GDPR – mire figyeljünk ha weboldalunkon felhasználói adatokat kezelünk
Az EU általános adatvédelmi szabályzata (GDPR) 2018. május 25-től alkalmazandó, amikor hatályon kívül helyezi az összes EU-tagállam jelenlegi nemzeti adatvédelmi jogszabályait. Jelentős és széles körű hatályba lépésével a rendelet 21. századi megközelítést hoz az adatvédelem területén. Ez kiterjeszti az egyének azon jogát, hogy ellenőrizzék személyes adataik összegyűjtésének és feldolgozásának módját, és számos kötelezettséget teremtenek a szervezetek számára, hogy nagyobb felelősségre vonhassanak az adatvédelem terén.
A következő kilenc pontban összefoglaljuk, hogy mit is jelent ez:
1. Adatvédelmi tisztviselő kinevezése
Jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelése esetén szükséges egy adatvédelmi tisztviselő kinevezése.
Az adatvédelmi tisztviselő tájékoztat és szakmai tanácsot ad, ellenőrzi az adatvédelmi rendelkezéseknek, továbbá személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést. Feladatköröket jelöl ki, az adatkezelési műveletekben résztvevő személyzet tudatosság-növelésében és képzésében segít, valamint a kapcsolódó auditokat is elvégzi.
2. Adatvédelmi incidens kezelése
Továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést nevezzük adatvédelmi incidensnek.
Az adatvédelmi incidenseket legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomásár jutottunk, be kell jelenteni az adatvédelmi hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
Ha az adatvédelmi incidens magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, késedelem nélkül tájékoztatnunk kell a felhasználókat erről.
3. Bizonyítási teher
Amennyiben az adatkezelés az érintett hozzájárulásán alapul, kel tudnunk bizonyítani, hogy az adatkezelési művelethez az érintett is hozzájárult. Szükséges biztosítani azt, hogy az érintett tisztában van azzal, hogy hozzájárulását adta, valamint, hogy ezt milyen mértékben tette.
Előre megfogalmazott hozzájárulási nyilatkozatról kell gondoskodjunk, amelyet érthető és könnyen hozzáférhető formában kell a felhasználók rendelkezésére bocsátani. A nyilatkozat nyelvezetének világosnak és egyszerűnek kell lennie, és nem tartalmazhat tisztességtelen feltételeket. Az érintettnek legalább tisztában kell lennie a webshopot üzemeltető kilétével és a személyes adatok kezelésének céljával, hogy a tájékoztatás hitelesnek minősüljön.
A hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós választási lehetőséggel és nem áll módjában hozzájárulását megtagadni vagy visszavonni anélkül, hogy ez kárára válna.
4. Adatkezelési tájékoztatók frissítése
Frissítenünk kell az adatkezelési tájékoztatót. Az adatkezelésről szóló tájékoztatás tömör, átlátható, érthető és könnyen hozzáférhető formában kell nyújtani.
Az adatkezelési tájékoztató alábbiakat kell tartalmazza:
- a webshop üzemeltetjét és elérhetőségeit;
- az adatvédelmi tisztviselő elérhetőségeit, ha van ilyen;
- a személyes adatok tervezett kezelésének célja, az adatkezelés jogalapját, a webshop vagy harmadik fél jogos érdekei;
- a személyes adatok címzettjeit, ha van ilyen;
- adott esetben annak tényét, hogy a webshop harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat
5. Adatfeldolgozói szerződések kötése
Szerződésben kell szabályoznunk a webáruház a vele kapcsolatban álló adatfeldolgozók adatvédelemmel kapcsolatos feladatait. Az adatfeldolgozói szerződésnek tartalmaznia kell az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint a felek kötelezettségeit és jogait.
Ha az adatkezelést a webshop nevében más végzi, a webshop kizárólag olyan adatfeldolgozókat vehet igénybe, akik megfelelő garanciát nyújt az adatkezelés követelményeinek való megfelelésére és a megfelelő technikai és szervezési intézkedések végrehajtására.
6. Nyilvántartás vezetése
A rendelet értelmében az adatkezelő és adatfeldolgozó a végzett adatkezelési tevékenységekről nyilvántartást kell vezessen. A nyilvántartás-vezetési kötelezettségek nem vonatkoznak a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve ha:
- az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár;
- az adatkezelés nem alkalmi jellegű;
- az adatkezelés kiterjed a személyes adatok különleges kategóriáinak vagy büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére;
7. Adatbiztonság
A GDPR előírja, hogy a webshopnak és az adatfeldolgozónak is megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot bitosítson.
Ennek megfelelően szükséges a webáruházak adatbiztonsági rendszerének felülvizsgálata és folyamatos fejlesztése.
8. Gyors intézkedés
Bármilyen adatbiztonsági kérelem beérkezésétől számított egy hónapon belül kell tájékoztatnia az érintettet az evvel kapcsolatos intézkedésekről.
Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható.
Ha nem teszünk intézkedéseket az érintett kérelme nyomán, legkésőbb a kérelem beérkezésétől számított egy hónapon belül, tájékoztatnunk kell az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be az adatvédelmi hatóságnál, és élhet bírósági jogorvoslati jogával.
9. Adatkezelés a webshopot üzemeltető cégen belül
Megfelelve a beépített adatvédelem követelményének, nem csak formálisan, hanem belső folyamataikban is meg kell felelniük a webshopoknak a GDPR előírásainak. Ennek keretében szükséges a belső adatvédelmi szabályzatok elkészítése.