FONTOS! A Nagy GDPR Kérdezz-felelek 2018

A GDPR röviden az Európai Unió és a Tanács által elfogadott, a személyes adatok védelméről és az ilyen adatok szabad áramlásáról szóló rendelete, más néven általános adatvédelmi rendelet (General Data Protection Regulation). A téma azért tart számot nagy közérdeklődésre, mert mindeddig a személyes adatok kezeléséről csak európai uniós irányelv szólt, azt pedig a tagállamok maguk – sokszor eltérő módon –, ültették át. Mostantól fogva ez változni fog, mivel a GDPR közvetlen hatállyal rendelkezik, minden tagállamban kötelezően alkalmazandó. Ennél fogva minden tagállamban ez a rendelet lesz a legfontosabb szabályanyag a személyes adatok kezelése és védelme tekintetében, attól eltérni csak akkor lehet, ha azt maga a GDPR megengedi.

A NAIH, azaz a Nemzeti Adatvédelmi és Információszabadság Hatóság a személyes adatok védelmének biztosításáért felelős hatóság, feladata a személyes adatok védelméhez való jog érvényesülésének ellenőrzése és elősegítése. Azaz Magyarországon a NAIH felel majd a GDPR betartatásáért, ellenőrzéseket folytathat le, az adatvédelmi szabályok megsértőit szankcionálhatja. Emellett iránymutatást biztosító, jogszabály-értelmezést segítő feladatai is vannak.

Az adatkezelés magában foglal szinte minden, a személyes adatokon végzett cselekményt, így azok felvételét, gyűjtését, tárolását, különböző célokra történő felhasználását, továbbítását, módosítását, hogy csak néhány adatkezelési műveletet említsünk. Az ezt végző személy az Adatkezelő. Az, aki az adatkezelő megbízásából és nevében személyes adatokkal dolgozik, az Adatfeldolgozó. A fontos különbség az, hogy míg az adatkezelő meghatározza az adatkezelés célját is, azaz dönt az adatok sorsáról, addig az adatfeldolgozó csak az adatkezelő utasításai alapján végez – jellemzően technikai – műveleteket az adatokon (pl. webtárhely szolgáltatója).

Uniós rendelet lévén a GDPR az EU-hoz valamilyen oknál fogva kapcsolódó adatkezelésekre állapít meg rendelkezéseket. Így alkalmazni kell a GDPR-t, ha Te, vagy a vállalkozásod/céged tevékenységét az Unió területén fejti ki, és az adatkezelés e tevékenységével összefüggésben valósul meg. Ugyanakkor a GDPR továbbmegy ennél: alkalmazandó ugyanis azokra az adatkezelésekre, adatfeldolgozási műveletekre is, amelyeket az Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó végez, ám áruknak vagy szolgáltatásoknak az Unióban tartózkodó érintettek számára történő nyújtásához kapcsolódnak, vagy az érintettek Unió területén belül tanúsított viselkedésének megfigyeléséhez kapcsolódnak.

A rendeletet 2018. május 25-től kell alkalmazni.

2018. május 25. után nincsen. Az Unió már így is igen hosszú felkészülési időt hagyott a GDPR-ral érintetteknek, mivel azt már 2016. májusában kihirdették, azóta érvényes és hatályos, így 2 év állt rendelkezésre.

A változás kétirányú: Egyrészt megszűnik a most működő, a NAIH által vezetett adatvédelmi nyilvántartás, az egyes adatkezeléseket nem kell bejelenteni.

Bejelentési kötelezettség keletkezik viszont az adatkezelő oldalán ún. adatvédelmi incidensek, azaz személyes adatokkal kapcsolatos jogsértések esetén, az adatkezelő általi tudomásszerzést követően haladéktalanul, de legkésőbb 72 órán belül. Kivétel ez alól, ha a személyes adatok megsértése „valószínűsíthetően” (ezt persze nehéz konkretizálni) nem okoz nagy sérelmet az érintettek számára. A bejelentést ilyenkor a NAIH felé kell megtenni. Az incidenssel érintett személyeket csak akkor kell értesíteni, ha az adatsértés számukra valószínűsíthetően nagy kockázatot jelent, pl. banki kódok kiszivárgása esetén. Ha az adatfeldolgozó észlel jogsértést, ő is köteles ezt bejelenteni, mégpedig az adatkezelő felé.

