GDPR agymenés – fogyasztása csak felelősséggel

Tetőfokára hágott az immáron két éves, de hamarosan egy végponti határidővel ajtókat bezáró úgynevezett GDPR hevület. Főleg az emailben marketingezők rettegnek most nagyon, igaz, ők sem tudják, hogy pontosan miért is, mert ahány helyről jön az infó, annyi az ellentmondás.

A GDPR-ról javaslom, ne az gazdasági portálok PR cikkeiből informálódj, meg a méregdrága tréningeken, hanem olvasd el az eredetit, és gondolkodj! (Google a barátod, lásd wikipédia belinkelt szócikke.)

Most összeszedem a rengeteg tévhitet, amit napi szinten kérdeztek már tőlem is, és azokat a gondolatokat is, amiket mindenképp érdemesnek szem előtt tartani ahhoz, hogy értsük, hogy mi is a feladata egy kis-közepes vállalkozásnak ezzel az egész GDPR mániával.

De mielőtt még belemerülnél az olvasásba, lelövöm a poént:

Nem kell attól félned, hogy a GDPR majd jól kicsinálja a vállalkozásodat, és majd jól töröltetik a kínkeservvel összeszedett feliratkozóidat, mert az egésznek nem ez a célja – és te sem vagy a célja.

A GDPR igazi célja

Bár állítólag a személyes adatok maximális védelméről szól a GDPR, de ez csak a cukormáz. A GDPR arról szól, hogy legyen egy egységes, teljes EU-ra vonatkozó szabályozás az adatokkal kapcsolatban azért, hogy az EU végre nyeregbe kerüljön az USA-val, Kínával, és Oroszországgal szemben, merthogy emez hármak igencsak elhúztak az adatversenyben.

Márpedig, akinél az adat, annál a hatalom, ezt már napi szinten tapasztaljuk.

Az EU magának akarja az EU-s személyek adatait, és azoknak, akik ezen a körön kívül állnak, mindenképp meg akarja nehezíteni a dolgát az EU-s adatokhoz való hozzáférés, és az azt felhasználás ügyében, és ehhez kellett egy nagyon részletes, nagyon átfogó törvény.

A GDPR-nak fő célja az, hogy az EU-s adatok EU-n belül maradjanak, és az EU-n belül az adatok szabadon áramoljanak, ezzel EU-s szervezeteket és vállalkozásokat helyzetbe hozva az USA-beli, kínai és orosz szervezetekkel és vállalkozásokkal szemben.

A GDPR-nak NEM célja, hogy az email marketinget ellehetetlenítse, vagy hogy bárkit elriasszon az online marketingtől. Ez csak egy ilyen helyi, torzult olvasata a GDPR-nak, mert itt minden napra kell egy-egy ellenségkép, meg félnivaló.

És akkor jöjjenek a konkrét kérdések, amiken muszáj elmélázni, mert például ahány jogász, annyi válasz van ezekre. Én nem vagyok jogász, sőt, informatikus sem, nekem csak van „néhány” évnyi adatvédelmi tapasztalatom.

Tipikus kérdések – és a véleményem mindegyikről. Ha akarsz, hallgatsz rám, ha akarsz, akkor nem.

„Mindenképp kell egy checkbox a feliratkozásnál és űrlapon történő rendelésnél, hogy a felhasználó elfogadja az adatvédelmi szabályzatot is?”

NEM KELL!

A rendeletben az van leírva, hogy cselekvés alapú elfogadásra van szükség, ami akár gombnyomás is lehet. Ez azt jelenti, hogy nem lehet pl. várakozás alapú, tehát nem oldhatod meg úgy az adatvédelmi játékszabályaid elfogadását, hogy ha a júzer legalább 5 másodpercet eltöltött az oldaladon, akkor az már elfogadásnak számít.

Az EU cookie law törvény elterjedésével – 2012-es történet ez, azóta vannak olyan fura kis cookie értesítő és elfogadtató üzenetek a weboldalakon – már megszoktuk, hogy minden, általunk újonnan meglátogatott oldalon el kell fogadnunk egy úgynevezett cookie használatról szóló üzenetet. Nos, valami ilyen megoldásnak kell lennie az adatvédelmi szabályok elfogadásának is, a sima látogatók irányába. Tehát már működhet az is, hogy elfogadtatod a látogatókkal az adatvédelmi szabályzatodat akkor, amikor még csak látogatóként vannak jelen az oldalon. Ez már elég jóhiszemű hozzáállás részedről.

De amikor feliratkoztatod, akkor pedig elég egy sor még a feliratkozó űrlap előtt, hogy „A gombra kattintással elfogadod az adatvédelmi szabályzatunkat is egyidejűleg.” És belinkeled a szabályzatot konkrétan.

Ha ezek után rákattint a gombra, és elkéri például a csalidat, vagy kuponodat, vagy regisztrál a következő ingyenes eseményedre, akkor az cselekvésnek minősül.

