GDPR és az online marketinged kapcsolata

Ami érdekelhet a GPDR-ral kapcsolatban az online marketing területén

Jövő hét végén itt a május 25. és életbe lép a GDPR rendelet, amivel kapcsolatban úgy viselkedünk, mintha 2 héttel ezelőtt jött volna ki a rendelet. Pedig már 2016 óta velünk van.

Nagyon sok minden változik, nagyon sok mindenre kell odafigyelni. És ha azt gondolod, hogy majd egy jogász megoldja neked az egészet, akkor rossz hírem van: Ez egy összetettebb dolog, érinti a jogászt is, mert meg kell írni szabályzatokat, de érint téged is, mint online marketingező céget és még a webest, a hírlevél szoftveredet, a Google Analytics-et, a Facebook-ot, a könyvelőt, futárt stb.

Összetett kérdés, de elkezdtem körbejárni az online marketinghez tartozó részt, amit röviden megírok.

FONTOS!
Ez a cikk nem számít jogi tanácsadásnak, nem vagyok jogász, én is segítséget kértem és naponta levelezek a jogásszal. Mellette szerintem 100 cikket átnyálaztam már, olvastam a Facebook és Google iránymutatásait, egyeztettem CRM és hírlevelező szoftverekkel és több webfejlesztővel is.

A GDPR kérdés mindenkinél egyedi lesz, vannak sablonizálható dolgok benne, de neked saját magadnak kell elkészítened a megfelelésedet.

Nem akartam én se ezzel foglalkozni, de mivel kellett, ezért gondoltam megpróbálok neked is segíteni.

A cikkel az alábbiakat szeretném elérni

  1. Átlásd, hogy miről beszélünk és, hogy ez téged hol és hogyan fog érinteni

  2. Megtudd, hogy mivel kell a jogászhoz, a webesedhez, a könyvelődhöz, a marketingesedhez, vagy a CRM szoftveredhez fordulnod

  3. Lásd, hogy mik a vitás kérdések, a tisztázatlan pontok (szürke zónák)

Még egy FONTOS dolog

Én is vállalkozó vagyok és nekem is a hátam közepére hiányzott ez az egész. De meg kell felelni. Ezért néhol írok olyan dolgokat, ami a személyes gondolatom, véleményem, hozzáállásom. Megosztok apró kis ötleteket, amit én is fogok alkalmazni ezen a területen, hogy ne szakadjak szét és hogy persze ne vágjam magam alatt a fát…

Ezek személyes vélemények, gondolatok, semmiképpen sem tekinthetők követendő példának. Ezeket külön szürke háttérrel jelöltem.

 

A GDPR megfelelések a BeOnWeb-nél is még folyamatban vannak, ezért FOGSZ MÉG NÁLAM HIÁNYOSSÁGOKAT találni.

Akkor vágjunk bele.

Mi ez a GDPR

Egy új EU-s szabályozás, amit május 25-e után be kell tartanod. A GDPR a magánszférádat védi a személyes adataid védelmével. Ez nem új dolog, korábban is létezett, volt, most annyi változik, hogy kicsit szigorúbb követelményei vannak, nagyobb a bírság, ha hibázol és komolyabb az adminisztrációs teher.

Ha eddig is rendben kezelted az adatokat, nem lesz gond. Egy-két dolgon kell módosíts és több dolgot kell adminisztrálj.

Téged, mint magánszemélyt véd, vagyis nem az a célja, hogy támadjon téged, mint vállalkozót. A GPDR feladata az, hogy az eddigi adatkezelési gyakorlatodat kicsit szorosabb keretek közé terelje, hogy TE, mint vállalkozó megfelelően bánj azokkal az adatokkal, amiket kezelsz.

Nem szereted te se, én se a SPAM-et. Ezeket általában úgy kapod meg, hogy az email címedet eladják vagy jogosulatlanul használják fel. Most tehetsz ellene. Ha te megvéded az általad birtokolt adatokat, más is meg fogja és kevesebb SPAM-et kapsz.

Nézzünk pár alap dolgot GDPR és az adatvédelem során

Milyen adatokról beszélünk, amik nálad is előfordulhatnak?

Olyan adatok, amik alkalmasak arra, hogy egy természetes személyt azonosítani (akár közvetett módon is) lehet. Ilyen adatból az online marketinged során rengeteget tárolsz, kezelsz.

Ilyen lehet például:

  • Név, email cím, telefonszám

  • Postázási cím

  • Fizetési adatok, Bankkártya szám

  • IP cím (remarketing esetén érdekes lesz)

  • A saját munkatársaid személyes adatai, amit a munkaszerződéshez adtak meg

  • És még sorolhatnám mennyi adat, amihez hozzájuthatsz

A lényeg az, hogy rengeteg személyes adathoz jutsz hozzá, amit kezelsz. Ha egyszerűen csak az online marketinged területét nézzük, akkor a számlázáshoz köthető adatok és kapcsolattartási adatok, feliratkozóid e-mail címe és mondjuk a remarketinghez használt adatok (sütik és IP címek) az, amit tuti, hogy kezelsz.

Az adatkezelő és adatfeldolgozó fogalma

Nem ugyanaz a kettő és különböző helyzetek különböző szerepkörbe “sodornak” bennünket.

Adatkezelő az, aki a személyes adatok kezelésének célját és eszközrendszerét meghatározza. Vagyis, ha van saját magad által üzemeltetett weboldalad, feliratkozói listád, akkor bizony te adatkezelő vagy.

Adatfeldolgozó viszont az, aki az adatkezelő utasításai szerint az adatokat feldolgozza. Ilyen lesz pl. a tárhelyszolgáltatód, a futár, a könyvelő, a számlázó rendszer, a bankkártyás fizetési megoldás, a hírlevél küldő szoftvered, az online marketingesed, stb.

