A GDPR, ahogyan még az anyukád is megértené

Szerző: Szarvas Norbert | jún 25, 2018 | Cikkek - pénzügyi blog, info

A jó hír, hogy a világ még nem dőlt össze teljesen, bizonyos szolgáltatók még csak most indítják be agytekervényeiket a GDPR megfeleléssel kapcsolatban. Persze nem csoda ez a költői csigaság és megfontoltság, hiszen valószínüleg a Vogonokon és a jogalkotókon kívül még senki nem értette meg teljesen a GDPR jelenlegi formájának a létjogosultságát, elvárásainak folyamatábráját! Ebben a cikkben megpróbálom úgy elmagyarázni a GDPR-t, ahogyan még az anyukád is megértené!

Approved by Vogon’s

Ahhoz, hogy megértsük az Európai Parlament és a Tanács (EU) 2016.április 27-i 2016/679 rendeletét, meg kell értenünk, hogy ki alkották meg ezt a gyönyörűséget. Hathatós és pénzt nem sajnáló utánajárással kiderítettem nektek, hogy bizony itt a Vogonokról van szó.

De kik azok a Vogonok? Ehhez nézzük meg ezt a gyors bemutatkozó videót:

Mit akarnak tőlünk ezek a Vogonok, avagy mit érzünk meg a GDPR-ból, mint ügyfél?

Honlapok

A legszembetűnőbb változás átlagos felhasználóként biztosan az lesz, hogy a mi adatvédelmünk érdekében az eddigi kicsi kukit (cookie, azaz süti, ami miatt megfelelően működik a honlap) méretes fallosszá alakította át a GDPR.

Ennek köszönhetően szinte bármilyen honlapra mész fel mobilról – balszerencsédre legyen mondva – , a fél, de nem ritkán az egész képernyőt beteríti valami blablabla szöveg, ami nagyjából ugyanazon sablon alapján íródott le és, amit soha senki nem olvas el, csak klikkel.

Szóval te a honlapot akarod látni, a GDPR viszont azt akarja, hogy előbb döntsél arról, hogy te tulajdonképpen a honlapot akarod látni. Okos, nagyon okos lépés!

Reklámok

Persze tapasztalt versenyzőinknek hamar feltűnik, hogy ezekkel a kukikkal milyen információt tudnak rólunk kiszedni, amivel minimum a személyazonosságunkat tudná egy nigéria-kajmán szárazföldi kalóz-betyár lemásolni és azzal visszaélni egy puerto-rico-i kétes hírű lebujban?

Hát nagyon sok fejtörés után arra jutottunk, hogy a sok hasznos süti mellett olyat információkat akadályozhatsz meg, mint az IP címed (nehogy valaki egyszercsak kopogtasson az általad is használt adó-vevő torony sarkán) illetve az érdeklődési köröd. Mert ezt brutál keményen felhasználják ellened a cégek, akik követő kódokat nem szégyelve üldöznek azzal a hírdetéssel, aminek a kategóriáját keresve jutottál el az oldalra.

Az nem úgy van, hogy téged olyan hírdetésekkel találjanak meg, ami érdekel. Férfiként inkább akarod mostantól hüvelygomba gátlóval találkozni, mint mondjuk egy focicipő akcióval!

Majd én megmondom, hogy mi a jogos érdek

Persze a GDPR kihat az élet más területeire is, mint például pénzügyi tanácsadás. Nyilván tök szívesen írtál eddigi alá másfél óra alatt egy fél bükkfa mennyiségű papírt ugyanazokkal az adataiddal, de különböző jogcímen.

Ez mind a te érdekedben történik, hiszen nehogymár már valaki, akivel kötöttél egy megtakarítást és kezeli a pénzedet, csak úgy, önmagától rálásson a pénzügyeidre, ami alapján tudja majd azokat kezelni. Helyette a GDPR elhozta a „biztos-de tényleg biztos- mostmár tuti biztos- akkor bizti?” időszakot, amikor saját elhatározásodra kell ráerősíteni.