Az önkéntes adatmegadás a kulcsa mindennek. Önként adja meg az adatait, önként nyom a gombra.

Ez az opt-in adatszerzés külföldiül, ha ez teljesül és még tájékoztattad is, akkor semmitől nem kell félned.

Nem kellenek checkboxok, nem kellenek bepipálandó frinc-francok, elég a regisztráció gomb, és a korrekt tájékoztatás.

Újabb fals infó, ami futótűzként terjed:

„Szükségem lesz adatvédelmi tisztviselőre? Honnan szerezzek?”

Valószínűleg NEM lesz szükséged adatvédelmi tisztviselőre, de mondhatnám úgy is, hogy DEHOGY VAN SZÜKSÉGED!

GDPR 37. cikk:

(1) Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor:

  1. a) az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;
  2. b) az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;
  3. c) az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

Tehát, akkor kell neked adatvédelmi tisztviselő – aki saját alkalmazottad is lehet, nem kell külsőst megbízni -,

  • ha közhatalmi szerv vagy, vagy közfeladatokat ellátó szerv vagy, pl. valamilyen intézmény,
  • ha az egész tevékenységed adatkezelési műveletekre alapul – gyűjtés, analizálás, big data, statisztikák, elemzések – és például az átstrukturált adatokat továbbértékesíted pl. marketinges cégnek, mert kiszűröd 2 millió email címből a BMW szeretők címeit
  • vagy pedig kifejezetten faji, nemi, vallási, szexuális hovatartozással és irányultsággal, továbbá büntetőjoggal kapcsolatos adatokkal dolgozol.

A kőműves, aki online szerzi az új ügyfeleit, beletartozik ezekbe? Nem.

A fodrász? Nem.

A pék? Nem.

A bármilyen tanácsadó? Nem.

Magyarországon alig pár tucat cég van, akik kifejezetten adatbányászattal foglalkoznak, na, nekik kell külön adatvédelmi tisztviselő, és nyilván kórházak, meg persze a NAV esetében is szükség lesz rá, de csak azért, mert email címeket kérsz be, neked még nem kell.

„Szükségem lesz adatvédelmi hatásvizsgálatra?”

Vélhetően nem, mert ezekre leginkább ott lesz szükség, ahol adatvédelmi tisztviselő is van, tehát kifejezetten kockázatos esetekben, pl. kórházaknál, börtönöknél, NAV-nál, és náluk is főleg akkor, ha új technológiát vezetnek be (bár el félrenyomott email is okozhat persze nagy galibákat)

„Szükségem lesz saját, céges adatvédelmi eljárásrendre?”

Szerintem igen! De erre eddig is szükség lett volna már, erről már 2009-ben írtam:

Adatvédelmi biblia http://www.viruskommando.hu/pdfek/adatvedelmibiblia.pdf

UPDATE! Reggelre 8 levél várt, hogy ez az adatvédelmi biblia mennyire GDPR kompatibilis jelenleg. Mivel ez 2009-ben készült, nem kompatibilis a GDPR-ral 100%-ban, de a hétvégén igyekszem frissíteni a lényeget belőle – csak a belső szabályzatot -, és majd közzéteszem azt is, hogy használhassátok egészséggel. Aztán majd az idők során, ahogy kiforrja magát ez a GDPR őrület a gyakorlatban, majd mindig frissítjük az új infóknak megfelelően – ha szükséges lesz. Köszi, hogy igényetek van ilyesmire :).

Még akár otthon is szükséged lehet ilyenre, hiszen ezek a szabályok arra valók, hogy ne kelljen minden egyes véletlenül megnyomott törlésgombnál feltalálni a spanyolviaszt, hogy „akkor most mit is kell csinálni?”
A mi kultúránkban a szabály az a szitkozódás szinonimája, de én szeretném, ha végre ez változna. A szabályok értünk vannak – ha sikerül ezt belátni, akkor még örülni is lehet a GDPR-nak.

„Hány szabályzatra lesz szükség?”

Kettőre: egy, amit szépen kipublikálsz, és azt fogadják el a felhasználók. A másik a saját, belső használatú szabályzat, illetve eljárásrend, ami keretet ad az adatkezelésnek a cégen belül. Akkor is, ha egyéni vállalkozó vagy, legyen ilyened! Nem nehéz ezt elkészíteni, mindvégig a korrektséget kell szem előtt tartani, de gondolom, ez nálad is az alap.

„Mi legyen a régi feliratkozókkal? Velük el kell fogadtatni az új szabályzatot, és ha ezt nem teszik meg, akkor törölni kell őket?”

Itt van a legnagyobb vita, és máris jól elkülönült két irányzat.
Az egyik azt mondja, hogy igen is, mindenkivel el kell fogadtatni az új szabályzatot, és ha ez nem történik meg, akkor törölni kell a nem elfogadókat.

