Az 5 leggyakoribb adatvédelmi hiba, amit a kis- és középvállalkozások elkövetnek

Írta:Dr. Maticsek Anna

A GDPR – vagyis az általános adatvédelmi rendelet – 2018 óta kötelező minden olyan vállalkozás számára, amely személyes adatokat kezel. Ez tehát nem csak a multikat érinti: ha van egy webshopod, hírlevelet küldesz, ügyfeleket szolgálsz ki, akkor a te vállalkozásodra is vonatkoznak a hatályos adatvédelmi szabályok. Ráadásul a rendelet megsértése nem csak bírságot eredményezhet, hanem egy adatvédelmi incidens vagy jogsértés ügyfélvesztéshez és hosszan tartó hírnévkárosodáshoz is vezethet.

Ebben a cikkben bemutatom azt az öt leggyakoribb hibát, amelyet a kis- és középvállalkozások az adatvédelem terén elkövetnek, illetve azt is, hogy ezeket hogyan lehet elkerülni.

1. hiba: A vállalkozás nem tudja, hogy (milyen) adatokat kezel

Sok vállalkozás nincsen tisztában azzal, hogy személyes adatokat kezel – pedig ez megtörténik már akkor is, ha egy webshopban egy személy regisztrál, vagy ha valaki e-mailt küld az ügyfélszolgálatnak, kapcsolattartó személynek.

A GDPR értelmében személyes adatnak számít minden olyan információ, amely alapján egy természetes személy azonosítható, így pl.: név, e-mail, IP-cím, rendelési előzmény, ügyfélpanasz, telefonszám stb.

Mi a megoldás?

Készítsünk egy egyszerű adatkezelési nyilvántartást – akár egy Excel táblázatban –, amely a következőket tartalmazza:

  • Milyen típusú adatokat kezelünk? (pl. név, e-mail, cím, IP-cím)
  • Kik az érintettek? (pl. vevők, érdeklődők, munkavállalók)
  • Milyen célból kezeljük az adatokat? (pl. rendelés teljesítése, marketing, ügyfélszolgálat)
  • Mennyi ideig tároljuk őket?
  • Kikkel osztjuk meg? (pl. futárszolgálat, hírlevélküldő)
  • Történik-e adattovábbítás az EU-n kívülre? (megosztjuk-e pl. amerikai szolgáltatókkal az adatokat?)

Egy ilyen nyilvántartás nemcsak a jogszabálynak való megfelelést segíti, de átláthatóvá teszi a vállalkozás működését is.

2. hiba: Érvénytelen hozzájárulások gyűjtése

Az egyik leggyakoribb hiba, hogy a felhasználók hozzájárulását nem megfelelő módon gyűjti egy vállalkozás. Ilyen például a hozzájárulás begyűjtésekor az előre bejelölt négyzet, a homályos megfogalmazás („Elfogadom a feltételeket”), vagy az olyan technikai megoldások használata egy weboldalon, amelyek nem is teszik lehetővé a valódi választást az érintettek számára.

A GDPR szerint a hozzájárulás csak akkor érvényes, ha:

  • önkéntes: a hozzájárulás megadása nem lehet feltétele például egy, a vállalkozás által nyújtott szolgáltatás igénybevételének;
  • konkrét: pontosan meg van határozva, hogy az adott hozzájárulás mire vonatkozik;
  • tájékoztatáson alapuló: az érintett tudja, mely személyes adatainak kezeléséről van szó, és azokat a vállalkozás mire használja fel;
  • kifejezett: aktív cselekvésen kell alapulnia (pl. üresen hagyott négyzet bepipálása, csúszka manuális elhúzása).

Példák és megoldás:

✅ [ ] Hozzájárulok ahhoz, hogy a [Cégnév] marketing célból e-maileket küldjön nekem.

[ ] Az adatkezelési tájékoztatóban foglaltakat elolvastam és elfogadom.

Ebben az esetben az érintettnek lehetősége van a kifejezett hozzájárulás adására, amely tájékoztatáson alapul és konkrét célra vonatkozik.

❌ „[✓] Elfogadom az adatkezelést.”

A hozzájárulás ilyen formában történő gyűjtése:

  • nem konkrét, mivel a megfogalmazása nem tartalmazza az milyen célból történik;
  • nem kifejezett, mivel a jelölőnégyzet előre ki van pipálva, tehát nincs aktív magatartás az érintett részéről,
  • nem igazolható, hogy tájékoztatáson alapul.

Javasolt célonként külön-külön jelölőnégyzeteket alkalmazni, valamint biztosítani a könnyen elérhető leiratkozási lehetőséget minden marketing üzenet végén.

3. hiba: Az érintettek jogait nem biztosítja vagy az érintetti kérelmeket nem kezeli megfelelően a vállalkozás

A GDPR kiemelt szerepet szán az érintettek, vagyis azon személyek jogainak, akiknek az adatait kezelik. Ide tartozik például a hozzáférés joga, a törlés joga („az elfeledés joga”), vagy a tiltakozás joga.

A vállalkozásnak az ilyen kérelem kézhezvételétől számított 30 napon belül választ kell adnia, és teljesítenie kell az érintettek kérését, ha annak nincs jogos akadálya.

Tipikus problémák, hogy a vállalkozások nem tudják, hova kell nyúlni az adatokért, nincs felelős személy kijelölve az ilyen kérelmek kezelésére, illetve hogy nem tartják be a GDPR által szabott határidőt, vagy a kérelmekre nem válaszolnak megfelelően.

