GDPR megfelelőségi checklist weboldaltulajdonosoknak: teljes, gyakorlati útmutató

A General Data Protection Regulation (GDPR) az EU egyik legátfogóbb adatvédelmi szabályozása, és weboldalüzemeltetőként akkor is érinthet, ha a vállalkozásod nem az EU-ban működik. A lényeg: ha EU-s érintettek (data subject) személyes adatait kezeled, a GDPR megfelelőség nem opcionális.

A kockázat sem elméleti: a bírságok felső szintje akár 20 millió euró vagy a globális éves árbevétel 4%-a is lehet (amelyik magasabb). A jó hír, hogy a megfelelőség egy nagy része jól strukturálható: adatleltár, folyamatok, szerződések, jogosultságkezelés, incidenskezelés és korrekt tájékoztatás.

Az alábbi checklistet úgy írtam meg, hogy weboldaltulajdonosként és fejlesztőként is kézbe tudd venni: mi kell dokumentációs oldalon, mit kell technikailag megcsinálni, és milyen érintetti jogokra kell folyamatot építeni. Ahol releváns, meghagyom a pontos GDPR hivatkozásokat (Article 12, 13 stb.), mert ezekre tipikusan auditnál és szerződéskötésnél is szükség van.

Mi a GDPR, és mikor vonatkozik rád?

A GDPR egy 2018. május 25. óta alkalmazott európai uniós adatvédelmi rendelet, amely meghatározza, hogyan lehet személyes adatot gyűjteni, felhasználni, tárolni és megosztani. Nem csak EU-s cégekre vonatkozik: ha EU-s lakosok személyes adatait kezeled, a szabályozás hatálya alá eshetsz akkor is, ha a szolgáltatásod és a cégkörnyezeted az EU-n kívül van.

A szereped a GDPR-ban: Controller, Processor, Data Subject

A megfelelőség egyik leggyakoribb buktatója, hogy nincs tisztázva: ki minősül adatkezelőnek (Data Controller) és ki adatfeldolgozónak (Data Processor). Pedig a kötelezettségek egy része szerepkör-függő.

• Data Controller (adatkezelő): te határozod meg, miért és hogyan történik a személyes adatok kezelése. A fő felelősség tipikusan itt van.
• Data Processor (adatfeldolgozó): más adatkezelő nevében/utasításai alapján kezelsz adatot. Itt is kötelező a megfelelő technikai és szervezési védelem.
• Data Subject (érintett): az a természetes személy, akinek a személyes adatait kezeled; a GDPR az ő jogait védi.

Fontos: ugyanaz a szervezet lehet egyszerre controller és processor is (például saját ügyféladatokat kezelsz, de közben egy partnernek is nyújtasz feldolgozást egy szolgáltatáson keresztül).

A GDPR 7 alapelve, amit minden folyamatnál szem előtt kell tartani

Mielőtt a konkrét checklistre ugranánk, érdemes a hét alapelvet végigpörgetni, mert ezek adják a logikáját annak, hogy mit miért kér számon egy hatóság vagy egy vállalati audit.

1. Jogszabályszerűség, tisztesség és átláthatóság: jogszerűen kezeld az adatot, és érthetően mondd el az érintettnek, mi történik a data-val.
2. Célhoz kötöttség: csak konkrét, jogszerű célra gyűjts és használj adatot.
3. Adattakarékosság: csak a minimálisan szükséges adatot kérd be.
4. Pontosság: tartsd az adatokat naprakészen, és kezeld a javítási igényeket.
5. Korlátozott tárolhatóság: ne tárold tovább, mint ameddig indokolt/szükséges.
6. Integritás és bizalmas jelleg: megfelelő biztonsági intézkedésekkel védd az adatot a jogosulatlan hozzáféréstől.
7. Elszámoltathatóság: nem elég megfelelni; bizonyítani is tudnod kell, hogy megfelelsz.

Teljes GDPR megfelelőségi checklist weboldalakhoz

A checklistet tematikusan bontom: Adatok, Felelősség és menedzsment, Új jogok, Hozzájárulás, Utókövetés, Speciális esetek, majd az érintetti jogok részletes listája. Minden pontnál jelzem, hogy kire vonatkozik (Controller/Processor).