A másik irányzat azt mondja, hogy ha például a levelek alján ott van a leiratkozási link, ahogy pl. az én leveleimben már 11 éve, akkor nem kell külön elfogadtatni senkivel semmit, mivel akkor mond örök búcsút nekünk, amikor csak akar!

A GDPR rendeletben nem esik erről a helyzetről szó így kisarkítva, hogy „a régi feliratkozókkal el kell fogadtatni az újat”, mert ahány vállalkozás, annyi eset. Nem mindenki gyűjt feliratkozókat, és vannak olyan vállalkozások is, amik már évek óta megfelelnek a GDPR szigorának is, pedig GDPR-ról még nem is hallottak, szóval nem lehet ezt most kategorikusan kijelenteni, hogy a GDPR miatt kötelező módosítani, és azt kötelező újra elfogadtatni, mert az mindig is alapvetés volt például Magyarországon, hogy ha változott valami a játékszabályokban, arról értesíteni kellett az érintetteket. De ha semmi nem változik, akkor erre nincs szükség!

A vita leginkább azon megy, hogy akkor most törölni, vagy nem törölni? És hogyan vegyük külön az elfogadókat és el nem fogadókat?

De tudod mi a durva? Hogy a vita még azon is megy, hogy mi számít személyes adatnak!
Illetve, az adatvédelem égisze alatt a „ha nem fogadja el, akkor törölnöd kell az adatait” elv azt feltételezi, hogy KÖVETED a felhasználókat, és személyesen tudod róluk, hogy mikor mit csináltak, vagyis mikor mit fogadtak el.

Tehát ez esetben a farkába harap a kígyó, mert a túlzott adatigénylést egy túlzott adatigényléssel, megfigyeléssel, detektálás alkalmazásával akarja megakadályozni. Erre mondják internetül, hogy WTF?

Biztos vagyok benne, hogy május 25-e után nem lesz erre a kérdésre azonnal válasz, de addig is, míg ez ki nem forrja magát, addig ne törölj semmit!
Légy jóhiszemű, és mindig legyen ott a leiratkozás link a levelekben!

„Mi a helyzet a bonyolultabb megoldásokkal, pl. a minden felhasználónak másként megjelenő, viselkedés alapon működő webshopokkal? Ők is nyugiban maradhatnak?”

Nyilván ezek a webshopok a hipermodern, hely és viselkedés alapú megoldásaikat nem május 25-e után akarják elkezdeni használni hirtelen a semmiből, hanem már eleve így működnek. Ha eddig is korrektek voltak, akkor tudtak arról a felhasználók, hogy ilyen módon megfigyelik őket, és ezt felhasználják az értékesítés érdekében.

A GDPR-rt szigorúan értelmezők azt szokták mondani, hogy ezt a profilozós-követős dolgot az EU mindenképp el akarja lehetetleníteni, de aki ebben az iparágban akar működni, meg fogja oldani, hogy ez törvényes legyen. Nem az email marketing itt a kérdőjeles, hanem pl. a Facebook azon megoldása, hogy akkor is követ és tud rólad mindent, ha be se vagy lépve!  Sőt, akkor is, ha nem vagy a netre csatlakozva… jó reggelt kívánok, erről dumálok már lassan 10 éve. Már 2008-ban elzavartak az online marketinges blogokról, mikor nekiálltam aggályoskodni, hogy az nagyon gáz, hogy egy vadidegen weboldalon is tudja a Facebook, hogy ki vagyok és kik az ismerőseim – mert a marketingesek meg örvendeztek már annak, hogy hú, de jó buli lesz majd most már marketingezni, mert lehet profilozni a felhasználókat.

Na, ez a követős buli biztosan nem lesz egyre könnyebb az EU-ban a következő években, de ez is nagyon kevesekre vonatkozik. A KATA-s egyéni vállalkozóknak, meg a néhány fős könyvelőcégeknek nem az szokott lenni a központi problémája, hogy mit kezdjen a 100ezer felhasználó teljes életét, minden vágyát, jövő nyári terveit lemodellező adathalmazzal.

„Google Analytics és egyéb rendszereket használok? Akkor ez most majd tilos lesz? Vagy nehezebb? Értesítenem kell róla a felhasználókat?”

A Google által gyűjtött adatok miatt nem neked kell, hogy fájjon a fejed! Ők pont az a kategória, ahova adatvédelmi tisztviselő is kell (37. cikk 1/b szakasz), neked bőven elég, ha az EU cookie ügy kapcsán megismert, és egyébként a felhasználók részéről meglepően széles körben elfogadott üzenet megjelenik a látogatók számára, és azt elfogadják.

A cookie nem személyes adat egyébként, hanem egy személyes adatok gyűjtésére alkalmas eszköz. Ne keverjük össze a szezont a fazonnal! Bárki törölheti a cookie-kat a saját böngészőjéből, míg személyes adatokkal ez elég nehézkes.

„Mi a helyzet a remarketinggel? A gigamultik szerint ők csak adatfeldolgozók, nem ők az adatkezelők.”

