Élet a GDPR után – Az EU új adatvédelmi rendeletéről szóló konferencián készítették fel a szakértők az érdeklődő vállalatok képviselőit
2018. május 25-én életbe lép az EU összes tagállamára vonatkozó Általános Adatvédelmi Rendelet, vagyis a GDPR (GeneralData Protection Regulation). A személyes adatok védelméről és az ilyen adatok szabad áramlásáról szóló rendelet szinte minden vállalatot, kkv-t és egyéni vállalkozót érint, összetettsége és a határidő rövidsége miatt azonban bizonytalanság övezi. A Central Médiacsoport meghívott előadói a marketing, a jog, a HR és IT szektorok szakértőiként kínáltak felvilágosítást és megoldási javaslatokat a közel száz érdeklődőnek.
Pethő Levente (Danubia Kft. – Danubia IP Innovációs Tanácsadó Kft.): A rendelet madártávlatból
Pethő Levente innovációs menedzser előadásában röviden megismertette a résztvevőkkel a GDPR-t. Az 1995 óta érvényben lévő adatvédelmi irányelvet az országok eddig saját belátásuk szerint alkalmazhatták, Magyarország pedig a legszigorúbb követők között volt. Így a kétéves türelmi idővel 2016. május 25-én életbe lépett, az Európai Unióra egységesen vonatkozó rendelet a tagállamok közül a hazai vállalkozásoknak tartogatja a legkevesebb meglepetést, azonban így is számos új szempontnak és követelménynek kell megfelelniük. Pethő Levente hangsúlyozta, hogy a változások mindenkit érintenek, hatással lesz a marketing mechanizmusokra, checkboxokra, a felhasználói élményre. A szakember kiemelten figyelmeztetett arra, hogy nem egyszeri átállásról, hanem folyamatos adminisztrációs munkáról és olyan követelményeknek való megfelelésről van szó, mint például a felhasználók/ügyfelek előzetes tájékoztatása, az adatvédelmi tisztségviselő új munkaköre, az adatvédelmi hatásvizsgálat, a külföldre való adattovábbítás korlátai, vagy az adatvédelmi incidensek kötelező jelentése. A Danubia Kft. online reprezentatív kérdőíven keresztül mérte fel, mint gondol a piac a GDPR-ról: a mikrovállalkozásokat és nagyvállalatokat is megszólaltató kutatás szerint a válaszadók több mint fele tart attól, hogy túl nagy megterhelést jelent cégének az új szabályozás, viszont meglepően magas arányban, 81%-ban tájékozottak a változásokat illetően. A sok teendő mellett a rendelettől számos pozitívumot is várhatunk: nagyobb tudatosságot, kiterjedtebb adatbiztonságot, a magánszemélyek érdekvédelmét.
dr. Beraczkai Dávid (Sár és Társai Ügyvédi Iroda): A GDPR szuperalapelve: az elszámoltathatóság
Az elektronikus kereskedelmi és adatvédelmi kérdések szakértőjeként az előadó a GDPR adminisztratív, nyilvántartási, szervezeti kötelezettségeiről igyekezett átfogó képet adni. Prezentációjának középpontjában az elszámoltathatóság alapelve állt: kiemelte, hogy a joggyakorlat hiánya miatt tágan értelmezhető kategóriáról van szó, valamint a megfelelő technikai és szervezési intézkedések cégenként változnak. Első lépésként azonban elengedhetetlen a „privacy by design”, vagyis már az online felületek tervezésekor beépített adatvédelem. Fontos teendő az adatvédelmi tevékenységek nyilvántartása (minden 250 főnél több munkavállalóval rendelkező vállalat esetében) és az adatvédelmi tisztségviselő kinevezése is. Dr. Beraczkai Dávid megosztotta, hogy a fogalmak rugalmassága és az általánosan alkalmazható megoldások hiánya miatt (példája szerint más adatvédelmi szabályok vonatkoznak egy egyéni vállalkozóra és egy nagyvállalatra) különböző best practice-ek segítségével arra érdemes törekedni, hogy az adatkezelés egésze legyen megfelelő és átgondolt.
dr. Horváth Katalin (Sár és Társai Ügyvédi Iroda): GDPR és marketing A többek között elektronikus kereskedelmi jogra szakosodott előadó a marketing szektort érintő változásokba nyújtott betekintést. Kiemelte, a GPDR mellett a webkereskedelmet érintő adatkezelésnek egy 2019-ben életbe lépő E-Privacy rendelet, és az éppen változtatás alatt álló Reklámtörvénynek is meg kell felelnie. Az előadó elismerte, az éppen alakuló szabályzatok miatt nincs könnyű dolga a hazai e-kereskedőknek, de mindenképpen szükséges a személyes adatokat érintő marketingfolyamatok és a digitális marketing újratervezése. Az adatok kezeléséhez az eddigi gyakorlathoz hasonlóan hozzájárulás szükséges, viszont mostantól nem vonható össze egyetlen „kipipálássá” az ÁSZF és az adatkezelés elfogadása. Utóbbihoz több checkbox beiktatása is kötelező lesz – a felhasználónak ki kell választania, pontosan milyen feltételekkel engedélyezi az adatkezelést. Az adatszolgáltatásnak minden esetben önkéntesnek kell lennie, nem járhat szankcióval (pl. nem lehet szerződéskötés feltétele a hírlevélre való feliratkozás). Változás várható a gyermekek jogaival kapcsolatban is: 16 éven aluliak nekik szóló tartalmakat és vásárlással járó tranzakciókat is csak törvényes képviselőjük hozzájárulásával vehetnek igénybe. A szakember javaslata szerint a bonyolult jóváhagyatási folyamatot az ÁSZF-ben rögzített korhatárral kerülhetjük el.
