A legtöbben olyanok fordulnak hozzám, akiknek van egy egyszerű weboldaluk, amin használnak statisztikát, van Facebook like gomb – esetleg like box –, össze van kötve az oldal a Google Search Console-lal, és mindezek tetejébe maximum még feliratkozóktól és vásárlóktól kérnek be adatokat.
Ez a neten ma bármelyik weboldalra igaz lehet, még a hobbi weboldalakra is.
Ezeknek a weboldalaknak fontos ismérvük még, hogy mit NEM csinálnak:
– Nem vesznek felhasználói adatokat.
– Nem adnak el felhasználói adatokat.
– Nem abból élnek, hogy adatokat gyűjtenek és rendszereznek, majd ezekből például kimutatásokat készítenek és iparágak döntéseit befolyásolják, hanem van egy jól bevált, nem az adatokra alapuló versenypiaci üzleti modelljük:
a.) vagy ők maguk szolgáltatnak, értékesítenek a felhasználók számára,
b.) vagy ők maguk csak reklámot jelenítenek meg,
c.) vagy ők maguk közvetítenek mások felé ügyfeleket.
Ha mindezek igazak a weboldaladra – az is, hogy mi jellemzője és az is, hogy mi nem a jellemzője –, akkor számodra a GDPR-nak való megfelelés 4 alappillére csupán a következőkben rejlik.
- Jóhiszeműség. Továbbra sem vered át és csapod be a felhasználókat, ahogy eddig sem tetted. Az adataik kezeléséhez való hozzájárulást nem trükkös félinformációk és technikai megoldások révén, hanem CSELEKVÉS alapokon kéred be, ennek alapja az, hogy GOMBRA KATTINT. Checkboxokat nem ír elő a GDPR, csak cselekvést, ami lehet persze checkbox is, de lehet sima „Elfogadom” „OK”, vagy bármilyen gombra kattintás. Ne ess át a ló túloldalára 68 checkbox-szal, mert ennyi cookie-t fog a böngészőjébe épülni a weboldaladon.)
- Tájékoztatás. Korrekt és emberi nyelven történő tájékoztatás az adatvédelemről és az adatkezelésről. Kiteheted menüpontba ÉS tájékoztathatsz ilyen kis csík bannerben, ahogy az én oldalamon láttad, és feliratkozásnál ás vásárlásnál külön elfogadtathatod a konkrét feliratkozókkal és vásárolókkal. (Róluk már el is tárolja a rendszer, hogy mikor fogadták el, percre pontosan. Sima látogatókról ez nem szükséges infó.) Nem dugod el az infót, hanem inkább többször is az arcába tolod.
- Vigyázol az adatokra. A legtöbb vállalkozásnál az adatkezelés kimerül adattárolásban, amit nem is saját szoftverrel, hanem bérelt megoldásokkal eszközölnek: hírlevélküldő, CRM rendszer, stb. Ha ezeknek van ssl titkosításuk és rendszeres adatmentésük, akkor elvégezted a feladatot. Ha ilyeneket használsz, akkor ők már az adatfeldolgozók, te pedig az adatkezelő vagy.
- Rendszerszemlélet. Nagyon sokan vannak abban a tévhitben, hogy elég egy adatkezelési és adatvédelmi szabályzat, és készen is vagyunk. De ez nem elég. Kell egy belsős szabályzat is, ami sokkal több mindenre kiterjed, mint az a szabályzat, amit a felhasználók látnak. Ez a szabályzat téged véd. Nem azért van, hogy villogj vele, nem azért van, hogy bárki ezt olvasgassa rajtad kívül, hanem azért van, hogy ha egyrészt megelőzze a bajt – hiszen a jó szabályok ezért vannak –, másrészt, hogy ha baj történne, ne akkor kelljen kitalálni, hogy mégis mit is kellene csinálni. A belső szabályzatba részletesen le lehet írni például az adatfeldolgozókkal való viszonyrendszerünket, hogy ki miért vállal felelősséget és miért nem. Bele lehet írni, hogy mi történjen, ha például félreküldesz egy emailt valakinek a jelszavával és felhasználónevével. Bele lehet írni, hogy mit történjen, ha felfirkantasz egy papírfecnire egy email címet, és aztán elveszíted azt a papírfecnit. Minden lehetséges hibát bele kell írni, és az arra történő reakciót is.
Minél kevesebbet tudsz a saját felhasználóidról, annál egyszerűbb a dolgod, és minél több esetben szükséges használnod az adataikat, annál nehezebb a dolgod ezekkel a szabályokkal.
De nem végtelenül nehéz, és ráadásul megéri! Ugyanis azzal, hogy ezeket alkalmazod, nemcsak magadat véded le a GDPR-csapástól, hanem hozzájárulsz ahhoz, hogy az Internet egy biztonságosabb hely legyen.
Jó munkát!
Vidi Rita
Ezeket is olvasd el ebben a témában!
GDPR agymenés – fogyasztása csak felelősséggel
