A General Data Protection Regulation (GDPR) az EU egyik leg\u00e1tfog\u00f3bb adatv\u00e9delmi szab\u00e1lyoz\u00e1sa, \u00e9s weboldal\u00fczemeltet\u0151k\u00e9nt akkor is \u00e9rinthet, ha a v\u00e1llalkoz\u00e1sod nem az EU-ban m\u0171k\u00f6dik. A l\u00e9nyeg: ha EU-s \u00e9rintettek (data subject) szem\u00e9lyes adatait kezeled, a GDPR megfelel\u0151s\u00e9g nem opcion\u00e1lis.<\/p>\n\n\n\n
A kock\u00e1zat sem elm\u00e9leti: a b\u00edrs\u00e1gok fels\u0151 szintje ak\u00e1r 20 milli\u00f3 eur\u00f3 vagy a glob\u00e1lis \u00e9ves \u00e1rbev\u00e9tel 4%-a<\/strong> is lehet (amelyik magasabb). A j\u00f3 h\u00edr, hogy a megfelel\u0151s\u00e9g egy nagy r\u00e9sze j\u00f3l struktur\u00e1lhat\u00f3: adatlelt\u00e1r, folyamatok, szerz\u0151d\u00e9sek, jogosults\u00e1gkezel\u00e9s, incidenskezel\u00e9s \u00e9s korrekt t\u00e1j\u00e9koztat\u00e1s.<\/p>\n\n\n\n Az al\u00e1bbi checklistet \u00fagy \u00edrtam meg, hogy weboldaltulajdonosk\u00e9nt \u00e9s fejleszt\u0151k\u00e9nt is k\u00e9zbe tudd venni: mi kell dokument\u00e1ci\u00f3s oldalon, mit kell technikailag megcsin\u00e1lni, \u00e9s milyen \u00e9rintetti jogokra kell folyamatot \u00e9p\u00edteni. Ahol relev\u00e1ns, meghagyom a pontos GDPR hivatkoz\u00e1sokat (Article 12, 13 stb.), mert ezekre tipikusan auditn\u00e1l \u00e9s szerz\u0151d\u00e9sk\u00f6t\u00e9sn\u00e9l is sz\u00fcks\u00e9g van.<\/p>\n\n\n\n Ez egy \u00e1ltal\u00e1nos, gyakorlati \u00fatmutat\u00f3. Nem min\u0151s\u00fcl jogi tan\u00e1csad\u00e1snak; konkr\u00e9t helyzetben adatv\u00e9delmi\/jogi szakemberrel \u00e9rdemes egyeztetni.<\/p>\n\n<\/div>\n\n\n\n A GDPR egy 2018. m\u00e1jus 25. \u00f3ta alkalmazott eur\u00f3pai uni\u00f3s adatv\u00e9delmi rendelet, amely meghat\u00e1rozza, hogyan lehet szem\u00e9lyes adatot gy\u0171jteni, felhaszn\u00e1lni, t\u00e1rolni \u00e9s megosztani. Nem csak EU-s c\u00e9gekre vonatkozik: ha EU-s lakosok szem\u00e9lyes adatait kezeled, a szab\u00e1lyoz\u00e1s hat\u00e1lya al\u00e1 eshetsz akkor is, ha a szolg\u00e1ltat\u00e1sod \u00e9s a c\u00e9gk\u00f6rnyezeted az EU-n k\u00edv\u00fcl van.<\/p>\n\n\n\n A megfelel\u0151s\u00e9g egyik leggyakoribb buktat\u00f3ja, hogy nincs tiszt\u00e1zva: ki min\u0151s\u00fcl adatkezel\u0151nek (Data Controller) \u00e9s ki adatfeldolgoz\u00f3nak (Data Processor). Pedig a k\u00f6telezetts\u00e9gek egy r\u00e9sze szerepk\u00f6r-f\u00fcgg\u0151.<\/p>\n\n\n\n Fontos: ugyanaz a szervezet lehet egyszerre controller \u00e9s processor is (p\u00e9ld\u00e1ul saj\u00e1t \u00fcgyf\u00e9ladatokat kezelsz, de k\u00f6zben egy partnernek is ny\u00fajtasz feldolgoz\u00e1st egy szolg\u00e1ltat\u00e1son kereszt\u00fcl).<\/p>\n\n\n\n Miel\u0151tt a konkr\u00e9t checklistre ugran\u00e1nk, \u00e9rdemes a h\u00e9t alapelvet v\u00e9gigp\u00f6rgetni, mert ezek adj\u00e1k a logik\u00e1j\u00e1t annak, hogy mit mi\u00e9rt k\u00e9r sz\u00e1mon egy hat\u00f3s\u00e1g vagy egy v\u00e1llalati audit.