Új adatvédelmi rendelet (GDPR) bevezető webáruház tulajdonosoknak
2018. május 25-től a hazai webáruházaknak is alkalmazniuk kell az EU általános adatvédelmi rendeletét (angolul rövidítve GDPR).
Ebben a posztban a legalapvetőbb információkat foglaljuk össze mindazok részére, akik még nem hallottak erről a rendeletről.
Rövidesen részletes GDPR tudásanyagokat fogunk biztosítani.
Amennyiben a GDPR-al kapcsolatban kérdése van, kérjük tegye fel ebben a posztban, vagy keressen minket a poszt végén megadott elérhetőségek valamelyikén.
Mi az a GDPR?
A GDPR az Európai Parlament és Tanács (EU)2016/679 rendelete, mely a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szól.
Kit érint a GDPR?
Minden olyan gazdasági társaságot és intézményt érint amely természetes személyek adatait kezeli.
Nem online kezelem az adatokat, nincs webáruházam, akkor is vonatkozik rám a GDPR?
Igen. Mindenkire aki természetes személyek adatait kezeli online, offline vagy akár papír alapon (feltéve, hogy egy nyilvántartási rendszer részeként).
Mennyi idő van a felkészülésre?
A GDPR 2016. április 27-én elfogadott rendelet, melyet 2018. május 25-től kell alkalmaznia az EU tagállamainak.
Milyen teendőkkel jár a GDPR?
A rendeletben foglaltaknak történő megfeleléshez első körben meg kell vizsgálni, hogy a vállalkozás működése folyamán milyen adatokat kezel, azok kezeléséről milyen tájékoztatást nyújt vásárlói (természetes személyek) részére. Az adatok kezeléséről esetleges feldolgozásáról el kell készíteni a GDPR-ben foglaltaknak megfelelő adatvédelmi nyilvántartást és ügyfél tájékoztatást. Biztosítani kell a GDPR-ben meghatározott lehetőségeket a vásárlók részére (egy webáruház esetén többek közt az adattörlési vagy hordozási lehetőséget).
Milyen büntetésre számíthat aki nem a GDPR szerint kezeli az adatokat?
Jogsértés esetén akár 20 millió eurós vagy a vállalkozás teljes éves világpiaci forgalmának a 4%-át vethetik ki bírságként.
Személyes blog vagy weboldal esetén is meg kell felelni a GDPR-nek?
Amennyiben a természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik az érintett oldalak üzemeltetését, a GDPR rendeletet nem kell alkalmazni.
Van már adatkezelési nyilvántartási számom, ez elegendő?
Nem, a NAIH belső adatvédelmi nyilvántartást kérhet majd ellenőrzés esetén.
Kinek kell kineveznie adatvédelmi tisztségviselőt?
Az általános adatvédelmi rendelet (GDPR) az alábbi eseteket írja elő:
"a) az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;
b) az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;
c) az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban."
Kérdése van? Nem tudja, hogy kezdjen hozzá a felkészüléshez? Kérdését felteheti a bejegyzéshez hozzászólva vagy írjon az info@torvenyeswebaruhaz.com e-mail címre.
Cimkék:gdpr, adatkezelés
A bejegyzés eddigi hozzászólásai:
Egyéni vállalkozóként üzemeltetek egy online oktatással kapcsolatos honlapot.
A tartalmak jelentős részét csak a tagsági díjjal rendelkező, belépett felhasználók érik el.
Jelentkezéskor megadják a számlázáshoz szükséges adataikat, melyről emailt kapok, a honlap adatbázisában nem szerepel. 3 adat tárolódik róluk: belépési azonosító (név vagy tetszőleges szöveg), email cím és jelszó.
Van-e valamilyen tennivalóm a GDPR-rel kapcsolatban?
Amennyiben a tanfolyami tagság hosszabbításra kerül, úgy ismételt számla kiállításra van szükség.
Eltárolhatom-e a számla kiállításhoz megadott adatokat, vagy azokat minden alkalommal újra be kell kérnem?
köszönettel:
Tibor
Az e-mailben tárolt adat is nyilvántartás, illetve a bejelentkezési adatok is személyes adatnak minősülnek, ezért ott is létrejön egy nyilvántartás. A számlázás szintén egy nyilvántartás. Így az Ön vállalkozásának is meg kell felelnie a GDPR rendeletnek.
