insta oldal beszúrva, és google analytic. Hírlevél, vagy ilyesmi nincsen. Ilyenkor van bármi teendőm? A cookie-at be kell állításon vagy az az index dolga? Nagyon köszönöm előre is!

    • Vida Agi

      2018. április 29. vasárnap

      A cookiekkal a tárhelyszolgáltató (ebben az esetben a blog.hu) dolga foglalkozni, a Facebook és a Google pedig már bevezette a szükséges változtatásokat. Ha van Google Analytics fiókod, épp a napokban küldtek levelet arról, hol tudod beállítani a GDPR-hez szükséges változtatásokat és a Facebook is elkezdte már kiküldeni a leveleket a változásokról a felhasználóknak.

  • József Nikolett

    2018. április 09. hétfő

    Kedves Ági!

    Köszönöm az összefoglalót, nagyon hasznos!

    Olyan kérdésem lenne, hogy én a hírlevélfeliratkozókat két lépcsőben iratkoztatom fel (tehát emailt kapnak róla, hogy erősítsék meg a fliratkozásukat), ilyen esetben is kell a két jelölőnégyzet, vagy elég, ha a feliratkozási formulán pipálják, hogy elfogadják az ÁSZF-et és az Adatvédelmi Nyilatkozatot, és utána emailben erősítik meg a feliratkozást?
    (A hírlevélküldő rendszer munkatársa szerint ez elég, de én azért biztosra mennék…)

    Előre is köszönöm a választ!

    • Vida Agi

      2018. április 13. péntek

      Minden esetben kell a két jelölőnégyzet. Bár erről nincs hivatalos ajánlás, de jobb biztosra menni.

  • Varga Norbert

    2018. április 09. hétfő

    ADATBIZTONSAG.EU

  • Márton Attila

    2018. március 18. vasárnap

    A tájékoztató kitér arra, hogy védeni kell az adatokat az illetéktelen hozzáféréstől, pl. hacker támadás… és hogy támadás esetén 72 órán belül jelenteni kell. Kinek és hogyan, milyen módon és pontosan milyen adatokat kell jelenteni?(Pl. saját adataim, webhely elérhetősége, támadás napja, vagy észlelés napja, esetleg órája perce stb.) Lehet erről már tudni valamit?

    • Vida Agi

      2018. március 24. szombat

      A NAIH felé kell jelenteni elsősorban a támadás tényét és azt, hogy az milyen adatokat érinthetett, hiszen számukra ez a mérvadó. Ha kell még nekik valami, jelezni fogják.

  • Ildikó

    2018. február 24. szombat

    Köszönöm szépen a hasznos segítségeiteket.
    Mi a helyzet akkor, ha telefonon adnak le rendelést, és úgy veszem fel az adatokat? Ilyenkor nincs semmi pipálás. Megkérdezhetem azt is, hogy szeretne-e hírleveleket is kérni. Ilyenkor egyszerűen csak rögzítem a hírlevél küldő szoftverbe?

    • Vida Agi

      2018. március 05. hétfő

      Ez ugyanúgy adatkezelésnek minősül, tehát ugyanúgy kell tárolni, rögzíteni és kezelni az adatokat, mintha digitálisan vetted volna fel. A hírlevélfeliratkozásnál bizonyítanod kell, hogy beleegyezett, ennek érdekében érdemes rögzíteni a telefonbeszélgetést, ahol ebbe beleegyezését adta (nem véletlenül rögzítik a szolgáltatók is a telefonbeszélgetéseket)

  • Tóthné Bocsi Szilvia

    2018. február 12. hétfő

    Kedves Ági!
    Azt szeretném kérdezni, hogy külön Adatkezelési nyilatkozatot és külön ÁSZF-et kell kitenni a honlapra, vagy összevonva is lehet elfogadtatni a feliratkozóval, megrendelővel? (hírlevél, online szolgáltatás)
    Köszi a választ!
    Szilvia

    • Vida Agi

      2018. február 23. péntek

      Kettő kell és külön kell lennie egymástól.