Jó, ha szerintük te vagy az adatkezelő, akkor szeretném, ha kipróbálnád a következőt: lépj be a Google Adwords fiókodba, és nézd meg, hogy mit látsz a Google által a remarketinglistára gyűjtött adatokból? Megmondom, mit látsz: semmit. Hozzáférsz te abból a listából akár csak egyetlen bitnyi információhoz? Nem férsz hozzá. Egységben tudod bármire is használni, pl. letölteni és böngészni a tartalmát? Nem tudod.
Az egész adathalmaz a Google-é, tehát az ő adatvédelmi szabályzatuknak és adatvédelmi tisztviselőjüknek lesz vele dolga, nem neked. (Dettó ugyanez vonatkozik minden hasonló remarketing-retargeting megoldásra.)
Az EU cookie law ezt a problémát már évekkel ezelőtt kezelte: ha annak eddig megfeleltél, akkor ezzel kapcsolatban nincs plusz teendőd.

„Ezek szerint marad az EU cookie law idején megismert tájékoztató csíkocska az oldalakon?”

Szerintem maradjon. Kell ennél korrektebb hozzáállás, hogy rögtön az arcába tolod mindenkinek, és ha lejár annak az időszerűsége, vagy törli a cookie-t a felhasználó, akkor újra elfogadja? Ez eddig sem okozott veszteséget sehol, ez után sem fog. (Az EU cookie rendelet, most, ahogy ezeket a sorokat írom, már egy 6 éves sztori… Jól működik, senki nem veszít egy „Elfogadom” gomb megnyomása miatt látogatókat és ügyfeleket.)

„Én csak email címeket gyűjtök be, akkor is kell nekem ez a GDPR izé?”

Nekem van egy mániám, mióta ez az egész adatkezelős-mizéria, kb. 2009-2010 környékén elindult. Engem nehezen lehet adatvédelemmel kapcsolatos slendriánsággal vádolni, mert az egész pályafutásomat adatvédelemmel kezdtem, és az anyagaim ma is elérhetőek a neten ez ügyben, sőt az email tanfolyamom is mai  napig működnek, de nekem meggyőződésem, hogy – és most kapaszkodj:

az email cím nem személyes adat

Illetve így fogalmaznék: az email cím csak kivételes esetekben személyes adat – pl. amikor önmagában több információt is elárul: pl.: gipsz.jakab@cegnev.hu – ez esetben tudjuk, hogy Gipsz Jakab hol dolgozik. De ezzel is az a gond, hogy nem is biztos, hogy igaz! Hiszen Gipsz Jakab tegnap még ott dolgozott, de ma már leszámolt. Nekünk meg van egy adatunk, ami elavult anélkül, hogy Gipsz Jakab meghalt volna.

Az email cím a postafiókom. Ha úgy tetszik, a virtuális postaládám. Akkor törlöm, amikor csak akarom. Bárki létrehozhat az én nevemmel is email címet, és használhatja retorzió nélkül. Akkor majd kinek is lesz az a személyes adata? Az enyém? De hát egy másik ember lesz a túloldalon, akkor az az övé, ő fér hozzá, nála lesz a jelszó, és még ragozhatnám.

Az is előfordulhat, hogy olyan email címmel regisztrál, mondjuk a csalidra valaki, hogy mucika3308@valamilyendomain.org – erről tudod, hogy mucika fiú-e, vagy lány? Tudsz róla bármit is? Nem. Ha esetleg mucika még levelet is küld neked, és az lesz az email címe mellett a megjelenített név, hogy Napfény 12, akkor sem vagy beljebb. Szigorú jogértelmezők szerint ezek is személyes adatok, pedig hát 7 milliárd emberre vonatkozhatnak, de ha csak a nyelvi sajátosságokat vesszük figyelembe, akkor 15 millió emberre (magyar nyelvet használók).

Ennél a témánál szokták sokan hozni a NAIH állásfoglalásait, meg konkrét esetek sorolását, amikor úgy büntettek meg valakit, hogy véletlenül a titkos másolat helyett egy üzleti levelet úgy küldött ki többeknek, hogy mindenki látta a többi címzettet is.

A NAIH is szokott olyanokat közölni, hogy az info@vallalkozasneve.hu email cím az nem személyes adat. De a vezetéknév.keresztnév@vállalkozásneve.hu már konkrét emberhez köthető, tehát személyes adatnak minősül szerintük.

Új kérdésemként felvetődött ezek alapján az is, hogy ha például a nagyon elterjedt neveknél, ahol már számokat kell a felhasználóknak az email címükbe is írniuk, hogy a 18 nagyon hasonló – vagy ugyanolyan – nevű felhasználótól el lehessen különíteni őket, és 18 nagyon hasonló, de a számok miatt így 18 különböző email címet létre lehessen hozni, akkor az lenne a kérdésem, hogy ilyenkor, ha egy név 18 emberhez köthető, akkor az email címben szereplő –az email címeket így egyedivé tevő – SZÁMOK lesznek a személyesadatság kulcsai?