Nem a weboldal ténye számít, hanem az azon található „adatgyűjtő tartalom” megléte. Gondolhatunk itt akár egy Facebook Like-gombra, vagy akár egy hírlevélfeliratkozásra is, de vannak kevésbé szemet szúró adatkezelések is, mint például egy forráskódba ágyazott követőkód.

Ezeknél minden esetben személyes adatok juthatnak a vállalkozásod birtokába, például egy hírlevélre történő feliratkozás során név, email cím biztosan. Ebben az esetben pedig már meg kell felelni a GDPR rendelkezéseinek.

Egyébként nem is lehet automatikusan, „kéretlenül” hírlevelet, direkt marketing anyagokat küldeni, a hírlevelek, reklámanyagok küldéséhez előzetes hozzájárulás szükséges. A hozzájárulás pedig a GDPR szerint csak tevőleges magatartással valósulhat meg. Ilyennek minősül, ha maga a weboldal látogatója pipálja ki a hozzájáruló négyzetet. Nem elfogadható például az a gyakorlat, amely szerint a négyzet már kipipált, és azt a látogató csak jóváhagyólag – vagy éppen figyelmetlenségből – úgy hagyja.

A GDPR szerint a süti-azonosítók alkalmasak a természetes személyek azonosítására, így kiterjed rájuk a GDPR hatálya.

A süti-sávról, azaz a „cookie-k”-ról ezért egyértelmű és pontos tájékoztatást kell adni az oldal adatvédelmi tájékoztatójában, és a felhasználónak kifejezetten és egyértelműen hozzá is kell járulnia ahhoz, hogy az oldal cookie-kat használjon. Sőt, lehetőséget kell adni neki arra is, hogy megváltoztassa döntését, azaz egy ponton úgy döntsön, a továbbiakban nem járul hozzá a cookie-k alkalmazásához.

A sütikkel kapcsolatban egy informatikai megjegyzés: a süti-tájékoztató megjelenítéséhez a rendszernek (weboldal) tisztában kell lennie azzal, hogy az adott felhasználó először látogat-e ide és/vagy elfogadta-e a süti-tájékoztatóban foglaltakat. Ez kétféle módon történhet: a felhasználó regisztrált a weboldalra, ebben az esetben eltárolható ez a döntése, vagyis nem kérdés, hogy elfogadja-e, hiszen regisztrációkor már megtette – ez a ritkábban alkalmazott eset. A másik eset, amikor először felmegy az adott weboldalra a látogató és a rendszer megnézi, hogy a számítógépén található-e ehhez a weboldalhoz tartozó süti, ami azt jelenti, hogy már nyilatkozott az elfogadásról vagy sem, elfogadta-e vagy sem. Ezáltal azzal, hogy megjelenítjük neki a süti-tájékoztató csíkot, már egy cookie-t megnéztünk a számítógépén, méghozzá azelőtt, hogy egyáltalán hozzá tudott volna járulni.

Röviden: szinte borítékolhatóan komoly bírságoknak teszed ki magadat és a cégedet.

Hosszabban: azért javasolt mindenkinek felülvizsgálnia és hatályosítania az adatkezelési gyakorlatát, mert a GDPR az eddigieknél sokkal szigorúbb szankcionálási eszközöket ad a nemzeti hatóságok (Magyarországon a NAIH) kezébe:

a bírság maximális mértéke 20 millió euró vagy az előző év világpiaci árbevételének 4 %-a. A kettő közül a magasabb jelenti a felső határt. Természetesen a NAIH a konkrét bírság összegét számos tényezőtől teszi majd függővé, így figyelembe veszi a jogsértés súlyát, mértékét, az okozott sérelem nagyságát, illetve azt, hogy az gondatlanságból, szándékosságból, netán menthető nemtudásból fakad-e.