Persze azt már a Vogonok sem tudják, hogyha nem a szerződést kezelő pénzügyi tanácsadó kezeli a szerződésedet, akkor kinek kéne engedély hiányába? Vagy a te érdekedben válljon az enyészetté az egész és még véletlenül se szóljanak neked egy jobb lehetőségről vagy egy drasztikus árfolyamesésről?

Szóval a GDPR utáni érában már nem elég a hatályos törvényeknek megfelelő szerződéskötés, és ráutaló magatartásként az a 5-10-20 hónapnyi befizetés, amit teljesítettél. Mégjobban rá kell utalnod a magatartásod!

Ők azt akarják, hogy te tudd vagy ne tudd. Tök mindegy, csak legyen róla űrlapod és nyilatkozatod.

ismered a viccet az óvodai mutogatós játékról? GDPR kompatibilisen így néz majd ki: én megmutatom, ha te is megmutatod és aláírod ezt a nyilatkozatot három példányban, pecsételve, lefűzve, postázva, scannelve ééééééééééés a biztonsági zónába elhelyezve

Szóval a GDPR által kötelezővé vált minden irodában az úgynevezett biztonsági zónák kialakítása (szegény egy szobás irodák…) adatvédelmi szempontból és az adathordozók (értsd számítógépek) NASA szintű titkosítása.

Nálunk az egyik partneremnek sikerült annyira jól letitkosítani a hálózatot, hogy a rendszer csak minden második nap enged be a levelező rendszerbe…

Szóval a cél az lenne, hogy jogosulatlan ne férjen hozzá az olyan kényes adatokhoz, mint amit egyébként a Facebook profilodból is lazán leszedek, minthogy lakcím, születési idő, rokoni kapcsolatok vagy telefonszám.

Ezek után már itthon is biztonsági zónákat hozok létre, merthogy a kisbabámat ölbe tartva a gépen dolgozni az ügyfelek adataival olyan adatvédelmi incidens lenne, hogy abba a rendszer beleremegne! Tényleg, ilyenkor mi a helyes lépés, amikor a kisbaba jogosulatlanul látja az adatokat?

Oké, oké, de attól még kapom a spam leveleket és lopják az adataimat!

Emlékszel még a kiindulópontra? Ez pedig az adataid védelme. Hogy miért kell ezeket az adatokat megvédeni? Hogy ne lopjanak meg-húzzanak leraboljanak el.

Hogy ehhez hogyan viszonyul a GDPR? Hát volt egy sejtésem, amit a kedves Vogonoknak is jelezném, és bejött. Nagyjából sehogy. Ugyanis akik foglalkoznak a GDPR megfeleléssel azok általában szabályosan játszottak és az ügyfelekért, nem pedig az ügyfelekből (értsd: kirabolni) éltek.

Közben ugyanúgy érkeznek a spam levelek kajmán bejegyzésű IP címekről,cégektől és ugyanúgy nyerek hetente emailen 1,5 millió dollárt, csak az adataimat kérik a kifizetéshez. Szóval a bürokrácia nem megoldás a valódi veszély elhárítására!

Tudod, hogy miért? Mert a csalók eddig se foglalkoztak a bürokráciával meg a nyilatkozatokkal.

Kedves Mama! Ez a GDPR lényege: egy olyan übergigaextra engedélyezés és nyomtatványsorozat, amit mindenhol meg kell tenned, hogy végre eljuthass oda, ahol a GDPR előtt voltál.

• akivel szerződést kötsz, az felvehesse veled. a kapcsolatot
• ami érdekel honlap, ott megnézhesd az oldalt
• stb…

Úgy is mondanám, hogy nem lett jobb semmi, de mégse tudom mondani, hiszen még nem kaptam meg tőled a „személyesen neked címzett véleménynyilvánító nyilatkozatot”…

Szeretnél megtakarítani vagy hitelt felvenni?

• Lakástakarékot szeretnék kötni
• Nyugdíjcélra szeretnék félretenni
• Gyerekmegtakarítást szeretnék kötni
• Hitelt szeretnék felvenni lakásra

Hasznos cikkek számodra:

• Megoldás a nyugdíjas éveinkre!- 1. Rész
• A nyugdíjbiztosításról őszintén
• Milyen befektetési stratégiát használjunk nyugdíjmegtakarításnál?

