Autópornó Brad Pittel, magyar kanyarral - kritika az F1 című filmről
A kocsik hasítanak, de a sztárok csak gügyögnek Brad Pitt új filmjében.
Miközben az Európai Unió május 25-étől alkalmazandó általános adatvédelmi rendeletével (General Data Protection Regulation) kapcsolatban a nagyvállalatoknál a hr-től az ügyfélszolgálatig már hetek óta minden részlegen négy betű körül forog a világ, a GDPR jóval túlmutat „a felső tízezer” szervezeten. Adatkezelést ugyanis nem csak a nagy cégek végeznek. Történhet ilyen akár egy alapvetően személyes célokra, saját magunk által létrehozott weboldalon, például blogon is.
„A magáncélú, magánszemélyek által végzett adatkezelés nem tartozik az új adatvédelmi rendelet hatáskörébe” – mondja Holló Dóra, a Holló Ügyvédi Iroda ügyvédje. Ilyen lehet például egy születésnapi buli megszervezése, ahol a barátok, ismerősök telefonszámát, e-mail-címét és más hasonló adatait „kezeljük”. Erre érthető módon nem vonatkozik a GDPR, az ennél csak kicsivel komolyabb, összetettebb esetekre azonban már igen.
Google-szolgáltatások a látogatók monitorozására és bevételszerzésre. Adat, bank
Jaap Arriens
„Ha az adatkezelés mögött felmerül bármilyen üzleti jellegű cél, akkor ugyanaz a szabályozás érvényes mindenkire, függetlenül az adatok mennyiségétől. A megítélés csupán attól függ, hogy kezel-e személyes adatot az illető, és milyen keretek között” – teszi hozzá a jogász.
Ha például valakinek van egy blogja, ahol hirdetéseket is megjelenít, akkor rá már vonatkozik az adatvédelmi rendelet, hiszen a hirdetésekből – legyenek azok akár csak a Google AdSense rendszerével megjelenített reklámok – bevétele származik. „Ez már üzleti jellegnek számít, ha pedig mellette – például felhasználói űrlapokkal – begyűjti a látogatói nevét, e-mail-címét, esetleg profilozza is őket, akkor már adatkezelőnek számít” – erősít rá a jogi álláspontra Czinege Balázs, a Crosssec Solutions GDPR-menedzsere.
Ennek értelmében még a legkisebb weboldal kezelőjének is fel kell készülnie arra, hogy megfeleljen az új elvárásoknak. Ilyen például a felhasználók tájékoztatása: ehhez egy adatvédelmi tájékoztatót kell feltüntetni az oldalon, amit az érintetteknek önszántukból kell elfogadniuk. Vagyis nem tehetjük meg, hogy az adatok bekérésekor a „Megértettem és elfogadom az adatvédelmi tájékoztatót” mező melletti check-boxot eleve „kipipálva” jelenítjük meg a weboldalon. Az persze más kérdés, hogy a „pipa” elhelyezése előtt valóban elolvassa-e a felhasználó a tájékoztatót – de ez már az ő felelőssége. Az adatvédelmi tájékoztatóban fel kell tüntetni, hogy pontosan ki az adatkezelő, mi az elérhetősége, milyen adatokat gyűjt, kezel és meddig, milyen jogalappal és milyen célból gyűjti az adatokat, valamint hogy milyen cégek, szolgáltatások érintettek még az adatkezelésben. Ilyen lehet például a Google, amelynek webszerte elterjedt Analytics szolgáltatása monitorozza Magyarországon is kisebb és nagyobb honlapok zömének olvasóit, és gyűjti a részletes látogatottsági adatokat. Emellett azt is meg kell adni, hogy az adatok törlésének, módosításának igényével kihez fordulhatnak a felhasználók. „Az elérhetőségre vonatkozó adatokat betehetjük az oldal impresszumába is, de akkor az adatvédelmi tájékoztatóban mindenképpen el kell helyezni egy erre mutató hivatkozást” – részletezi Czinege Balázs. Az elérhetőségnek tartalmaznia kell az adatkezelő címét, telefonszámát, e-mail-címét.
