+36 20 552 14 37 info@phresh-it.hu

Már nem friss a téma, volt (plusz) egy évünk felkészülni ( köszi NAIH :* ), de úgy tűnik nem igazán használtuk ki. Sok helyen látok hatalmas hiányosságokat, viszont a téma újra aktuális, hiszen elkezdték ellenőrizni a megfeleléseket, ezúttal már nem csak nagyobb vállalatoknál hanem a KKV szektorban is.

Na jó… egyelőre bizton állíthatjuk, hogy ‘nem kezdi ki a szél a mellüket’ a sietségben, mert szúrópróbaszerűen végeznek ellenőrzéseket kapacitás hiányában.

Viszont, ha most azt kérdezed magadtól, hogy “Hé, miért pont én lennék a következő?”, arra egy kérdéssel felek: Miért ne?

Pont most, hogy egyre többen vállalkoznak és szinte minden vállalkozásnak szüksége van legalább minimális online jelenlétre, még inkább bele fognak húzni, amint tudnak.

Na de nem ijesztgetni akarlak, inkább felkészíteni és informálni, hogy ne legyen ebből problémád.

Tehát jöjjön a “mumus”, avagy mi is az a GDPR? – mivel isszák?
Aki esetleg még mindig nem tudja pontosan…

A GDPR (General Data Protection Regulation) egy, a természetes személyek személyes adatainak kezelésére vonatkozó törvény, melyet 2016.04.27-én hirdettek ki és 2018.05.25-től lett jogerős, azaz alkalmazandó.

A törvény nem tesz különbséget, hogy egyéni vagy társas vállalkozásról van szó, hány alkalmazottat foglalkoztat a cég, stb. Tehát vonatkozik természetes személyekre, egyéni vállalkozókra, munkavállaló nélküli cégekre is éppúgy nagyobb vállalatokra. Mindenkire, aki adatkezelési tevékenységet végez.

Mi számít adatkezelésnek?

Szigorú értelemben véve már az is, hogy megnézi a weboldalad egy látogató, ugyanis az azonosításhoz szükséges adatokat (IP-cím, munkamenet session/süti) mindenképp vizsgálni kell a működéshez. Szerencsére azért nem olyan vaskalaposak az ellenőrök, hogy ilyen esetben is belekössenek ha nincs semmilyen más adatkezelés, mindazonáltal, akármilyen egyszerű az oldalunk, még ilyen esetben is érdemes lehet feltüntetni a tárhelyszolgáltatónkat, mint adatkezelőt és belevenni a működéshez elengedhetetlen sütik leírását.

  • ha van például egy kapcsolati űrlapod
  • véleményt, hozzászólást lehet írni valahova (azonosítással)
  • regisztrálni lehet az oldaladra
  • bármilyen követőkódot használsz az oldaladon (Google Analitycs, Search Console, Facebook Pixel, hőtérképpek, stb)
  • ha bármilyen külső API-t használsz az oldaladon, ahol adatokat lehet megadni (pl Facebook chat)
  • kvíz, nyereményjáték van az oldaladon (azonosítani kell őket, hogy tudd ki nyert vagy kinél mi az eredmény)
  • bármilyen kitölthető űrlap vagy kérdőív

Lényegében szinte minden, ahol információt kérünk be, hiszen a legtöbb esetben azonosítanunk kell valahogy a kitöltőt vagy nekünk vagy a külső programnak, amit használunk.

Tévhit, hogy akkor kell csak ezekkel bíbelődni ha nevet, email címet, stb kérünk be, ugyanis nem csak ezekkel azonosíthatók a látogatók. Minden olyan dologra vonatkozik, ahol közvetlen vagy közvetett módon azonosítható a látogató és ez lényegében teljesül abban a pillanatban, ahogy az oldalt meglátogatta valaki.

Érdekes tény, hogy akkor is vonatkozik rád mindez ha semmilyen bevételed nem származik a tevékenységből, pl. hobbiblogolsz.

Bármilyen ilyen esetben a törvény szerint kérned kell az illető hozzájárulását az adatkezeléshez. Ez azt hiszem meg is magyarázza a sütikezelős sávokat és felugró ablakokat.