Hrenkó András (Hrenko Digital Agency): Mi kell ahhoz, hogy a honlapunk megfeleljen a GDPR-nak? A Hrenko Digital Agency ügyvezető igazgatója az online trendek és webes technológiák szakértőjeként a GDPR-kompatibilis honlap főbb ismérveit osztotta meg a konferencia közönségével. Többek között felhívta a figyelmet a „sütiszörny”, azaz a cookiek-kal kapcsolatos változásokra. Mint elmondta, a három típusú (munka, állandó és idegen szolgáltató által generált) cookie-k közül utóbbira feltétlenül fel kell hívnunk az ügyfél figyelmét, de az eddig bevett elfogadási boxok sem állják meg a helyüket. Az egyszerű tájékoztatás helyett kötelezően bevezetendő egy „cookie beállítások” lehetőség is, ahol a felhasználó személyre szabottan kiválaszthatja, milyen típusú adatokat gyűjthet, és mit tehet azokkal a weblap kezelője. Az előadó a cookie-k mellett az ajánlatokra/hírlevelekre való feliratkozás megfelelő folyamatára is számos példán keresztül adott hasznos tippeket. Ebben az esetben is általánosan elmondható, hogy az adatkezelési nyilatkozatnál is választást kell biztosítanunk a feliratkozónak (ki és milyen adatot használhat fel), valamint érdemes double opt-in regisztrációban gondolkodni. Az e-mailes megerősítéssel ugyanis kizárhatjuk a fals feliratkozásokat, és a valóban potenciális célközönséget szólíthatjuk meg. Hrenkó András rámutatott, hogy ezzel a módszerrel 15%-os CTR növekedés érhető el. A biztonságos online élmény megteremtéséhez a szakember szerint elengedhetetlen az ssl azonosítás, hiszen nem csak a Google sorolja hátra a titkosítatlan csatornákat használó weboldalakat, de honlapunkon is figyelmezteti a felhasználót a nem biztonságos felületre.
dr. Kováts Borbála (Sár és Társai Ügyvédi Iroda): GDPR és HR
Dr. Kováts Borbála a humán erőforrás szempontjából vizsgálta meg a GDPR rendelkezéseit. Előadásában útmutatást adott a munkahelyi adatvédelem, a toborzás, a céges eszközök biztonsága és a vállalati szabályzatok változásairól. A konferencia résztvevői tájékoztatást kaphattak a munkavállalók adatkezelésének korlátairól: fontos, hogy az előző előadások példáival ellentétben a munkáltató a fennálló alá- és fölérendeltségi viszony miatt hozzájárulást sem kérhet alkalmazottaitól adataik kezeléséhez. Kivételt képeznek a munkaviszonnyal összefüggő adatkezelések (pl. céges pólórendeléshez ruhaméret megadása) vagy a munkaszerződés teljesítéséhez szükséges információk (pl. bankszámla adatai a munkabér átutalásához). A munkáltató köteles tájékoztatni a kollégákat az adatokat kezelő harmadik fél (könyvelő, bérszámfejtő, külsős HR osztály) bevonásáról is. Dr. Kováts Borbála az álláshirdetés új kritériumaira is kitért: nem lehet anonim, a különleges alkalmassági vizsgálatról (pl. IQ teszt) pedig köteles előre tájékoztatni a jelentkezőt. Szigorúan szabályozott a jelöltek közösségi oldalainak megtekintése, illetve a jelenlegi kollégák kamerás megfigyelése is. Az előadó figyelmeztetett a céges eszközök használatának összetettségére is, és az ebből fakadó jogi akadályok elkerülése érdekében javasolta a magáncélú és professzionális használat saját szabályzatban való rögzítését.