Bizonyítanod kell tudni

A GDPR amellett, hogy különböző formákban előírja az adatok védelmét, ez még nem elegendő. Egy incidens, egy vizsgálat esetén neked bizonyítanod kell azt, hogy megfelelően jártál el és véded a hozzád kerülő személyes adatokat. Szóval nem elég azt gondolnod, hogy szerinted te jól csinálsz mindent, be kell majd bizonyítanod, “le kell papíroznod”.

Ez azért fontos és azért helyezek rá nagy hangsúlyt, mert kétes (amikor, két jogász sem ért egyet, miért pont a vizsgáló bizottság tegyen rendet) ügyekben, ehhez fordulhatsz. A biztos jobb, mint a kétes. Erre lentebb találsz majd példákat.

Hogyan állj neki a GDPR megfelelésnek? - Pár lépés

Ezt a cikket mindenképp olvasd végig, utána pedig ajánlom még ezeket:

https://unas.hu/blog/osszefoglalas-a-gdprrol

https://thepitch.hu/gdpr-tanacsok-online-marketing/

https://7blog.hu/gdpr/

http://ec.europa.eu/justice/smedataprotect/index_hu.htm

Cikkekből Dunát lehetne… ezekre érdemes ránézni.

 

Nézz körbe saját magadnál, milyen adatkezelésekkel találkozhatsz

Két egyszerű részre bontom a sztorit,

  1. egy általános weboldalra, mint a BeOnWeb

  2. egy webshopra

(Itt sem lesz teljeskörű a lista, lehet, hogy a te webshopodnál más adatkezelések vannak. Illetve fontos kiemelnem, hogy kifejezetten az online vonatkozásait nézem a dolognak)

De mit nézz?

Kezdd el megnézni, hogy milyen céllal és mikor szedsz be adatokat, mennyi ideig tárolod, valamint ki juthat hozzá azokhoz az adatokhoz. Majd kezdd el külön vizsgálni őket.

Egy egyszerűbb weboldalnál:

Van egy ajánlatkérő űrlapom

Célom: Ajánlatkérések, kapcsolatfelvétel

Adatok: Név, email cím, telefonszám

Kinek adhatom át: A CRM rendszer (ő lesz az adatfeldolgozó)

 

Van egy hírlevél feliratkozási oldalam:

Célom: Hírlevelek küldése feliratkozás után

Adatok: Név, email cím, telefonszám

Kinek adhatom át: A CRM rendszer (ő lesz az adatfeldolgozó) // Google és Facebook - remarketing kampányok futtatása

 

Statisztikát, remarketing listákat készítek a weboldalam látogatóiból

Célom I: a weboldalam látogatottságát mérni és elemezni

Adatok I: Süti, ismeretlen IP cím (fontos, hogy itt nem beazonosítható a felhasználó)

Kinek adhatom át I: Google Analytics // Hotjar (hőtérképes elemzés)

Célom II: hirdetéseket megjeleníteni a látogatottság alapján

Adatok II: Süti, IP cím (itt profilozom a felhasználót, vagyis az oldalamon való böngészése során kialakítok egy profilt róla és így célzott kampányokat juttatok el hozzá)

Kinek adhatom át II: Google Analytics // Google AdWords // Facebook pixel

Ebben az esetben látható, hogy két adatkezelés történik. De lentebb írok részletesen a sütikről.

És ami még lehet az oldalon:

Van egy online tudásanyag megrendelési felületem - vásárlási céllal

Van egy álláslehetőség, jelentkezési űrlappal - jelentkezési céllal

 

Nézzünk egy webshopot:

Van egy vásárlási folyamatom

Célom: A vásárlás és ennek teljesítése

Adatok: Név, email cím, telefonszám, postacím, számlázási adatok, stb.

Kinek adhatom át:  A webshop rendszerem // a számlázó programom // a futár // stb

 

Van egy hírlevél feliratkozási oldalam:

Célom: Hírlevelek küldése feliratkozás után

Adatok: Név, email cím, telefonszám

Kinek adhatom át: A CRM rendszer (ő lesz az adatfeldolgozó) // Google és Facebook - remarketing kampányok futtatása

 

Statisztikát, remarketing listákat készítek a weboldalam látogatóiból

Célom I: a weboldalam látogatottságát mérni és elemezni

Adatok I: Süti, ismeretlen IP cím (fontos, hogy itt nem beazonosítható a felhasználó)

Kinek adhatom át I: Google Analytics // Hotjar (hőképes elemzés)

Célom II: hirdetéseket megjeleníteni a látogatottság alapján

Adatok II: Süti, IP cím (itt profilozom a felhasználót, vagyis az oldalamon való böngészése során kialakítok egy profilt róla és így célzott kampányokat juttatok el hozzá)

Kinek adhatom át II: Google Analytics // Google AdWords // Facebook pixel

Ez egy nagyon fontos lépés ahhoz, hogy átlásd a saját folyamataidat:

  1. Milyen adatokat

  2. Miért

  3. Kinek adok át

  4. Meddig tárolok

Ha ez megvan, akkor erről nyilvántartást kell készítened. Egyrészt én javaslom, hogy külön-külön vedd fel ezeket az adatkezelési folyamatokat, másrészt gyűjtsd egyben is az összeset, amit majd az adatkezelési szabályzatodba bele tudsz írni.

Én azért is külön szedtem, mert ha az egyes adatkezeléseimhez fejlesztés szükséges, és ezt nem tudom megvalósítani május 25-éig, akkor azt felvezetem a fejlesztési teendőim közé. Erről lentebb írok részletesen.

Amint ezzel végzünk, akkor meg kell nézni, hogy ezen adatkezelések jelen pillanatban szabályosan mennek-e, és milyen változtatásokat kell eszközölnünk.

Ehhez szükséges az, hogy néhány cikket elolvass a témában, megnézd a gyakran előkerülő eseteket (webshop vásárlási folyamat vagy hírlevél feliratkozás) és az alapján nekiállj a módosításoknak.

 

Példák: Módosítási javaslatok a fenti adatkezelési eseteknél:

Ajánlatkérő form

Ha eddig csak a bekért adatokkal foglalkoztál, akkor ez most is rendben van, annyi kiegészítéssel, hogy érdemes lenne egy pipálós checkbox-ot betenned az űrlap alá, a gomb fölé, amellyel egyértelműen hozzájárul az ajánlatkérő az adatai kezeléséhez. Ez a pipa nem lehet előre bepipálva.

Szürke zóna: Mivel ebben az esetben egyértelmű, hogy ajánlatkérésről beszélünk és ez az adatkezelés célja, így (ahogy több helyen olvastam) a checkbox elhagyható. Ebben az esetben viszont érdemes kiírni, hogy a gomb lenyomásával ő hozzájárul az adatok kezeléséhez.

Ha itt más adatkezelést is szeretnél, például hírlevelet küldeni vagy egy remarketing listát készíteni az email címekből, akkor új pipálós boxok kellenek neked:

  • Egy a hírlevélhez,

  • egy pedig a remarketinghez.

Hírlevél feliratkozás - amennyiben különálló feliratkozói oldalad (ún. optin oldalad van)

Az előző példához hasonlóan működik. Ha az eddigi űrlapnál nem volt pipálos box, akkor tegyél ki egyet, melyben elfogadják az adatkezelést és azt, hogy hírlevelet küldj.

Vagy válaszd a szürke zónát, nem teszel ki, de ebben az esetben egyértelműen ki kell írd, hogy mi fog történni: Tehát feliratkozik és hírlevelet kap és mellette elfogadja az adatkezelést.

Láttam olyan oldalt, ahol itt két box volt:

  • egyet az adatok kezeléséhez való hozzájárulására

  • egyet a hírlevelezéshez való hozzájárulásra.

Tudtommal ebben az esetben nem írja elő a szabály a két checkboxot

Ha egyéb más célból is szeretnél itt adatokat kezelni, akkor persze az új checkbox-okat jelent.

Szintén fontos itt megjegyeznem, hogy nevet és email címet kell bekérni feliratkozáskor, viszont ezt nem sok oldalon láttam. Így ezzel kapcsolatban egyeztessetek jogásszal.

Mi van a korábbi feliratkozókkal? Fel kell-e íratnod őket újra?

HA …

nem GDPR kompatibilisen gyűjtötted össze őket, vagy nem tudod bizonyítani azt, hogy ők hozzájárultak az adataik kezeléséhez, akkor nem küldhetsz nekik levelet, újra fel kell iratkoztatnod őket. Azonban egy ilyen levél nem számít hírlevélnek, ez egy rendszer email. Ha úgy érzed, hogy minden rendben van, akkor mehet továbbra is a levelezés.

+Tipp: Ha így is van, akkor is kezdd el őket e lehető legtisztábban újra feliratkoztatni. Jót tesz a listádnak is, jobb megnyitási arányokat is hozhat és mikor,ha ne most.

A BeOnWeb feliratkozóinak egyik csoportja szürke zónás, nem volt pipálós box, de az űrlapon szerepel a jogi szöveg. Ha ez elég a NAIH-nak, akkor minden ok, és elvileg elég. A másik csoport egy korábbi csalira jött és egy korábbi email szoftverbe kerültek. Na őket egyáltalán nem tudom igazolni, ezért számukra megy egy új feliratkozási kampány.

Vásárlás

A vásárlás már kicsit összetettebb lesz. Itt ugye az adatkezelés célja a vásárlás, tehát kell egy ilyen pipálós box, ami az adatkezelés elfogadására irányul. Emellett kell egy, az ÁSzF-et elfogadó checkbox.

Ha ezen felül szeretnél feliratkoztatni valakit a vásárlás folyamán a hírlevél listádra, akkor még egy box kell ehhez. Ha még az adatokat szeretnéd remarketing célra is használni, akkor pedig még egy.

Tehát valahogy így kellene kinéznie

  1. X elfogadom az Adatkezelési Szabályzatot
  2. X elfogadom az Általános Szerződési Feltételeket
  3. X Szeretnék a jövőben az XY cégtől reklámcélú leveleket kapni
  4. X Hozzájárulok, hogy a személyes adataim alapján célzott online hirdetést kapjak

(Kíváncsi vagyok, hogy ki pipálja ezt végig)

FONTOS!
Egyik box sem lehet előre bepipálva!
Nem teheted a hírlevélre történő feliratkozást a vásárlás feltételévé. Ha nem akar feliratkozni, attól még shoppingolhat.

A fenti esetekben jön elő igazán a bizonyítás kérdése. El lehet ugyan hagyni egyes checkboxokat, de ebben az esetben a bizonyítási eljárás során nem biztos, hogy meg tudod védeni az állításodat. És nem téged fognak védeni egyetlen egy esetben sem.

 

Sütik és a remarketing

A legkomolyabb kérdés, mert a remarketing kampányaidat legdurvábban befolyásolja. És ezzel a marketinged eredményessége is változhat.

A sütik, IP címek közvetett módon visszavezethetőek egy magánszemélyre, így ezek személyes adatoknak számítanak, hozzájárulást kell kérned a használatához. Itt már érdekes a dolgok jönnek elő, főleg fejleszti kérdésekben.

Ha nem tárolsz sütiket, mert nem járultak hozzá, hogyan bizonyítod azt, hogy nem járultak hozzá???

Alpavetően 3 féle sütit kólünböztetünk meg:

  1. A kötelező, elengedhetetlen sütik - ezek felelnek a weboldal egyes elengedhetetlen funkciójáért. Olyan kényelmi esetek tartoznak ide, mint pl. a rendszer felismeri, hogy mobilról vagy gépről böngészel, vagy a nyelvet, amit használsz.

  2. Statisztikai - itt beszélünk analitikáról és a Google Analytics-ről

  3. Marketing - itt pedi a remarketing kampányokról beszélünk.

Mindegyik süti másra jó, máshogy, más céllal használjuk fel őket. Ezért ugye a szabály szerint hozzájárulást kell kérned a használatához, és mivel 3 különböző van nem veheted egybe.