És ha én mind a 18 email címet látom egy listában, akkor honnan fogom tudni, hogy melyik pontosan melyik emberhez tartozik?

Nem akarok szőrözni, de adatvédelmi rendeletekben személyes adatként az email cím nem szokott szerepelni a meghatározottak között.

Persze senki nem szeretné a saját bőrén kipróbálni a hatóság szigorát vagy kegyelmét, így aztán szépen mindenki behódolt annak, hogy az email cím személyes adat, de ha hiszünk a NAIH-nak, és vannak ténylegesen személyesadat email címek, meg nem annyira személyesadat email címek, akkor meg az a kérdés merül fel, hogy:

  • Ha valaki info@ kezdetű email címmel akar feliratkozni hozzám, és semmi mást nem kérek, csak email címet, akkor vele nem kell elfogadtatni semmilyen szabályzatot? Hiszen nem ad meg személyes adatot.
  • Ha valaki úgymond azonosítható email címmel iratkozik fel, akkor meg el kell vele fogadtatni?

Ezt én hogyan válogassam ki? Már begépeléskor figyeljem netán az email címeket? Oké, abbahagyom a fantáziálgatást, mert horrorsztori kerekedne belőle ;).

Az IT biztonság világában van egy olyan mondás, hogy nincsenek feltörhetetlen rendszerek, csak maximum időhiánnyal küzdő, vagy a feladatot unalmasnak találó hackerek. Ha egy hacker minden erőforrását beveti, akkor fel tudja törni azt, amit fel akar. Lehet, hogy évekig tart, de sikerülhet.

Az a rendszer, amit végül kínkeservvel és elképesztő erőforrásmozgósítással sikerül feltörnie, nem sérülékenyebb, mint más rendszer, sőt, lehet akár a legbiztonságosabb is. De minden feltörhető. Nincs IT biztonsági szakember, aki ki merné jelenteni bármiről, hogy az feltörhetetlen.

Ugyanez van az adatokkal.

Ha van egy akármilyen adatom, akár csak egyetlen pixelnyi, DE megvannak a megfelelő erőforrásaim, motivációm és időm, akkor hozzá tudom rendelni egy emberhez. Lehet, hogy évekig tart, és az is lehet, hogy most még nem is vagyok képes rá, de másfél év múlva az leszek, mert pl. még tanulok ehhez pár dolgot.

De akkor ezzel az erővel MINDEN személyes adat, még az is, ami még adatnak sem minősül, csak mondjuk egy kósza gondolatnak. Előbb-utóbb az is fog olyan nyomot hagyni maga után, amit a megfelelő erőforrásokat bevetve, a megfelelő és szükséges időtartamot ráfordítva lehet majd bizonyíthatóan egy emberhez kötni.

Ismétlem: ma még csak gondolatból is lehet végül adat, amit aztán valakik majd rosszhiszeműen akarnak felhasználni.

Ez esetben esetleg tiltsuk be a gondolkodást? Mert ha gondolkodás nincs akkor garantáltan nem lesz adat sem, mert akkor már csak a halál van.

Örülnék, ha a következő évtizedekben az emberiség európai egyedei nem egy olyan dilemma körül ragadnának le, ami rossz dilemma.

Sokkal szívesebben látnám például azt, hogy azt a pénzt, amibe ez az egész rendeletesesdi-központosításosdi került és még fog kerülni, inkább az emberek internetkultúrájának fejlesztésére fordítanánk.

Én azt tapasztalom, hogy a neten mindenki szívesen tanul, és nem olyan bonyolult dolgok ezek, hogy ne lehetne őket könnyen terjeszteni.

Majd erről elmélkedünk még, most zárjuk le az eddigieket egy összefoglalóval.

Mit tehát a teendő, röviden összefoglalva?