Felhasználói adatok nem érkeznek a hirdetésen keresztül, csak egy statisztika. A konkrét felhasználói adatokkal a Google, illetve a Facebook rendelkezik.

(remarketing hirdetéseknek hívjuk azokat a hirdetéseket, amelyeknél a látogató korábbi látogatásai alapján dinamikusan határozza meg a hirdetési platform – például a Facebook – a hirdetés tartalmát)

A Google, illetve a Facebook nem adatkezelő, hanem adatfeldolgozó. Az adatkezelés célját a hirdető határozza meg, ezért a hirdető fog adatkezelőnek minősülni. Ez a fajta adatkezelés ráadásul profilalkotásnak is minősülhet, ami alapesetben tilos.

Profilalkotásnak nevezzük azt a módszert, amikor automatizált adatkezelés során vonnak le következtetéseket a személyes adatok kezelésével érintett személyre nézve – remarketing hirdetés esetén a célszemély preferenciáit illetően. Ez csak megfelelő garanciák mellett történhet, vagyis csak akkor jogszerű, ha az érintett és egy adatkezelő közötti szerződés megkötése vagy teljesítése érdekében van rá szükség, vagy ha az érintett ahhoz előzetes és kifejezett hozzájárulását adta.

Ez informatikai kérdés. Az adatokat a Google tárolja, majd ezeket statisztika formájában adja át. Konkrét adatokat nem kapsz, csak kimutatást, hogy mi a nemek vagy az életkor megoszlása stb.

Elsősorban olyan témájú üzeneteket, amit az oldal látogatója korábban kért pl. a weboldalon elhelyezett valamely feliratkozási módszerrel.

Magánszemélyek részére kizárólag előzetes hozzájárulás alapján jogszerű direkt marketing célú üzeneteket küldeni. Viszont a szabályok értelmében már a hozzájárulás kifejezett kérése is direkt marketingnek minősül, ha az üzenet fő lényegi tartalma a hozzájárulás kérése. Nagyon lényeges tehát a megfogalmazás, ezért javasoljuk az adatvédelmi szakértő véleményének kikérését a kiküldés előtt.

A Mailchimp szolgáltatója amerikai székhelyű, ugyanakkor a fenti esetben szolgáltatása az Unióban tartózkodó személyek felé irányul, így alkalmazandó rá a GDPR. Minden, a Mailchimpen keresztül megvalósult tevékenységnek meg kell felelnie a GDPR rendelkezéseinek. (A legtöbb nagy ESP, így a Mailchimp is proaktívan készül megfelelni a GDPR követelmények technológiai oldalának, melyhez egy külön kiadványt is csináltak. – KP)

Egyértelműen számít! A személyes adatok bekérése a GDPR szerinti adatkezelésnek minősül, márpedig csak olyan jellegű és mennyiségű személyes adatot lehet kezelni, amely az adatkezelés céljához feltétlenül szükséges és arra alkalmas. Mindig csak a minimum adatkört lehet kezelni, amelyek felhasználásával a cél – amelyből az adatokat gyűjtik – már megvalósítható.

Marketing emailt bármilyen e-mail címről küldhetsz, a lényeg abban áll, hogy az emailből egyértelműen kiderüljön, hogy ki az adatkezelő. Marketing e-mailek esetében ezen kívül minden esetben biztosítani kell a leiratkozás lehetőségét úgy, hogy az egyértelmű és könnyű legyen. Ilyen például: „Ha nem kíván több hirdetést fogadni, a leiratkozáshoz kattintson ide.”

