Pavló Péter
Pavló Péter
Értékelje a cikket:
Köszönjük!

Az új uniós adatvédelmi rendeletre nem csupán a nagyvállalatoknak, de a kis egyesületi weboldalak vagy személyes blogok kezelőinek is fel kell készülniük. Ellenkező esetben rájuk is súlyos bírság vár. Igaz, Gulyás Gergely Miniszterelnökséget vezető miniszter a héten azt mondta, hogy a kormány tervei szerint a Nemzeti Adatvédelmi és Információszabadság Hatóság csak figyelmeztethetné a kis- és közepes vállalkozásokat, ha megsértik a GDPR-t, más szankciót nem alkalmazhatna.

Miközben az Európai Unió május 25-étől alkalmazandó általános adatvédelmi rendeletével (General Data Protection Regulation) kapcsolatban a nagyvállalatoknál a hr-től az ügyfélszolgálatig már hetek óta minden részlegen négy betű körül forog a világ, a GDPR jóval túlmutat „a felső tízezer” szervezeten. Adatkezelést ugyanis nem csak a nagy cégek végeznek. Történhet ilyen akár egy alapvetően személyes célokra, saját magunk által létrehozott weboldalon, például blogon is.

„A magáncélú, magánszemélyek által végzett adatkezelés nem tartozik az új adatvédelmi rendelet hatáskörébe” – mondja Holló Dóra, a Holló Ügyvédi Iroda ügyvédje. Ilyen lehet például egy születésnapi buli megszervezése, ahol a barátok, ismerősök telefonszámát, e-mail-címét és más hasonló adatait „kezeljük”. Erre érthető módon nem vonatkozik a GDPR, az ennél csak kicsivel komolyabb, összetettebb esetekre azonban már igen.

Google-szolgáltatások a látogatók monitorozására és bevételszerzésre. Adat, bank
©

„Ha az adatkezelés mögött felmerül bármilyen üzleti jellegű cél, akkor ugyanaz a szabályozás érvényes mindenkire, függetlenül az adatok mennyiségétől. A megítélés csupán attól függ, hogy kezel-e személyes adatot az illető, és milyen keretek között” – teszi hozzá a jogász.

Ha például valakinek van egy blogja, ahol hirdetéseket is megjelenít, akkor rá már vonatkozik az adatvédelmi rendelet, hiszen a hirdetésekből – legyenek azok akár csak a Google AdSense rendszerével megjelenített reklámok – bevétele származik. „Ez már üzleti jellegnek számít, ha pedig mellette – például felhasználói űrlapokkal – begyűjti a látogatói nevét, e-mail-címét, esetleg profilozza is őket, akkor már adatkezelőnek számít” – erősít rá a jogi álláspontra Czinege Balázs, a Crosssec Solutions GDPR-menedzsere.

Ennek értelmében még a legkisebb weboldal kezelőjének is fel kell készülnie arra, hogy megfeleljen az új elvárásoknak. Ilyen például a felhasználók tájékoztatása: ehhez egy adatvédelmi tájékoztatót kell feltüntetni az oldalon, amit az érintetteknek önszántukból kell elfogadniuk. Vagyis nem tehetjük meg, hogy az adatok bekérésekor a „Megértettem és elfogadom az adatvédelmi tájékoztatót” mező melletti check-boxot eleve „kipipálva” jelenítjük meg a weboldalon. Az persze más kérdés, hogy a „pipa” elhelyezése előtt valóban elolvassa-e a felhasználó a tájékoztatót – de ez már az ő felelőssége. Az adatvédelmi tájékoztatóban fel kell tüntetni, hogy pontosan ki az adatkezelő, mi az elérhetősége, milyen adatokat gyűjt, kezel és meddig, milyen jogalappal és milyen célból gyűjti az adatokat, valamint hogy milyen cégek, szolgáltatások érintettek még az adatkezelésben. Ilyen lehet például a Google, amelynek webszerte elterjedt Analytics szolgáltatása monitorozza Magyarországon is kisebb és nagyobb honlapok zömének olvasóit, és gyűjti a részletes látogatottsági adatokat. Emellett azt is meg kell adni, hogy az adatok törlésének, módosításának igényével kihez fordulhatnak a felhasználók. „Az elérhetőségre vonatkozó adatokat betehetjük az oldal impresszumába is, de akkor az adatvédelmi tájékoztatóban mindenképpen el kell helyezni egy erre mutató hivatkozást” – részletezi Czinege Balázs. Az elérhetőségnek tartalmaznia kell az adatkezelő címét, telefonszámát, e-mail-címét.

Ellenőrzés egy szerverteremben. A hiba nem a készülékben van
©

Az már évek óta előírás, hogy a weboldalak üzemeltetőinek a honlap megnyitásakor azonnal látható módon fel kell tüntetniük a felhasználók – akár csak név nélküli – követésére használható adatcsomagok (cookie-k vagy sütik) rögzítésének tényét.

Hasznos bővítmények

A WordPress fejlesztését összefogó szervezet tavalyi becslése szerint a világ weboldalainak nagyjából 27 százaléka alatt ez a tartalomkezelő rendszer fut. A kisebb szervezetek és magánszemélyek által üzemeltetett honlapoknál alighanem még nagyobb ez az arány. Összegyűjtöttünk néhány olyan WordPress-bővítményt, melyeket a fejlesztőik már felkészítettek a GDPR-ra, így az érintett funkciókat érdemes lehet ezekkel biztosítani.

Contact 7 Form – komplex kapcsolatiűrlap-kezelő

Delete Me – egy regisztrált fiók és a kapcsolódó adatok (felhasználó által kezdeményezett) törlését segítő kiegészítő

EU Cookie Law – cookie-használati tájékoztató és engedélykérő

MailChimp for WordPress – a hírlevélkezelő rendszer feliratkozást segítő modulja

Remove Comment IPs – a személyes adatnak minősülő IP-címek 60 naponkénti automatikus eltávolítása a felhasználói hozzászólások metaadataiból

Surbma – GDPR Proof Google Analytics – webstatisztikai segéd

The GDPR Framework – az adatkezelést átfogóan segítő bővítmény

WooCommerce – könnyen felépíthető webáruházrendszer

WP GDPR Compliance – egyszerűen használható adatkezelő

Mostantól azonban arra is meg kell adni a lehetőséget, hogy a felhasználók beállítsák, a sok közül milyen célra lehessen használni ezeket a kódokat. Ha a cookie-menedzselő szoftver nem képes erre, akkor meg kell adni a lehetőséget a látogatóknak, hogy az adatfájlok rögzítése nélkül látogassák a honlapot – még akkor is, ha emiatt a weboldal bizonyos funkciói nem működnek majd rendeltetésszerűen. Czinege hangsúlyozza: a cookie-k rögzítése csak az után történhet meg, hogy erre kifejezett engedélyt adott a felhasználó – szemben a mai gyakorlattal, amikor sok esetben az oldal megnyitását követően azonnal elkezdődik az adatgyűjtés, még mielőtt az engedélyezés megtörtént volna. Emellett egy külön tájékoztatóra is szükség lesz, amelyben elolvasható, hogy pontosan mit kell tudni a sütikről, hogyan kezeli azokat az oldal, és hogyan lehet törölni ezeket a követőkódokat a számítógépről. Érdemes mindehhez olyan, harmadik fél által fejlesztett modult használni, amelyet eleve felkészítettek arra, hogy megfeleljen a GDPR követelményeinek. A legnépszerűbb tartalomkezelő rendszer, a WordPress esetén ilyen például az EU Cookie Law nevű, folyamatosan aktualizált, magyar nyelven is elérhető bővítmény.

Nemcsak a mindennapi adatkezelésben, de adatvédelmi incidens esetén is ugyanaz a protokoll vonatkozik a néhány felhasználó információit kezelő bloggerekre, mint a nagy cégekre. Ha például azt észlelik, hogy illetéktelenek behatoltak a honlapjuk háttérrendszereibe, és hozzáférhettek olvasóik-vásárlóik-felhasználóik bármilyen adatához, akkor 72 órán belül jelezniük kell a történteket az Adatvédelmi Hatóságnak. „Az adatokat mindenkinek meg kell védenie, függetlenül attól, hogy egy egyfős vállalkozásról vagy egy több ezer embert foglalkoztató cégről van szó. Az arányosság elve azonban érvényesülhet. Egy kis webshop nyilvánvalóan nem tud felkészülni egy átfogó adatlopásra, ugyanakkor bizonyos adatvédelmi lépések azért itt is elvárhatók. Ilyen például a kétfaktoros azonosítás bevezetése” – emeli ki Czinege Balázs.