  • Gondolkodj!
  • Adatvédelmi szabályzat a felhasználóknak, akik csak böngésznek az oldaladon. Erre tökéletes egy EU cookie law megoldás kibővítve, feltuningolva. Ha nem fogadja el, akkor nem fogadja el, és kész. (WordPresshez ez tökéletes: https://hu.wordpress.org/plugins/cookie-notice/ )
  • Feliratozáskor, vásárláskor elfogadhatják szintén ugyanazt az adatvédelmi szabályzatot, amit a 2-es pontban említettem, csak ezt már a gombra nyomással, előtte korrektül tájékoztatva őket arról, hogy az elfogadás is megtörténik egyidejűleg.
  • Kiteheted menüpontba is a szabályzatot, nem kell elrejteni.
  • Ha csak feliratkozókat gyűjtetsz, meg vásárlókat/megrendelőket, akkor akár az ÁSZF-fel is összevonhatod az adatvédelmet. (Az adatvédelem automatikusan jogszerűnek minősül, ha szerződés van a hátterében, mint például a távollevők között kötött szerződések.)
  • Készíts saját belső szabályzatot a vállalkozásod adatkezelésére. Ez szólhat az adatgyűjtés mikéntjéről, az adatok rendszeres biztonsági másolatáról, arról, hogy ki mit tegyen, ha mondjuk, megsérül a céges adatokat tároló winchester, de arról is szólhat, hogy milyen jó, hogy mindent felhőben tárolsz, mert nem kell félni az adatvesztéstől. A szabályok védenek!
  • Ne törölj senkit, míg jogerős EU-s döntések nem születnek arról, hogy bármit is törölnie kellene bárkinek is. Az egész hivatal 2018. május 25-e után fog létrejönni, precedensek évekbe fognak telni. Nem te vagy az EU célkeresztjében, nyugi!
  • Ha úgy érzed jól magad, hogy túlbiztosítasz mindent, akkor tedd meg, de ne rémisztgess másokat milliós kiadásokkal szakértői számlákra, és megoldhatatlan technikai kihívásokkal, mert ezek csak nagyon-nagyon kevesekre vonatkoznak, olyanokra, akik félpercnyi bevételükből fedezni tudják ezeket a kiadásokat.
  • Legyél mindig is olyan korrekt, jó szándékú és előrelátó, mint amilyen eddig voltál.

Mi lesz, ha mégiscsak megbüntet az EU 20 millió euróra?

Mi lenne? Kifizeted. Ja, mégsem… 20 millió euró az 6 milliárd forint. A büntetési tétel üzenete is az, hogy az egész GDPR nem a mikro és kisvállalkozásokra vonatkozik, nekik ugyanis nincs ennyi bevételük.

Vidi Rita

Ui.: Lehet, hogy mindenben tévedek. Lehet, hogy semmi nem úgy van, ahogy leírtam, és igen is, félni kell a GDPR-től, és ezer nyomorult checkboxot kell bepipáltatni a weboldalon, és egy hónap múlva Európa összes vállalkozása kapja a 20 millió eurós csekket a büntetéssel. De ez esetben jobb, ha elkezdünk jegyeket rendelni a Földet elhagyó, új kolóniákat szállító űrhajókra 😉

 

 

19 Comments

  1. Több ügyvéddel is beszéltem ezzel kapcsolatban, mindenkinek az az álláspontja, hogy kivárásra kell menni. És főleg, hogy nyugtával dicsérjük a napot…
    Illetve nagy részük abban is egyetért, hogy úgy hülyeség a GDPR, ahogy van, lehetetlen betartani és vélhetően nem is fogják, így nem is tudnak majd büntetni, mert egyes pontjait senki nem fogja (tudni) betartani. Kérdés, hogy kiket és mennyivel akarnak büntetni. Meg, hogy hogyan fognak ellenőrizni és milyen lesz a kapacitás.

  2. Tösmagi Erika

    Fantaszikusan jól összeszedted, megirtad! Millió köszönet érte! ❤

  3. Krániczné Szalóki Ágnes

    Vidi Rita, mint mindig: megvilágítja a lényeget, kisöpri a szemetet a fejedből, tisztába teszi a tévhitek és megnyugtat. Vidi Ritára – mint mindig – lehet számítani!

  4. Nagyon köszönöm, Rita!

  5. Kormos Katalin

    Kedves Rita!
    Azt mondják: “A stílus, maga az ember.” Ezek szerint, Te fantasztikus ember vagy! 🙂 Nagyon köszönöm a segítséget!!!

  6. Egyetértek a címmel, ami erre a cikkre kimondottan igaz: fogyasztása csak felelősséggel. Mert ahol az szerepel, hogy az e-mail cím nem személyes adat, ott elképzelhető, hogy a többi gondolat is nélkülözheti a szakmai hozzáértést és hiteltelenné válik, még ha igaz is. Szóval ezt a rész javaslom újbóli átgondolásra, nem kéne hülyíteni az amúgy is rettegők tömegét.
    A cikk felelősséggel való fogyasztását pedig mi sem támasztja alá jobban, mint az hogy már az elején felhívja az Olvasó figyelmét arra: ne PR cikkeiből informálódj.
    Nos, ez is egy PR cikk.