Vagyis kell egy olyan süti elfogadó sávodnak lennie, ahol ezt a látogató állítja majd be. Ez nem lehet előre bepipálva és ezért nem fog működni többet a remarketing kampányod.

Az elengedhetetlen sütik automatikusan elindulnak, a többit a felhasználó állítja be, egyesével, pipálással.

Hogy a statisztikai sütik, a Google Analytics rendben fusson és ne tudjon profilozni, két beállítást érdemes elévgezned Analytics-ben:

  1. Az Advertising Features funkciót inaktiváld

  2. Kapcsold be az IP címek anonimizálását

Így már majdnem rendben vagy.

Több oldalon is láttam (pl. ibm.hu), hogy a sütik használatához hozzá kell járulni, a hozzájárulás esetében viszont minden süti automatikusan elfogadásra kerül (előre be vannak pipálva). Ha nem akarod, hogy elinduljon minden, akkor te manuálisan állítgathatod (vissza veheted a pipákat). Ez szerintem nincs 100%-ig rendben a GDPR-ral, de többen is azt jelezték, hogy ez elvileg jó. Ennek örülnék, de szerintem és a jogász által mondottak szerint sem OK.

Egy kis kiskapu:

Ez a süti terület nagyon gyenge lábakon áll a GDPR dokumentumban, a Google irányelveit elolvastam, ott pl. TÁJÉKOZTATÁS szerepel HOZZÁJÁRULÁS HELYETT.

Személyesen én sem tudom eldönteni, hogy melyik lesz a legjobb. ezért muszáj volt keresnem alternatívákat megoldásként:

  1. Kapcsold le a remarketinget és keress más kampánylehetőségeket, amíg ez nem oldódik meg.

  2. Egyelőre hagyd, amíg nem tisztázódik a dolog és kérj állásfoglalást a NAIH-tól. Vedd fel a fejlesztések közé és határozz meg egy végső dátumot hozzá. Ha ennek fejlesztési költségei magasak és még nem tudod megvalósítani, akkor a NAIH által kiadott iránymutatás alapján egy vizsgálat esetén megnézik az arányosság elvét, vagyis azt, hogy a lehetőségekhez képest megtettél-e mindent az adatok védelmében. Ez alapján mérlegelnek majd.

  3. A sütiket egyébként a felhasználó tárolja, pontosabban a böngészője. Ezért ha ő nem akar ilyen remarketing kampányokat kapni, akkor azt ő manuálisan a saját böngészőjében a sütik törlésével el tudja intézni. A sütik kezelésével kapcsolatos dokumentációba ezt írd bele, hogyan és miként tud eljárni a felhasználó ezzel kapcsolatban és akkor talán védve vagy.

Szintén felmerülhet itt kérdésként, hogy mi van a május 25. előtt szerzett adatokkal?

Ha nem GDPR kompatibilis, bizonyítható hozzájárulásokkal szerezted be, akkor nem használhatod remarketing célra. Itt is azt vedd figyelembe, hogy GDPR kompatibilisen jártál-e el és hogy ezt tudod-e bizonyítani. Ha bármelyikre NEM a válasz, akkor rossz hírem van: ez nem fog működni.

 

Következőkben kezdj el a GDPR megfelelési dokumentumokon dolgozni

Meg kell felelned technikailg és formailag (papírmunkában) a GDPR-nak. Itt fog előkerülni a jogász, aki a te segítségeddel, a GDPR ismeretével fogja megírni neked a dokumentációkat.  (Egy jó GDPR jogászt legkorábban szeptemberre találsz.)

Mire lesz szükséged?

  • Adatvédelmi szabályzat - Ebben minden benne van, jogásszal érdemes megíratni.

  • Adatfeldolgozási szerződés minta - Ezt a szerződést kell megkösd az adatfeldolgozóiddal, mint pl. az online marketing ügynökséged, a futár, a számlázó, a könyvelő, a külső szoftverek. Ha a szerződő partnered továbbszerződik egy alvállalkozóval, akkor őt már nem kell bevenni a szabályzatodba.

  • Adatvédelmi inicdensről érintett tájékoztatása minta - Ha para van, vagyis valami történt az adatokkal, lopták, feltörték, bármi, akkor adatvédelmi incidens történik. Ezt dokumentálnod kell valamint tájékoztatnod kell az érintetteket (pl. feliratkozót) valamint a NAIH-t és az adatfeldolgozót.

  • Adatvédelmi incidens jegyzőkönyv minta - Ha para van, akkor ezt kell elkészítened, konkrétan vedd fel a jegyzőkönyvet, ami alapján a NAIH tud dolgozni.

  • Adattörlésről nyilatkozat minta - Ha valaki kéri az adatának törlését, akkor azt neked törölnöd kell és erről nyilatkoznod kell felé, hogy megtörtént.

  • Adatkezelési nyilvántartás minta (adatkezelésenként kell elkészíteni) - Ahány céllal dolgozol, annyi nyilatkozat kell. Itt kell külön készítened nyilvántartást a webshop regisztrációról, a vásárlásról vagy a hírlevél feliratkozásról. Vagy bármi másról.

Fejlesztési teendők leírása - Itt írd össze dátumokkal, felelősökkel, hogy milyen fejlesztéseket tervezel elvégezni a GDPR kompatibiltás irányába. 

Ide vedd fel pl. a sütik és a remarketing kérdését. És dokumentáld, hogy mit végeztél el.

Az adatvédelmi tisztviselőről

Kell vagy nem?

Ha kicsi cég vagy és a fő tevékenységed nem az adatkezelés, akkor igazából nem kell külsős személyt megbíznod ezzel. Ilyen esetekben is viszont ki kell jelölni egy felelőst a cégben, aki az egész adatkezelésért felelős, megadható kapcsolattartónak, eljár az ügyben és kezeli az incidenseket. Nem mellesleg folyamatosan képzi magát a területen.