Sok adatkezelőt meglepő hír lehet, hogy Holló Dóra szerint a GDPR-t nagyon is komolyan fogja venni a hatóság. Egyforma tevékenységért egyforma büntetést szabhatnak ki: egy németországi kis webshop büntetési tételét kaphatja meg egy ugyanakkora méretű magyar üzemeltető is. Türelmi idő pedig nincs – illetve lényegében már letelt. „Az EU új adatvédelmi rendelkezése valójában nem új, már 2016 májusában hatályba lépett. Az adatkezelőknek az elmúlt két év állt rendelkezésükre, hogy igazodjanak a szabályozáshoz” – hangsúlyozza az ügyvéd. Holló tapasztalata szerint a kép meglehetősen vegyes. Vannak olyan vállalkozások, amelyek már hónapok óta felkészültek, de sok olyan is akad, amelyik csak most, az utolsó utáni pillanatokban próbál az új előírásnak megfelelő informatikai és jogi környezetet kialakítani. Azt egyébként egybehangzóan tanácsolják a szakemberek, hogy az adatkezelést folytató weboldalak üzemeltetőinek cégmérettől függően érdemes legalább egy baráti jogásszal és egy it-biztonsági szakemberrel konzultálniuk arról, elégséges-e, amit elvégeztek.

Érdekesnek találta cikkünket?
Legyen HVG pártoló tag!

A HVG Pártoló Tagság programja az első olyan kezdeményezés, aminek keretében az olvasóink közelebb kerülhetnek szerkesztőségünkhöz és támogatásukkal segíthetik, hogy újságírói munkánkat továbbra is az eddig megszokott magas színvonalon végezhessük. Tagjainknak heti exkluzív hírlevelet küldünk, rendezvényeket kínálunk, a könyveinkre és egyéb termékeinkre pedig komoly kedvezményt adunk. Támogatóként már heti egy kávé árával is hozzájárulhat a minőségi újságíráshoz! „Amikor annyira eluralkodik a mindennapi életünkön a virtualitás, üdítő igazi emberi kapcsolatokat építeni.”
K. Erna – Pártoló tag


„Régóta olvasom a HVG-t és cikkei között mindennap találok érdekfeszítőt!”
H. Szabolcs - Támogató
Csatlakozzon programunkhoz, támogassa munkánkat egyszeri hozzájárulással vagy fizessen elő a hetilapra!
A HVG Pártoló Tagság programja az első olyan kezdeményezés, aminek keretében az olvasóink közelebb kerülhetnek szerkesztőségünkhöz, és támogatásukkal segíthetik, hogy újságírói munkánkat továbbra is az eddig megszokott magas színvonalon végezhessük. Támogatóként már heti egy kávé árával is hozzájárulhat a minőségi újságíráshoz! Csatlakozzon programunkhoz, támogassa munkánkat egyszeri hozzájárulással vagy fizessen elő a hetilapra!
Szegregációper: mennyit ér, hogy az iskola nem tanít meg írni-olvasni?

Szegregációper: mennyit ér, hogy az iskola nem tanít meg írni-olvasni?

Nagyjából 500 millió forintnyi Mercedes-Maybach parkol ezen a pesti mezőn - fotó

Nagyjából 500 millió forintnyi Mercedes-Maybach parkol ezen a pesti mezőn - fotó

Még a padlót is megbontották, hogy lophassanak, de megszólalt a riasztó és megijedtek

Még a padlót is megbontották, hogy lophassanak, de megszólalt a riasztó és megijedtek

A sors iróniája, éppen most készül új székházba a Fundamenta Lakáskassza

A sors iróniája, éppen most készül új székházba a Fundamenta Lakáskassza

Kijavítanák a fideszesek a lakástakarék-törvényt, mert helyesírási hibákat találtak benne

Kijavítanák a fideszesek a lakástakarék-törvényt, mert helyesírási hibákat találtak benne

Hogy mi korunk egyik legnagyobb egészségügyi kihívása? Meg fog lepődni

Hogy mi korunk egyik legnagyobb egészségügyi kihívása? Meg fog lepődni