Fontos, hogy a GDPR alapvetően nem tiltja az adatkezelést, hanem szabályozza. Ha van megfelelő jogalap az adatkezeléshez, akkor a rendeletben előírt módon továbbra is folytathatja az adatkezelést. Az Ön által leírt folyamatra például a 6. cikk 1. bekezdésének b pontja vonatkozhat. Tehát a megfelelő jogalap adott lehet, de ez nem elég, a rendelet előírásainak megfelelően kell végezni az adatkezelést.
A gyakorlatban röviden ez 7 feladatot jelent, amit nem elég egyszer elvégezni, hanem folyamatosan dolgozni kell rajtuk:
1. feladat: Össze kell foglalni a vállalkozás személyes adatkezelési tevékenységeit (azokat is, amelyek valamilyen jogi kötelezettség teljesítéséhez szükségesek, pl.: számlázás)
2. feladat: Minden adatkezelési tevékenységnél meg kell vizsgálni, hogy adatkezelőként, vagy adatfeldolgozóként végzi a tevékenységet. A megfeleléshez más dolgok szükséges adatkezelőként és adatfeldolgozóként.
3. feladat: Az adatkezelési tevékenységek és szerepek ismeretében el kell dönteni, hogy szükséges-e adatvédelmi tisztviselőt kijelölni.
4. feladat: Tájékoztatnia kell az érintetteket a 13. cikk alapján (minden adatkezelési célról külön tájékoztató szükséges, és akkor is kell tájékoztató, ha az adatkezelés valamilyen jogi kötelezettség teljesítéséhez szükséges, pl.: számlázás)
5. feladat: Biztosítania kell az érintetteket jogait a 15-21. cikk alapján (a jogalappal összhangban, például nem élhet az érintett bármikor a törlési jogával, ha törvény előírja az adat megőrzését több évre, pl.: számlázás)
6. feladat: A gyakorlatban is kiemelt figyelmet kell fordítani a rendelet által meghatározott adatkezelési elvekre ("jogszerűség, tisztességes eljárás és átláthatóság", "célhoz kötöttség", "adattakarékosság", "pontosság", "korlátozott tárolhatóság", "integritás és bizalmas jelleg").
7. feladat: Belső dokumentációt kell vezetni az első 6 pontban ismertetett tevékenységekről (5. cikk, 2. bekezdés: Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”)).
Ha a tanfolyami tagság hosszabbítása a kötelező számlamegőrzési időn belül történik, akkor nem szükséges ismét bekérnie az adatokat.
Szeretnék több tájékoztatást kapni. Mi a folyamata, pontosan mit kell tenni.
A mi Web áruházunkba regisztrálók adatait egy "weboldal üzemeltetési szerződés keretében" egy külsős cég végzi.( Digi Cow) Ebben az esetben kinek a feladata megfelelni a rendeletnek?
Üdvözlettel: Szabó Ágnes
Először tisztázni kell az adatkezelési folyamatban résztvevő vállalkozások szerepét. A legtöbb esetben egy webáruházat üzemeltető vállakozás (a tulajdonos, aki üzletileg üzemeltet) igénybe vesz valamilyen technikai üzemeltetőt (tárhelyszolgáltató, bérelhető webáruház szolgáltató). Ilyen, általános esetben a webáruház tulajdonosa az adatkezelő, a technikai üzemeltetést végző vállalkozás pedig az adatfeldolgozó.
Mindkét vállalkozásnak a saját szerepe szerint kell megfelelnie a rendeletnek (a rendelet külön szabályozza az adatkezelő és az adatfeldolgozó kötelességeit).
Ha kérdés arra irányult, hogy elegendő-e csak a technikai üzemeltetést végző vállalkozásnak megfelelnie (mivel ő tárolja az adatot), akkor a válasz röviden nem, a webáruház tulajdonosának is meg kell felelnie a rendeletben előírtaknak.
Kérem szíves tájékoztatásukat, hogy webáruházunk érintett-e a fentiek kötelező alkalmazásában? Regisztráló illetve nem regisztráló vásárlóink adatait (név, postacím, email cím, telefonszám) a felületen kívül nem tartjuk nyilván egyéb nyilvántartási rendszerben.
Köszönettel:
Kiss Eleonóra
INKA
Igen, minden webáruház érintett, függetlenül attól, hogy a webáruházon kívül más nyilvántartási rendszerben is tárolja-e az adatokat. Továbbá a webáruházat üzemeltető vállalkozás minden más adatkezelési tevékenységére is alkalmazni kell a rendeletet, ha személyes adatokat bármilyen szempont szerint nyilvántart, akár elektronikusan, akár papír alapon.