Igen, e-mailekre történő feliratkozásnál szükséges, hogy a feliratkozó személy proaktívan járuljon hozzá személyes adatai kezeléséhez, pl. beikszel egy négyzetet a hozzájárulás esetén.

A hozzájárulás fogalmát a GDPR az alábbi, igencsak körülményes fordulattal határozza meg:

„az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez”.

A hozzájárulás e szerint akkor megfelelő, ha tevőleges, tehát a feliratkozó személy maga pipálja ki a bejelölő négyzetet, mert így kizárt annak lehetősége, hogy a feliratkozó tekintete véletlenül átsiklik egy már bejelölt négyzet felett.

A hozzájárulás azt a követelményt is állítja, hogy annak megfelelő tájékoztatáson alapulónak kell lennie. Emiatt javasolt a weblapon elhelyezni egy a weblapra, hírlevélre, illetve e-mailre vonatkozó adatkezelési tájékoztatóra mutató linket, valamint hasonló módon egy bejelölő négyzetet, amelyben a feliratkozó nyilatkozik, hogy a tájékoztatást megismerte. Fontos, hogy e nélkül ne lehessen az e-mailre feliratkozni.

Emellett a feliratkozónak külön hozzá kell járulnia, hogy részére direkt marketing útján hirdetéseket küldjenek – ez is a fent leírtak szerinti bejelölő négyzet elhelyezésével oldható meg.

Mindenképpen fontos, hogy a leiratkozási lehetőség jól látható legyen, az olvasó számára érthető, a honlapon belül gyorsan megtalálható.

Nem. Egyértelműen jogszerűtlen megoldások esetén a hatóság humorérzéke az abszolút nulla körüli értékre csökken… ?

Biztosítani kell az egyszerű, bármely felhasználó számára könnyen kezelhető, egyértelmű és egyszerű leiratkozás lehetőségét. Nem javasoljuk a leiratkozás alkalmával újabb adatok bekérését.

A leiratkozás után a felhasználó e-mail címét véglegesen törölni kell minden adatbázisból, és praktikus, ha ez nem igényel manuális beavatkozást, tehát automatikusan történik.

Ha az EU területén tartózkodó magánszemélyek adatait kezeli, akkor teljesen mindegy, hogy a cég maga melyik országban van bejegyezve, a GDPR szabályait alkalmazni kell. Így ha az USA cég szoftvere nem felel meg a GDPR-nak, a szoftverrel az EU-ban tartózkodó magánszemélyek tekintetében végzett adatkezelés vagy adatfeldolgozás sértheti az adatvédelmi szabályokat.

Nincs.

Akkor is be kell tartani a GDPR szabályait, ha azon szolgáltatások, amelyek céljából az e-mail címeket tárolják, áruknak vagy szolgáltatásoknak az Unióban tartózkodó érintettek számára történő nyújtásához kapcsolódnak.

E-commerce cégek esetében ugyanúgy meg kell felelni a GDPR előírásainak, mint más cégek esetén.

Így biztosítani kell például az előzetes tájékoztatást az oldal használatának megkezdése előtt, hozzájáruló nyilatkozatot kell kapni ahhoz, hogy az oldal személyes adatokat kezelhessen. Direkt marketing küldemények küldése esetében külön-külön hozzájáruló nyilatkozat szükséges.

Biztosítani kell a kezelt személyes adatok biztonságát is, így például fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehessen állítani és a hozott intézkedéseket folyamatos felülvizsgálat alatt lehessen tartani – és azt természetesen el is kell végezni időről időre.

Ami különösen fontos, az az, hogy a webáruház adatbázisában szereplő adatokat nem szabad az adott ügylet befejezése után kezelni, azokat törölni kell az ügylet végeztével. Kivétel ez alól természetesen, ha az érintett személy kifejezett hozzájárulását adja személyes adatai más célú további tárolásához is. Jelenleg a leggyakrabban alkalmazott szabadforrású rendszerek a következőkre biztosítanak lehetőséget: rendelés követése, korábban megrendelt áruk újrarendelése, korábbi rendelések megtekintése. Na most ha ezeket kitöröljük, akkor ezek a maguktól értetődő, egyértelmű funkciók elvesznek. Az ügylet végeztét ezért definiálni kell.

