Az általános adatvédelmi rendelet megérkezése

A GDPR mi az, és mit jelent a személyes adatok védelme a webhelyeken és az e-kereskedelmi webhelyeken

Az Általános Adatvédelmi Szabályzat céljai

Az Európai Unió által elfogadott jogszabály hasznosságának jobb megértéséhez elengedhetetlen a GDPR céljainak felsorolása. Ezzel az új szabályozással a felhasználóknak mindenekelőtt jobban tisztában kell lenniük személyes adataik sorsával, és mindenekelőtt kifejezett hozzájárulásukat kell adniuk. Ugyanazokat az adatokat ezután rendkívüli takarékossággal kell felhasználni, szigorú szabályokat szabva, hogy az Európai Közösségen kívül is feldolgozhatóak legyenek, végül pedig komoly szankciókat kell kiszabni azokra, akik megsértik az általános adatvédelmi rendelet előírásait. Ezekre a pontokra épül ez az új adatvédelmi szabályozás, de röviddel megjelenése után az Általános Adatvédelmi Szabályzat már tartalmaz néhány hiányosságot.

A tagországok és az olasz mocsár "aránya".

Az általános adatvédelmi rendelet olyan szabályrendszerként mutatkozott be, amely a magánélet védelmében fontos visszaszorítást garantál. A törvényhozás idején azonban az EU meghagyta a tagországoknak azt a lehetőséget, hogy az új dokumentumban foglalt előírásokat "értelmezhessék". Ez azt jelenti, hogy a sokat ígért merevség már azelőtt megszűnt, hogy elkezdődött volna, és például a francia és spanyol felhasználók személyes adataikat másképp kezelhetik, mint a portugál vagy német felhasználók. Az olasz eset még ennél is egyedibb: Kormányunk a mai napig nem adta ki az általános adatvédelmi rendeletre vonatkozó törvényerejű rendeletet, így az európai szabályozás továbbra is érvényes hazánkban. A dolognak önmagában is lehetnek pozitív vonatkozásai, ha nem törvényerejű rendelet hiányában nem lehet felelősségre vonni és megbüntetni az új dokumentumban foglaltakat megsértőket.

Mit jelent a „személyes adat”?

A "személyes adatok" kifejezést a mindennapi élet különböző területein használják (és visszaélnek vele), de ez félrevezető fogalom minden nem szakértő számára. Ugyanakkor, tekintettel arra, hogy az érzékeny adatok védelméről és a magánélet megsértésével szembeni szabályokról beszélünk, elengedhetetlen a "személyes adatok" világos fogalma. Mindezek az információk lehetővé teszik egy személy másoktól való egyértelmű azonosítását, és az úgynevezett "személyes adatok": ezért ebbe a kategóriába tartozik a név, vezetéknév, adószám, születési idő, cím, telefonszám és még sok más. Ha azonban a webportálokon az adatvédelemről beszélünk, vannak más elemek is, amelyek egyértelműen azonosítják az alanyt, még akkor is, ha azok inkább az ugyanazon használt eszközöknek tulajdoníthatók: az IP-címek, az e-mail címek, a cookie-k és így tovább szintén személyes adatnak minősülnek.

Ennek a definíciónak a fényében felmerül a kérdés: de mikor döntenek a felhasználók, hogy érzékeny adataikat egy weboldalra bízzák? Ez a művelet az esetek túlnyomó többségében a portálon történő regisztráció során történik, legyen az egy lefoglalt terület létrehozása vagy akár csak hírlevél feliratkozás. Konkrétan akkor sok e-kereskedelmi oldalak másfajta, "kényesnek" minősíthető adatokhoz is hozzáférnek: mindenekelőtt pénzügyi jellegűek (bankkód, IBAN és adózási hely), amelyek nyilvánvalóan elengedhetetlenek az online tranzakciók lebonyolításához. Kevésbé átgondolt, de mégis a személyes adatok kategóriájához köthető a fogyasztási szokások is: melyik közösségi oldalt használja? Mi a kedvenc italod? Mi volt az utolsó termék, amit online vásároltál? Ezek a triviálisnak tűnő kérdések általában fogyasztói profilt alkotnak, így a felhasználónak csak olyan árukat és szolgáltatásokat kínálnak, amelyek valóban felkeltik a kíváncsiságát. Ezen adatok kereskedelmi célú felhasználását is egyértelműen el kell magyarázni a felhasználónak, mindig az Általános Adatvédelmi Szabályzat előírásainak megfelelően.

Mi a teendő az új általános adatvédelmi rendelettel?

Mélyítse el a mögöttes elméleti szempontokat személyes adatok védelme elengedhetetlen, de mindazok, akik internetes portálokat és e-kereskedelmi oldalakat kezelnek, alapvetően szeretnék megérteni, hogy milyen új műveleteket kell végrehajtani az új adatvédelmi jogszabály kapcsán.