  • Kiss Péter

    2018. február 09. péntek

    Mi a helyzet a trollokkal, akiket eddig ki lehetett tiltani az oldalról legalább IP vagy cookie alapján. Ezután kérheti az adatai törlését, és semmi eszköz nem marad a kezünkben, utána gond nélkül vissza tud térni más néven?

    • Vida Agi

      2018. február 23. péntek

      Elvileg így van, gyakorlatilag kicsi ennek az esélye. Illetve mivel azokat az adatokat kell törölni, ami alapján ő beazonosítható (pl. email cím, telefon), ezért az IP alapú tiltás, ha csak az IP marad meg, nem alkalmas az illető beazonosítására.

  • Kriszti

    2018. február 07. szerda

    Kedves Ági!
    Koncentrált táplálékokat kezdtem forgalmazni. WooCommerce webshopom van, amiben regisztrálással és anélkül is vásárolhat, + el kell fogadnia az ÁSZF-et.
    Az a vásárló, aki előszőr rendel, a csomag feladásának időpontja + 2 nap időzítéssel kap a termékek fogyasztásával kapcsolatos Tippek, trükkök, praktikák című emailt, akkor is, ha nem pipálta ki a feliratkozom a hírlevélre. Fontos email, mert segítségükkel még több örömöt ad a termékek használata. Probléma a szabályozás szerint, hogy én egy ilyen levelet küldök?
    Fontosnak tartanám, hogy 2 héttel később egy másik email menjen, amiben a tapasztalataira kérdezek rá.
    Ezt hogyan oldhatom meg, ha nem iratkozott fel?
    Előre is köszönöm a segítséget!
    Kriszti

    • Bence

      2018. február 21. szerda

      Kriszti, ez a levél már a jelenlegi rendszerben is hírlevélnek számít, és hivatalosan nem küldhetnéd ki beleegyezés nélkül.

      • Kriszti

        2018. március 26. hétfő

        Köszönöm a választ. Az imént kérdeztem vissza Ági válaszára. Ennek kapcsán tudod pontosítani, hogy miért nem küldhetem el beleegyezés nélkül?
        Előre is nagyon szépen köszönöm
        Kriszti

    • Vida Agi

      2018. február 23. péntek

      A vásárlással kapcsolatos információkat kiküldheted levélben a vevőknek. Ha ez nem reklám tartalmú levél (nem ajánlasz benne más terméket), akkor kimehet ez a levél is.

      • Kriszti

        2018. március 26. hétfő

        Kedves Ági!

        Csak, hogy biztosan jól értelmezem a 2 lényegi pontot:
        -vásárlással kapcsolatos információk
        – nem reklám tartalmú=nem ajánlok benne más terméket

        Vásárlással kapcsolatos levél kategóriának számít a számít a Tippek, trükkök praktikák levél, ami a megrendelés visszaigazolását követően csak akkor megy ki, amikor a csomagot megkapta? Ezért ezt annak is kiküldhetem, aki a vásárláskor nem iratkozott fel egyébként a hírlevélre?

        A másik elégedettségre vonatkozó érdeklődő levél (vásárlást követően 2 héttel), ha nem ajánlok benne terméket, mehet akkor is, ha nem iratkozott fel?
        Köszönöm előre is az útmutatást.
        Kriszti

        • Vida Agi

          2018. április 03. kedd

          Ha a tippek, trükkök a termék használatáról szól (tehát egyféle használati útmutató), akkor kimehet és a vásárlói elégedettség kérdőív is kimehet.

          • Kriszti

            2018. április 13. péntek

            Kedves Ági!

            Nagyon szépen köszönöm a választ 🙂
            Kriszti

  • Ildikó

    2018. február 05. hétfő

    Kedves Ági!