Szerintem leginkább az ügyvezető legyen.

A büntiről

Ezzel kapcsolaptban elrettentés céljából baromi nagy számokkal dobálózik mindenki. Ne ezért vedd komolyan, hanem inkább az etikus online marketing viselkedés szempontjából.

A bírság lehet az éves bevételed 4%-a VAGY több tízmillió euró. Nem hinném, hogy az utóbbi kategóriába esnél, inkább az előbbibe, ha nagy sz---rt csináltál. A 4% is sok, de inkább megfizethető. Ha odafigyelsz és látják rajtad, hogy próbálkozol, vannak dokumentumaid, megvannak a pipák és nem adod el az adatokat jogtalanul, akkor nem fogsz nagy bírságot kapni. Ha nagy hülyeséget csinálsz és nyoma sincs annak, hogy egy jogásszal egyeztettél volna az egészről, akkor ne csodálkozz a büntetésen.

A korábban leírt arányosságra a bírság során is figyelnek: A lehetőségeidhez képest minél többet próbálj meg megtenni azért, hogy megvédd a hozzád kerülő személyes adatokat.

Amik felmerülhetnek benned kérdések:

Május 25-re kell megfelelni vagy május 25-től kell elkezdeni a felkészülést?

Addigra kell megfelelni. 2 éved volt felkészülni.

Vagy legalábbis tegyél meg mindent és készíts fejlesztési tervet majd dokumentáld a lépéseket.

Kik lehetnek adatfeldolgozók?

Csak pár példa: webfejlesztő vagy a bérelhető webáruház fejlesztői, futár, számlázó program, külső fizetési megoldás (Simlepay, Barion), tárhelyszolgáltató, könyvelő, marketing ügynökség, hírlevelező rendszer (Listamester, Webgalamb, SalesAutopilot, stb), CRM rendszer, Analitikai szoftver (Google Analytics), Remarketinghez rendszerek (AdWords, Facebook), Virtuális asszisztensed.

Kell-e az adatfeldolgozókkal szerződést kötnöm? Bele kell-e írjam őket a szabályzatba?

Igen.

És igen.

Adatkezelésenként eltérő adatfeldolgozók jöhetnek szóba, mindegyiket fel kell tüntetned a szabályzatban és külön a nyilvántartásokban. Emellett természetesen szerződést kell köss velük: Van, ahol egyedi megállapodás lesz, és van, ahol az általános szerződés fogja tartalmazni ezt a részt.

Adatok törlését kérték. Adatfeldolgozónál is kell törölni?

Természetesen igen, és erről a fentebb említett dokumentum szerint nyilatkozni kell.

Kivételt képeznek azok az adatok, amelyeket más jogszabályok, törvények előírnak, hogy X ideig meg kell őrízni. Ilyen például a számla vagy munkaszerződés.

 

Kell-e töröljem a számlázási adatokat vagy egy korábbi munkatársam munkavállalási papírjához szükséges adatokat?

Nem. Vannak olyan helyi szabályok, törvények, amik előírnak bizonyos adatok tárolására szabályokat. Ezek a helyi rendeletek, szabályok vagy törvények felülírják a GDPR rendeletet.

Kell-e nekem adatvédelmi tisztviselő?

Nem feltétlenül.

Ha kicsi cég vagy és a fő tevékenységed nem az adatkezelés, akkor igazából nem kell külsős személyt megbíznod ezzel. De egyeztess a jogászoddal.

Ilyen esetekben is viszont ki kell jelölni egy felelőst a cégben, aki az egész adatkezelésért felelős, megadható kapcsolattartónak, eljár az ügyben és kezeli az incidenseket. Nem mellesleg folyamatosan képzi magát a területen.

Szerintem leginkább az ügyvezető legyen.

Incidens történt, mi a teendő?

A tisztviselő megkeresése és ő majd eljár az ügyben. Minden esetben az adatkezelő a felelős.

Teendők: Jelenteni kell az incidenst az érintetteknek, az adatfeldolgozóknak és a NAIH-nak. Emnellett jegyzőkönyvet kell írni az esetről.

Melyik email cím számít személyes adatnak?

Amelyik magánszemélyhez köthető :)

Egy kiss.pista@ vagy pista1977@ email cím magánszemélyhez köthető. Az info@ office@ és hasonló email címek központi, nem általánosságban magánszemélyhez köthető email címek. Kivételt képez ugyanezen email címek egyike, ha tudomásunk van róla, hogy az email cím mögött egyéni vállalkozás szerepel.

Ügynökséggel dolgozom, őt hol tüntessem fel?

Köss vele adatfeldolgozói szerződést és szerepeltesd a szabályzatban mindenhol, ahol ő bármilyen adatfeldolgozó szerepet tölt be. Pl. a feliratkozók vagy remarketing listák használata.

Kell-e akkor pipálós box a hírlevél feliratkozáshoz?

Nehéz kérdés. Két helyen különböző módon lehet eljárni:

Vásárlási folyamatban kell, mert ott a vásárlás az adatkezelés célja. Ha feliratkoztatunk, annak egy új boxnak kell lennie.

Ha csak feliratkozási oldalad van, akkor nem biztos. (Ez a szürke zóna) Ha tutira akarsz menni, teszel egyet és így tudsz bizonyítani is később. Ha vállalod és a jogászod szerint is elég a szöveges megerősítés, akkor nem kell.

Kérdés Mi a helyzet a rendszer emailekkel? Pl. vásárlást igazoló email.

Írd bele az adatkezelési szabályzatba, hogy ilyenek vannak és kellenek a működéshez. Mert kellenek. Ilyen esetekben ezek a tevékenység ellátásához elengedhetetlen adatok, ami belefér. Viszont fontos, hogy itt nem küldhetsz reklámot tartalmazó emailt.

Vásárlást követően küldenél egy véleményt bekérő emailt. Megteheted ezt anélkül, hogy feliratkoztak volna hozzád?

Igen, mivel nem értékesítesz, nem számít hírlevélnek. Belefér a rendszer email kategóriába, de erről kérdezd meg a jogászodat.

Szeretném, ha meglévő vevőm ajánlana engem vagy termékemet másnak, pl. ismerősének a saját rendszeremen belül egy email cím megadásával. Ez így rendben van?

Nem. Mert az ismerős nem adta egyértelmű és önkéntes jóváhagyását.

Kell-e a Facebook vagy AdWords remarketing hirdetéseimhez külön hozzájárulást kérjek?

A jelenlegi állás szerint kell. De olvasd el ezt a részt.

CRM rendszerembe vagy hírlevélküldő szoftverembe gyűjtöm a felirtakozókat. Fel kell-e iratkoztassam május 25 után újból a listán szereplőket?

HA …

nem GDPR kompatibilisen gyűjtötted össze őket, vagy nem tudod bizonyítani azt, hogy ők hozzájárultak az adataik kezeléséhez, akkor nem küldhetsz nekik levelet, újra fel kell iratkoztatnod őket. Azonban egy ilyen levél nem számít hírlevélnek, ez egy rendszer email. Ha úgy érzed, hogy minden rendben van, akkor mehet továbbra is a levelezés.

Már vannak remarketing listáim, használhatom-e őket május 25 után?

Ha nem GDPR kompatibilis, bizonyítható hozzájárulásokkal szerezted be, akkor nem használhatod remarketing célra. Itt is azt vedd figyelembe, hogy GDPR kompatibilisen jártál-e el és hogy ezt tudod-e bizonyítani. Ha bármelyikre NEM a válasz, akkor rossz hírem van: ez nem fog működni.

Facebook-on vagy Youtube-on építek aktivitás alapú remarketing listákat. Ezzel mi a helyzet?

Itt igazából nincs teendőd, mert a felhasználó a Youtube és Facebook szerződési és adatkezelési feltételeivel elfogadja azt is, hogy ilyen hirdetések meg fognak jelenni. Te pedig ezt használod szintén ezeken a felületeken. Te tulajdonképpen nem kezelsz semmilyen adatot.

Mi bajod lehet, ha nem felelsz meg?

Büntetés, bírság és meg kell szüntesd az adatkezelési folyamataidat.

Alapvetően a magánszemélyek körében szerintem kevesen lesznek, akik feljelentenek. Egyrészt eddig is le lehetett iratkozni a listádról (remélem), másrészt ahogy látom, sok vállalkozó sincs tisztában ezzel, nemhogy egy magánszemély. Én inkább a rosszakaróidtól félek, akik tuti keresnek valami hibát és utána magyarázkodhatsz.

Természetesen egyik sem ment fel a szabályok betartásától, úgyhogy mindenképp ess neki.

 

Elcsépelten hangzik, de ha a fentieken végigmentél, látod, hogy hol, mik a teendőid vagy milyen kétes ügyekről lehet beszélni, akkor mindenképp egyeztess egy jogásszal. Fog kelleni, nem úszod meg.

Meg kell egyeztess a marketingeseddel, könyvelőddel, futárral és a webeseddel.

Nem kapok semmilyen jutalékot ezzel kapcsolatban, de a net-jog.hu-t ajánlom mindenkinek. Megcsinálni csak szeptembertől tudja nektek az adatkezelési papírokat, de ha webshopod van vagy egy “átlagos”, BeOnWeb szintű oldalt üzemeltetsz, akkor vannak előre elkészített sablon csomagjaik pár tízezer forintért. Ennyiért megéri, hogy “le legyél papírozva” és egy esetleges ellenőrzés során fel tudj mutatni papírokat, hogy te bizony készülsz erre.

Röviden ennyit akartam a GDPR témakörben.

Mivel még sok konkrétum kérdéses, ezért a fenti cikkben is lehetnek a te álláspontodtól eltérések.

Ha valami észrevételed van, akkor azt jelezd lentebb nyugodtan. Kérlek, hogy csak konstruktív hozzászólással segíts, az “ez szar” és “az EU hibája” megjegyzésektől tartózkodjunk.

 

Hozzászólások

Két kérdésben tévedsz - szerintem:
- az ügyvezető nem lehet adatvédelmi tisztviselő
- a büntetésnél, nem választhatod, hogy 4%-ot vagy több tízmillió eurót fizetsz, ahogy azt sugallja a megfogalmazás:
"Nem hinném, hogy az utóbbi kategóriába esnél, inkább az előbbibe, ha nagy sz---rt csináltál. A 4% is sok, de inkább megfizethető."
Amelyik a nagyobb, azt kapod - elvileg...

Kedves VT,
köszi a hozzászólást!
- Nem tudok róla, hogy az ügyvezető nem lehet tisztviselő, de erre rákérdezek
- Valóban nem választás alapon megy a bírság, ezt kiszabják rád és kész, ahogy írod. Én nem érzem a megfogalmazást félrevezetőnek, ha egyben olvassuk:
"A bírság lehet az éves bevételed 4%-a VAGY több tízmillió euró. Nem hinném, hogy az utóbbi kategóriába esnél, inkább az előbbibe, ha nagy sz---rt csináltál. A 4% is sok, de inkább megfizethető. Ha odafigyelsz és látják rajtad, hogy próbálkozol, vannak dokumentumaid, megvannak a pipák és nem adod el az adatokat jogtalanul, akkor nem fogsz nagy bírságot kapni. "

Köszönöm még egyszer az észrevételeidet!
Gábor

Sima magánszemélyek közötti internetes levelezés során is bizony előfordulnak személyes adatok, sőt néha bankszámlák adatainak akaratlan kezelése, tárolása. Ezekre is vonatkozik ez az EU-s rendelet?