    • Kedves Robert!
      Én értem, hogy ez a cinikus hangnem dívik szerte az interneten, de arra kérlek, hogy ha legközelebb is ilyen megközelítéssel szeretnél kommentelni az oldalaimon, akkor inkább ne tedd, mert errefelé nem divat, ugyanakkor, ha az olykor-olykor mégis így kommentelők visszakapják lendületből amit adnak, akkor meg sértődés van. Ezt szeretném elkerülni, de ez csak rajtad múlik. Bármit lehet kérdezni, felvetni, megvitatni, de ha kérhetem, ne süssön a szavaidból a rosszindulat!
      Linkelek neked néhány cikket és olvasnivalót, hogy lásd, nincs egyetértés abban, hogy az email cím mennyire személyes adat és mennyire nem az.
      https://www.hwsw.hu/hirek/58462/gdpr-eu-adatvedelem-ceges-emailcim-postafiok.html
      https://naih.hu/files/koer-e-mail-jogellenes-kikueldese–penztar-anonim3.pdf
      https://mfor.hu/cikkek/vallalatok/Az_e_mail_cim_is_szemelyes_adat___adatvedelmi_biztos_a_spamekrol.html
      https://www.adatvedelmiszakerto.hu/2011/08/kinek-kell-alkalmazni-az-uj-adatvedelmi-torvenyt-mi-a-szemelyes-adat-ki-az-adatkezelo/
      Nemzetközi vizeken is az a megítélés, hogy csak a név+cégnév.kiterjesztés kombinációval minősül személyes adatnak az email cím.
      Ha prekoncepciók nélkül olvasnád a cikket, kitűnne, hogy ezekre ki is tértem a téma tárgyalásánál, és elmondtam, hogy ezzel nem értek egyet.
      Remélem nem gond, hogy a saját weboldalamon elmondom a véleményemet.

      • Kedves Rita,

        Cinizmussal, vagy anélkül:
        a mucika3308@valamilyendomain.org e-mail igenis személyes adat.

        A cikkedben végig ennek ellenkezőjét hangoztatod, és öles betűkkel hirdeted. Most meg azt írod nekem, hogy ezzel nem is értesz egyet?
        Mi van? 😀

        De rövidre zárva a témát itt üzenem mindenkinek, hogy minden e-mail címet személyes adatként kell kezelni, még azt is, amit a 10perces e-mail oldalon lehet mindenféle karakterkombinációval ideiglenesen regisztrálni.
        Vagyis a rnfe874f#fuewgi@krixkrax.hu is személyes adat, mindegy hogy ki, vagy mi áll mögötte. Pont azért mert nem tudhatod, hogy kit, vagy mit takar.

        Ha Te mégis az én véleményemmel értesz egyet, akkor a cikked félreérthető módon lett megírva, szóval fogyasztása továbbra is csak felelősséggel.

        Köszönöm, hogy a weboldaladon elmondhattam a véleményemet.
        Peace!

        • Köszi, hogy váltottál a hangnemen – kicsit. Jó lesz ez 🙂
          Kimásolom a cikkből azt a részt, amit szerintem nem veszel figyelembe.
          “nekem meggyőződésem, hogy – és most kapaszkodj: az email cím nem személyes adat
          Illetve így fogalmaznék: az email cím csak kivételes esetekben személyes adat…”

          Azért, mert szerintem csak kivételes esetekben személyes adat az email cím – a hackerekről szóló részt is ajánlom külön figyelmedbe -, akkor már nem is érthetek veled egyet? Van közös keresztmetszete az én halmazomnak és a tiédnek, tehát van köztünk egyetértés, de valahogy úgy tűnik, hogy te mindenáron szeretnél ellenálláspontot képviselni :). Én azt szeretném, ha ezt nem vennék ilyen szigorúan, de ha ténylegesen lenne olyan rendelet és joggyakorlat, hogy tényleg minden email cím személyes adat, azzal is könnyebb lenne dolgozni, mert az tiszta sor. De ez a “vagy igen, vagy nem…” ehhez hogy igazodjon egy jogkövető vállalkozás? Hogyan válogassa ki már mondjuk a feliratkozáskor, hogy kire milyen szabályzat kell, hogy vonatkozzon?

          Én ilyen rendeletet és joggyakorlatot még nem láttam, hogy kerekperec minden email cím személyes adat. Ha tudsz erre forrást, amit állítasz, akkor légyszi-légyszi!

          • Nézzük a gyakorlatban a Te elméletedet:
            Van egy listád csak emilekből, melyekhez nincs a birtokodban sem a hozzá tartozó személynév és semmiféle hozzájárulás az email tulajdonosaitól. Ezekből a saját szabályértelmezésed szerint kiválogatod azokat, melyek szerinted nem köthetőek személyekhez, vagyis a mucika3308@valamilyendomain.org típusúakat, és ezekre küldesz bármit, ami a vállalkozásodat népszerűsíti, támogatja, stb.
            Úgy gondolod, ezzel nem fogod megsérteni a GDPR szabályozását?
            Azt szeretnéd, hogy ezt ne vegyék szigorúan? Akkor ezek szerint csak abban az esetben ne kapjon valaki naponta egy rahedli spam-et, ha a neve szerepel az email címében? A mucikák meg szívhatnak tovább?
            Aki szerint van kivételes eset, illetve létezik “vagy igen, vagy nem…”, az ráfázhat. Nem biztos, hogy így lesz, de megnő az esélye a GDPR után.
            Itt említeném meg, hogy a szabályozás kötelező alkalmazását követően a hatóságnak nem lesz mérlegelési lehetősége a bejelentett panaszok esetén, hanem azokat majd kötelező érvényűen ki kell vizsgálniuk. Továbbá a vizsgálatok esetén megszűnik az ártatlanság vélelme, fordított bizonyítási teher lesz érvényben, így a vizsgált alanynak kell bizonyítania, hogy a kérdéses esetekben jogszerűen járt el. Ha pedig a hatóság értelmezésében a “mucika” féle emilekre nem lett volna szabad kéretlen tartalmat küldeni a „mucikás” emailt birtokló „Gipsz Jakaboknak”, akkor jön a szopóka.
            Bizonyára nem 10 és 20 millió euróra(!) lesznek büntetve (amitől most mindenki retteg), de nincs az a vállalkozás, akinek bármekkora büntetés jól jön, még ha pénzügyileg nem is tehertétel.
            Ezért nem szabadna a cikkedben a “csak kivételes esetekben személyes adat” gondolatmenetre terelni az olvasóidat, mert nincs kivételes eset.
            De főleg nem szabadna öles betűkkel hirdetni, hogy “az email cím nem személyes adat”…
            …pedig de!