    Köszönöm ezt a nagyon hasznos cikket! 🙂

    WordPress oldalhoz olyan plugint tudsz ajánlani, ami a süti kezelésnél az új rendeletnek is megfelel? Mármint gondolok itt arra, hogy később le tudja állítani a sütiket.

    Köszönöm,
    Ildikó

    • Vida Agi

      2018. február 23. péntek

      Az EU Cookie Law plugin hamarosan frissül és abban már benne lesz ez a megoldás.

  • Kiss Péter

    2018. február 05. hétfő

    Ez nem fordítva van? Ez alapján egy 5000 EUR éves forgalmú céget is 20millió euróra büntetnek?
    „A bírság legfeljebb 20 millió Euró vagy a cég előző évi világpiaci árbevételének 4%-a lehet (amelyik a kettő közül magasabb)”

    • Vida Agi

      2018. február 23. péntek

      Nem, az azért irreális lenne.

      • Kiss Péter

        2018. február 26. hétfő

        Hát ez pont így az irreális, ha így van.

  • Bikfalvi Moni

    2018. február 04. vasárnap

    Bocsánat, ezzel kellett volna kezdenem:
    Köszönöm én is a munkádat, nagyon jól összefoglaltad a lényeget.

    • Vida Agi

      2018. február 23. péntek

      Köszi 🙂 És a kiegészítést is.

  • Bikfalvi Moni

    2018. február 04. vasárnap

    Még egy pontosítás:

    Nem kell adatvédelmi tisztségviselő, ha a vállalkozás az adatgyűjtést nem főtevékenységként végzi, és nem végez olyan adatkezelői műveleteket, amelyek „jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé” (szó szerinti idézet).

    Tehát nagyon sarkítva: ha Te vagy az Auchan, és van kamerarendszered, akkor kell adatvédelmi tisztségviselő, ha videós kaputelefonod van a kertkapudon, akkor nem kell.

    Hasonlóan ha Te egy olyan ügynökség vagy, amely remarketing hirdetéseket futtat, akkor kell adatvédelmi tisztségviselő, ha Te egy kisvállalkozó vagy, és megbízol egy ilyen céget, akkor (neked) nem kell.

    • Nagy Erika

      2018. február 15. csütörtök

      Köszi Móni, ezzel a pontosítással felkapcsoltad nálam a villanyt! 🙂

    • Vida Agi

      2018. február 23. péntek

      Viszont, ha kisvállalkozó vagy és gyűjtesz adatokat a remarketinghez, akkor kell.

  • József

    2018. február 04. vasárnap

    Nekem egy olyan kérdésem lenne, mi a teendő akkor, ha angol nyelvű info termékkel, oktatóanyagokkal (könyvek, videók) foglalkozom.

    Ilyen esetben elég csak angol nyelvű tájékoztatás? Vagy kell magyar is? Esetleg csak magyar? (kicsit ez utóbbi fura lenne)(kicsit ez utóbbi fura lenne)

    Még csak azt se tudnám kizárni, hogy csak EU területén élők lennének megrendelők. Tulajdonképpen bárki lehet (elvi szinten), aki tud angolul…

    Régóta tervezem online vállalkozás indítását, de a jogi oldalhoz kapcsoldó nyelvi bizoyntalanság egy komoly visszatartó erő.

    Válaszotokat előre is köszönöm!

    • Vida Agi

      2018. február 23. péntek

      Ha az oldal angol nyelvű, akkor angol nyelvű tájékoztatás kell, és igen, mivel nem tudod kizárni, hogy EU-ból is legyenek megrendelőid, ezért meg kell felelned az EU-s szabályoknak.

  • Balogh Éva

    2018. február 03. szombat

    Aki május 25 előtt iratkozott fel, és tárolom az adatait, tőle nem kell utólag beleegyezést kérnem, igaz?

    • Vida Agi

      2018. február 04. vasárnap

      Ha a korábbi listád szabályosan iratkozott fel, akkor igen.

