“Az adatvédelmi jog Magyarországon eddig is kirívóan szigorú volt”, mondta Dr. Mayer Erika, a Mayer és Társa Ügyvédi Iroda ügyvédje a Piac & Profit Webáruházi trendek – 2018 című konferenciáján. De szerinte az EU-s direktíva sok kötelezettséget ró az adatkezelőre. Nem véletlenül titulálta “gonosz jogszabálynak” Mayer Erika.
Kötelezettségek
A GDPR értelmében adatvédelmi incidens esetén nem magyarországi érintett “külföldi adatvédelmi hatóságnál indíthat eljárást magyar adatkezelő ellen”. A bizonyítás terhe, hogy megvédje és ártatlannak mutassa magát, az adatkezelőre hárul. “Tudd bizonyítani, hogy megtetted a szükséges teendőket az adatvédelem érdekében, nem elég kialakítani az adatkezelési rendet, hanem dokumentálni is kell.”
Vagyis minden fázist rögzíteni kell, mi történik az adattal, még azt is, hogy mikor törölték. A rendeletnek való megfelelés azt jelenti, hogy “jogszerűséget”, a “tisztességes eljárást” és az “átláthatóságot” kell nyújtani és bizonyítani.
Az adatvédelmi tájékoztató “közérthető nyelven” kell megírni. Ha jogilag kacifántos nyelvezettel fogalmaztuk meg, nem az egyszerű fogyasztó számára, az nem lesz megfelelő a rendelet szerint.
Tiltások
Az új szabályozás értelmében e-kereskedelmi céllal történő megkereséseknél a webáruházakbnak tilos a következő információkat gyűjteni:
- Faji vagy etnikai hovatartozás.
- Genetikai és biometrikus adatok
- Szexuális orientáció.
- Politikai, vallási vagy világnézeti meggyőződés.
- Szakszervezeti tagság.
Jogalapok
Az eddigi reklámtörvény alapján “csak előzetes kérés alapján” lehetett adatokat begyűjteni. Most többféle jogalap kínálkozik, minden esetben egyet kell találni, ami áll az adott adatkezelési cselekedetre.
Ezek a főbb jogalapok:
- Érintett hozzájárulása.
- Szerződés teljesítéséhez szükséges.
- Jogi kötelezettség teljesítéséhez szükséges (pl. számviteli törvény betartásához).
- Közérdekű feladat.
- Létfontosságú érdek védelme.
- Érintett vagy harmadik személy jogos érdekeinek érvényesítése.
Elvek
Fontos érvényesítendő szempont még az “adattakarékosság” is. Alapvető, hogy a “célhoz kötöttség” érvényesül. Csak úgy cél nélkül adatokat felhalmozni, mondván, hogy “egyszer majd jól jönnek”, nem engedett.
Ha például egy webshop a fogyasztásukról kérdezi a felhasználókat, jeleznie kell feléjük, hogy miért teszi ezt. Csak úgy nem gyűjthet adatokat a szokásaikról.
Ha adatvédelmi incidens történik, az adatkezelő 72 órán belül kötelesek értesíteni az illetékes hatóságot, a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH).
Az eredeti cikket a Piac és Profit oldalán lehet elolvasni!