Kis pénz, nagy foci
Az új uniós adatvédelmi rendeletre nem csak a nagyvállalatoknak, a kis egyesületi weboldalak vagy személyes blogok kezelőinek is fel kell készülniük. Ellenkező esetben rájuk is súlyos bírságot szabhatnak ki.
Miközben az Európai Unió május 25-étől hatályos Általános Adatvédelmi Rendeletével (General Data Protection Regulation) kapcsolatban a nagyvállalatoknál a hr-től az ügyfélszolgálatig már hetek óta minden részlegen négy betű körül forog a világ, a GDPR jóval túlmutat „a felső tízezer” szervezet világán. Adatkezelést ugyanis nem csak a nagy cégek végeznek. Ilyen tevékenység történhet például egy személyes célokra saját magunk által létrehozott és üzemeltetett weboldalon, például blogon is.
„A magáncélú, magánszemélyek által végzett adatkezelés nem tartozik az új adatvédelmi rendelet hatáskörébe” – mondta a HVG-nek dr. Holló Dóra, a Holló Ügyvédi Iroda ügyvédje. Ilyen lehet például egy születésnapi buli megszervezése, ahol a barátok, ismerősök telefonszámát, e-mail címét és más hasonló adatait „kezeljük”. Erre érthető módon nem vonatkozik a GDPR, az ennél csak kicsivel komolyabb, összetettebb esetekre azonban már igen.„Ha az adatkezelés mögött felmerül bármilyen üzleti jellegű cél, akkor a kis cégekre is ugyanaz a szabályozás vonatkozik, mint egy nagyobb cégre. A megítélés csak attól függ, hogy kezel-e személyes adatot az illető, és milyen keretek között” – teszi hozzá a jogász. Mindez azt jelenti, hogy ha egy kis cégnek van például saját honlapja, ahol hirdetéseket is megjelenít, akkor rá, illetve a weboldalra már vonatkozik az adatvédelmi rendelet, hiszen a hirdetésekből – legyenek azok akár csak a Google AdSense rendszerével megjelenített reklámok – bevétele származik. (…)
Ennek értelmében érdemes még a legkisebb weboldal kezelőjének is felkészülnie arra, hogy megfeleljen a GDPR elvárásainak. Ilyen lépés például a felhasználók tájékoztatása, amely alapján világossá válik, milyen célból van szükség az adataira. Ehhez egy adatvédelmi tájékoztatót kell feltüntetni az oldalon, az érintetteknek pedig azt önszántukból kell elfogadniuk. Vagyis nem tehetjük meg, hogy az adatok bekérésekor a „Megértettem és elfogadom az adatvédelmi tájékoztatót” mező melletti check-boxot már eleve „kipipálva” jelentetjük meg a weboldalon. Az a szakemberek szerint már egy más kérdés, hogy a saját maga által elhelyezett „pipa” előtt valóban elolvassa-e a felhasználó a tájékoztatót.Mindenesetre ez már a felhasználó felelőssége. Az adatvédelmi tájékoztatóban fel kell tüntetni, hogy pontosan ki az adatkezelő, mi az elérhetősége, milyen célra milyen adatokat gyűjt, kezel és meddig, valamint, hogy mit tesz meg az adatok védelme érdekében és milyen cégek, szolgáltatások érintettek még az adatkezelésben. Ilyen lehet például a Google, amelynek webszerte elterjedt Analytics szolgáltatása monitorozza Magyarországon is kisebb és nagyobb honlapok zömének olvasóit, és biztosítja a részletes látogatottsági adatokat. Emellett azt is meg kell adni, hogy az adatok törlésének, módosításának igényével kihez fordulhatnak felhasználók. (…)
Az már évek óta előírás, hogy a weboldalak üzemeltetői a felhasználók akár csak név nélküli követésére használható adatcsomagok (cookie-k vagy sütik) rögzítésének tényét a honlapon azonnal látható módon feltüntessék. Mostantól azonban arra is meg kell adni a lehetőséget a felhasználók számára, hogy beállítsák, milyen célra lehessen használni ezeket a kódokat. Emellett egy külön tájékoztatóra is szükség lesz, amelyben elolvasható, hogy pontosan mit kell tudni a sütikről, hogyan kezeli azokat az oldal és hogyan lehet törölni ezeket a követőkódokat a számítógépről. Érdemes mindehhez olyan, harmadik fél által fejlesztett modult használni, amelyet már eleve felkészítettek arra, hogy megfeleljen a GDPR követelményeinek. A legnépszerűbb tartalomkezelő rendszer, a WordPress esetén ilyen például az EU Cookie Law nevű, folyamatosan aktualizált, magyar nyelven is elérhető bővítmény.Az adatkezelők számára kellemetlen rossz hír, hogy Holló Dóra szerint a GDPR-t nagyon is komolyan fogja venni a hatóság. Mindez azt jelenti, hogy egyforma tevékenységért egyforma büntetést szabhatnak ki: egy németországi kis webshop büntetési tételét kaphatja meg egy ugyanakkora méretű magyar üzemeltető is. Türelmi idő pedig nincs – illetve lényegében már letelt. „Az EU új adatvédelmi rendelkezése valójában nem új, hiszen az már 2016. májusában hatályba lépett. Az adatkezelőknek az elmúlt két év állt rendelkezésükre, hogy igazodjanak a szabályozáshoz” – hangsúlyozta az ügyvéd. Holló tapasztalata szerint a kép meglehetősen vegyes. Vannak olyan vállalkozások, amelyek már hónapok óta felkészültek, de akad sok olyan is, amely csak most, az utolsó utáni pillanatokban próbál meg az új előírásnak megfelelő informatikai és jogi környezetet kialakítani. Azt egyébként egybehangzóan tanácsolják a szakemberek, hogy az adatkezelést folytató weboldalak üzemeltetőinek cégmérettől függően érdemes legalább egy baráti jogásszal konzultálniuk arról, elégséges-e, amit elvégeztek.Megjelent a HVG 2018. május 24-i számában. Szerző: Pavló Péter
Kérdése van? Keressen minket bizalommal!
Rugalmasság
Ügyfeleink teljes körű kiszolgálása érdekében akár cégénél kihelyezve is segítünk sürgős jogi problémáinak megoldásában. Munkatársaink telefonon és e-mailen is elérhetőek.
Gyorsaság
Irodánk a cégjogi és a szerződések elkészítésével kapcsolatos feladatokat 5 munkanapos határidővel vállalja. Egyéb munkatípusokkal kapcsolatban egyedi határidők megadásával igyekszünk a leghatékonyabb és leggyorsabb megoldást kínálni Önnek és cégének.
Hatékonyság
Ügyfeleink hatékony, lényegre törő, gyors és precíz kiszolgálása alapelveink egyike. Nem végzünk felesleges, időhúzó munkát, így Önnek sem kell a jó megoldásra napokat várnia!
Szakértelem
Jogász munkatársaink kiemelkedő szakértelemmel látják el a megjelölt szakterületeken cége ügyeit a magyar mellett angol nyelven is. Így a mi szaktudásunk az Ön vállalatának építőköve.