  • Gábor Csaba

    2018. február 03. szombat

    Kiegészíteném – főleg webáruházakra szakosodva – a cikkben leírtakat, mert annyira nem „mumus” a GDPR.
    Nézzük az adatkezelésre vonatkozó mit-miért-hogyan kérdéseket:
    Alapesetben már minden webáruháznak tudnia kell vásárlóit „két felé” osztani: anonim (regisztráció nélküli) és regisztrált. A vásárlási folyamat és adatkérés ez alapján történik. Amennyiben adott webáruház nem küld hírlevelet, vagy adatokat nem használja fel más célra, nem adja át másnak, eddig sem kellett NAIH szám. (Persze javasolt, de nem kötelező).
    Anonim vásárló esetében NEM kell külön felhívni a figyelmet, hogy pár adat, ami a számlához kell, megőrzésre kerül, a számviteli szabályokat be kell tartani (boltban sem kérdezik meg, ha számlát kérek, hogy „hozzájárulok e adataim kezeléséhez”), online forgalom esetén nincs nyugta, csak számla.
    De minden vásárlónak el kell fogadnia az ÁSZF-et. Fontos megjegyezni, hogy az irányelveknek meg kell jelennie a tagállami jogokban, azaz mindaddig, amíg pl a magyar törvényekben az szerepel, hogy „kell”, addig az kell, függetlenül attól, mi is az iránymutatás. Ránk így a hatályos számviteli szabályok és adatvédelmi szabályok vonatkoznak (még, és ez után is)
    Fentiek főleg a miértekre válaszok.
    Adatvédelmi tisztségviselő nagyon jó téma, talán ezzel riogatnak mindenkit a legjobban…. A GDPR kifejezetten kiemeli, kinél kötelező (…nagyszámú…összekapcsolt…hatóság stb stb). Ami miatt mindig téma, az a remarketing. Gyorsan zárjuk ki azokat a cégeket, akik mint szolgáltatást adják: nekik kötelező, függetlenül attól, hogy jelentős mennyiségű személyes adat regionális, nemzeti vagy szupranacionális szintű kezelését célozzák vagy serm.
    Tehát az ilyen szolgáltatást adó cégeknél kell lennie (más kérdés, ha én pl megbízok egy ilyen céget, semmi jogalapom nincs megkérdezni, alkalmaznak e vagy sem ilyen tisztségviselőt, igaz, ez már az ő felelősségük)
    Saját weblap esetén: ne tegyünk most itt különbséget e-mail retarget és remarketing között, itt kezelem egységesen. A legtöbben (főleg Európában) a google keresőt alkalmazzák illetve annak szolgáltatásait (AdSense, AdWords stb stb). A viselkedéskutatás, magatartás figyelése, azok összekapcsolása nem „otthon” vagy a webáruház tulajdonosánál történik, hanem a google robotjai által, amit mi, tulajdonosok ki,- és felhasználunk. Erre pedig a google (tavaly 3x is változtatott) adatvédelme ad „biztosítékot”.
    Lesarkosítva: webáruház tulajának nem kell tisztségviselőt alkalmaznia, kivéve ha: olyan azonosítót is bekér pl számlázáskor, mely tömeges adatbázis esetén egyértelmű beazonosításra ad lehetőséget. Ilyen Magyarországon az adóazonosító, a TAJ szám, a személyi szám illetve cég esetén adószám, cégjegyzékszám; alapítvány, egyesület esetén a nyilvántartási szám. (Értsd: sok esetben adatbázis adatokat egyedileg létrehozott azonosítóval tárol /pl adóazonosító/, mely során összekapcsolt személyes információbázis jön létre. Ilyen adatbázis pl az egészségügyi, ahol nem a lakcímünk, nevünk stb hanem a TAJ a meghatározó, az összes többi adat „változhat”, de ez nem. Azaz egyedileg létrehozott azonosító, ami alkalmas más adatbázisokkal történő összekapcsoláskor egyértelműen beazonosítani, így megfigyelésre, kapcsolt adattartalomra ad lehetőséget).
    Szóval: ha egy webáruházról beszélünk, nem kell tisztségviselő (ha nem kér be egyedileg létrehozott azonosítót), továbbra is nyilvántartásba kell vennie NAIH-nál oldalát, ha hírlevet is küld, biztosítania kell az anonim vásárlást (nem regisztráltaknak). Utolsó megjegyzés: felesleges feliratkozó űrlapra a két jelölőnégyzet, elég az ÁSZF, ha „magam” végzem. Ha ezt kiszervezem külső szolgáltatóhoz (marketing céghez), akkor kell (harmadik személynek átadott adat miatt)
    Remélem érthetően összefoglaltam.