Ellenőrzés egy szerverteremben. A hiba nem a készülékben van
Martin Bureau
Az már évek óta előírás, hogy a weboldalak üzemeltetőinek a honlap megnyitásakor azonnal látható módon fel kell tüntetniük a felhasználók – akár csak név nélküli – követésére használható adatcsomagok (cookie-k vagy sütik) rögzítésének tényét.
| Hasznos bővítmények |
A WordPress fejlesztését összefogó szervezet tavalyi becslése szerint a világ weboldalainak nagyjából 27 százaléka alatt ez a tartalomkezelő rendszer fut. A kisebb szervezetek és magánszemélyek által üzemeltetett honlapoknál alighanem még nagyobb ez az arány. Összegyűjtöttünk néhány olyan WordPress-bővítményt, melyeket a fejlesztőik már felkészítettek a GDPR-ra, így az érintett funkciókat érdemes lehet ezekkel biztosítani. Contact 7 Form – komplex kapcsolatiűrlap-kezelő Delete Me – egy regisztrált fiók és a kapcsolódó adatok (felhasználó által kezdeményezett) törlését segítő kiegészítő EU Cookie Law – cookie-használati tájékoztató és engedélykérő MailChimp for WordPress – a hírlevélkezelő rendszer feliratkozást segítő modulja Remove Comment IPs – a személyes adatnak minősülő IP-címek 60 naponkénti automatikus eltávolítása a felhasználói hozzászólások metaadataiból Surbma – GDPR Proof Google Analytics – webstatisztikai segéd The GDPR Framework – az adatkezelést átfogóan segítő bővítmény WooCommerce – könnyen felépíthető webáruházrendszer WP GDPR Compliance – egyszerűen használható adatkezelő |
Mostantól azonban arra is meg kell adni a lehetőséget, hogy a felhasználók beállítsák, a sok közül milyen célra lehessen használni ezeket a kódokat. Ha a cookie-menedzselő szoftver nem képes erre, akkor meg kell adni a lehetőséget a látogatóknak, hogy az adatfájlok rögzítése nélkül látogassák a honlapot – még akkor is, ha emiatt a weboldal bizonyos funkciói nem működnek majd rendeltetésszerűen. Czinege hangsúlyozza: a cookie-k rögzítése csak az után történhet meg, hogy erre kifejezett engedélyt adott a felhasználó – szemben a mai gyakorlattal, amikor sok esetben az oldal megnyitását követően azonnal elkezdődik az adatgyűjtés, még mielőtt az engedélyezés megtörtént volna. Emellett egy külön tájékoztatóra is szükség lesz, amelyben elolvasható, hogy pontosan mit kell tudni a sütikről, hogyan kezeli azokat az oldal, és hogyan lehet törölni ezeket a követőkódokat a számítógépről. Érdemes mindehhez olyan, harmadik fél által fejlesztett modult használni, amelyet eleve felkészítettek arra, hogy megfeleljen a GDPR követelményeinek. A legnépszerűbb tartalomkezelő rendszer, a WordPress esetén ilyen például az EU Cookie Law nevű, folyamatosan aktualizált, magyar nyelven is elérhető bővítmény.
Nemcsak a mindennapi adatkezelésben, de adatvédelmi incidens esetén is ugyanaz a protokoll vonatkozik a néhány felhasználó információit kezelő bloggerekre, mint a nagy cégekre. Ha például azt észlelik, hogy illetéktelenek behatoltak a honlapjuk háttérrendszereibe, és hozzáférhettek olvasóik-vásárlóik-felhasználóik bármilyen adatához, akkor 72 órán belül jelezniük kell a történteket az Adatvédelmi Hatóságnak. „Az adatokat mindenkinek meg kell védenie, függetlenül attól, hogy egy egyfős vállalkozásról vagy egy több ezer embert foglalkoztató cégről van szó. Az arányosság elve azonban érvényesülhet. Egy kis webshop nyilvánvalóan nem tud felkészülni egy átfogó adatlopásra, ugyanakkor bizonyos adatvédelmi lépések azért itt is elvárhatók. Ilyen például a kétfaktoros azonosítás bevezetése” – emeli ki Czinege Balázs.
Sok adatkezelőt meglepő hír lehet, hogy Holló Dóra szerint a GDPR-t nagyon is komolyan fogja venni a hatóság. Egyforma tevékenységért egyforma büntetést szabhatnak ki: egy németországi kis webshop büntetési tételét kaphatja meg egy ugyanakkora méretű magyar üzemeltető is. Türelmi idő pedig nincs – illetve lényegében már letelt. „Az EU új adatvédelmi rendelkezése valójában nem új, már 2016 májusában hatályba lépett. Az adatkezelőknek az elmúlt két év állt rendelkezésükre, hogy igazodjanak a szabályozáshoz” – hangsúlyozza az ügyvéd. Holló tapasztalata szerint a kép meglehetősen vegyes. Vannak olyan vállalkozások, amelyek már hónapok óta felkészültek, de sok olyan is akad, amelyik csak most, az utolsó utáni pillanatokban próbál az új előírásnak megfelelő informatikai és jogi környezetet kialakítani. Azt egyébként egybehangzóan tanácsolják a szakemberek, hogy az adatkezelést folytató weboldalak üzemeltetőinek cégmérettől függően érdemes legalább egy baráti jogásszal és egy it-biztonsági szakemberrel konzultálniuk arról, elégséges-e, amit elvégeztek.