Szervusz Balázs,
Tudtommal igen, erre is vonatkozik, de ez már nem igazán érinti az online marketing részt. Én is fél szóval rákérdeztem ilyesmikre a jogásznál, azt javasolta, hogy a lehető legkörültekintőbben járjunk el ilyen esetekben. Azt tartsuk szem előtt, hogy a lehető legjobban próbáljuk megóvni a személyes adatokat. Ha ilyen adatok kerülnek a levelezőnkbe, vagy akár telefonunkra, laptopunkra, akkor ezeket az eszközöket (ahogy egy zárható fiókot) megfelelő védelemmel lássuk el. Ilyen pl. egy tűzfal, egy jelszavas azonosítás, egy kétlépcsős hitelesítés, stb.

Egyszemélyes,Katás bt. Csak készpénzfizetési szlát állítunk ki.Azt tudtommal 8 évig meg kell őrizni. Mi ránk is vonatkozik akkor a GDPR?

Szervusz,
A GDPR cégmérettől és formától függetlenül vonatkozik mindenkire, ahol adatkezelés történik. A számla kiállítása és tárolása nem kötődik az online marketinghez, így erre biztos választ nem tudok adni. De tudtommal a számlákat és szerződéseket zárható helyen kell tartani. DE! Kérés esetén ezen adatokat nem lehet törölni, hiszen a helyi számviteli tv. (azt hiszem ez a tv. írja elő a számlák megőrzését) felülírja GDPR szabályozást.

A NAIH állásfoglalásából idézve:
"...az adatvédelmi tisztviselő nem tölthet be olyan pozíciót a szervezeten belül, amelynek keretében ő határozza meg a személyes adatok kezelésének céljait és eszközeit..."

"Ökölszabályként, az összeférhetetlenséget okozó szervezeten belüli pozíciók lehetnek a felsővezetői pozíciók (például vezérigazgató, ügyvezető igazgató, pénzügyi igazgató, főorvos, marketing osztályvezető, humán erőforrás vezető vagy informatikai osztályvezetők), de más, a szervezeti struktúrában alacsonyabb szinten lévő pozíciók is, ha ezek a pozíciók az adatkezelés céljainak és eszközeinek meghatározásával járnak. Ezenkívül összeférhetetlenség merülhet fel például, ha a külső adatvédelmi tisztviselőt az adatkezelő vagy az adatfeldolgozó bíróság előtti képviseletére kérik fel adatvédelmi kérdéseket érintő ügyekben..."

Szervusz,
köszönöm, hogy bemásoltad a NAIH állásfoglalást. Ez így sokat segít. A tisztviselő alapvetően külsős személy, akire nem biztos, hogy szükség van nálad. Ahogy viszont fentebb is írtam, egy felelőst a cégen belül jelölj ki erre a feladatkörre, aki ezért a területért felel. Itt viszont érdemes az általad leírtakat figyelembe venni és az összeférhetetlenség kérdését vizsgálni.

Sziasztok,

iszonyú hosszú leszek, elnézést, pedig csak 2+1 dologról van szó:

Az egyik, Gábor cikkéből (egyébként köszönöm, nagyon hasznos volt): a hírlevél feliratkozásnál úgy érted, hogy azért elég egy box, mert a hírlevél küldés és az adatkezelés ebben az esetben ugyanaz? Elsőre az tűnik logikusnak, hogy azért van két box, mert az egyikben hozzájárul ahhoz, hogy kezeld az adatait profilozás, Adwords vagy akármi céljából (tehát cookie policy), és külön kell kérni a hozzájárulást a hírlevél küldéshez.)

A másik Balázs kérdésére (magánszemélyek közötti internetes levelezés során is előfordulnak személyes adatok; ezekre is vonatkozik-e a rendelet?): szerintem nem.

Nem találom pontosan a rendeletben (keresem!), de a lényeg, hogy a GDPR vonatkozik egyéni vállalkozókra, MAGÁNSZEMÉLYEKRE és társas vállalkozásokra is, AKIK a GDPR hatálya alá tartozó adatkezelést végeznek. A magánszemély ebben az esetben pl. a lakástulajdonos lehet, aki a bérlő adatait "kezeli"; vevő és eladó ház- vagy autóvásárlásnál; az óraadó magántanár; a masszőr; a fodrász (bár utóbbiak többnyire egyéni vállalkozás keretében működnek, tehát alapból a GDPR hatálya alá tartoznak, és igen, a papír noteszüket is nyilvántartásba kell venni és jelenteni az incidenst, ha kihullik a tatyóból a BKV-n). (Próbálom elképzelni, amint a fodrászom lélekszakadva felhív és közli, hogy a nevem és a telefonszámom idegenek kezébe került, mosmilesz.)

Az, hogy hozzáférek a férjem bankszámla adataihoz, nem ide tartozik, nem fogok róla nyilvántartást készíteni. Sajnos a telefonom tartalmáról sem fogok (ki szokott? ki fog?). Ez fáj egyébként a legjobban a rendelet kapcsán: iszonyú időt, energiát, pénzt ölünk a userek adatainak "védelmére", miközben emberek úgy adják-veszik a használt telefonokat, tableteket, laptopokat, hogy fel sem merül bennük, hogy legalább jelentkezzenek ki a Chrome alól, ha már a gyári beállítások visszaállítása opciót nem találják.

Egy kérdésem nekem is van: hogyan bizonyítom, hogy az ügyfél kérésének megfelelően valóban töröltem az adatait? Illetve hogyan fogja ezt bárki ellenőrizni? Lehetséges egyáltalán ellenőrizni (mármint ésszerű kereteken belül, a 8 hekker 2 hétig vizslatja az összes eszközömet az FBI bevonásával nem ér).