Ha fontos számodra a pénzügyi tudatlanság elleni harc, támogasd a munkám havonta egy kávé árával, egy mozijegy árával vagy egy könyv árával.

Hogyan írjunk GDPR kompatibilis adatvédelmi tájékoztatót?

Szerző: Szarvas Norbert | ápr 18, 2018 | Cikkek - pénzügyi blog, info

A GDPR határidő határozottan és erőteljesen egyre közelebb van. Jelenleg még a KKV szektor 99%-ának problémája akad a GDPR megfeleléssel. Szakértőhöz sokan azért nem tudnak fordulni, mert képtelenek kifizetni azt a 2-3-500 000 forintos konzultációs díjat, amit elkérnek a GDPR szakértők! Ebben a cikkben segítséget szeretnék adni neked, egyfajta irányzékot, hogyan érdemes a GDPR kompatibilis adatvédelmi tájékoztatót felépíteni, milyen tartalmi elemeknek kellene alapvetően megfelelnie a szabályzatnak!

Fontos: Ezt a cikket nem egy GDPR szakértő vagy jogász írja. Az itt leírt információt ennek megfelelően kezeljük a helyén. A tartalmat számtalan cikk és a GDPR törvény elolvasása, hazai és külföldi oldalak megfigyelésével és szakmai beszélgetések útján leszűrt információ alapján írtam meg. Az esetleges félreértékesért, információeltérésért felelősséget nem vállalok, hivatkozási alapnak a cikk nem használható!

#1 Általános rendelkezések

A GDPR kombatibilis adatvédelmi tájékoztatóban célszerű az olyan általános rendelkezésekkel kezdeni, minthogy mi a tájékoztató célja, milyen törvényi hivatkozással készült el,

 Tájékoztató rendelkezéseinek kialakításakor a társaság különös tekintettel vette figyelembe az Európai Parlament és a Tanács 2016/679 Rendeletében („Általános Adatvédelmi Rendelet” vagy „GDPR”), az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”), a Polgári Törvénykönyvről szóló 2013. évi V. törvény („Ptk.”), továbbá a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény („Grtv.”) rendelkezéseit.

mik a fogalmi meghatározások:

• adatkezelés
• adatkezelő
• személyes adat vagy adat
• adatfeldolgozó
• szolgáltatás
• felhasználó
• külső szolgáltató
• tájékoztató

Különös tekintettel érdemes átgondolni az adatkezelők körét, akiket tételesen fel kell sorolnunk. Ezek azok a cégek, akik hozzáférhetnek a személyes adatokhoz, kezelik a személyes adatokat valamilyen célból.

A szolgáltatások pontnál fontos felsorolnunk azokat a hozzánk tartozó domain neveket, ahol a mi nevünkben történik az adatkezelő által adatkezelés. Ilyen domainek tipikusan a landing vagy kampányoldalak, feliratkoztató oldalak (amennyiben nem aldomainként működnek) illetve a testvéroldalak, amiket szintén mi működtetünk azonos szolgáltatással, részszolgáltatással vagy céllal!

Ilyen például az IFL oldalhoz tartozó specifikus oldalaink, mint a

• a kifejezetten lakástakarékokkal foglalkozó www.ujltp.hu
• a kifejezetten gyermekmegtakarításokkal foglalkozó www.gyerekmegtakaritas.hu

#2 A kezelt adatok köre

A továbbiakban fontos leírnunk részletesen a kezelt adatok körét, tehát az adatkezelő (azaz mi) milyen konkrét adatokat kezelhetünk, amennyiben a felhasználó kifejezetten úgy dönt, hogy engedélyt ad számunkra:

pl.:

A Felhasználó döntése alapján az Adatkezelő a Szolgáltatások igénybevételéhez kapcsolódóan kezelheti az alábbi adatokat: név, lakóhely, e-mail cím, telefonszám, érdeklődési kör, születési idő, utolsó belépés IP címe, utolsó belépés időpontja,

Érdemes kizárnunk az adatvédelmi tájékoztató ezen részében azt a felelősséget, amikor tőlünk függetlenül a szolgáltatásunkhoz valamilyen formában kapcsolódó másik szolgáltató adatkezelési tevékenységet folytat.