Ha hírleveleket is akarnak küldeni, akkor ehhez külön hozzájárulás is szükséges. Az adatbázisban tárolt adatokat nem lehet felhasználni a gyűjtésük céljától (vásárláshoz szükséges adatok) eltérő célokra, kivéve, ha ehhez ismételten, külön bekérik az érintettek hozzájárulását.

Az adatbázissal kereskedni, azt értékesíteni nem lehet, így nem lehet pl. egy cipő-webshop adatbázisát az akár azonos tulajdonosi körrel rendelkező pl. utazási iroda céljaira felhasználni.

A különbség az adatkezelés mikéntjén, nem pedig az üzleti tevékenységen vagy a vállalkozási formán múlik – néhány speciális esetet leszámítva.

Mindig számba kell venni a kezelt adatok körét, az adatkezeléssel érintettek körét, és az őket egy esetleges adatvédelmi jogsértés esetén fenyegető kockázatokat. Mindennek meghatározása az adatkezelő feladata és felelőssége, és a jó megoldás esetről esetre változik. Éppen ezért szükséges egy adatvédelmi hatásvizsgálat lefolytatása az adatkezelés megkezdése elején, de még inkább előtte.

A GDPR szerint az adatkezeléssel érintett személyeknek az alábbi jogaik vannak:

• Tájékoztatáshoz való jog: megfelelő méretű, nyelvű, egyszerű nyelvezetű és könnyen fellelhető információt köteles adni az adatkezelő az adatkezelés lényeges szempontjairól (ki, mit, mire, hogyan, mettől meddig használ, stb.) – a GDPR pontosan meghatározza a szükséges információk körét. A tájékoztatásnak lehetőleg már a személyes adatok felvétele előtt meg kell történnie. Ha erre nincs mód – mert pl. az adatokat harmadik személytől szerzik be, mondjuk, valaki elküldi egy barátja önéletrajzát a HR-osztálynak – úgy az első lehetséges időpontban.
• Hozzáféréshez való jog: a magánszemély kérhet tájékoztatást arról, hogy történik-e rá vonatkozó adatkezelés, és ha igen, akkor mely adatait kezelik.
• Adatok helyesbítésének kérése: az érintett jelezheti, hogy a kezelt adatok pontatlanok, és kérheti, hogy azok helyett mi kerüljön feltüntetésre – megjegyezzük, hogy az adatok pontosságáért az adatkezelőt terheli a felelősség, így célszerű időről időre ellenőrizni azok pontosságát ;
• Törléshez való jog: az érintett bármikor kérheti adatai törlését. Amennyiben az adatkezelő hozzáférést engedett harmadik személyeknek a törölni kért adatokhoz, akkor tájékoztatnia kell mindazokat, akik számára nyilvánosságra hozta az érintett adatot, hogy minden hivatkozást, illetve náluk tárolt személyes adatot töröljenek. Ennek célja az, hogy – hacsak annak jogi vagy észszerű akadálya nincs – az érintett adat „tűnjön el” a fellelhető adatbázisokból.
• Az adatkezelés korlátozásához való jog: bizonyos esetekben a személyes adatok kezelésével érintett személy kérheti személyes adatai kezelésének korlátozását – például egy tisztázatlan, jogvitás helyzetben, vagy akkor, ha az adatkezelés nem szükséges már, de az adatalany azt mégis szeretné.
• Adathordozhatósághoz való jog: az érintett kérheti, hogy a rá vonatkozóan kezelt adatokat tagolt, széles körben használt, géppel olvasható formátumban (pl. .doc, .pdf stb.) megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az eredeti adatkezelő. Azaz megkönnyíti az adatkezeléssel érintett helyzetét, hogy személyes adatait egyik adatkezelőtől a másikhoz vigye át. Bár ez a jog jól hangzik, kérdés, hogy mennyire lesz megvalósítható a gyakorlatban.
• Tiltakozáshoz való jog: az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból kifolyólag bármikor tiltakozzon személyes adatainak meghatározott okból történő kezelése ellen. Ez tipikusan akkor szokott megtörténni, amikor az érintett nem adta hozzájárulását személyes adatai adott kezeléséhez.