Kapcsolatfelvételi űrlapok az adatvédelmi szabályzattal kombinálva

Ahogy korábban írtuk, a felhasználóknak tisztában kell lenniük azzal, hogy személyes adataik bizonyos célokra gyűjthetők és feldolgozhatók. Ezért elengedhetetlen, hogy a felhasználó az e-kereskedelmi oldalakon történő regisztrációkor vagy egy internetes portál meglátogatásakor kifejezetten gyakorolja hozzájárulását. Éppen ezért az Általános Adatvédelmi Szabályzat mindenkit kötelez internetes oldalak hogy legyen egy Adatkezelési tájékoztató, vagy olyan dokumentáció, amelyben a felhasználóknak elmagyarázzák, hogy milyen típusú adatokat gyűjtenek, ki az, aki gyűjti azokat, és miért teszi ezt, de mindenekelőtt azt kell tisztázni, hogy ezeket harmadik félnek továbbítják-e, és mennyi ideig őrzik azokat a portál adatbázisában. Tekintettel arra, hogy egy ilyen dokumentum legtöbbször különösen hosszú és unalmas, és a webhasználók (saját személyes biztonságuk ellenére) hajlamosak elkerülni azokat az internetes oldalakat, ahol hosszú szövegek olvashatók, megállapítást nyert, hogy az Adatkezelési Tájékoztatót össze kell kapcsolni azokkal az űrlapokkal, amelyeken a felhasználó fizikailag megadja személyes adatait. Éppen ezért, amikor például egy weboldal hírlevélre iratkoz fel, a felhasználónak a név, vezetéknév és e-mail cím megadása mellett „ki kell pipálnia” a személyes adatok kezelésének engedélyezésére vonatkozó négyzetet.

Adatnaplózás és Google Analytics

Ez az új jogszabály többek között a személyes adatok védelmének szabályozásán túl az e-kereskedelmi oldalak és internetes portálok kezelőit is kötelezi az érzékeny felhasználói hivatkozások regisztrálására és megőrzésére. Sőt, még annak a dátumnak is, amelyen a felhasználó hozzájárult személyes adatai kezeléséhez, könnyen ellenőrizhetőnek kell lennie. Ebből következik, hogy a weboldalaknak valódi adatbázissal kell rendelkezniük, amelyre bármikor támaszkodhat, amelyet egy adatnaplózó eszközzel kell kombinálni. Ez utóbbi egy olyan szoftver, amely rögzíti annak az eszköznek az IP-címét, amellyel a felhasználó a portálra lép, és így bármikor ellenőrizhető a hozzájárulás eredete, dátuma és időpontja.

Például mindazoknak a portáloknak, ahol a felhasználóknak saját "lefoglalt területük" van, adatnaplózó eszközökhöz kell folyamodniuk, ahol nemcsak ellenőrizhetik érzékeny adataikat bármikor, hanem szükség esetén módosíthatják és/vagy törölhetik azokat. A világ egyik leghíresebb adatnaplózó eszköze a Google Analytics, az azonos nevű Mountain View cég szoftvere, amellyel a felhasználók ellenőrizhetik webhelyük teljesítményét. A Google Analytics rögzíti az egyes felhasználók IP-címét, a meglátogatott oldalakat, az eltöltött időt és sok más adatot. Az ezt a szoftvert használó weboldalak kezelőinek – mindig az Általános Adatvédelmi Szabályzat előírásainak betartásával – portáljukon belül kifejezetten fel kell tüntetniük az olyan programok használatát, mint a Google Analytics.

Itt jön az adatvédelmi tiszt

Az új szabályok a személyes adatok biztonsága egy konkrét szakmai személyt kell meghatározni, akinek felelősséget kell vállalnia a felhasználók által webportálokra bízott dolgok kezeléséért és védelméért. Ez a szám adatvédelmi tisztviselő, ill Az adatvédelmi tisztviselő (rövidítve DPO). Az adatvédelmi kezelőnek mindenekelőtt mélyreható ismeretekkel kell rendelkeznie nemcsak az Általános Adatvédelmi Szabályzatról, hanem minden más, a magánéletre vonatkozó hatályos szabályozásról, legyen szó múltról, jelenről vagy jövőről. Ekkor a weboldal tulajdonjogát tekintve teljesen független személyiségnek kell lennie, aki nem kap megrendeléseket senkitől, és akinek közvetlenül kell beszélnie a vállalat szervezeti felépítésének felső vezetésével. Ugyanakkor végre képesnek kell lennie olyan anyagi és humán erőforrásokra is, amelyek lehetővé teszik számára, hogy a személyes adatok biztonságára vonatkozó új szabályozás által előírtakat a lehető legjobban végrehajtsa. Valójában még az alakja mögött is a DPO számos hiányosság és tisztázandó szempont van. Mindenekelőtt az adatvédelmi tisztviselő képességeit érinti: a valóságban ennek a figurának nem csak az adatvédelmi szabályozáshoz kell megfelelő ismeretekkel rendelkeznie, hanem a portál által lefedett kérdésekben is kompetensnek kell lennie, különösen, ha azok bizonyos jelentőséggel bírnak (gondoljunk csak az orvostudományi témákkal foglalkozó portálokra). Magától értetődik, hogy ezeket a készségeket egyetlen alakban megtalálni legtöbbször nehéz, ha nem lehetetlen.

Milyen kockázattal jár az általános adatvédelmi rendelet megsértése?

Amint azt fentebb is említettük, az új adatvédelmi törvényhez kapcsolódó szankcionálási keret még mindig hiányos, különösen itt, Olaszországban, ahol a konkrét törvényerejű rendelet hiánya – legalábbis papíron – nem vonja felelősségre az elkövetőket. Szeretnénk azonban nagyon röviden összefoglalni azokat a büntetéseket, amelyeket azok sújtanak, akik nem helyezik előtérbe a felhasználók személyes adatainak biztonságát, két makroterületre oszthatjuk ezeket: