3 terület, amit mindenképpen érint a GDPR egy vállalkozásnál – GDPR 2. rész

3 terület, amit mindenképpen érint a GDPR egy vállalkozásnál – GDPR 2. rész

Kire vonatkozik a GDPR, vagyis az EU új adatvédelmi rendelete? Most még lehet, hogy csak legyintesz, de hamarosan te is látni fogod, hogy nagyon sok területen téged is érinteni fog.  Az első terjedelmes cikkben már átfogó képet kaptál a május 25-én már alkalmazandó rendeletről, most a legfontosabb területeket fogjuk átnézni. Most gyakorlati példákkal mutatom be a GDPR érintett területeit. Először egy kis rövid szösszenettel kezdünk, ha nem hallottál volna még a GDPR-ról.

GDPR lényege, röviden

Bár igaz, hogy csak 2018. május 25-től kell alkalmazni, valójában már most a türelmi időben vagyunk, mert 2016. április 27-től hatályba lépett az új EU-s adatvédelmi rendelet. Célja, hogy védje a személyes adatokat, szabályozza azok felhasználását, és sokkal nagyobb kontrollt adjon a természetes személyek kezébe az adataikkal kapcsolatban. A cégeket sokkal jobban ellenőrzi ezután a NAIH, továbbá a vállalkozásoknak nem csak tájékoztatni kell a felhasználót arról, hogy miért, milyen személyes adatot gyűjt, hanem még azt is tudatniuk kell, hogy meddig tárolja azokat, továbbá a magánszemélyeknek lehetőségük lesz töröltetni az adatukat, módosítani, vagy éppen tiltakozhatnak az adatgyűjtés ellen. Minden cégre vonatkozik, akik személyes adatokat kezelnek. 99,999% az esélye, hogy rád is, mert személyes adatok lehetnek (gyakorlati példák):

  • már az alkalmazottaknál is,
  • de például akkor is, amikor valaki elküldi az önéletrajzát neked,
  • vagy akkor, amikor emailt ír (beazonosítható – név, emailcím miatt),
  • valaki ajánlatot kér,
  • De ez még semmi! A céges email cím is személyes adatnak minősül, pl. kispeter@ceg.hu
  • Személyes adat lehet, ha valaki a weboldaladra felmegy, és te eltárolod az ő IP-jét.
  • Telefonszám? Naná!

A részletesebb tudnivalókat a rendeletről itt olvashatod: GDPR tudnivalók vállalkozóknak, cégeknek, HR-eseknek, marketingeseknek – GDPR 1. rész

1. HR, munkaügy, toborzás

Ahogy fent is láthattad, a munkavállalók adatai is személyes adatnak minősülnek. Az ilyen személyes adatok gyűjtéséről, tárolásáról, céljáról tájékoztatnod kell a munkavállalóidat. Egy esetleges ellenőrzés esetén a cégnek kell bizonyítania, hogy a tájékoztatást megtette. A tájékoztatásban (például a munkavállaló aláírja a papírt, vagy felteszed a céges szerverre, melyre felhívod a figyelmet többször is…) meg kell nevezni a kezelt személyes adatok körét, az adatkezelés célját és jogalapját, időtartamát, és az érintett jogokat (pl. hozzáférés joga, helyesbítés joga…).
Fontos terület még a toborzás is. Az önéletrajzok telis-tele vannak személyes adattal, így az állásra jelentkezőt, aki beküldi az önéletrajzát, tájékoztatni kell az adatkezelésről (cél, jogalap, időtartam, esetleges érintettek köre, érintetti jogok). Itt egy érdekes dolog is felmerül, hogy ha a toborzásnak vége, és az álláskeresőtől nem kértünk hozzájárulást az adatai további tárolására – a toborzási idő utánra -, akkor a cég jogsértést követ el, ami bírsághoz is vezethet. Kell tehát ahhoz is hozzájárulást kérni, hogy később is tárolhassuk, továbbá az ő adatait marketing célra így fel sem használhatjuk, mert az külön jogalap, az ahhoz való hozzájárulását külön be kell gyűjteni tőle.

2. Vásárláshoz, szerződéshez köthető adatok – ügyféladatok

Az ügyféladatok kezeléséről saját belső szabályzatot is kell készítenünk (ez egy dokumentum lesz), ezen kívül adatkezelési tájékoztatót a vevők részére. Itt a fő jogalap a szerződés.