Adatok (Data)

1) Van listád az összes személyes adatról, annak forrásáról, megosztásáról, céljáról és megőrzési idejéről

Érintettek: Data Controller, Data Processor

Gyakorlati értelemben ez egy adatleltár: mik azok a konkrét adattípusok (például táblázat oszlopok), amiket tárolsz: név, cím, e-mail, telefonszám, azonosítók, számlázási adatok stb. Minden adattípushoz dokumentáld:

• a forrást (honnan jön az adat: űrlap, rendelés, ügyfélszolgálat, külső rendszer, import)
• kivel osztod meg (hosting, email szolgáltató, CRM, futár, fizetési szolgáltató, analitika stb.)
• mire használod (cél)
• mennyi ideig tartod meg (retention).

Hivatkozás: GDPR Article 30 – Records of processing activities

2) Van listád arról, hol tárolsz személyes adatot, és hogyan áramlik az adat a rendszereid között

Érintettek: Data Controller, Data Processor

Ez tipikusan egy rendszertérkép/data flow: adatbázisok (például MySQL), fájltárolók, logok, marketing rendszerek, support toolok, valamint az offline tárolók (papír) is ide tartoznak. A cél, hogy lásd: honnan hova megy az adat, és hol kell kontrollokat beépíteni.

Hivatkozás: GDPR Article 30 – Records of processing activities

3) Van nyilvánosan elérhető adatkezelési tájékoztatód (privacy policy), ami leírja a személyes adatkezelési folyamataidat

Érintettek: Data Controller, Data Processor

A privacy policy-nek a weboldalról könnyen elérhetőnek kell lennie, és tartalmaznia kell a személyes adatok kezelésével kapcsolatos folyamatokat. Minimum: szerepeljen benne (vagy linkeljen) az, hogy milyen adattípusokat tartasz, és hol tárolod őket.

Hivatkozás: GDPR Article 30 – Records of processing activities

4) A privacy policy-ben szerepel a jogalap (lawful basis), ami megmagyarázza, miért kezeled a személyes adatot

Érintettek: Data Controller

Nem elég azt leírni, hogy mit csinálsz az adatokkal; azt is tisztázni kell, mi a jogalapod. Példa: szerződés teljesítése (contract fulfillment).

Hivatkozás: GDPR Article 6 – Lawfulness of processing

Felelősség és menedzsment (Accountability & Management)

5) Kijelöltél Data Protection Officer-t (DPO-t), ha kötelező

Érintettek: Data Controller, Data Processor

DPO (adatvédelmi tisztviselő) nem mindig kell. A GDPR szerint három esetben kötelező:

1. Az adatkezelést közhatalmi szerv vagy szerv végzi (a bíróságok kivételével, amikor igazságszolgáltatási feladatkörben járnak el).
2. Az alaptevékenységek olyan adatkezelési műveletek, amelyek jellegükből, hatókörükből és/vagy céljaikból fakadóan az érintettek rendszeres és szisztematikus, nagy léptékű megfigyelését teszik szükségessé.
3. Az alaptevékenységek különleges adatkategóriák (érzékeny adatok) nagy léptékű kezeléséből állnak a GDPR Article 9 szerint, illetve büntetőjogi felelősségre vonatkozó adatok kezeléséből a GDPR Article 10 szerint.

Ha DPO kötelező, akkor olyan személy kell, aki érti a GDPR iránymutatásokat, és rálát a cégen belüli, személyes adatot érintő belső folyamatokra is.

Hivatkozás: GDPR Article 37 – Designation of the data protection officer

6) A döntéshozók naprakészek a GDPR irányelvekben

Érintettek: Data Controller, Data Processor

A megfelelőség nem csak a fejlesztés vagy az IT feladata. A kulcsembereknek és döntéshozóknak folyamatosan tisztában kell lenniük az adatvédelmi követelményekkel, különösen akkor, ha új eszközöket, új marketing folyamatokat vagy új adatáramlást vezettek be.

Hivatkozás: GDPR Article 25 – Data protection by design and by default

7) A technikai biztonságod naprakész

Érintettek: Data Controller, Data Processor

Különösen SaaS környezetben érdemes biztonsági checklistből kiindulni, hogy a megfelelő technikai intézkedések ténylegesen meglegyenek (hardening, patching, hozzáférés-kezelés, naplózás, mentések stb.).