Adatai törlését bárki az adatkezelőhöz címzett nyilatkozattal kérheti szóban, írásban, postai címen, e-mail címen, weboldalon – célszerűen azon a fórumon, amelyen keresztül az adatok jogszerűen az adatkezelőhöz kerültek. Ezért is fontos, hogy az adatkezelő az adatvédelmi tájékoztatójában feltüntesse pontos elérhetőségeit.

A GDPR által használt pontos kifejezés az „adatvédelmi tisztviselő”. ? Nem szükséges minden cégnek, csak a GDPR-ban meghatározott esetekben, vagyis közhatalmi szerveknél, az adatalanyok nagymértékű megfigyelése esetén (pl. vagyonvédelem), illetve különleges személyes adatok megfigyelése esetén (pl. kórház).

Az adatvédelmi tisztviselő egyébként lehet akár alkalmazott, akár külső megbízott – a felelősség és a szakértelem miatt mindenképpen az utóbbit javasoljuk.

Ld. „Milyen formában kérheti bárki az adatai törlését?” kérdésre adott válaszunkat.

Azt kell megjelölni, hogy panasz esetén hová fordulhat az érintett, így a kompetens bíróság és a NAIH elérhetőségét kell feltüntetni annak részletezése mellett, hogy milyen jogsértés esetén melyikhez lehet fordulni.

Ha az adatvédelmi bejelentésre gondolsz, akkor jelenleg ezen a linken magtalálod. A GDPR alkalmazandóságát követően a bejelentés ilyen általános jellege megszűnik. Arra nézve, hogy az onnantól kezdve fennálló bejelentési kötelezettség (pl. incidensek) hogyan lesz teljesíthető, még nincsenek elérhető információk (a cikket folyamatosan frissíteni fogjuk).

Ha “izé” alatt adatkezelési tájékoztatóra vagy adatvédelmi szabályzatra gondolsz, akkor a rossz hír az, hogy ezeket egyedileg kell elkészíttetni, mert nincs két egyforma adatkezelő.

2018. május 25. napjától nem szükséges már az adatvédelmi nyilvántartásba történő bejelentkezés.Előtte – vagyis jelenleg is – még adatkezelésenként külön adatvédelmi nyilvántartásba-vétel szükséges.

Jelenleg ugye kategóriánként kell NAIH számot kérni. Lásd az előző kérdésre adott választ.

Ld. „Honnan tudok ilyen adatvédelmi izét letölteni?” kérdésre adott válaszunk első felét.

Mindenképpen külön adatkezelési tájékoztatót, adatvédelmi szabályzatot javaslunk készíttetni – ez jól látható, elkülönült, és így az érintettek részére alkalmas arra, hogy megállapítsák az őket érintő jogokat és kötelezettségeket.

Az adatvédelmi kérdések tekintetében ugyanis mindenképpen olyan jogász szakemberre van szükség, akinek komoly, legalább 5-6 éves adatvédelmi jogászi múltja van, és rendelkezik valódi referenciákkal.

Ugyanakkor technológiai oldalról az sem hátrány, ha a marketing, vagy a már kialakított operáció továbbra is működőképes marad – vagy esetleg még javul is az új technológiai megoldások bevezetését követően.

A látogatói tevékenységre vonatkozó információk személyes adatnak minősülnek, amennyiben azok az érintett személlyel összefüggésbe hozhatóak. Így erre egy külön adatvédelmi tájékoztatóban fel kell hívni a figyelmet és hozzájárulást kell kérni az ilyen adatok tárolásához. Hozzájárulás birtokában jogszerűen tárolható a látogatói tevékenység.