Mi a megoldás?

  • Legyen egy kidolgozott belső eljárásrend az érintetti kérelmek kezelésére.
  • Legyen kapcsolattartó vagy e-mail cím megjelölve az ilyen ügyek, megkeresések intézésére (pl. adatvedelem@ceg.hu).
  • Az érintett azonosítása történjen meg biztonságos módon a kérelem teljesítését megelőzően.
  • Nyilvántartás vezetése az érkezett kérelmekről és azok teljesítéséről.

4. hiba: Hiányos vagy nem pontos tartalmú adatkezelési tájékoztató

Sok vállalkozás ingyenes, sablonos, vagy mástól „kölcsönvett” adatkezelési tájékoztatót használ, amely nem tükrözi a cég valós gyakorlatát – ez már önmagában adatvédelmi jogsértés lehet.

A GDPR szerint az adatkezelési tájékoztatónak egyértelműen, közérthetően és részletesen kell tartalmaznia a vállalkozásnál folytatott adatkezelésre vonatkozó, legalább a jogszabályban felsorolt információkat.

Az adatkezelési tájékoztató kötelező elemei közé tartozik többek között:

  • A cég neve és elérhetősége;
  • Az adatkezelés célja és jogalapja;
  • Az adattovábbítás ténye (különösen, ha az EU-n kívülre történik);
  • Adattárolási idő;
  • A gyakorolható érintetti jogok és azok gyakorlásának módja;
  • Panasz lehetősége a felügyeleti hatóságnál.
Tipp:

Nem érdemes lemásolni a konkurencia tájékoztatóját – az adatkezelési tevékenységek mindig cégenként egyediek!

Érdemes viszont legalább évente átnézni és frissíteni az elkészített adatkezelési tájékoztatót.

Mi a megoldás?

Amennyiben a vállalkozásnál nincs megfelelő adatvédelmi ismeretekkel rendelkező személy, úgy javasolt a dokumentum elkészítése érdekében ügyvédhez, vagy adatvédelmi szakemberhez fordulni.

5. hiba: Nincs incidenskezelési terv

Egy adatvédelmi incidens (pl. e-mail címek kiszivárgása, illetéktelen hozzáférés egyes rendszerekhez, amelyben személyes adatokat tárolnak) bármikor bekövetkezhet.

A GDPR szerint, ha az incidens valószínűsíthetően magas kockázatot jelent az érintettek jogaira nézve, azt 72 órán belül jelenteni kell a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH), illetve egyes esetekben az érintetteket is tájékoztatni kell az incidensről.

Fontos kiemelni, hogy az incidens NAIH részére történő bejelentése nem feltétlenül jelenti azt, hogy a vállalkozás bírságot fog kapni. Mindig javasolt a jogkövető magatartás, hiszen ha a bejelentési kötelezettséget egy vállalkozás elmulasztja, sokkal nagyobb eséllyel számíthat bírság kiszabására egy esetleges hatósági eljárás eredményeként.

Mi a megoldás?

  • Legyen írásos terv az incidensek kockázatainak felismerésére, dokumentálására, kivizsgálására.
  • Legyen kijelölt felelős személy az incidensek kivizsgálásért és NAIH felé történő bejelentés megtételéért.
  • Rendszeres biztonsági mentéseket ajánlott készíteni, illetve megfelelő IT-biztonsági megoldások, szakértők megbízása megelőzheti az incidensek bekövetkezését.

Az adatvédelem nem csupán kötelezettség, hanem üzleti érték

A GDPR-nak való megfelelést nem úgy kell szemlélni, mint egy szükséges rosszt, ami azért szükséges, hogy megússzuk a bírságot. A gondos adatkezelés bizalmat épít az ügyfelek szemében, és versenyelőnyt jelenthet egy olyan világban, ahol az adatokkal történő visszaélések mindennaposak.

Egy transzparens és jogkövető vállalkozás hosszú távon stabilabb, hitelesebb és sikeresebb lesz. Minden vállalkozásnak javasolt szakértőt bevonnia a megfelelés kiépítéséhez, hiszen így kis költséggel elkerülhető egy nagyobb baj.

Tipp:

Ajánlott a NAIH által kibocsátott A GDPR egyszerűen kis- és középvállalkozások számára című kézikönyvét tanulmányozni, amely példákkal szemlélteti a megfelelő adatvédelem kialakítása szempontjából legfontosabb információkat.

Elolvasom

Kapcsolódó bejegyzések

| |

Kép- és hangfelvételek felhasználása bizonyítékként bírósági és egyéb eljárásokban

Írta:Dr. Maticsek Anna

Mikor jogszerű és mikor tilos hang- vagy képfelvételt készíteni másokról és azt bizonyítékként felhasználni eljárásokban? A cikk bemutatja a GDPR, a Ptk. és a bírósági gyakorlat legfontosabb szabályait.

A NAIH eljárásai a GDPR-ban biztosított jogok érvényesítésére: vizsgálati és adatvédelmi hatósági eljárás. Mikor melyiket célszerű indítani?

Írta:Dr. Maticsek Anna

Ebben a cikkben bemutatom a NAIH eljárásait: a vizsgálati és az adatvédelmi hatósági eljárást. Részletesen áttekintem a két eljárás közötti főbb különbségeket, jogalapjukat, valamint az eljárások megindításának feltételeit és módjait.