Kedves Mariann,
köszi a kérdéseidet.
Próbálok sorrendben menni a válaszaimmal.
Az egyik a hírlevelezés-cookie-adwords kérdése: Egy egyszerűsített hírlevél feliratkozás esetében az adatkezelés célja a hírlevelezés. Tehát itt, ha kerül be pipálós box (nem feltétlenül kell megfelelő szöveges tájékoztatás mellett - szürke zóna), akkor az a hírlevél küldésének tényét és az adatkezelési szabályzat elfogadását igazolja. Ebben az esetben a remarketing hirdetéseket nem készíthetünk az email cím alapján, arra egy külön pipálós box kell.
A második terület igazából nem kapcsolható az online marketinghez, neked is azt tudom mondani, hogy a lehető legkörültekintőbben járj el az adatok védelme érdekében. Ha eladod a telefonod, laptopod, bizony, törölj róla mindent.
Az adatok törlésére vonatkozóan ne azon gondolkozzunk szerintem, hogy hogyan ellenőrzik, hogy valóban töröltem-e. Ha kérik, és nem törlöd az adatot, akkor az valahol megvan nálad, egy vizsgálat során kiderül, hogy a kérés ellenére sem törölted az adatot. És az baj.

Köszönöm a válaszokat.
A törlésre vonatkozóan nem elsősorban az a kérdés, hogyan lehet megkerülni az előírást, hanem a törlés tényének dokumentálhatósága. (Másodsorban tényleg érdekel, hogyan lehet ezt ellenőrizni egy 2-150-1500 fős vállalkozás összes gépén, szerverén, felhőjében. De mindegy, majd a gyakorlat megmutatja.)

Szoa Gábor!

Nemrég kaptam e-meilt a Salesautopilottól GDPR-al kapcsoaltban. Nem tudom, hogy jól értettem e, de lehetséges, hogy leállítjak a szolgáltatást, ha nem felek meg a GDPR követelményeknek. Lehet nem jól értettem, de nekem valami ilyesmi jött le.
köszi,
p

Szervusz,
én ilyet nem olvastam a Salesautopilottól, de nem kizárt, hogy van ilyen. Az ilyen szoftverek a saját védelmükben is el kell, hogy járjanak, így ha pl. olyan tevékenységet végzel, ami az ő érdekeit sérti, meglehet, hogy felfüggesztik a szolgáltatást. Kérlek küldd el nekem, ahol ezt olvastad és megnézem.

Kedves Gábor!
Köszönöm az összefoglalót. Mivel a GDPR csak magánszemélyekre vonatkozik, jól értelmezem ugye, hogy a tőlünk ajánlatot kérő cégek esetében nem kell alkalmazni? Nyilván az ő adataikkal sem élünk vissza, de akkor a rengeteg adminisztráció elkerülhető.
Ha az ajánlatot nem webes formon, hanem emailben kérik, akkor hogyan fogadtatom velük el az adatkezelést?Elég, ha beleírjuk az ajánlatba?
Valamint ami számomra a legnagyobb kihívás: mi virágküldő szolgálatként olyanok adatait is megkapjuk, akik erről nem is tudnak. Ilyenkor mi a teendő, mert egyáltalan nem életszerű, hogy a címzettől a kiszállítás előtt engedélyt kérjünk, vagy akár, hogy utólag elfogadtassuk, hiszen sokszor nem ő veszi át a küldeményt. Az adatokkal csinálni nem csinálunk semmit, de nem is töröljük, hogy később az ügyfeleknek könnyebb legyen ugyanarra a címre újra csokrot küldeni. Köszönöm válaszod! A.

Szervusz,
A GDPR magánszemély adataira vonatkozik. Ha az ajánlatkérés egy cégtől, de magánszemélytől érkezik (pl. én BeOnweb-ként kérek ajánlatot, de az én céges email címemet adom meg az űrlapon), akkor az már személyes adat, hisz tudom, hogy kitől jött. Ha nem használtok űrlapot, hanem direkt nektek írnak, akkor nem tudsz hozzájárulást kérni. Ebben az esetben a szükségszerű kapcsolattartás miatt kell személyes adat, elengedhetetlen, hogy meglegyen az email cím, nem kell hozzájárulást kérned. Viszont ebben az esetben az üzlethez történő kapcsolat miatt van meg az elérhetősége, tehát hírlevéllel már nem keresheted meg.
A harmadik ponttal kapcsolatban kérd ki jogász véleményét, ez nem egy általános eset, nem tudok rá pontos választ adni.
Remélem tudtam segíteni válaszaimmal.

A virágküldés kérdését általánosítanám: mi van akkor, ha a webshop vevője egy, a sajátjától eltérő szállítási címet ad meg? (Nyilván a kérdés csak akkor merül fel, ha ez a cím privát és a GDPR alá esik. De lehet ilyen: jómagam pl. rendszeren kérem a csomagjaimat az egész nap otthon ülő nyugdíjas édesanyámhoz.)
Nem helyezkedhetünk ilyenkor adatfeldolgozói szerepkörbe? A szituáció tulajdonképp ugyanolyan, mint mikor a webshop üzemeltetője bízza meg a futár céget a kiszállítással a vevő címére. Az eltérő szállítási címnél a megbízó (és egyben a szállítási cím adatkezelője) a webshop vevője; a szállító (és így adatfeldolgozó) pedig a webshop üzemeltetője. (Ha ez az érvelés egyáltalán megállja a helyét, akkor is ezt az ÁSzF-ben rögzíteni kell.)
Mi a véleményed erről?

Kedves Gábor,
ez egy igen érdekes kérdés, mindenképp érdemes egyeztetni jogásszal, hogy kinél pontosan milyen is a gyakorlat.
Nem vagyok jogász, de most két dolgot tudok elképzelni:
Egyrészt ugye a vevő adja meg a címeket, neveket, tehát te, mint webshop tulajdonos az adatok beviteléért és helyességéért nem felelsz. Szerintem itt is egyszerűen adatkezelő vagy, mint máshol. A futár pedig adatfeldolgozó.
Másrészt ezen adatok az üzlet teljesítéséhez kellenek, enélkül nem teljesül a szerződést, vagyis ezen adatokhoz mindenképp hozzá kell jutnod, és ez alapján adatkezelőként szerepelsz.
De tényleg azt mondom, hogy egyeztessetek jogásszal.
Gábor

Új hozzászólás