Függetlenül a fentebb leírtaktól előfordulhat, hogy Szolgáltatások üzemeltetéséhez technikailag kapcsolódó szolgáltató, az Adatkezelő tájékoztatása nélkül a honlapok valamelyikén adatkezelési tevékenységet folytat. Az ilyen tevékenység nem minősül az Adatkezelő által folytatott Adatkezelésnek. Az Adatkezelő minden tőle telhetőt megtesz az ilyen adatkezelések megakadályozása és kiszűrése érdekében.

#3 Cookie részletes leírása

Magyarországon még kevés helyen láttam, de külföldön egyre több komolyan vehető cég részletezi az oldalán levő cookie-kat név és funkció alapján. Így értelemszerűen számunkra is javasolt ezt megtenni!

4.4.1 Analytics Cookie

A weboldal a Google Inc. („Google”) Google Analytics rendszerét használja a látogatottságának elemzésére. A Google Analytics rendszere ún. „cookie-kat” – egyszerű, rövid, kisméretű szöveges fájlokat – tárol el az Ön informatikai eszközén és ezek segítségével elemzi a weboldalunk látogatottságát, segítve ezzel a weboldalunk fejlesztését a felhasználói élmény fokozása érdekében.

A „cookie-ban” rögzített, weboldal látogatottságára vonatkozó adatok (a látogatás időpontjával és az Ön IP címével együtt) a Google USA szervereire kerülnek átvitelre és letárolásra. A Google arra használja ezeket az adatokat, hogy az Ön honlap-látogatási szokásait kiértékelje, jelentéseket állítson össze ezekről a XY számára, valamint arra, hogy egyéb, a weboldallal és az internet használatával kapcsolatos szolgáltatásokat nyújtson.

Azok a felhasználók, akik nem szeretnék, hogy a Google Analytics jelentést készítsen a látogatásukról, telepíthetik a Google Analytics letiltó böngészőbővítményt. Ez a kiegészítő arra utasítja a Google Analytics JavaScript-szkriptjeit (ga.js, analytics.js, and dc.js), hogy ne küldjenek látogatási információt a Google számára. Emellett azok a felhasználók, akik telepítették a letiltó böngészőbővítményt, a tartalmi kísérletekben sem vesznek részt.

Ha le szeretné tiltani az Analytics webes tevékenységét, keresse fel a Google Analytics letiltó oldalát (http://tools.google.com/dlpage/gaoptout), és telepítse a bővítményt böngészőjéhez. A bővítmény telepítéséről és eltávolításáról további tájékoztatásért tekintse meg az adott böngészőhöz tartozó súgót.

4.4.2 Célzott vagy reklám cookie

Annak érdekében, hogy az érdeklődési körüknek leginkább megfelelő marketinginformációkkal tudjuk ellátni látogatóinkat, személyre szabott, azaz célzott vagy reklám cookie-kat is használhatunk, amihez azonban az Ön kifejezett beleegyezése szüksége, melyet az adott webes felületen megjelenő külön szövegdobozban a megfelelő gombra történő kattintással adhat meg.

Ezek a cookie-k részletes információkat gyűjtenek böngészési szokásairól. Ha Ön megerősítette, hogy a továbbiakban is kapni szeretne tőlünk e-maileket, marketinginformációkat, illetve ajánlatokat, akkor a cookie-k a következőképpen fognak működni:

1. infórmációkat gyűjtenek arról, hogy Ön a weboldalainkon mely cikkeket és/vagy szolgáltatásokat kereste meg, így- adatokat rögzítenek Önről, amelyek lehetővé teszik, hogy azonosítsuk Önt és beállításait, így nem kell újra megadnia ezeket az információkat, amikor ismételten az oldalunkra látogat segítenek beazonosítani Önt, amennyiben egy túlünk kapott e-mailre válaszol.