  • Jogi személyek adataira a rendelet nem tér ki (például, ha Kft. a vevő), alapból tehát nem is kellene foglalkozni vele, de még itt is történik személyes adatkezelés, mivel a kapcsolattartó adatai már személyes adatnak minősülnek.  Utóbbi már jogos érdekből történik (az a jogalap). Erről például a szerződésben (vagy ÁSZF-ben), a hozzá csatolt adatkezelési nyilatkozatban kell kitérnünk. Vagyis tájékoztatni kell a vevőt, ahogy fent is már említettem: az adatkezelés céljáról, jogalapjáról, időtartamáról, érintetti jogokról és az esetleges érintettek köréről.
  • Magánszemély vásárlásánál pedig egyértelmű: itt rengeteg személyes adatot kezelünk. Az adatkezelési tájékoztatót, ahogy fent is említettem, külön vagy a szerződésbe, ÁSZF-be írjuk, ahol tájékoztatjuk a vevőt (ugye már kívülről tudod): az adatkezelés céljáról, jogalapjáról, időtartamáról, érintetti jogokról és az esetleges érintettek köréről.
    A vásárló szerződéshez köthető adatainak való kezelésének jogalapja egyrészt a szerződés teljesítéséhez köthető, másrészt jogi kötelezettsége is van az adott vállalkozásnak, vagy például bizonylatolási kötelezettsége. Itt tehát egyértelmű, hogy azokat az adatokat, amik a számlán szerepelnek, addig megőrizzük, amíg a számlát kell (jogi személy, vagyis pl. KFT, Bt. EV esetén 8 év, kivéve a KATA, vagyis a kisadózók, nekik 5 év a megőrzési idő, a számlakiállítás évének utolsó napjától számítva…). Tudod, ez a határidő, amit beleírsz a tájékoztatóba.
    Bármilyen más adathoz meg kell keresni a megfelelő jogalapot, ha nincs, nem tudjuk kezelni. Például marketing célra a fent megszerzett adatokat csak akkor tudjuk felhasználni, ha a vásárló hozzájárult (jogalap: érintett hozzájárulása). Na, de erről szól a következő nagy bekezdés.
  • Továbbiak: Ezekre a pontokra, a jogalapokra, jogokra külön-külön és részletesebben kitérünk a Minner és a BWSP Gobert & Társai Ügyvédi- és Adótanácsadói Iroda videóanyagában, ami segít a felkészülésben! Szerezd be minél előbb! Kattints ide! GDPR felkészítő tanfolyam. 

3. Marketing, remarketing, sütik (cookie)

Harmadik fontos terület a marketing. Csak akkor történhet adatkezelés, és az adat felhasználása, ha ahhoz a felhasználó, vevő, természetes személy egyértelműen hozzájárult. Itt most online marketingről beszélünk főleg, így ezt az oldalon az adatkezelési tájékoztatónkban szerepeltetni kell, vagyis (ugye már tudod): az adatkezelés céljáról, jogalapjáról, időtartamáról, érintetti jogokról (pl. leiratkozhat) és az esetleges érintettek köréről. Ahogy fent már említettem.

  • Hírlevél: Erre jó példa a hírlevél, amit már régóta egyébként is úgy használunk, hogy kell checkbox. Fontos, hogy már nem lehet ezt előre bepipálni, az érintettnek saját magának kell bepipálnia. A rendelet meghatározza, hogy egy feliratkozáshoz a felhasználónak a nevét és email címét is meg kell adnia. Itt megjegyzem, hogy itt fennállhat az is, hogy valaki más adatát adja meg… nos erre a legtöbb jogász azt javasolja, hogy double opt-in feliratkozást alkalmazzunk. Vagyis a felhasználónak emailben meg kell erősítenie a feliratkozást. Így biztosan jogosan és helyesen kezeljük az ő adatát.
    Hírlevél küldő rendszereknél egyébként annyiból van előnyünk, hogy az adatkezelés technológiája adott, így a felhasználók könnyen le tudnak iratkozni, adatot módosítani… Pl. Mailchimp esetében. Fontos, hogy az adatkezelési tájékoztatóban kitérjünk a harmadik félre is, vagyis le kell írnunk, hogy a Mailchimp itt adatfeldolgozó.
  • Remarketing: Újdonság a rendeletben, hogy csak akkor indulhat el olyan süti (cookie), amivel megfigyeljük, azonosítjuk a felhasználókat, ha ahhoz egyértelműen hozzájárulást adott a felhasználó. Például a weboldalunkra térve rákattintott a hozzájárulásra. Ez azért fontos, mert így védi a rendelet a természetes személy adatait. A legtöbb ilyen esetben harmadik fél az adatkezelő, mondjuk a Facebook, Google. Ezzel biztosítjuk, hogy hozzájárulás nélkül senki ne férjen az adataikhoz. Itt sajnos programozóra lesz szükségünk, és valószínűleg a remarketing adatbázisunk is csökkenni fog – a rendelet ezt lehetetleníti el a legjobban.

(x) Készítsd fel a céged, munkatársaid az új adatvédelmi rendeletre!

A Minner.hu és a BWSP Gobert & Társai Ügyvédi- és Adótanácsadói Iroda videóanyaga segít a felkészülésben! Szerezd be minél előbb! Kattints ide! GDPR felkészítő tanfolyam. 

A cikksorozat további részei:

Fotó: Descrier/Flickr