Hivatkozás: GDPR Article 25 – Data protection by design and by default

8) A munkatársakat adatvédelmi tudatosságra tréningezed

Érintettek: Data Processor

Sok incidens nem technikai résen indul, hanem emberi hibán: valaki jogosultsággal rendelkező belsős fiókkal kattint, megad adatot, vagy rossz helyre küld ki információt. A cél, hogy a csapat értse a kockázatokat, és tudja, mi a helyes eljárás.

Hivatkozás: GDPR Article 25 – Data protection by design and by default

9) Van listád az al-adatfeldolgozókról (sub-processor), és a privacy policy-ben is jelzed a használatukat

Érintettek: Data Processor

Ha te adatfeldolgozóként alvállalkozót (sub-processor) bevonsz, erről tájékoztatnod kell az ügyfeleidet. A gyakorlatban ennek tipikus eszköze, hogy a privacy policy megemlíti a sub-processor használatát, és az ügyfelek ezt a tájékoztatót elfogadva adnak hozzájárulást.

Hivatkozás: GDPR Article 28 – Processor

10) EU-n kívüli vállalkozásként kijelöltél EU-s képviselőt, ha EU-s érintettek adatait kezeled

Érintettek: Data Controller, Data Processor

Ha a céged az EU-n kívül működik, de EU-s állampolgárok/lakosok adatait gyűjtöd/kezeled, akkor a GDPR elvárhatja, hogy legyen egy képviselőd valamelyik tagállamban. Ennek a személynek kell tudnia kezelni az adatkezeléssel kapcsolatos ügyeket, és az is fontos, hogy a helyi hatóság kapcsolatba tudjon lépni vele.

Hivatkozás: GDPR Article 27 – Representatives of controllers or processors not established in the Union

11) Személyes adatot érintő adatvédelmi incidenst bejelentesz a hatóságnak és az érintetteknek

Érintettek: Data Controller, Data Processor

Személyes adatot érintő incidens esetén 72 órán belül be kell jelenteni az esetet a felügyeleti hatóságnak. A bejelentésben tipikusan szerepelnie kell, milyen adat érintett, milyen következmények lehetnek, és milyen ellenintézkedéseket tettél. Ha a kiszivárgott adat nem volt titkosítva (encrypted), akkor az érintett(ek)et is tájékoztatni kell.

Hivatkozások: GDPR Article 33 – Notification of a personal data breach to the supervisory authority; GDPR Article 34 – Communication of a personal data breach to the data subject

12) Van szerződésed minden adatfeldolgozóval, akinek adatot adsz át

Érintettek: Data Controller

Ha adatot megosztasz adatfeldolgozóval (például hosting szolgáltatóval), kell egy olyan szerződés (tipikusan DPA – Data Processing Agreement), amely kifejezett utasításokat és kereteket ad az adat tárolására/feldolgozására. A szerződésnek ki kell térnie:

• az adatkezelés tárgyára és időtartamára
• az adatkezelés jellegére és céljára
• a személyes adatok típusaira
• az érintettek kategóriáira
• az adatkezelő kötelezettségeire és jogaira.

Ugyanezek a szerződéses elvárások akkor is érvényesek, amikor egy adatfeldolgozó al-adatfeldolgozót (sub-processor) von be az adatkezelő nevében.

Hivatkozások: GDPR Article 28 – Processor; GDPR Article 29 – Processing under the authority of the controller or processor

Új jogok (New Rights) – folyamatok az érintetti kérésekhez

13) Az ügyfelek könnyen kérhetnek hozzáférést a személyes adataikhoz

Érintettek: Data Controller, Data Processor

Legyen egy egyértelműen definiált folyamatod arra, hogyan kezeled az érintetti hozzáférési kérelmeket (access request).

Hivatkozás: GDPR Article 15 – Right of access by the data subject

14) Az ügyfelek könnyen frissíthetik a személyes adataikat

Érintettek: Data Controller, Data Processor

Adj mechanizmust arra, hogy a felhasználó javíthassa a pontatlan adatot (például profilban szerkesztés, ügyfélszolgálati workflow).

Hivatkozás: GDPR Article 16 – Right to rectification

15) Automatikusan törlöd az adatot, amire már nincs üzleti célod

Érintettek: Data Controller, Data Processor

A retention nem csak policy kérdés: a jó gyakorlat az automatizált törlés. Példa: azoknál az ügyfeleknél, akiknél a szerződés nem újult meg, a feleslegessé vált adatot automatikusan törlöd.

