Május 25. Eddig van még ideje a cégeknek felkészülni az új adatvédelmi szabályozásra. Jó, jó, hogy mit szabad és mit nem szabad nekik, legyen csak a vállalatok dolga nem? Azért jobb, ha te is tisztában vagy vele, ki mit csinálhat a személyes adataiddal.
Röviden a személyes adatok védelmének jelentőségéről
A GDPR (General Data Policy Regulation) az uniós állampolgárok személyi adatait védi. Természetesen eddig is volt és van törvényi szabályozás érvényben az egyes tagállamokban, illetve EU szinten a GDPR is az 1995-ben életbe lépett EU Data Protection Directive elveire épül.
Ám azóta sok víz lefolyt a Dunán, gombamód szaporodtak el a közösségi médiaplatformok, webshopok és az Unióban ki ki a maga módján egészítette ki a direktívát. Ezt igyekszik egységes irányelvek felé terelni a GDPR. Szigorúan és tényszerűen.
Vonatkozik rád a GDPR?
Küldesz ki hírlevelet? Van webshopod? Gyűjtesz személyes adatokat a kontaktjaidról? Van alkalmazottad? Ha egy cég igennel felel, jó eséllyel vonatkozik rá. Négy fős kisvállalkozás vagy nemzetközi multi, akinek nem is EU-s a székhelye, egyre megy. Aki cégtevékenységet folytat a kontinensen avagy egy tagállammal, meg kell feleljen a GDPR-nak. De menjünk tovább ennél.
Viva la Opt in!
A GDPR egyik központi témaköre a beleegyezés. Egy cég minden személyes adathoz fel kell tudjon mutatni egy beleegyező nyilatkozatot. Nem elég a sejtetett beleegyezés és nem elég az előre bepipált “a feltételeket elolvastam és megértettem” dobozka.
Olyan megoldásokat kell alkalmazni, ahol a felhasználó aktív közreműködése nélkül a beleegyezés nem születhet meg. Olyan megoldást, ahol az adataink felhasználására vonatkozó belegyezés nincs összemosva az egyéb feltételekkel.
Felejts már el!
Mondtad már, amikor kismilliomodjára kaptál olyan hírlevelet, amiről azt hitted, már rég leiratkoztál?
Ez egyszerűbben hangzik, mint amilyen valójában. Ugyanis az adatok törlése egy cég adatbázisából ritkán egyenlő azzal a könnyed mozdulattal, hogy a fiókból lazán előkapott dossziét átküldjük az iratmegsemmisítőn.
Lásd át a GDPR rendszerét!
Nem kell megijedni. A GDPR körüli teendők méretarányosan róják terhüket a cégekre, pár tucatnyi ügyfélkörrel értelemszerűen nincs annyi vesződség, mint több millióval.
Legfontosabb érteni a saját rendszerünket: milyen jellegű információt gyűjtünk, hogyan, honnan? Hogy dolgozzuk fel és tároljuk őket, mire használjuk mi és az esetleges partnereink?
Fontos nem megfeledkezni itt az eszközeinkről (webshop, E-mail marketing, stb.), mert a felelősség minket, az adatkezelőt és az adatfelhasználót közösen terhel.
Tájékoztass!
A törvény nem válogat a hatályba lépte előtt és után gyűjtött adatok között, így a már kezünkben lévő adatokat sem árt górcső alá venni.
Honnan van a hírlevél címlistája? Tartozik hozzá beleegyező nyilatkozat? Mikori is az? A lényeg: a GDPR alapján legálisan tároljuk és használjuk, vagy sem? Az esetleges hézag még orvosolható néhány gyors kampánnyal, ha a szervezet újra kopogtat egy egy hiánypótló beleegyező nyilatkozatért.
Nézzük a gyakorlatban!
A törvény olyan rendszert ír elő, ahol hozzáférésed van az adataidhoz, tudod szerkeszteni, és törölni. Ha nincs olyan platform, ahol magad tudnád megtekinteni, toldozni, foldozni, akkor is lekérheted és van lehetőséged töröltetni.
Ez értelemszerűen egy letisztázott és átlátható rendszert kíván meg a cégek felől.
Hovatovább azt is, mikor szereztük be és hogyan. És mindezt a felhasználó kérelmére az ő rendelkezésére bocsátani.
Betartatható ez egyáltalán?
Törvénysértés esetén a bírság felső határa 20 millió euró, avagy az előző év teljes árbevételének 4 %-a. Ez ijesztően magas. Viszont a betartatás nem sétagalopp. Nagyobb cégek auditálásától eltekintve, nagyrészt a végfelhasználón múlik.
Kéretlen reklámlevél? Ismeretlen félnek kiadott telefonszám? Az efféle hétköznapi esetek keményebb számonkérésére ad lehetőséget a GDPR. A cégeknek abban az esetben van bejelentési kötelezettségük a felhasználók felé, ha adatszivárgásról szereznek tudomást. Akkor viszont 72 órán belül.
Ne tessék félreérteni!
Az eddig is érvényben lévő hazai Infótörvény és a GDPR alapelvei közel megegyeznek. A hazai jogszabály ráadásul sok tekintetben szigorúbb, mint a GDPR – ennek eddig is meg kellett felelnünk. Ha mostanáig figyelmet fordítottunk az adatvédelemre, nem kell máról holnapra egy teljesen új rendszert előrántani a köpönyegünkből. Tucatnyi olyan szempont akad, amit jó nebuló már korábban mérlegelt.
Viszont nem árt tudni, hogy a törvény szabályozta témakörök egy része a tagállamok hatáskörében marad. Így nem elég az utolsó betűig bemagolni a GDPR-t, a magyar jogalkotást is figyelemmel kell kísérni.
Ha pedig végképp elvesztünk a jogalkotás útvesztőjében, ne várjuk meg, amíg ránk talál a Minotaurus. Segítségként fordulhatunk adatvédelmi tanácsadóhoz, ügyvédhez vagy alapkérdésekkel akár magához az adatvédelmi hatósághoz (NAIH). Nem az a lényeg, hogy egy kisvállalkozó is multi szintű IT védelmet fejlesszen. Ki ki a maga szintjén kell megfeleljen a törvénynek.
Szép új világ
A cégeknek ez lehetőség az egyszerűsítésre, rendszerezésre. Minden bizonnyal tele vagyunk olyan adatokkal, amikre semmi szükség, de felelősséggel tartozunk értük.
Minek tartogassuk? Ha vannak olyan eszközeink, amik nem teljesen tiszta, hogy működnek, nem árt átböngészni őket. Ha nagyban játszunk, adatvédelmi biztosra lesz szükség. Egy egy termékbe pedig nem árt már a kezdetektől beépíteni az adatvédelmi garanciákat.
Hogyha le akarod ellenőrizni, mit tárol rólad és mire adtál engedélyt, megteheted, módosíthatod, de akár gondolsz egyet és törlöd magad végérvényesen.
Igaz, ha új szolgáltatásra iratkozol fel, valószínűleg több, mint egy rubrikát kell majd kipipálnod. Viszont tudatos fellépésekkel sokkal letisztultabb postafiókod lehet.