    • blr

      2018. február 04. vasárnap

      Két dolgot kijavítanék:

      1. „Fontos megjegyezni, hogy az irányelveknek meg kell jelennie a tagállami jogokban, azaz mindaddig, amíg pl a magyar törvényekben az szerepel, hogy “kell”, addig az kell, függetlenül attól, mi is az iránymutatás.”
      A GDPR rendelet, nem irányelv, nem kell tagállami jogrendbe illeszteni, viszont a tagállami szabályozás nem lehet vele ellentétes (felülbírálja).

      2. „felesleges feliratkozó űrlapra a két jelölőnégyzet, elég az ÁSZF, ha “magam” végzem”
      Nem. Az egyik jelölőnégyzettel az ÁSZF-et fogadja el (ezáltal leszel törvény által feljogosítva a számlázáshoz/szállításhoz kapcsolatos adatok kezelésére), a másikkal a hírlevéllel kapcsolatos adatkezelést fogadja el. Egy webshop ÁSZF-je nem kötelezhet hírlevél fogadására.

      • Bikfalvi Moni

        2018. február 04. vasárnap

        Néhány pontosítás:

        1)
        Ha a webáruház hírlevelet is akar küldeni, akkor arra kell egy külön jelölőnégyzet;
        azonban ha nem akar hírlevelet küldeni, akkor nem kell.

        2)
        Ha bármit vásárol tőlem valaki, akkor az erre utaló magatartás kezdetekor (kitölti az online megrendelőt vagy webáruházban megadja a számlázási és szállítási adatait) nemhogy nem kell kérnem a hozzájárulását az adatkezeléshez, hanem köteles vagyok ezt bekérnem, hiszen
        – különben nem tudom kiszolgálni,
        – és a számlázás miatt ez elő is van írva számomra.

        Az adatait is köteles vagyok tárolni, igaz, valóban nem a végtelenségig, hanem 8 évig. (5 év ellenőrizhetőség +3 év önellenőrzési lehetőség miatt.)

        • Könyvelő

          2018. április 06. péntek

          Ez így van. El van túlozva itt minden, csak azért, hogy semmitmondó cégek 100-500 ezreket akasszanak le weboldalakról semmitmondó, és teljesen felesleges jogi blabla megírásával…

          Aki hírlevelet küld, annak eddig is teljesíteni kellett ezeket..

          Aki számlázás miatt kér be adatot, annak eddig sem kellett, ezután sem kell. Látott már valaki kézi számlán jelölő négyzetet? Ha nem egyezik bele, akkor ezek alapján nem állíthatnék ki neki számlát? – azaz adócsalást követsz el 😀

          Számlázáshoz eddig is köteles voltál kezelni az adatot, ezután is. Ehhez semmiféle engedély nem kell, hiszen ez kötelesség! És nem lehetőség…

          Hírlevélhez eddig is kellett, ezután is kell. Sütikhez is kellett blabla, ezután is kell az értesítés… ennyi…

          A mostani szabályozás csak EU szintre emeli, ami Magyarországon eddig is volt. felesleges ezen riadalmat kelteni… Pláne minden weboldal tulajdonosnak kifizetni egy fillért is semmitmondó cégeknek a semmire. Akinek kellett adatvédelem (nagy adatkezelő cégek), annak korábban is meg kellett csinálni a szükséges dokumentumokat.