Mi történik ha nem felelsz meg a GDPR-nak?

Tekintve, hogy az egész a globális és nagy cégek korlátozásai végett jött létre a “kishalakkal kesztyűs kézzel bánnak”.

Először figyelmeztetés és türelmi idő, hogy javítsd a hiányosságokat.
Ha nem javítottad a határidőig komoly büntetésekre számíthatsz.

A maximum globális éves forgalom (nem profit) 4%-a vagy a hiányosságoktól függően megszabott büntetés, akár 20 millió euró. Attól függ melyik a több. Kedves, nem? 😛

Bizonyos esetekben kártérítést is kell fizetned…

GDPR-büntetés

Hogyan kérhetsz a GDPR-nak megfelelő hozzájárulást az adatkezeléshez?

Mindenek előtt, a szövegnek abszolút közérthetőnek kell lennie. Nem használhatsz jogász nyelvet vagy könnyen félreérthető szövegeket.

A hozzájárulásoknak teljesen elszeparáltan kell működniük az egyes adatkezelési részeknek megfelelően. Nem használhatsz már egy pipálós dobozt pl. az általános felhasználási feltételekhez és az adatkezelés tájékoztatás elfogadásához. Minden információt kérő résznél külön engedélyt kell kérnünk a felhasználótól és tájékoztatnunk kell, hogy akkor és ott mire használjuk fel a bekért adatokat.

A végére hagytam a két legfontosabbat, amiket már komolyabb problémának ítélnek meg.

A hozzájárulásnak önkéntesnek és tevőlegesnek kell lennie. Ezt az jelenti, hogy pl. ha pipálós dobozt használunk, nem lehet előre kipipálva!

A másik nagyon fontos dolog, hogy a hozzájárulás bármikor visszavonható legyen. Amennyiben nincs erre a célra külön űrlapod (nem szükséges), akkor kell lennie valami lehetőségnek a kapcsolatfelvételre (email cím, telefonszám, stb), ahol a felhasználó kérheti adatai törlését.

Természetesen az oldalnak képesnek is kell lennie az adatok törlésére és ez az amit a nagyobb cégek és/vagy tisztességtelen vállalkozók a mai napig előszeretettel elsunnyognak. Törlés helyett csak “flag”-elik a felhasználót.

Konyhanyelven arról van szó, hogy az adatokat nem törlik, csupán az adatbázisban töröltnek jelölik egy kapcsolóval, így nem tudsz már belépni, de az adataid továbbra is megmaradnak.

Ezt a húzást például elég komolyan büntetik…

Ha a fiókod törlése után is kapsz még levelet tőlünk, pl. hírlevelet, akkor biztos lehetsz benne, hogy valójában nem törölték az adataidat.

Ellenőrizhetjük másképp is, hogy az adott oldal valóban törölte-e az információkat rólunk. Kérhetünk jelszó emlékeztetőt vagy visszaállítást az oldalon a korábbi regisztrációnkhoz megadott email címünkre. Ha kapunk, baj van.

Megpróbálhatunk újra regisztrálni a korábban használt felhasználónevünkkel – ez különösen könnyű olyan oldalakon, ahol a név és/vagy email cím megadása után a háttérben lefut az ellenőrzés nemcsak az űrlapot elküldve – és ha azt írja, hogy már foglalt a felhasználó vagy az email cím, szintén tudhatjuk, hogy a törlés valójában nem történt meg.

Sokan használtok WordPress alapú oldalakat, így megnyugtatásotokra közlöm, hogy a WordPress teljesen etikusan jár el. Ha törölsz egy felhasználót, akkor ténylegesen törlődik, az adataival együtt.

A törlés funkció a WordPress-ben: a “Felhasználók” menüpontban a felhasználó(kat)t kijelölés után a fenti vagy lenti legördülőlistában található “Törlés” opciót kiválasztva, majd az “Alkalmaz” gombra kattintva törölhetjük.

Adattakarékosság

Emberi nyelven, arról van szó, hogy nem kérhetünk és egyébként sem célszerű minden adatot csak úgy bekérni a felhasználóinktól, csak ami valóban indokolt.