<\/p>\n\n\n\n A checklistet tematikusan bontom: Adatok, Felel\u0151ss\u00e9g \u00e9s menedzsment, \u00daj jogok, Hozz\u00e1j\u00e1rul\u00e1s, Ut\u00f3k\u00f6vet\u00e9s, Speci\u00e1lis esetek, majd az \u00e9rintetti jogok r\u00e9szletes list\u00e1ja. Minden pontn\u00e1l jelzem, hogy kire vonatkozik (Controller\/Processor).<\/p>\n\n\n\n \u00c9rintettek: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Gyakorlati \u00e9rtelemben ez egy adatlelt\u00e1r: mik azok a konkr\u00e9t adatt\u00edpusok (p\u00e9ld\u00e1ul t\u00e1bl\u00e1zat oszlopok), amiket t\u00e1rolsz: n\u00e9v, c\u00edm, e-mail, telefonsz\u00e1m, azonos\u00edt\u00f3k, sz\u00e1ml\u00e1z\u00e1si adatok stb. Minden adatt\u00edpushoz dokument\u00e1ld:<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n\n\n \u00c9rintettek: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Ez tipikusan egy rendszert\u00e9rk\u00e9p\/data flow: adatb\u00e1zisok (p\u00e9ld\u00e1ul MySQL), f\u00e1jlt\u00e1rol\u00f3k, logok, marketing rendszerek, support toolok, valamint az offline t\u00e1rol\u00f3k (pap\u00edr) is ide tartoznak. A c\u00e9l, hogy l\u00e1sd: honnan hova megy az adat, \u00e9s hol kell kontrollokat be\u00e9p\u00edteni.<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n\n\n \u00c9rintettek: Data Controller, Data Processor<\/em><\/p>\n\n\n\n A privacy policy-nek a weboldalr\u00f3l k\u00f6nnyen el\u00e9rhet\u0151nek kell lennie, \u00e9s tartalmaznia kell a szem\u00e9lyes adatok kezel\u00e9s\u00e9vel kapcsolatos folyamatokat. Minimum: szerepeljen benne (vagy linkeljen) az, hogy milyen adatt\u00edpusokat tartasz, \u00e9s hol t\u00e1rolod \u0151ket.<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n\n\n \u00c9rintettek: Data Controller<\/em><\/p>\n\n\n\n Nem el\u00e9g azt le\u00edrni, hogy mit csin\u00e1lsz az adatokkal; azt is tiszt\u00e1zni kell, mi a jogalapod. P\u00e9lda: szerz\u0151d\u00e9s teljes\u00edt\u00e9se (contract fulfillment).<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 6 \u2013 Lawfulness of processing<\/p>\n\n\n\n \u00c9rintettek: Data Controller, Data Processor<\/em><\/p>\n\n\n\n DPO (adatv\u00e9delmi tisztvisel\u0151) nem mindig kell. A GDPR szerint h\u00e1rom esetben k\u00f6telez\u0151:<\/p>\n\n\n\n Ha DPO k\u00f6telez\u0151, akkor olyan szem\u00e9ly kell, aki \u00e9rti a GDPR ir\u00e1nymutat\u00e1sokat, \u00e9s r\u00e1l\u00e1t a c\u00e9gen bel\u00fcli, szem\u00e9lyes adatot \u00e9rint\u0151 bels\u0151 folyamatokra is.<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 37 \u2013 Designation of the data protection officer<\/p>\n\n\n\n \u00c9rintettek: Data Controller, Data Processor<\/em><\/p>\n\n\n\n A megfelel\u0151s\u00e9g nem csak a fejleszt\u00e9s vagy az IT feladata. A kulcsembereknek \u00e9s d\u00f6nt\u00e9shoz\u00f3knak folyamatosan tiszt\u00e1ban kell lenni\u00fck az adatv\u00e9delmi k\u00f6vetelm\u00e9nyekkel, k\u00fcl\u00f6n\u00f6sen akkor, ha \u00faj eszk\u00f6z\u00f6ket, \u00faj marketing folyamatokat vagy \u00faj adat\u00e1raml\u00e1st vezettek be.<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n \u00c9rintettek: Data Controller, Data Processor<\/em><\/p>\n\n\n\n K\u00fcl\u00f6n\u00f6sen SaaS k\u00f6rnyezetben \u00e9rdemes biztons\u00e1gi checklistb\u0151l kiindulni, hogy a megfelel\u0151 technikai int\u00e9zked\u00e9sek t\u00e9nylegesen meglegyenek (hardening, patching, hozz\u00e1f\u00e9r\u00e9s-kezel\u00e9s, napl\u00f3z\u00e1s, ment\u00e9sek stb.).<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n \u00c9rintettek: Data Processor<\/em><\/p>\n\n\n\n Sok incidens nem technikai r\u00e9sen indul, hanem emberi hib\u00e1n: valaki jogosults\u00e1ggal rendelkez\u0151 bels\u0151s fi\u00f3kkal kattint, megad adatot, vagy rossz helyre k\u00fcld ki inform\u00e1ci\u00f3t. A c\u00e9l, hogy a csapat \u00e9rtse a kock\u00e1zatokat, \u00e9s tudja, mi a helyes elj\u00e1r\u00e1s.<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n \u00c9rintettek: Data Processor<\/em><\/p>\n\n\n\n Ha te adatfeldolgoz\u00f3k\u00e9nt alv\u00e1llalkoz\u00f3t (sub-processor) bevonsz, err\u0151l t\u00e1j\u00e9koztatnod kell az \u00fcgyfeleidet. A gyakorlatban ennek tipikus eszk\u00f6ze, hogy a privacy policy megeml\u00edti a sub-processor haszn\u00e1lat\u00e1t, \u00e9s az \u00fcgyfelek ezt a t\u00e1j\u00e9koztat\u00f3t elfogadva adnak hozz\u00e1j\u00e1rul\u00e1st.<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 28 \u2013 Processor<\/p>\n\n\n\n \u00c9rintettek: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Ha a c\u00e9ged az EU-n k\u00edv\u00fcl m\u0171k\u00f6dik, de EU-s \u00e1llampolg\u00e1rok\/lakosok adatait gy\u0171jt\u00f6d\/kezeled, akkor a GDPR elv\u00e1rhatja, hogy legyen egy k\u00e9pvisel\u0151d valamelyik tag\u00e1llamban. Ennek a szem\u00e9lynek kell tudnia kezelni az adatkezel\u00e9ssel kapcsolatos \u00fcgyeket, \u00e9s az is fontos, hogy a helyi hat\u00f3s\u00e1g kapcsolatba tudjon l\u00e9pni vele.<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 27 \u2013 Representatives of controllers or processors not established in the Union<\/p>\n\n\n\n \u00c9rintettek: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Szem\u00e9lyes adatot \u00e9rint\u0151 incidens eset\u00e9n 72 \u00f3r\u00e1n bel\u00fcl be kell jelenteni az esetet a fel\u00fcgyeleti hat\u00f3s\u00e1gnak. A bejelent\u00e9sben tipikusan szerepelnie kell, milyen adat \u00e9rintett, milyen k\u00f6vetkezm\u00e9nyek lehetnek, \u00e9s milyen ellenint\u00e9zked\u00e9seket tett\u00e9l. Ha a kisziv\u00e1rgott adat nem volt titkos\u00edtva (encrypted), akkor az \u00e9rintett(ek)et is t\u00e1j\u00e9koztatni kell.<\/p>\n\n\n\n Hivatkoz\u00e1sok:<\/strong> GDPR Article 33 \u2013 Notification of a personal data breach to the supervisory authority; GDPR Article 34 \u2013 Communication of a personal data breach to the data subject<\/p>\n\n\n\n \u00c9rintettek: Data Controller<\/em><\/p>\n\n\n\n Ha adatot megosztasz adatfeldolgoz\u00f3val (p\u00e9ld\u00e1ul hosting szolg\u00e1ltat\u00f3val), kell egy olyan szerz\u0151d\u00e9s (tipikusan DPA \u2013 Data Processing Agreement), amely kifejezett utas\u00edt\u00e1sokat \u00e9s kereteket ad az adat t\u00e1rol\u00e1s\u00e1ra\/feldolgoz\u00e1s\u00e1ra. A szerz\u0151d\u00e9snek ki kell t\u00e9rnie:<\/p>\n\n\n\n Ugyanezek a szerz\u0151d\u00e9ses elv\u00e1r\u00e1sok akkor is \u00e9rv\u00e9nyesek, amikor egy adatfeldolgoz\u00f3 al-adatfeldolgoz\u00f3t (sub-processor) von be az adatkezel\u0151 nev\u00e9ben.