Erre vonatkozóan elsősorban a fentebb részletezett, a cookie-ra vonatkozó dilemmát kell figyelembe venni. A jogi kérdés, hogy kinek a felelőssége a programozás-technikai megoldás. Célszerű a weboldal készítését megelőzően a készítővel olyan szerződést kötni, amely tartalmazza, hogy a készítő vállalja a felelősséget a weboldal GDPR-megfelelésére.

Nem, az elfogadásnak kifejezettnek kell lennie. A vélelmezett elfogadás nem állja meg a helyét.

Igen, amennyiben a tárolásra megengedett idő lejárt. Ebben az esetben gondoskodni kell arról, hogy a személyes adatokat ne lehessen az érintettel többé kapcsolatba hozni.

Abban az esetben megengedett, ha az űrlap kitöltője hozzájárul az űrlap adatainak részleges mentéséhez. Fontos elvárás viszont, hogy az adatkezelő ne hozza nyilvánosságra a kitöltött űrlapot mindaddig, amíg a kitöltés nem teljes, és vigyázzon is arra, hogy ne kerülhessen így nyilvánosságra.

A részlegesen kitöltött űrlap mentése azt a célt szolgálja, hogy a felhasználó ne veszítse el a megadott adatokat, azokat ne kelljen újra bepötyögni, vagyis ha legközelebb folytatni akarja, akkor már eleve ki vannak töltve az űrlapon. Ebből következik, hogy ő már valamilyen szinten regisztrálva van az oldalra, vagyis az adatkezelési információkat elolvasta, megértette és elfogadta.

Minden esetben megfelelő egyértelműséggel fel kell hívni a felhasználó figyelmét, hogy az adott weboldal a közösségi oldal adatait (és azon belül mely adatokat) is felhasználhatja. Az így történő belépés egyértelmű és feltűnő gomb használatával, amelyre kattintva lehet csak belépni a kérdéses oldalra, jó eséllyel jogszerű lesz.

Alapesetben nem. A Facebook-csoport mindaddig személyes, magáncélra történő adatkezelésnek minősül – és így nem tartozik a GDPR hatálya alá –, amíg az nagy tömegek számára nem férhető hozzá, és csak olyan személyes adatokat hoz nyilvánosságra, amelyeket maga az érintett töltött fel.

A hőtérképes marketingnél nincs konkrét felhasználói adat kezelés, hiszen valószínűleg egy külföldi oldal szolgáltatását használják erre a célra. A felhasználó nem azonosítható. Ha ez olyan weboldalon történik, ahol belépést követően indul be az elemzés, akkor az adatkezelőre és -felhasználóra vonatkozó kötelezettségek az irányadóak.

Ugyanaz vonatkozik rá, mint az előzőre. Egyébként nem videókat tárol, csak egy technikai trükk segítségével tűnik videónak; valójában az egérmozgást és kattintást követik.

A GDPR alapelvek megerősítik a személyes adatok kezelésével érintett személyek jogainak biztonságát, ugyanakkor növeli az adatkezelő cégekbe vetett vásárlói, fogyasztói bizalmat, hiszen a felhasználók, adatalanyok biztosak lehetnek benne, hogy nem történik visszaélés személyes adataikkal kapcsolatban.

Ha egy vállalkozásról, cégről bebizonyosodik, hogy a személyes adatok kezelése, feldolgozása mindenben megfelel a jogszabályoknak, az növeli a cég, vállalkozás üzleti hírnevét, megbízhatóságát, üzleti kapcsolatait.

Tény, hogy a GDPR felkészülés plusz energiát vesz el és költségeket is jelent a cégnek, de úgy gondoljuk, hogy ez feltétlenül tekinthető a cég értéknövelő, hosszú távú beruházásának.