            Nem feltétlenül akarok minden áron ellenálláspontot képviselni. Nem is fogok több időt szentelni a meggyőzésednek, mert aki rászánta az időt és az olvasásban eljutott idáig, az már biztosan elgondolkodik az általad leírtakon, és ez volt a lényeg.

            • Robert, de te itt több dolgot mosol össze.
              1.) Azt mondtam, hogy ha egyértelműen kimondanák végre mindenhol – itt is, németek is, angolok is, eu is, csak hogy haladóbb szemléletű országokat említsek -, hogy az email cím személyes adat, az tiszta sor. Akkor van mivel főzni. De azzal, hogy egyik személyes, másik meg nem, olyan technikai és adminisztrációs kihívásokat támasztanak a vállalkozásokkal szemben, ami irreális.
              2.) Pl. személyes adatot védeni kell, a nem személyeseket meg nem ugyanúgy kell. (anonimizált adatok más megítélés alá esnek) A védelem nem arról szól, hogy önmagam direkt marketing tevékenységétől kell védenem, azért ezen a korláton lássunk már át!
              3.) mucika ha feliratkozik, elfogadja a játékszabályokat – ezt dokumentálja a rendszer. Én legalábbis ezt gondolom alapvetésnek, te valami mást keversz ide, mert azt feltételezed, hogy mucika nyilván illegális módon kap levelet, mivel valaki nem személyes adatnak nézte az ő mégiscsak személyes adatát. Itt összemosod a marketing folyamatával és egyik eszközével a témát amiknek abban a kérdéskörben, hogy mucika email címe személyes adat vagy sem, nincs egymással kapcsolata. Érdemes elvonatkoztatni a marketingtevékenység kontra email cím személyessége/nem személyessége csapdától, mert az egész GDPR nem a marketingről, meg a kéretlen levelekről szól.

            • Kérdésem még: ha a szövegben nem nagy betűvel lenne kiemelve “az email cím nem személyes adat”, akkor nem háborodtál volna fel? Tehát akkor igazából vizuális ingerekről vitatkozunk?
              És utolsó gondolatként: nem én mondom, hogy az email cím csak kivételes esetekben személyes adat, hanem például a naih. (korábban linkeltem az ezzel kapcsolatos első pár találatot a google-ből)

  7. A kérdésem nagyon egyszerű:
    A Te oldaladon taláható adatvédelmi szabályzat már megfelel a május 25-től életbe lépő szabályozásnak?
    http://www.vidirita.com/felhasznalasi-feltetelek-es-adatvedelmi-szabalyzat-vidirita-com/
    Ha igen, ennyire egyszerű lenne az egész?
    Köszi!

    • Nincs élő ember, aki meg tudná nagy bizonyossággal mondani – és felelősséget vállalva persze -, hogy igen, ez 100%-ban megfelel a felhasználók tájékoztatásáról szóló résznek, de az én megítélésem szerint igen, megfelel. Ha szükséges lesz, fogom még bővíteni pár ponttal, ha nem lesz szükséges, ennél lazábbra nem fogom venni. Igazából a cookie-król szóló rész kivételével ez volt az adatvédelmi szabályzatunk az elmúlt 2 évben (2016 márciusától), tehát csak kicsit kellett bővíteni, illetve minden oldalam kapott egy külön szabályzatot (eddig cégszinten használtunk egy átfogóbbat, minden oldalunkat lefedő, közös szabályzatot).
      Van ezen kívül ugyanakkor egy saját, belső szabályzatunk, az ugyanolyan fontos, mint ez, amit a felhasználók látnak és elfogadnak, és a belső sokkal részletesebb, sokkal több mindenről szól. A cikkben linkelt régi szabályzat – Adatvédelmi és adatmentési biblia – egy keretként használható ahhoz.
      (igyekszem egy újat közzétenni hamarosan).

  8. Zoltan Szepesi

    Koszi, ez hianypotlo iras volt, jo olvasmany vasarnap reggel ehgyomorra 😀

Leave a Reply

Your email address will not be published. Required fields are marked *