<\/p>\n\n\n\n Hivatkoz\u00e1sok:<\/strong> GDPR Article 28 \u2013 Processor; GDPR Article 29 \u2013 Processing under the authority of the controller or processor<\/p>\n\n\n\n \u00c9rintettek: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Legyen egy egy\u00e9rtelm\u0171en defini\u00e1lt folyamatod arra, hogyan kezeled az \u00e9rintetti hozz\u00e1f\u00e9r\u00e9si k\u00e9relmeket (access request).<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 15 \u2013 Right of access by the data subject<\/p>\n\n\n\n \u00c9rintettek: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Adj mechanizmust arra, hogy a felhaszn\u00e1l\u00f3 jav\u00edthassa a pontatlan adatot (p\u00e9ld\u00e1ul profilban szerkeszt\u00e9s, \u00fcgyf\u00e9lszolg\u00e1lati workflow).<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 16 \u2013 Right to rectification<\/p>\n\n\n\n \u00c9rintettek: Data Controller, Data Processor<\/em><\/p>\n\n\n\n A retention nem csak policy k\u00e9rd\u00e9s: a j\u00f3 gyakorlat az automatiz\u00e1lt t\u00f6rl\u00e9s. P\u00e9lda: azokn\u00e1l az \u00fcgyfelekn\u00e9l, akikn\u00e9l a szerz\u0151d\u00e9s nem \u00fajult meg, a feleslegess\u00e9 v\u00e1lt adatot automatikusan t\u00f6rl\u00f6d.<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 5 \u2013 Principles relating to processing of personal data<\/p>\n\n\n\n \u00c9rintettek: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Legyen meg a t\u00f6rl\u00e9si k\u00e9relem (deletion request) folyamata: k\u00e9relem fogad\u00e1sa, jogosults\u00e1g ellen\u0151rz\u00e9se, t\u00f6rl\u00e9s\/anonimiz\u00e1l\u00e1s, visszajelz\u00e9s.<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 17 \u2013 Right to erasure (‘right to be forgotten’)<\/p>\n\n\n\n \u00c9rintettek: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Az \u00e9rintettek k\u00e9rhetik, hogy korl\u00e1tozd, hogyan kezeled az adataikat (p\u00e9ld\u00e1ul bizonyos m\u0171veletek tilt\u00e1sa a kivizsg\u00e1l\u00e1s idej\u00e9re).<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 18 \u2013 Right to restriction of processing<\/p>\n\n\n\n \u00c9rintettek: Data Controller, Data Processor<\/em><\/p>\n\n\n\n A data portability azt jelenti, hogy az \u00e9rintett k\u00e9rheti az adatait struktur\u00e1lt, sz\u00e9les k\u00f6rben haszn\u00e1lt, g\u00e9ppel olvashat\u00f3 form\u00e1tumban, \u00e9s k\u00e9rheti azt is, hogy te vagy \u0151 tov\u00e1bb\u00edtsa egy harmadik f\u00e9lnek.<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 20 \u2013 Right to data portability<\/p>\n\n\n\n \u00c9rintettek: Data Controller<\/em><\/p>\n\n\n\n Ez a pont akkor relev\u00e1ns, ha van profiling vagy m\u00e1s automatiz\u00e1lt d\u00f6nt\u00e9shozatal, ami hat\u00e1ssal lehet az \u00e9rintettre (p\u00e9ld\u00e1ul jogosults\u00e1g, \u00e1raz\u00e1s, elb\u00edr\u00e1l\u00e1s).