    • Andrea Kaffka

      2018. február 22. csütörtök

      Nagyon jó ez az anyag, köszönöm mindenkinek, aki megosztja az ismereteit. Jól értem, hogy kell adatvédelmi tisztviselőt kineveznem, mert nyilván tartom az EU-s adószámokat, azoknál az EU-s cégeknél, akik nettó áron akarnak vásárolni?

      • Vida Agi

        2018. február 23. péntek

        A GDPR elvileg csak magánszemélyekre vonatkozik, ha cégek adatait tartod nyilván, akkor arra nem vonatkozik. De onnantól kezdve, hogy pl. azt az adatot is kezeled, hogy ki a HR igazgató a cégnél és neki mi az email címe, akkor már vonatkozik rád, mert ő már magánszemély.

    • Felicia

      2018. február 26. hétfő

      Fú, köszönöm ezt. Éppen ma kaptam egy cégtől 80ezer + ÁFA ajánlatot a webáruház eddigi anyagainak GDPR-kompatibilissé alakításához. Hát majdnem leestem a székemről. És abban még a szakértői díj nincs is benne… Ez azért így már más egy kicsit.

  • Anita

    2018. február 03. szombat

    Kedves Ági!

    Eddig csak hírlevél feliratkozók adatait gyűjtöttem a honlapomon, ehhez egy egyszerű minta alapján írtam meg az adatvédelmi nyilatkozatot. Ezt mindenképpen át kell íratni ezután egy erre szakosodott céggel? Remarketinget eddig még nem csináltam, de persze tervbe van véve.
    És nem vagyok még ezzel teljesen tisztában,de a sütik megjelenítése az oldalon kötelező? Hogyan tudom ezt kitenni az oldal aljára? Van ehhez valamilyen program esetleg? WordPress alapú honlapról van szó.
    Köszönöm szépen a válaszodat. Üdv.: Anita

    • Gábor Csaba

      2018. február 03. szombat

      Kedves Anita: wp oldalakra szakosodva figyelmébe ajánlom a dFactory: Cookie Notice ingyenes bővítményt. A magyarul is tudó bővítmény letöltehtő innen: https://wordpress.org/plugins/cookie-notice/ vagy a admin felületen a Bővítmény->Új letöltése-> jobb oldali keresőbe beírva : Cookie Notice.
      Teljesen megfelel a jelenlegi magyar szabályoknak illetve az uniós irányelveknek is.

      • Anita

        2018. február 03. szombat

        Köszönöm szépen!

    • Vida Agi

      2018. február 03. szombat

      Nem kell átiratni csak ki kell egészíteni a cikkben is leírt újdonságokkal. Ha remarketingezni kezdesz, azt is bele kell foglalni. Sütit nem kötelező megjeleníteni az oldalon. A sütik pl. a statisztikához kellenek. Ha van Google Analytics az oldaladon, akkor már van süti és kell a tájékoztatás is a sütiről.

      • Anita

        2018. február 03. szombat

        Köszönöm szépen a válaszokat!

  • Pap Zsuzsa

    2018. február 03. szombat

    Köszönet azért a munkáért, hogy mindezt összeszedted és megosztottad velünk!

  • Pap Zsuzsa

    2018. február 03. szombat

    Szia, Ági!
    Köszönet azért a munkáért, hogy mindezt összeszedted és megosztottad velünk!

  • Mái-Kovács Anikó

    2018. február 03. szombat

    Szia Ági! Tudsz olyan ügyvédet ajánlani, akivel érdemes elkészíttetni az auditot, mert teljesen képben van a KKV-s vonalon és vizsgája van GDPR területen? Köszönöm. (Nem csak óriás cégekre szakosodott)

  • Tulok Imre

    2018. február 02. péntek

    Ez az adatvédelmi tisztségviselő kijelölése biztosan így van a remarketingnél? Erről még senki sem írt máshol.