Hivatkozás: GDPR Article 5 – Principles relating to processing of personal data

16) Az ügyfelek könnyen kérhetik a személyes adataik törlését (right to be forgotten)

Érintettek: Data Controller, Data Processor

Legyen meg a törlési kérelem (deletion request) folyamata: kérelem fogadása, jogosultság ellenőrzése, törlés/anonimizálás, visszajelzés.

Hivatkozás: GDPR Article 17 – Right to erasure (‘right to be forgotten’)

17) Az ügyfelek könnyen kérhetik az adatkezelés korlátozását

Érintettek: Data Controller, Data Processor

Az érintettek kérhetik, hogy korlátozd, hogyan kezeled az adataikat (például bizonyos műveletek tiltása a kivizsgálás idejére).

Hivatkozás: GDPR Article 18 – Right to restriction of processing

18) Az ügyfelek könnyen kérhetik az adataik kiadását (data portability)

Érintettek: Data Controller, Data Processor

A data portability azt jelenti, hogy az érintett kérheti az adatait strukturált, széles körben használt, géppel olvasható formátumban, és kérheti azt is, hogy te vagy ő továbbítsa egy harmadik félnek.

Hivatkozás: GDPR Article 20 – Right to data portability

19) Az ügyfelek könnyen tiltakozhatnak a profilalkotás/automatizált döntéshozatal ellen

Érintettek: Data Controller

Ez a pont akkor releváns, ha van profiling vagy más automatizált döntéshozatal, ami hatással lehet az érintettre (például jogosultság, árazás, elbírálás).

Hivatkozás: GDPR Article 22 – Automated individual decision-making, including profiling

Hozzájárulás (Consent)

20) Ha a jogalap hozzájárulás, akkor a consent önkéntes, konkrét, tájékozott és visszavonható

Érintettek: Data Controller

Ha a weboldalad valamilyen módon személyes adatot gyűjt, legyen jól látható link a privacy policy-re, és az érintett egyértelműen erősítse meg, hogy elfogadja a feltételeket. A hozzájárulásnak aktív cselekménynek kell lennie: előre bepipált checkbox nem megengedett.

Hivatkozás: GDPR Article 7 – Conditions for consent

21) A privacy policy közérthető, világos nyelvezettel készült

Érintettek: Data Controller

A tájékoztatónak egyszerűen és érthetően kell fogalmaznia, nem rejtheti el a valós szándékot. Ha túl homályos vagy megtévesztő, az akár a megállapodás érvényességét is veszélyeztetheti. Ha gyerekeknek nyújtasz szolgáltatást, a tájékoztatónak az ő számukra is érthetőnek kell lennie.

Hivatkozás: GDPR Article 7.2 – Conditions for consent

22) A hozzájárulás visszavonása ugyanolyan könnyű, mint a megadása

Érintettek: Data Controller

A visszavonás nem lehet bonyolultabb, mint a hozzájárulás megadása. Tipikusan ez beállítások, egyértelmű felület, egy kattintással elérhető opciók.

Hivatkozás: GDPR Article 7.3 – Conditions for consent

23) Gyerekek adatainál életkor-ellenőrzés és törvényes képviselői hozzájárulás

Érintettek: Data Controller

Ha 16 év alatti gyermek személyes adatát kezeled hozzájárulás alapján, akkor biztosítanod kell, hogy a törvényes képviselő adott hozzájárulást. Ha a consent a weboldalon keresztül történik, törekedned kell arra, hogy valóban a törvényes képviselő adja meg (ne a gyermek).

Hivatkozás: GDPR Article 8 – Conditions applicable to child’s consent in relation to information society services

24) Privacy policy frissítésekor tájékoztatod a meglévő ügyfeleket

Érintettek: Data Controller

Ha módosítod az adatkezelési tájékoztatót, értesítsd a meglévő ügyfeleket (például e-mailben), és közérthetően írd le, mi változott.

Hivatkozás: GDPR Article 7 – Conditions for consent

Utókövetés (Follow-up)

25) Rendszeresen felülvizsgálod a policy-kat és a gyakorlatot

Érintettek: Data Controller

Nem elég egyszer elkészíteni a dokumentumokat. Rendszeresen nézd át: változott-e a data handling, mennyire hatékonyak a kontrollok, és változott-e a helyzet azokban az országokban, ahová adat áramlik (például külső szolgáltatók miatt).