<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 22 \u2013 Automated individual decision-making, including profiling<\/p>\n\n\n\n \u00c9rintettek: Data Controller<\/em><\/p>\n\n\n\n Ha a weboldalad valamilyen m\u00f3don szem\u00e9lyes adatot gy\u0171jt, legyen j\u00f3l l\u00e1that\u00f3 link a privacy policy-re, \u00e9s az \u00e9rintett egy\u00e9rtelm\u0171en er\u0151s\u00edtse meg, hogy elfogadja a felt\u00e9teleket. A hozz\u00e1j\u00e1rul\u00e1snak akt\u00edv cselekm\u00e9nynek kell lennie: el\u0151re bepip\u00e1lt checkbox nem megengedett<\/strong>.<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 7 \u2013 Conditions for consent<\/p>\n\n\n\n \u00c9rintettek: Data Controller<\/em><\/p>\n\n\n\n A t\u00e1j\u00e9koztat\u00f3nak egyszer\u0171en \u00e9s \u00e9rthet\u0151en kell fogalmaznia, nem rejtheti el a val\u00f3s sz\u00e1nd\u00e9kot. Ha t\u00fal hom\u00e1lyos vagy megt\u00e9veszt\u0151, az ak\u00e1r a meg\u00e1llapod\u00e1s \u00e9rv\u00e9nyess\u00e9g\u00e9t is vesz\u00e9lyeztetheti. Ha gyerekeknek ny\u00fajtasz szolg\u00e1ltat\u00e1st, a t\u00e1j\u00e9koztat\u00f3nak az \u0151 sz\u00e1mukra is \u00e9rthet\u0151nek kell lennie.<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 7.2 \u2013 Conditions for consent<\/p>\n\n\n\n \u00c9rintettek: Data Controller<\/em><\/p>\n\n\n\n A visszavon\u00e1s nem lehet bonyolultabb, mint a hozz\u00e1j\u00e1rul\u00e1s megad\u00e1sa. Tipikusan ez be\u00e1ll\u00edt\u00e1sok, egy\u00e9rtelm\u0171 fel\u00fclet, egy kattint\u00e1ssal el\u00e9rhet\u0151 opci\u00f3k.<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 7.3 \u2013 Conditions for consent<\/p>\n\n\n\n \u00c9rintettek: Data Controller<\/em><\/p>\n\n\n\n Ha 16 \u00e9v alatti gyermek szem\u00e9lyes adat\u00e1t kezeled hozz\u00e1j\u00e1rul\u00e1s alapj\u00e1n, akkor biztos\u00edtanod kell, hogy a t\u00f6rv\u00e9nyes k\u00e9pvisel\u0151 adott hozz\u00e1j\u00e1rul\u00e1st. Ha a consent a weboldalon kereszt\u00fcl t\u00f6rt\u00e9nik, t\u00f6rekedned kell arra, hogy val\u00f3ban a t\u00f6rv\u00e9nyes k\u00e9pvisel\u0151 adja meg (ne a gyermek).<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 8 \u2013 Conditions applicable to child’s consent in relation to information society services<\/p>\n\n\n\n \u00c9rintettek: Data Controller<\/em><\/p>\n\n\n\n Ha m\u00f3dos\u00edtod az adatkezel\u00e9si t\u00e1j\u00e9koztat\u00f3t, \u00e9rtes\u00edtsd a megl\u00e9v\u0151 \u00fcgyfeleket (p\u00e9ld\u00e1ul e-mailben), \u00e9s k\u00f6z\u00e9rthet\u0151en \u00edrd le, mi v\u00e1ltozott.<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 7 \u2013 Conditions for consent<\/p>\n\n\n\n \u00c9rintettek: Data Controller<\/em><\/p>\n\n\n\n Nem el\u00e9g egyszer elk\u00e9sz\u00edteni a dokumentumokat. Rendszeresen n\u00e9zd \u00e1t: v\u00e1ltozott-e a data handling, mennyire hat\u00e9konyak a kontrollok, \u00e9s v\u00e1ltozott-e a helyzet azokban az orsz\u00e1gokban, ahov\u00e1 adat \u00e1ramlik (p\u00e9ld\u00e1ul k\u00fcls\u0151 szolg\u00e1ltat\u00f3k miatt).<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n \u00c9rintettek: Data Controller<\/em><\/p>\n\n\n\n A DPIA jellemz\u0151en akkor ker\u00fcl el\u0151, ha nagy l\u00e9pt\u00e9k\u0171, \u00e9rz\u00e9keny adatot \u00e9rint\u0151 adatkezel\u00e9st v\u00e9gzel, profilingot vagy m\u00e1s olyan tev\u00e9kenys\u00e9get, ami magas kock\u00e1zattal j\u00e1r az emberek jogaira \u00e9s szabads\u00e1gaira.<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 35 \u2013 Data protection impact assessment<\/p>\n\n\n\n \u00c9rintettek: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Ha az adat EU-n k\u00edv\u00fclre ker\u00fcl, csak olyan orsz\u00e1gba tov\u00e1bb\u00edts, ahol megfelel\u0151 szint\u0171 v\u00e9delem biztos\u00edtott. A hat\u00e1ron \u00e1tny\u00fal\u00f3 adat\u00e1raml\u00e1sokat a privacy policy-ben is transzparensen jelezni kell. Ha a c\u00e9lorsz\u00e1g nem min\u0151s\u00fcl megfelel\u0151nek (non-adequate), haszn\u00e1lj Standard Contractual Clauses (SCCs) vagy Binding Corporate Rules (BCRs) megold\u00e1st.<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 45 \u2013 Transfers on the basis of an adequacy decision<\/p>\n\n\n\n Az al\u00e1bbi jogok minden \u00e9rintettre (Data Subject) vonatkoznak. Fejleszt\u0151i \u00e9s \u00fczemeltet\u0151i oldalr\u00f3l ez azt jelenti, hogy a rendszeredben \u00e9s a folyamataidban legyen \u00fatvonal ezek kezel\u00e9s\u00e9re: \u0171rlap, ticket, bels\u0151 SOP, export\/t\u00f6rl\u00e9s funkci\u00f3, napl\u00f3z\u00e1s, hat\u00e1rid\u0151k.<\/p>\n\n\n\n Az adatkezel\u0151nek megfelel\u0151 int\u00e9zked\u00e9seket kell tennie, hogy az adatkezel\u00e9ssel kapcsolatos t\u00e1j\u00e9koztat\u00e1st t\u00f6m\u00f6ren, \u00e1tl\u00e1that\u00f3an, \u00e9rthet\u0151en \u00e9s k\u00f6nnyen hozz\u00e1f\u00e9rhet\u0151 form\u00e1ban adja meg, vil\u00e1gos \u00e9s k\u00f6z\u00e9rthet\u0151 nyelven. K\u00fcl\u00f6n\u00f6sen igaz ez akkor, ha a t\u00e1j\u00e9koztat\u00e1s kifejezetten gyermekeknek sz\u00f3l. A t\u00e1j\u00e9koztat\u00e1s adhat\u00f3 \u00edr\u00e1sban vagy m\u00e1s m\u00f3don is, bele\u00e9rtve adott esetben az elektronikus form\u00e1t.<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 12<\/p>\n\n\n\n Amikor a szem\u00e9lyes adatot k\u00f6zvetlen\u00fcl az \u00e9rintett\u0151l gy\u0171jt\u00f6d, t\u00f6bbek k\u00f6z\u00f6tt az al\u00e1bbi t\u00e1j\u00e9koztat\u00e1st kell megadnod:<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 13<\/p>\n\n\n\n Ha nem az \u00e9rintett\u0151l szerzed be az adatot (hanem m\u00e1s forr\u00e1sb\u00f3l), hasonl\u00f3 t\u00e1j\u00e9koztat\u00e1st kell adnod, kieg\u00e9sz\u00edtve az \u00e9rintett szem\u00e9lyes adatok kateg\u00f3ri\u00e1ival \u00e9s az adat forr\u00e1s\u00e1val.<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 14<\/p>\n\n\n\n Az \u00e9rintett jogosult visszajelz\u00e9st kapni arr\u00f3l, hogy t\u00f6rt\u00e9nik-e a szem\u00e9lyes adatainak kezel\u00e9se, \u00e9s hozz\u00e1f\u00e9r\u00e9st k\u00e9rni t\u00f6bbek k\u00f6z\u00f6tt az al\u00e1bbiakhoz:<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 15<\/p>\n\n\n\n Az \u00e9rintett jogosult indokolatlan k\u00e9sedelem n\u00e9lk\u00fcl k\u00e9rni a pontatlan szem\u00e9lyes adatok helyesb\u00edt\u00e9s\u00e9t, illetve a hi\u00e1nyos adatok kieg\u00e9sz\u00edt\u00e9s\u00e9t.<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 16<\/p>\n\n\n\n Az \u00e9rintett jogosult a szem\u00e9lyes adat t\u00f6rl\u00e9s\u00e9t k\u00e9rni t\u00f6bbek k\u00f6z\u00f6tt akkor, ha:<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 17<\/p>\n\n\n\n Az \u00e9rintett jogosult korl\u00e1toz\u00e1st k\u00e9rni, ha:<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 18<\/p>\n\n\n\n Az adatkezel\u0151nek k\u00f6z\u00f6lnie kell a helyesb\u00edt\u00e9st, t\u00f6rl\u00e9st vagy adatkezel\u00e9s-korl\u00e1toz\u00e1st minden olyan c\u00edmzettel, akivel az adatot kor\u00e1bban megosztotta, kiv\u00e9ve, ha ez lehetetlen vagy ar\u00e1nytalan er\u0151fesz\u00edt\u00e9st ig\u00e9nyel.<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 19<\/p>\n\n\n\n Az \u00e9rintett jogosult a szem\u00e9lyes adatait struktur\u00e1lt, sz\u00e9les k\u00f6rben haszn\u00e1lt, g\u00e9ppel olvashat\u00f3 form\u00e1tumban megkapni, \u00e9s jogosult arra is, hogy az adatokat egy m\u00e1sik adatkezel\u0151nek tov\u00e1bb\u00edtsa akad\u00e1lyoztat\u00e1s n\u00e9lk\u00fcl.<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 20<\/p>\n\n\n\n Az \u00e9rintett a saj\u00e1t helyzet\u00e9vel kapcsolatos okokb\u00f3l b\u00e1rmikor tiltakozhat a szem\u00e9lyes adatainak kezel\u00e9se ellen, ha az adatkezel\u00e9s jogos \u00e9rdeken vagy k\u00f6z\u00e9rdeken alapul, bele\u00e9rtve a profilalkot\u00e1st is.<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 21<\/p>\n\n\n\n Az \u00e9rintett jogosult arra, hogy ne terjedjen ki r\u00e1 kiz\u00e1r\u00f3lag automatiz\u00e1lt adatkezel\u00e9sen alapul\u00f3 d\u00f6nt\u00e9s (profilalkot\u00e1ssal egy\u00fctt), ha az a d\u00f6nt\u00e9s joghat\u00e1ssal j\u00e1r vagy hasonl\u00f3an jelent\u0151s m\u00e9rt\u00e9kben \u00e9rinti.<\/p>\n\n\n\n Hivatkoz\u00e1s:<\/strong> GDPR Article 22<\/p>\n\n\n\n A GDPR elv\u00e1r\u00e1saival \u00f6sszhangban a c\u00e9l a megfelel\u0151 technikai \u00e9s szervez\u00e9si int\u00e9zked\u00e9sek bevezet\u00e9se. Weboldal szinten az al\u00e1bbiak a tipikus alapok:<\/p>\n\n\n\n Ha a weboldaladon nem l\u00e9nyeges (non-essential) cookie-k futnak, akkor azok aktiv\u00e1l\u00e1s\u00e1hoz el\u0151zetes, kifejezett hozz\u00e1j\u00e1rul\u00e1sra van sz\u00fcks\u00e9g. A gyakorlatban ez egy cookie banner\/cookie consent platform.<\/p>\n\n\n\n Egy GDPR-kompatibilis cookie bannernek az al\u00e1bbiakat kell tudnia:<\/p>\n\n\n\n A g\u00f6rget\u00e9s vagy a nem-interakci\u00f3 nem min\u0151s\u00fcl hozz\u00e1j\u00e1rul\u00e1snak. A consenthez akt\u00edv cselekm\u00e9ny kell.