Ennek a résznek a lényege, hogy ne ju(tha)ss olyan információk birtokába, ami szükségtelen a cél eléréséhez. Erősen kapcsolódik a gondolat az elszeparáltság elvéhez, ezért is kell minden információbekéréshez külön engedélyt kérni, hiszen így könnyedén eldönthető, hogy a bekért adat valóban ahhoz szükséges-e, amit feltüntettél.

Egyszerű példa a kapcsolati űrlapon a kapcsolatfelvételhez bekérheted a látogatód nevét, az email címet és a telefonszámot, akár mindkettőt probléma nélkül, viszont ha bekéred a személyi számát, lakcímét (hacsak nem személyes találkozásról vagy fizikai levelezésről van szó), születési adatait, stb. az már kifejezetten indokolatlan.

Tájékoztatás a kezelt adatokról

Szintén előírás, hogy a felhasználónk bármikor tájékoztatást kérhessen a róla kezelt adatokról és persze kérésére a rendelkezésére is bocsássuk ezeket. A feltételek megteremtése azonos a törlésével, azaz ha nincs rá űrlapunk, kapcsolati lehetőség kell.

Amennyiben ilyen kérést kapunk, WordPress oldal esetében adatait kimenthetjük az “Eszközök” -> “Személyes adatok exportálása” menüpontban, majd elküldhetjük neki. Ha ezen adatait törölni szeretné, de felhasználói fiókját nem, akkor az “Eszközök” -> “Személyes adatok törlése” menüben törölhetjük a kérelmező összes gyűjtött adatát.

Adatkezelési tájékoztató

WordPress-ben adatkezelési tájékoztatónkat a “Beállítások” -> “Személyes adatok védelme” menüpontban állíthatjuk be, hogy melyik oldalunk feladata lesz ez a kiváltság.

Az adatkezelési tájékoztatóban kötelezően fel kell tüntetnünk minden rendszer, szolgáltató, harmadik fél adatait, amit a rendszerünk használ. Pl. a hírlevélküldő rendszert szinte kivétel nélkül külső szolgáltatóval oldják meg és ilyenkor ennek a szolgáltatónak az adatait is fel kell tüntetni (annak ellenére, hogy felelősséget természetesen nem kell vállalnod az ő rendszerükért).

Fontos itt is, hogy közérthető és könnyen értelmezhető legyen a szöveg, ezt a dokumentumot (esetleg némi segítséggel, de) te is megírhatod, ha már tudatában vagy milyen adatokat is kezelsz, milyen céllal, de persze a legjobb ha szakjogász írja meg.

Egy sablon ehhez remek kiindulópont, manapság már sok helyen találni ilyen sablonokat (mi is adunk az általunk készített weboldalakhoz ha kéred).
A weboldalkészítőd pedig meg tudja mondani milyen adatokat kezelsz mik segítségével és milyen céllal. (ha nem, akkor rosszul választottál..)

Milyen adatokat?

Az adatkezelő (weboldal tulajdonos, munkatársak akik hozzáférnek még az adatokhoz), igénybe vett szolgáltatók (tárhely, szállító cég, harmadik felek), stb

  • neve
  • természetes személy vagy egyéni vállalkozó esetén személyi igazolvány szám, lakcím és a lakcímkártya száma
  • adóazonosító száma
  • elérhetősége (minimum egy email cím)
  • székhelye
  • adatkezelés célja, jogköre, jogalapja, érintettjei

Sütikezelési részleges vagy teljes tájékoztatás. Részleges ha van külön dokumentum a sütikezelésről. Erről részletesebben később…

Intézkedések az adatvédelemmel kapcsolatban.

Incidens bejelentési kötelezettségvállalás.

Panaszkezelés módja.

Ezek azok a dolgok, amiket mindenképp tartalmaznia kell, de nem mindenki kezeli ugyanúgy az adatokat ezért érdemes legalább konzultálni az oldal készítőjével és egy szakjogásszal a dokumentum teljességéhez.

Sütikezelés

GDPR-sütik

Hogy mik is pontosan azok a sütik (Cookie-k), arra most nem térnék ki külön, de olvashatsz róla például az én sütikezelési tájékoztatómban.

A WordPress oldalak (alapból) két esetben készítenek sütit: regisztrációnál és hozzászólásoknál.

A WP megoldja nekünk a hozzászólásoknál a tájékoztatást, bár nem teljeskörűen, azonban több mint valószínű, hogy más sütiket is kezelünk az oldalunkon.

Pl. bármilyen harmadik féltől származó kiegészítés vagy funkció használ ilyen sütiket. Leggyakoribb és legismertebb talán a Google Analytics követőkódja. Még ha anonimizáljuk is az IP címeket, akkor sem vagyunk felmentve a tájékoztatás kötelessége alól.

Ugyanez a helyzet a Facebook Pixel-el vagy akár a “Like” és “Megosztás” gombokkal is, de még egy YouTube videó beágyazásánál is.

Bár manapság ritka, de még előfordulnak rossz megoldások. Fontos, hogy valóban blokkolja a nem működéshez szükséges sütiket az elfogadásig, ne csak kiírjon valamit.

Van jó hír is?

Van.

Bizonyos sütikhez nem kell hozzájárulást kérnünk külön, elegendő tájékoztatnunk a látogatót a meglétükről:

  • hitelesítési munkamenet sütik
  • biztonsági azonosító sütik
  • multimédia lejátszó munkamenet sütik (pl youtube video)
  • sebességoptimalizáló/terhelés kiegyenlítő sütik
  • a felhasználói felület megjelenését/testreszabását segítő sütik
  • a felhasználó által rögzített adatokat tároló sütik

Minden máshoz hozzájárulást kell kérnünk és blokkolnunk kell míg meg nem kapjuk az engedélyt az elhelyezésre. A NAIH különösen hangsúlyozza a harmadik féltől származó sütiket ezen a téren.

A tájékoztatásban közölni kell:

  • a süti nevét
  • származási helyét
  • a kezelt adatot
  • a süti élettartamát

Ezek a sütik nem “települhetnek” a felhasználó gépére az engedélye nélkül, még akkor sem, ha a weboldal részben vagy egészben emiatt nem elérhető, vagy bizonyos funkciók elérhetetlenek a sütik nélkül.

A sütikhez egyesével külön-külön kell(ene) engedélyt kéri, nem lehetséges egyben. Persze valószínűleg aki ezt kitalálta, annak halvány dunsztja sincs a sütikről, hiszen egy átlagos összetettebb weboldal is 10-50 sütit használ manapság. Képzeld csak el, hogy 20-30-50 felugró ablak kéri az engedélyed, melyeket egyesével jóvá kell hagynod, még azelőtt, hogy bármit is látnál az oldalból…

Sok süti esetén azonban tényleg nem javasolt egyben kérni az engedélyt. Az okosok ezt felhasználási kategóriákkal oldották meg. És a kategóriát választhatod, vagy lebontva egyesével is, hogy mit engedélyezel és mit nem. Pl. analitikai célú, marketing célú, felhasználói élmény célú, stb.

Ezzel a megoldással már nem kötnek bele a működés ezen részébe.

A sütik korrekt kezelésére több nagyszerű bővítmény is van WordPress-hez is. Egy nagyon népszerű (bizonyos szintig ingyenes) és jó megoldás a Cookiebot.

Spórolás a sütikkel

Ne használjunk feleslegesen több sütit, mint amennyi szükséges.

Jól válogassuk meg a bővítményeinket WordPress oldalunkhoz, mert ugyanazt a feladatot ma már rengetegféleképpen el lehet végezni.

Jó példák erre azok a WordPress pluginok, melyek feladata, hogy minden blogcikk alá külön-külön betegyék a közösségi média gombokat (Like, Megosztás, Twitter, Google+, LinkedIn, stb).

Ennek ma már egyébként nem sok értelme van és lényegesen lassítja is az oldalt. Lehetőség szerint használjunk egy globális bővítményt és ágyazzuk be úgy, hogy minden oldalon megjelenjen.

Ha nem tudod, milyen plugonikat érdemes használnod, kérdezd meg kezelőorvosod, gyógyszerészed webfejlesztőd.