Hivatkozás: GDPR Article 25 – Data protection by design and by default

Speciális esetek (Special Cases)

26) Tudod, mikor kötelező DPIA-t (Data Protection Impact Assessment) készíteni

Érintettek: Data Controller

A DPIA jellemzően akkor kerül elő, ha nagy léptékű, érzékeny adatot érintő adatkezelést végzel, profilingot vagy más olyan tevékenységet, ami magas kockázattal jár az emberek jogaira és szabadságaira.

Hivatkozás: GDPR Article 35 – Data protection impact assessment

27) EU-n kívülre csak megfelelő védelemmel továbbítasz adatot, és ezt leírod a privacy policy-ben

Érintettek: Data Controller, Data Processor

Ha az adat EU-n kívülre kerül, csak olyan országba továbbíts, ahol megfelelő szintű védelem biztosított. A határon átnyúló adatáramlásokat a privacy policy-ben is transzparensen jelezni kell. Ha a célország nem minősül megfelelőnek (non-adequate), használj Standard Contractual Clauses (SCCs) vagy Binding Corporate Rules (BCRs) megoldást.

Hivatkozás: GDPR Article 45 – Transfers on the basis of an adequacy decision

Érintetti jogok (Data Subject Rights) – részletes lista hivatkozásokkal

Az alábbi jogok minden érintettre (Data Subject) vonatkoznak. Fejlesztői és üzemeltetői oldalról ez azt jelenti, hogy a rendszeredben és a folyamataidban legyen útvonal ezek kezelésére: űrlap, ticket, belső SOP, export/törlés funkció, naplózás, határidők.

Átlátható tájékoztatáshoz való jog

Az adatkezelőnek megfelelő intézkedéseket kell tennie, hogy az adatkezeléssel kapcsolatos tájékoztatást tömören, átláthatóan, érthetően és könnyen hozzáférhető formában adja meg, világos és közérthető nyelven. Különösen igaz ez akkor, ha a tájékoztatás kifejezetten gyermekeknek szól. A tájékoztatás adható írásban vagy más módon is, beleértve adott esetben az elektronikus formát.

Hivatkozás: GDPR Article 12

Közvetlen adatgyűjtésnél kötelezően megadandó információk

Amikor a személyes adatot közvetlenül az érintettől gyűjtöd, többek között az alábbi tájékoztatást kell megadnod:

1. az adatkezelő azonosító adatai és elérhetőségei
2. az adatvédelmi tisztviselő (DPO) elérhetőségei (ha releváns)
3. az adatkezelés céljai és jogalapja
4. az adatkezelő jogos érdekei (ha releváns)
5. a személyes adatok címzettjei vagy a címzettek kategóriái
6. tájékoztatás a harmadik országokba történő adattovábbításról

Hivatkozás: GDPR Article 13

Nem közvetlen adatgyűjtésnél kötelezően megadandó információk

Ha nem az érintettől szerzed be az adatot (hanem más forrásból), hasonló tájékoztatást kell adnod, kiegészítve az érintett személyes adatok kategóriáival és az adat forrásával.

Hivatkozás: GDPR Article 14

Hozzáférési jog (Right of access)

Az érintett jogosult visszajelzést kapni arról, hogy történik-e a személyes adatainak kezelése, és hozzáférést kérni többek között az alábbiakhoz:

• az adatkezelés céljai
• az érintett személyes adatok kategóriái
• azok a címzettek, akiknek az adatot közölték vagy közölni fogják
• a tervezett megőrzési idő
• a helyesbítéshez, törléshez, korlátozáshoz, tiltakozáshoz való jog fennállása
• a felügyeleti hatóságnál történő panasztétel joga
• az adat forrására vonatkozó információ (ha nem az érintettől gyűjtötték)
• az automatizált döntéshozatal, beleértve a profilalkotás tényének fennállása

Hivatkozás: GDPR Article 15

Helyesbítéshez való jog (Right to rectification)

Az érintett jogosult indokolatlan késedelem nélkül kérni a pontatlan személyes adatok helyesbítését, illetve a hiányos adatok kiegészítését.

Hivatkozás: GDPR Article 16

Törléshez való jog (Right to erasure / right to be forgotten)

Az érintett jogosult a személyes adat törlését kérni többek között akkor, ha:

1. az adat már nem szükséges az eredeti célra
2. az érintett visszavonja a hozzájárulását, és nincs más jogalap
3. az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok
4. az adatkezelés jogellenes volt
5. az adat törlését jogi kötelezettség írja elő
6. az adatot gyermeknek kínált információs társadalmi szolgáltatással összefüggésben gyűjtötték

Hivatkozás: GDPR Article 17

Az adatkezelés korlátozásához való jog (Right to restriction of processing)

Az érintett jogosult korlátozást kérni, ha:

1. vitatja az adatok pontosságát (arra az időre, amíg ellenőrzöd)
2. az adatkezelés jogellenes, de az érintett ellenzi a törlést
3. az adatkezelőnek már nincs szüksége az adatra, de az érintett jogi igények érvényesítéséhez kéri
4. az érintett tiltakozott az adatkezelés ellen, amíg ellenőrzöd az adatkezelő jogos indokait

Hivatkozás: GDPR Article 18

Tájékoztatáshoz való jog helyesbítésről/törlésről/korlátozásról

Az adatkezelőnek közölnie kell a helyesbítést, törlést vagy adatkezelés-korlátozást minden olyan címzettel, akivel az adatot korábban megosztotta, kivéve, ha ez lehetetlen vagy aránytalan erőfeszítést igényel.

Hivatkozás: GDPR Article 19

Adathordozhatósághoz való jog (Right to data portability)

Az érintett jogosult a személyes adatait strukturált, széles körben használt, géppel olvasható formátumban megkapni, és jogosult arra is, hogy az adatokat egy másik adatkezelőnek továbbítsa akadályoztatás nélkül.

Hivatkozás: GDPR Article 20

Tiltakozáshoz való jog (Right to object)

Az érintett a saját helyzetével kapcsolatos okokból bármikor tiltakozhat a személyes adatainak kezelése ellen, ha az adatkezelés jogos érdeken vagy közérdeken alapul, beleértve a profilalkotást is.

Hivatkozás: GDPR Article 21

Automatizált döntéshozatallal szembeni védelem (Right not to be subject to automated decision-making)

Az érintett jogosult arra, hogy ne terjedjen ki rá kizárólag automatizált adatkezelésen alapuló döntés (profilalkotással együtt), ha az a döntés joghatással jár vagy hasonlóan jelentős mértékben érinti.

Hivatkozás: GDPR Article 22

Gyakorlati megvalósítás: konkrét lépések weboldalakhoz

1) A weboldal technikai védelme (Secure Your Website)

A GDPR elvárásaival összhangban a cél a megfelelő technikai és szervezési intézkedések bevezetése. Weboldal szinten az alábbiak a tipikus alapok:

• SSL tanúsítvány telepítése (HTTPS), hogy titkosított legyen az adatút a böngésző és a szerver között
• Erős jelszavak használata minden admin fióknál
• Extra védelem a fizetési adatok kezeléséhez
• CDN használata, amely véd DDoS támadások ellen
• Anti-virus szoftver bevezetése a jogosulatlan hozzáférés megelőzésére
• Adatgyűjtés minimalizálása – csak azt kérd be, ami valóban kell
• Pseudonymization vagy anonymization: ahol lehet, tárolás előtt álnevesíts vagy anonimizálj
• Mentések (backup) készítése több, biztonságos helyre
• Adattörlés akkor, amikor már nincs rá szükség

2) Cookie consent banner – ha nem szükséges cookie-kat használsz

Ha a weboldaladon nem lényeges (non-essential) cookie-k futnak, akkor azok aktiválásához előzetes, kifejezett hozzájárulásra van szükség. A gyakorlatban ez egy cookie banner/cookie consent platform.

Egy GDPR-kompatibilis cookie bannernek az alábbiakat kell tudnia:

• Cookie-k blokkolása hozzájárulásig: csak a szükséges cookie-k töltődhetnek be addig, amíg a felhasználó nem opt-in-ol
• Egyszerű, világos nyelvezet: mondd el, milyen cookie-kat használsz és miért
• Egyenrangú elfogadás/elutasítás gombok: ne rejtsd el az elutasítást
• Részletes (granular) opciók: kategóriánként dönthessen (pl. analitika, marketing)
• Hozzájárulás visszavonása: később is könnyen módosíthassa a preferenciát
• Consent naplózása: a választásokat időbélyeggel tárold, hogy igazolni tudd a megfelelést