Gosztola Beatrix (Central Médiacsoport): Újabb szabályzás 2018-ban, BetterAds, a Google hirdetési szabályozása
A Central Médiacsoport digitális hirdetési tanácsadója a GDPR mellett egy másik, az online marketinget érintő szabályozásra hívta fel a hallgatóság figyelmét. Prezentációja a Coalition for Better Ads által létrehozott, és február 15-e óta érvényben lévő irányelvekre fókuszált. Megtudhattuk, hogy a Google hirdetési szabályozása a felhasználói élmény javítása érdekében jelentős szigorításon esett át. Mivel a Google Chrome jelenleg az első számú használt böngésző, a korlátozás számottevő vásárlóerőtől foszthatja meg a figyelmetlen hirdetőket. A böngészőbe beépített AdBlocker eddig is a felhasználók 30%-a számára tette lehetővé a kéretlen reklámok szűrését, komoly bevételcsökkenéssel sújtva a piacot. Gosztola Beatrix ismertette, hogy a globális vállalatok koalíciójának döntése alapján milyen típusú reklámfelületek kerülnek kivezetésre. Megszűnnek példul a pop-up ablakot használó hirdetések, a teljes képernyőt elfoglaló, visszaszámlálós reklámok, nem lesznek elérhetőek a hanggal elinduló videók és a matricahirdetések, de 2020-tól mobileszközeinken nem láthatunk flash típusú és a tartalom 30%-ánál nagyobb hirdetést sem. Az előadó a legnagyobb női site, az NLCafé felületén megvalósult tartalommarketing együttműködések esettanulmányain keresztül mutatott pozitív példákat a szabályozásnak megfelelő reklámozásra.
dr. Horváth Katalin (Sár és Társai Ügyvédi Iroda): GDPR és adatbiztonság jogi szemmel A Sár és Társai Ügyvédi Iroda partnere az online marketinget érintő szempontokat követően a rendelet jogi vonatkozásairól adott áttekintést. Előadása során bemutatta az adat- és IT biztonsággal kapcsolatos új előírásokat, az adatkezelők ezzel kapcsolatos új jogi kötelezettségeit, valamint részletesen kitért a megkövetelt szervezeti és technikai intézkedésekre. A konferencia korábbi előadóihoz csatlakozva kiemelte a „privacy by design” jelentőségét: nagyban megkönnyíti a megfelelő intézkedések foganatosítását, ha már a tervezéskor számolunk az adatvédelemmel. Az adatok kezelésekor alkalmazandó biztonsági szint megállapításához figyelembe kell venni a cég tevékenységét, a megvalósítás költségeit, az adatok jellegét (más adatokkal operál egy egyéni vállalkozó és a Facebook), azok hatókörét és céljait, valamint a kockázat és a következmény mértékét (magas kockázatúnak számít pl. egy bank ügyfeleinek adatkezelése). A technikai és szervezési intézkedések esetében négy kategóriát különböztet meg: a menedzsment és szervezeti intézkedések első lépése a felelős részleg/személy kijelölése, a munkaszerződés mellékleteként adatbiztonsági szabályzat elkészítése, a személyzettel kapcsolatban kötelező oktatások bevezetése, különös tekintettel az IT eszközökre (ki jogosult az egyes gépek használatára, milyen adatszivárgási lehetőségek akadhatnak), a fizikai biztonság felmérésekor kiemelt figyelmet kell fordítani a környezeti adottságokra (riasztók, kamerák) és a hozzáférési lehetőségekre (beenged-e bárkit a portás, mennyire járnak felügyelet nélkül a vendégek, ki viheti el a hordozható eszközöket?, stb.), az IT biztonság megtartásához pedig elsődleges a hozzáférési jogosultságok és a home office munkavégzés szabályainak tisztázása. Az előadó kiemelte, hogy az adatbiztonság megsértése esetén az adatkezelő és az adatfeldolgozó (pl. könyvelő, marketingügynökség) is felelősségre vonható, a bírság pedig akár 10 millió euróig, vagy a világpiaci forgalom 2%-áig is terjedhet.
Tőzsér Zoltán (TMSI Kft.): GDPR és IT biztonság
A szoftverjogtisztasági és a szoftvergazdálkodási auditálás szakértőjeként Tőzsér Zoltán a GDPR IT biztonsággal kapcsolatos előírásait mutatta be gyakorlati szempontból. Prezentációja elején leszögezte, hogy nem létezik egyetlen olyan informatikai eszköz vagy szoftver, ami önmagában biztosítaná a rendeletnek való megfelelést, a GDPR ugyanis inkább céges hozzáállás és elkötelezettség kérdése. Az előírásnak ugyanakkor számos informatikát igénylő pontja van: az adatkezelés jogszerűségére vonatkozó kitételek, a hozzáférés biztosítása, az adatkezelő feladatai, az adatkezelési tevékenység nyilvántartása, vagy akár az adatvédelmi hatásvizsgálat. A TMSI Kft. ügyvezető igazgatója felhívta a figyelmet az IT szakembereket érintő kihívásokra is, mint a folyamatos együttműködés a HR és jogi osztályokkal, a hiányosságok felmérése, az adatkezelés biztonságosságát biztosító előírások végrehajtása. Példaként említette a digitális azonosítás anonimizálását, vagy az adatvédelmi incidens bejelentésének körülményességét (az adatkezelő 72 órán belül köteles megtenni a NAIH oldalán lévő űrlapon, de nincs egyértelmű rendelkezés arról, mi számít incidensnek, mikortól számoljuk, és mi a teendő, ha még mindig tart). Tőzsér Zoltán hozzátette, léteznek olyan szoftverek, amik segíthetik az GDPR megvalósítását (pl. adatleltár készítésénél vagy kockázatelemzésnél), de ezek egyéni beállításokat igényelnek, és csak az adatvédelem állandó folyamatának részeként értelmezhetők.


Címkék: