A következő írás csak szabad véleménynyílvánítás. Semmiképpen sem jogtanács/segély, nem is jogi útmutató és kifejezetten nem a jövőheti horoszkópod.
Néhány cég tulajdonos retteg, néhány azt mondja: "ó, ez is csak fel van fújva, pont olyan lesz mint a Cookie törvény" a legtöbbnek pedig fogalma sincs arról, hogy mit hoz a 2018.
Ha az utóbbi táborba csatlakozol, egy kis gyorstalpaló:
GDPR (General Data Protection Regulation) egy új általános adatvédelmi rendelet melyet minden olyan cégnek be kell tartania akik EU-n belül vagy EU állampolgárok személyes adataival lépnek kapcsolatban. Nagyon szélesre kibővítette a "személyes adat" fogalmát. Továbbá fix jogokat biztosít a magán személyeknek a saját adataikra vonatkozóan. (A bejegyzés alján párat összegyűjtöttem – "szabad fordításban")
Kapott hideget és meleget is már ez a GDPR. Bennem is először egy indulatos blog bejegyzést szűlt amit végül nem jelentettem meg.
Jöjjön gyorsan a hideg része
Nyílván borzasztó ez a 20 millió euró (vagy 4% teljes bevétel, amelyik több) büntetés limit emelés.
Nyílván sok tíz vagy százezer vagy akár több milliós előkészületet is jelenthet cég méretétől függően mely nem hiányzott senkinek.
Nyílván életszerűtlen lesz, hogy akár regisztráció során mondjuk 8 fajta be X-elhető rublika lesz. Hiszen innentől minden adatfelhasználási célt meg kell mutatni és el kell fogadtatni és külön külön letárolni, mit fogadott el.
Nyílván az, hogy az utóbbit egyértelmű, megcáfolhatatlan módon bizonyítani kell, az már egész meredek. Vajon hogy melyiket X-elte be + ip cím eltárolás fel fog érni egy aláírt dokumentummal? Remélhetőleg igen, mert nem életszerű 2018-ban arra kérni valakit, hogy itt egy PDF nyomtassa ki, írja alá, küldje el postán, hogy később bemutathassa a vállalkozó. Ó igen, és addig a regisztrációja függő állapotban marad. (ha éppen valami honlapra történő regisztrációról beszélünk)
Evezzünk melegebb vizekre
Több magyar cégtől tapasztaltam már,
- hogy mindenféle megfontolás nélkül képesek akár teljes ügyfélkört kiadni, továbbá olyan nevetséges helyen átküldeni mint e-mail.
- hogy minden alkalmazottnak (majdnem) teljes hozzáférése van az ügyviteli rendszerhez – de a személyes adatokhoz általában mindig mindenki hozzáfér. Aztán jönnek azok az estek, amikor egy kilépő alkalmazott másik céghez viszi át az adatbázist vagy saját vállalkozását kezdi el felépíteni belőle.
- hogy tök feleslegesen kéregetnek be olyan adatot, melyet soha nem fognak használni
Következzenek sorban.
Személyes adatok kiadása – harmadik fél számára
Van olyan, hogy a gmail fiókra küldi, akkor már az adatok ott vannak egy újabb harmadik fél szerverén: Google.
Na most én kitörlöm szinte azonnal, ahogy a kért műveletek el lettek végezve. (Általában importálni való dolgokat küldenek, mert "nekik nem sikerült")
No de mi van mások gyakorlatával? Mindenki eltörli ezeket? Vagy mint egyik ügyfelem akinek a gmail fiókjában 13 ezer levél van a bejövőben mert sosem töröl semmit.
Így erre azért a GDPR kap egy piros pontot, hogy ezt igyekszik szabályozni. Ám az ilyen emberi tényezőket azért nehéz lesz leküzdeni.
Hozzáférési jogosultságok
Hűha.
Ha megtudnám számolni, hányszor hallottam már közeli környezetből, hogy X Y etikátlan munkatárs lelépett és vitte a teljes adatbázist...
Sokat nem fűznék hozzá: Ne férjen már hozzá akárki a teljes adatbázishoz ráadásul ne egy "összes adat exportálása" funkcióhoz. :(
Ez egy olyan szabályozás, ami védi a cég legértékesebb részét: a központi nyilvántartást is. Újabb piros pont.
Felesleges adatok
Komolyan.
Az emberek életkedve is el tud menni, amikor egy regisztrációs űrlapon a családfát kell felrajzolni.
Ez egy újabb pont, ahol a cégben kevesebb munka lesz, és akár nagyobb konverziót is elérhetnek az online vállalkozások.
Piros pont.
Röviden
Mint látod vannak jó pontjai is, ám mivel ez is egy törvény ami büntetést tartalmaz ami lehetséges, befeketíti ezt a kezdeményezést. Elvégre azzal, hogy megbüntetik a céget az adatok nem lesznek nem ellopottak. Remélhetőleg a büntetés csak egy végső lépés lesz, ha felszólításra sem változtat az adatvédelmén egy cég.
Viszont minden tisztességes vállalkozás, akik nem alkalmaznak "fekete mágiát", elméletileg nincs mitől tartaniuk. Nagyon jó esetben egy kis ÁSZF, szerződés minta és Adatvédelmi nyilatkozat átszerkesztés és kész is a megfelelés.
Amúgy is, az online média nagyon a bírságra fókuszál és arra, hogy mennyire "nehéz" megfelelni. Erről annyit érdemes tudni, hogy a média sokkolni és borzongtatni szeretne, mert arra rögtön kattintanak az emberek. Ha van kattintás, van reklám bevétel. Ha nincs, akkor nincs. Ezért nem fogsz olyan cikket olvasni, mint ez. :)
Én is írhattam volna ezt a címnek, hidd el biztosan 100x többen kattintottak volna:
"GDPR? 6 milliárd forintos bírságot is kaphatsz egy asztalon felejtett dokumentum miatt"
Magánszemélyek szemszögéből az egész egy teljesen pozitív dolog. Néhány bloggertől azt is olvastam, hogy az "egyetemes emberi jogokhoz" hasonlítja ezt.
Olyan jogokkal ruházza fel őket, mint:
- Hozzáféréshez való jog: Megtudhatja milyen adatot tárolnak róla. Helyileg hol, mire használják ezt fel.
- Tájékoztatáshoz való jog: Megtudhatja még azelőtt, hogy kiadná az adatait, hogy mit mire használnak fel stb. Igazából, az előző pont dolgait közlik vele előtte – közérthető nyelven, akár ábrákkal vagy videóval.
- Az adat portabilitáshoz (szállíthatóságához) való jog: Kérheti, hogy minden róla tárolt személyes egy strukturált formában exportáljanak neki, amit akár később könnyen (pl konkurenciához) be lehet importálni.
- Cél korlátozásához való jog: Ha nem akarja, hogy X cél érdekében használják az adatját akkor ezt korlátozhatja.
- Pontossághoz és javításhoz való jog: Idegesít, hogy még mindig a régi címedre érkeznek a promóciós anyagok? Nos, jogodban áll kijavíttatni a címet.
- Felejtéshez való jog: Bármikor töröltetheti magát a cég teljes nyílvántartásából. Haha. Vagy még sem. Hiszen vannak papírok amiket akár 5-7 évig is meg kell őrizni. Szeretik is a vállalkozók amikor 2 törvény szembe megy egymással. – Na de ezeket leszámítva igen. Mindent törölni kell.
És van még pár jog, de akit bővebben érdekel, járjon utána. :)