    A sütikkel mi a helyzet? Egyes vélemények szerint már a betöltődésüket is meg kell tudniuk akadályozni a felhasználónak.

    • Vida Agi

      2018. február 02. péntek

      Sok helyen nem írnak róla, de pl. itt megtalálod: https://www.adatvedelmirendelet.hu/wp-content/uploads/wp243rev01_hu.pdf

      A kapcsolódó szövegrész: „Példák olyan tevékenységekre, amelyek során az érintettek rendszeres és szisztematikus megfigyelésére kerülhet sor: távközlési hálózat működtetése; távközlési szolgáltatások nyújtása; célközönség e-mail alapú újbóli meghatározása; adatvezérelt marketing tevékenységek; profilalkotás és pontozás kockázatértékelési célból (például hitelbesorolás, biztosítási díjak megállapítása, csalások megelőzése, pénzmosás felderítése céljából); helymeghatározás, például mobilalkalmazások útján; hűségprogramok; viselkedésalapú reklám; wellness, fitness és egészségügyi adatok megfigyelése viselhető eszközökön keresztül; zárt láncú televízió; csatlakoztatott eszközök, például intelligens mérőberendezések, intelligens gépjárművek, lakásautomatizálás stb.”

      A sütiknél kell a jóváhagyás az oldal alján ugyanúgy, mint eddig. Ami változik, hogy ha a rendszer úgy működik, hogy valaki bejön az oldalra és a rendszer megnézi, jóváhagyta-e a cookiekat korábban és csak akkor jeleníti meg neki a „süti sávot”, ha még nem, azzal máris sütit használtál a jóváhagyása nélkül. Egyelőre kérdéses, mi lesz a gyakorlat, vagy mindenkinek minden látogatásnál meg kell jeleníteni a sávot vagy lesz erre valamilyen más informatikai megoldás, esetleg pontosabb szabályozás.

      • Lendvai Norbert

        2018. február 02. péntek

        A sütik kapcsán nem feltétlenül igaz, hogy sütit használsz az első ellenőrzésre.

        Két irány van:
        1.) süti létezésének ellenőrzése
        2.) süti értékének vizsgálata

        Első esetben az a kérdés, hogy van-e süti vagy sem. Ha nincsen, akkor létrehozol egyet adott néven, a benne tárolt érték lényegtelen. Ekkor nem használsz sütit első alkalommal.

        Másoik esetben az első látogatáskor létrehozol egy sütit alapértelmezett értékkel, majd minden alkalommal az értéket figyeled. Itt már valóban használsz sütit első akalommal is.

        • Vida Agi

          2018. február 03. szombat

          Köszi a tippet! Eddig erre se magyar se külföldi forrásban nem találtam megoldást.

          • Radics Ottó

            2018. február 04. vasárnap

            Ha ez az oldal (http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm) még mérvadó lesz a GDPR mellett is, akkor ezek a sütik kivételek és használhatók:

            „Cookies clearly exempt from consent according to the EU advisory body on data protection- WP29pdf include:

            user‑input cookies (session-id) such as first‑party cookies to keep track of the user’s input when filling online forms, shopping carts, etc., for the duration of a session or persistent cookies limited to a few hours in some cases
            authentication cookies, to identify the user once he has logged in, for the duration of a session
            user‑centric security cookies, used to detect authentication abuses, for a limited persistent duration
            multimedia content player cookies, used to store technical data to play back video or audio content, for the duration of a session
            load‑balancing cookies, for the duration of session
            user‑interface customisation cookies such as language or font preferences, for the duration of a session (or slightly longer)
            third‑party social plug‑in content‑sharing cookies, for logged‑in members of a social network.”

          • Vida Agi

            2018. február 04. vasárnap

            Köszi a linket!
            A GDPR mellett is lehet sütiket használni csak a felhasználó beleegyezésével (ez eddig is így volt) és utólag is le kell tudnia állítani őket, ha nem szeretné a továbbiakban (ez új)

          • Gabor Miklos

            2018. március 01. csütörtök

            Kedves Ági!

            Egy kérdésem lenne Önhöz: az ezen az oldalon megtalálható cookie figyelmeztetés elégséges a GDPR szempontjából? Válaszát előre is köszönöm!

          • Vida Agi

            2018. március 05. hétfő

            Nem teljesen, bele kell még tenni majd egy másik gombot is, hogy ki lehessen kapcsolni a cookiekat, ha korábban kérte, de most mégsem kéri.

      • Kereki Kriszta

        2018. április 26. csütörtök

        A remarketingnél az nem világos, ki az adatkezelő és ki az adatfeldolgozó.
        Az én logikám szerint a facebook gyűjti be és rendszerezi az adatokat, ő alkot profilt belőlük, ráadásul a napokban tette lehetővé az új adatvédelmi előírások miatt, hogy a facebook felületén mint felhasználó letiltsam ezt.
        Én csak az általa összegyűjtött adatokat használom remarketingnél.

        Akkor miért nekem kell a DPO emiatt?

        Más, ha feltöltöm az ügyféllistámat és nekik reklámozok, nem?

        • Vida Agi

          2018. április 29. vasárnap

          Pont ez az, ami megváltozik az új rendelettel: eddig a szolgáltatóé volt a felelősség az ilyen adatok tárolásában (pl. a hírlevélre feliratkozók címeit a szolgáltató gyűjtötte és ő volt felelős az adatkezelésért) most viszont az is felelős lesz, akitől az adatok származnak, hiszen a te oldaladon gyűltek össze az adatok. Nem kell megijedni a DPO dologtól: akár te is lehetsz DPO, nincs végzettséghez kötve. A lényeg, hogy ne kérj be és tárolj feleslegesen adatokat, legyen dokumentálva, mit miért csináltál és el tudd mondani, melyik adatra miért van szükség.

    • Gábor Csaba

      2018. február 03. szombat

      Kedves Imre!
      Adatvédelmi tisztségviselőről hozzászólást én is írtam….
      Ami a sütiket illeti:
      Valahol olvastam egy nagyon szemléletes példát: nekem kell megakadályoznom, hogy betörjenek az otthonomba (pl biztonsági záras bejárati ajtó) és nem az az elvárás, hogy minden ház előtt rendőr álljon. Sütik esetében mindenki a saját böngészőjében be tud állítani paramétereket. Ahogy Lendvai Norbert is írta, van különbség „első látogatás süti” és „visszatérő süti” között. Nem egyértelmű még, mit és hányszor tárolhat egy weblapon (azaz többszöri látogatáskor már egy „jó” viselkedést lehet a sütikből levonni). Gyakorlati tapasztalatom az, hogy célszerű minden esetben felhívni rá a figyelmet, azaz mindig csak egy „látogatásra” vonatkozik az elfogadás. Mivel nem fekete-fehér ennek szabályozása, jobb a szürke 🙂 Mindig kérem elfogadását. Ennek egyébként egyszerű oka van: egy számítógépet otthon többen is használhatnak (apa, anya, gyerek, nagyi stb stb), mind mind más „beállítottsággal”. Mindenkinek megfelelni „egy döntés” alapján nem lehet (apa belegyezik, gyerek nem egyezne bele, de már nem teheti meg?). Szóval én minden esetben kérném. A betöltődést (betöréses példához igazodva) mindenki gátolja meg saját böngészőjében, azt leprogramozni, hogy „még be sem töltődött az oldal, de akarod e a sütit” nem lehet, mert mire ezt felteszi, már ott kell lennie az oldalnak 😀