2. korlátozható egy adott hirdetés megtekintésének a száma, valamint mérhető a hirdetési kampányok hatékonysága.

4.4.3 Harmadik féltől származó cookie

Honlapunkon időnként külső webes szolgáltatások segítségével jelenítünk meg különféle tartalmakat, mely néhány olyan cookie tárolását eredményezheti, melyeket nem mi felügyelünk, így értelemszerűen nincs befolyásunk arra, hogy ezek a weboldalak, illetve külső domainek milyen adatokat gyűjtenek arról, hogy Ön miként használja ezeket a beágyazott tartalmakat.

4.4.4 Munkamenet cookie

Ezek nélkülözhetetlenek a weboldalunkon történő navigáláshoz, weboldalunk kulcsfontosságú funkcióinak működéséhez és a védett tartalmak eléréséhez. Ezek a cookie-k az adatlapok kitöltéséhez szükséges információkat és esetenként az Ön által kiválasztott nyelvet tárolják, és nem gyűjtenek Önről olyan információkat, melyekkel Önt azonosítani lehetne, melyeket marketing céljából fel lehetne használni, vagy amelyek emlékeznének arra, milyen más honlapokon járt. A honlap bezárása után e sütik automatikusan törlődnek és a munkamenet lezárásra kerül.

4.4.5. Funkcionális cookie

Ezek a cookie-k a felhasználói élmény javítása érdekében észlelik, hogy milyen eszközzel nyitotta meg a honlapunkat, megjegyzik az Ön korábbi felhasználüi döntéseit (mint például a felhasználóneve, jelszava, választott nyelv, régió, bejelentkezett-e egy korábbi munkamenet során, a szövegméretben, betűtípusban vagy a honlap egyéb testre szabható elemében Ön által végrehajtott felhasználói változtatások), hogy ilyen módon jobb és személyre szabottabb funkciókat kínálhassunk Önnek. 

Ezek a cookie-k nem követik Önt nyomon más honlapokon folytatott tevékenységét és nem használjuk azokat olyan célra, hogy hirdetéseket küldjünk Önnek más oldalakon keresztül.

+1 ezen felül érdemes listaszerűen kiírni, hogy a mi oldalunkon milyen harmadik féltől származó cookie van használatban, hogy a látogatókat teljes mértékben tudjuk informálni

pl.:

2018.04.18 óta az alábbi cookie-kat használjuk harmadik fél által:

• Mailchimp – email
• Webgalamb – email
• Facebook comments plugin
• Google Analytics – analítika
• Mashshare buttons – Facebook megosztás
• Facebook Social Plugins – célzott hirdetés
• youtube.com – videó

#4 Az adatkezelés célja, jogalapja

Ebben a fejezetben tételesen le kell írni, hogy milyen tényleges célok miatt kezelünk adatokat:

5.1 Az Adatkezelő által folytatott adatkezelések célja:

a) a Felhasználó azonosítása, a Felhasználóval való kapcsolattartás

b) a Felhasználói jogosultságok (a Felhasználó által igénybe vehető szolgáltatások)

azonosítása;

c) a Felhasználó által igénybe vett Szolgáltatások valamint a hirdetések testreszabásának

elősegítése, a kényelmi funkciók igénybevétele;

d) egyedi felhasználói megkeresések kezelése, intézése;

e) statisztikák, elemzések készítése;

f) közvetlen üzletszerzési illetve marketing célú megkeresés (pl. hírlevél, eDM, stb.)

g) Felhasználó által generált tartalmak (pl. hozzászólás, chat, blog, fórum stb.)

közzétételéhez tárhely biztosítása;

h) közösségi szolgáltatások (fórum, egyes blogok) esetén Felhasználók egymás általi

azonosításának biztosítása, egymással folytatott kommunikációjuk lehetővé tétele;

i) egyedi esetekben nyereményjátékok szervezése, lebonyolítása, a nyertesek kiértesítése és részükre a nyeremény biztosítása;

j) webshop szolgáltatás esetén a felek közötti szerződés létrehozása, tartalmának meghatározása, módosítása, teljesítésének figyelemmel kísérése, a megrendelt termék kézbesítése illetve a megrendelt szolgáltatás igénybevétele, a vételár számlázása, valamint az azzal kapcsolatos követelések érvényesítése, a teljesítés megfelelőségének dokumentálása, a számviteli kötelezettségek teljesítése; 

k) az informatikai rendszer technikai fejlesztése;

I) a Felhasználók jogainak védelme;

m) az Adatkezelő jogos érdekeinek érvényesítése

illetve ezen kívül a GDPR-rel összhangban kell meghatározni a felelősségeket, kizárásokat.

#5 Az adatkezelés elvei és időtartalma

Ebben a két pontban tevékenységi körtől függően kell meghatározni azokat a narratívákat, amik mentén, elvek érvényesítése által kívánjuk az adatokat kezelni. Például az adatkezelő nem ellenőrzi a felhasználó által megadott adatok hitelességét, ugyanakkor például az automatikusan rögzített IP címet x napon belül törlik a rendszerből.

#6 A felhasználói jogok tisztázása

Mire van joga a felhasználónak?

• kérhet tájékoztatás a kezelt személyes adatokról
• mindezt emailen vagy írásban teheti meg
• kérheti a kezelt adatok törlését, helyesbítését vagy módosítását
• kérheti a személyes adatok korlátozását
• tiltakozhat személyes adatainak kezelése ellen

#7 Külső szolgáltatók nevesítése

A Kűlső szolgáltatók 2018. május 25. napját követően a részükre az Adatkezelők által továbbított és általuk kezelt vagy feldolgozott Személyes adatokat a GDPR által előírt rendelkezésekkel összhangban rögzítik, kezelik, ill. dolgozzák fel és erről nyilatkozatot tesznek az Adatkezelok részére.

Ilyen külső szolgáltatók lehetnek a social oldalak (Facebook, Instagram..stb), videómegosztók vagy éppen a keresőmotorok.

A kategóriák:

• Regisztrációt vagy belépést könnyítő Külső szolgáltatók
• Webanalitikai és hirdetéskiszolgáló Külső szolgáltatók
• Tárhelyszolgáltatás biztosítása esetén
• Egyéb Külső szolgáltatók

Érdemes külön adatvédelmi nyilatkozatot tenni a Facebook működésével kapcsolatban, különös tekintettel a Facebook-gate botrányból származó felelősség áthárítása végett. Hiszen a gyakorlatban nem tudjuk, hogy milyen adatokat emel át a plugin és azt a Facebook mire használja.

Felhívjuk figyelmét arra, hogy mi, az oldalak szolgáltatójaként nem ismerjük az átvitt adatok tartalmát, valamint azt, hogy ezeket a Facebook miként használja. Erre vonatkozó további információkat a Facebook adatvédelmi nyilatkozatában talál. 

#8 A végére pedig a jogérvényesítési lehetőségek

Itt egy példa, hogy kell a jogorvoslati lehetőséget leírni az adatvédelmi tájékoztatóban:

A Felhasználó az Adatkezeléssel kapcsolatos panaszával közvetlenül a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c.; telefon: +36-1-391-1400; e-mail: ugyfelszolgalat@naih.hu; honlap: www.naih.hu) fordulhat.

A Felhasználó jogainak megsértése esetén bírósághoz fordulhat. A per elbírálása a törvényszék hatáskörébe tartozik. A per – az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható. Az Adatkezelő kérésre a Felhasználót tájékoztatja a jogorvoslat lehetőségéről és eszközeiről.

Fontos: A cikk nem teljeskörű, így kizárólag erre támaszkodni az adatvédelmi tájékoztató megírásánál nem ajánlott! 

Ha hasznos volt számodra a cikk, megköszönöm a támogatásodat egy kávé árával: Tetszett a cikk

Bónusz cikk:  5 jel mielőtt csődbe mész