3) Webes űrlapok (kapcsolat, ajánlatkérés, regisztráció) felülvizsgálata

Minden olyan űrlapnál, ahol személyes adatot kérsz be, át kell gondolni a jogalapot, a tájékoztatást és a hozzájárulás módját. Minimálisan ezekre figyelj:

• Privacy statement az űrlap közelében: miért kéred az adatot
• Kipipálatlan checkbox a hozzájáruláshoz (ha consent a jogalap)
• Külön opt-in marketinghez: ne keverd össze a szolgáltatási és marketing célokat
• Link a Privacy Policy-re
• Közérthető, egyszerű nyelvezet

4) Marketing e-mailekhez hozzájárulás kezelése

Ha hírlevelet, promóciót, automatizált marketing üzeneteket küldesz, a hozzájárulás bizonyíthatósága kulcs. A biztonságos alapcsomag:

• Csak explicit opt-in: külön, kipipálatlan checkbox az e-mail consenthez
• Double opt-in: a feliratkozást e-mailben erősítteted meg
• Consent rekordok tárolása: dátum, idő, módszer, cél naplózása
• Jól látható leiratkozás (unsubscribe): minden e-mailben egy kattintással
• Gyors leiratkozás feldolgozás: ideális esetben 24 órán belül

5) Felkészülés adatvédelmi incidensekre (data breach)

Incidensnél a reakcióidő és a dokumentáltság számít. A minimum működő folyamat elemei:

• Bejelentés a felügyeleti hatóságnak 72 órán belül
• Érintettek értesítése, ha magas kockázat áll fenn a jogaikra nézve
• Minden dokumentálása az elszámoltathatóság miatt
• Policy-k és kontrollok frissítése, hogy a hasonló incidens megelőzhető legyen

WordPress-specifikus szempontok

WordPress-es környezetben (főleg sok bővítménnyel) külön odafigyelést igényel, hogy ki és mit gyűjt a háttérben. A legfontosabb gyakorlati pontok:

• Tartsd naprakészen a WordPress core-t, a sablonokat és a bővítményeket
• Használj GDPR-kompatibilis kapcsolatfelvételi űrlap bővítményt (hozzájárulás checkboxszal, ha kell)
• Telepíts korrekt cookie consent megoldást
• Használj GDPR-kompatibilis analitikát
• Nézd át a bővítmények adatgyűjtési gyakorlatát
• Biztosíts felhasználói adatexport és adattörlés funkcionalitást

GDPR bírságok és egyéb hatósági intézkedések

A GDPR két fő bírságszintet különböztet meg:

• Alacsonyabb szintű jogsértések: legfeljebb 10 millió euró vagy a globális éves árbevétel 2%-a
• Magasabb szintű jogsértések: legfeljebb 20 millió euró vagy a globális éves árbevétel 4%-a

A pénzbírságon túl a hatóságok más eszközökkel is élhetnek, például:

• figyelmeztetés kiadása
• adatkezelés ideiglenes vagy végleges tiltása
• adattörlés elrendelése
• adattovábbítások korlátozása

GYIK – gyakori kérdések weboldaltulajdonosként

Mi az a GDPR megfelelőségi checklist?

Egy GDPR compliance checklist egy teendőlista, ami összeszedi azokat a lépéseket és kontrollokat, amelyekkel a GDPR követelményei teljesíthetők. Segít feltárni, hol vannak hiányosságok az adatvédelmi gyakorlatban.

Ki felel a GDPR megfelelőségért?

Elsődlegesen az adatkezelő (data controller) felel érte, ami weboldalaknál tipikusan a weboldal/vállalkozás tulajdonosa. Az adatfeldolgozóknak (data processor) is vannak megfelelőségi kötelezettségeik.

Vonatkozik a GDPR amerikai (US) cégekre is?

Igen, ha EU-s érintettek személyes adatait kezeled – függetlenül attól, hogy a vállalkozásod hol működik.

Mi a maximális büntetés nem megfelelőség esetén?

Legfeljebb 20 millió euró vagy a globális éves árbevétel 4%-a (amelyik magasabb).

Kell cookie banner?

Igen, ha a weboldalad bármilyen nem szükséges cookie-t használ, és EU-s látogatóid vannak.

Kell Data Protection Officer (DPO)?

Csak akkor, ha: (1) közhatalmi szerv vagy, (2) az alaptevékenységed nagy léptékű, rendszeres és szisztematikus megfigyelést igényel, vagy (3) nagy léptékben kezelsz érzékeny adatot.