GDPR megfelelés

 Kategória: GDPR

A bevezetése előtt egy héttel sok információ és tévhit keringett azzal kapcsolatban, mi is az a GDPR megfelelés. A világ jogászai és webfejlesztői hasonlóan sok bizonytalansággal találták szembe magukat, amikor értelmezni próbálták a rendeletet, és kitalálni, hogy a hatóságok miként fogják értelmezni azt, amikor törvényi végrehajtásra kerül sor.

Ma, 5 hónappal az élesedés után, és néhány NAIH-eljárással később már sokkal tisztábban látunk.

A világ weboldalainak a 30%-át WordPress hajtja, ezért vegyük át most, hogy mi kell a GDPR megfelelés eléréséhez egy weboldal létrehozásakor, vagy ha már van WordPress weboldalunk, mit kell megvizsgálnunk rajta.

Figyelem: ez a cikk nem jogi tanácsadás. Az alább leírt szempontok és javaslatok a webfejlesztők és marketingesek (és persze jogászok) közös tapasztalatain alapulnak, figyelembe véve a különböző országbéli adatvédelmi hatóságok álláspontjait.

Nem csupán azokat az alapvetéseket kell biztosítanunk, hogy legyen Adatvédelmi tájékoztató / szabályzat, a feliratkozást a feliratkozó kifejezett szándéka okozhassa (mi ne tudjuk őt feliratkoztatni), hogy külön kérdésben tegyük fel, hajlandó-e marketing e-mailek fogadására tőlünk, illetve legyen leiratkozási lehetősége.

Az is nyilvánvaló elvárás a GDPR megfelelés biztosításához, hogy átlátható legyen a weboldal adatkezelése, azaz milyen adatokat gyűjt, hol vannak ezek tárolva és feldolgozva, és legyen lehetősége a felhasználónak elkérnie a tárolt adatait záros határidőn belül. Kérhesse a felhasználó az adatai törlését, és az legyen is végrehajtva, illetve a továbbiakban ne is legyenek azok gyűjtve. Amennyiben adatszegés (data breach) történik, azaz feltételezhetően idegen kezekbe is kerülhetett személyes adat; erről 72 órán belül értesíteni kell a felhasználókat.

A GDPR megfelelés az alábbi nem nyilvánvaló technikai feltételeket kívánja:

Amennyiben vannak nem GDPR megfelelő weboldal modulok, el kell azokat távolítani és / vagy megfelelőekkel kell helyettesíteni. A fejlesztők folyamatosan dolgoztak azon, hogy a moduljaik GDPR megfelelés szempontjából rendben legyenek; magam is többel kapcsolatban álltam ez ügyben.

Példák a nem GDPR megfelelés eseteire:

Weboldal látogatói statisztikai modulok – ezek egy része távoli (saját) szerverre küldi a látogatói adatokat, és ott összesíti, majd jeleníti meg.

Avatar-megjelenítő közösségi modulok – ezek a regisztrált felhasználók adatait távoli (saját) szerveren tárolják.

Spam-szűrő modulok, amik minden hozzászólás felhasználói adatait a saját adatbázisukkal hasonlítják össze.

Biztonsági mentő modulok, amik a teljes biztonsági mentéssel együtt a felhasználói adatbázist is elviszik egy saját szerverre.

Weboldal-gyorsító modulok, amik a felhasználó-közeli szerverektől töltik le a weboldal elemeit, és így működésük GDPR-szempontból megkérdőjelezhető.

Közösségi hálózati megosztó modulok, amik pl. egy cikk megosztását segítik, viszont a cikk olvasásakor már rég letöltötték a felhasználó személyes adatait a közösségi hálózatról (pl. Facebook-ról).

 

Kapcsolati űrlapok, amik nem kérik a feliratkozó egyértelmű beleegyezését, nem fogadtatják el velük az Adatvédelmi szabályzatot, és nem biztosítják a dupla-feliratkozást, amikor csak egy visszaigazoló e-mailben kattintott link hatására történik meg a feliratkozás (az űrlap segítségével mi nem tudjuk őt feliratkoztatni). Nem figyelnek arra, hogy csak az e-mail cím lehet kötelező mező a feliratkozó / érdeklődő űrlapon.

Weboldal statisztikai modulok, mint pl. a Google Analytics nem gyűjthetik a weboldal látogatók IP címét.


Látható, hogy nagyon sok olyan adatszegés valósulhat meg, amiről sokan még nem is tudnak. A világ webfejlesztői közössége folyamatosan tárja fel és publikálja ezeket, ahogy a rendelet szövege egyre inkább gyakorlati értelmet nyer. Remélem, tudtam segíteni néhányat ezek közül megvilágítani.

Folyamatosan figyelem, és dolgozom fel az újonnan felmerülő potenciális adatszegési eseteket, hogy új, GDPR megfelelés szempontú  weboldal készítésénél már ezeket figyelembe véve tervezzek és valósítsak meg, de szívesen segítek már meglévő weboldalak átnézésében és kijavításában is.

Új weboldalak készítésénél az alábbiak szerint gondoskodom a GDPR-megfelelőségről:

1) Megbízó által készített Adatvédelmi tájékoztató feltöltése, bekötése a weboldal láblécébe.
2) Űrlapok módosítása, hogy kötelezően fogadja el az Adatvédelmi tájékoztatót, aki üzenetet küld, valamint járuljon hozzá adatai kezeléséhez és esetleg hírlevélküldéshez.
3) Weboldal felülvizsgálata, hogy esetleg bármilyen modulja elküldi-e a felhasználók adatait másik szerverre bármilyen célból, és az ilyen működés megszüntetése, javítása.
4) GDPR-kompatibilis cookie-kezelés megoldása.
5) Személyes adat törlésére irányuló kérelem benyújtásához hivatalos e-mail cím feltüntetése a kapcsolati oldalon (amit az Adatvédelmi tájékoztatóban is fel kell tüntetni).
6) Weboldali adatkezelő(k) DPA (Data Processing Agreement) -jének beszerzése.

Korábbi cikkek
seo hibaonline ügyfélszerzés