<\/p>\n\n<\/div>\n\n\n\n Minden olyan \u0171rlapn\u00e1l, ahol szem\u00e9lyes adatot k\u00e9rsz be, \u00e1t kell gondolni a jogalapot, a t\u00e1j\u00e9koztat\u00e1st \u00e9s a hozz\u00e1j\u00e1rul\u00e1s m\u00f3dj\u00e1t. Minim\u00e1lisan ezekre figyelj:<\/p>\n\n\n\n Ha h\u00edrlevelet, prom\u00f3ci\u00f3t, automatiz\u00e1lt marketing \u00fczeneteket k\u00fcldesz, a hozz\u00e1j\u00e1rul\u00e1s bizony\u00edthat\u00f3s\u00e1ga kulcs. A biztons\u00e1gos alapcsomag:<\/p>\n\n\n\n Incidensn\u00e9l a reakci\u00f3id\u0151 \u00e9s a dokument\u00e1lts\u00e1g sz\u00e1m\u00edt. A minimum m\u0171k\u00f6d\u0151 folyamat elemei:<\/p>\n\n\n\n WordPress-es k\u00f6rnyezetben (f\u0151leg sok b\u0151v\u00edtm\u00e9nnyel) k\u00fcl\u00f6n odafigyel\u00e9st ig\u00e9nyel, hogy ki \u00e9s mit gy\u0171jt a h\u00e1tt\u00e9rben. A legfontosabb gyakorlati pontok:<\/p>\n\n\n\n A GDPR k\u00e9t f\u0151 b\u00edrs\u00e1gszintet k\u00fcl\u00f6nb\u00f6ztet meg:<\/p>\n\n\n\n A p\u00e9nzb\u00edrs\u00e1gon t\u00fal a hat\u00f3s\u00e1gok m\u00e1s eszk\u00f6z\u00f6kkel is \u00e9lhetnek, p\u00e9ld\u00e1ul:<\/p>\n\n\n\n Egy GDPR compliance checklist egy teend\u0151lista, ami \u00f6sszeszedi azokat a l\u00e9p\u00e9seket \u00e9s kontrollokat, amelyekkel a GDPR k\u00f6vetelm\u00e9nyei teljes\u00edthet\u0151k. Seg\u00edt felt\u00e1rni, hol vannak hi\u00e1nyoss\u00e1gok az adatv\u00e9delmi gyakorlatban.<\/p>\n\n\n\n Els\u0151dlegesen az adatkezel\u0151 (data controller) felel \u00e9rte, ami weboldalakn\u00e1l tipikusan a weboldal\/v\u00e1llalkoz\u00e1s tulajdonosa. Az adatfeldolgoz\u00f3knak (data processor) is vannak megfelel\u0151s\u00e9gi k\u00f6telezetts\u00e9geik.<\/p>\n\n\n\n Igen, ha EU-s \u00e9rintettek szem\u00e9lyes adatait kezeled \u2013 f\u00fcggetlen\u00fcl att\u00f3l, hogy a v\u00e1llalkoz\u00e1sod hol m\u0171k\u00f6dik.<\/p>\n\n\n\n Legfeljebb 20 milli\u00f3 eur\u00f3 vagy a glob\u00e1lis \u00e9ves \u00e1rbev\u00e9tel 4%-a (amelyik magasabb).<\/p>\n\n\n\n Igen, ha a weboldalad b\u00e1rmilyen nem sz\u00fcks\u00e9ges cookie-t haszn\u00e1l, \u00e9s EU-s l\u00e1togat\u00f3id vannak.<\/p>\n\n\n\n Csak akkor, ha: (1) k\u00f6zhatalmi szerv vagy, (2) az alaptev\u00e9kenys\u00e9ged nagy l\u00e9pt\u00e9k\u0171, rendszeres \u00e9s szisztematikus megfigyel\u00e9st ig\u00e9nyel, vagy (3) nagy l\u00e9pt\u00e9kben kezelsz \u00e9rz\u00e9keny adatot.<\/p>\n\n\nFontos<\/h4>\n\n\n
Mi a GDPR, \u00e9s mikor vonatkozik r\u00e1d?<\/h2>\n\n\n\n
A szereped a GDPR-ban: Controller, Processor, Data Subject<\/h2>\n\n\n\n
\n\n
A GDPR 7 alapelve, amit minden folyamatn\u00e1l szem el\u0151tt kell tartani<\/h2>\n\n\n\n
\n\n
Teljes GDPR megfelel\u0151s\u00e9gi checklist weboldalakhoz<\/h2>\n\n\n\n
Adatok (Data)<\/h3>\n\n\n\n
1) Van list\u00e1d az \u00f6sszes szem\u00e9lyes adatr\u00f3l, annak forr\u00e1s\u00e1r\u00f3l, megoszt\u00e1s\u00e1r\u00f3l, c\u00e9lj\u00e1r\u00f3l \u00e9s meg\u0151rz\u00e9si idej\u00e9r\u0151l<\/h4>\n\n\n\n
\n\n
2) Van list\u00e1d arr\u00f3l, hol t\u00e1rolsz szem\u00e9lyes adatot, \u00e9s hogyan \u00e1ramlik az adat a rendszereid k\u00f6z\u00f6tt<\/h4>\n\n\n\n
3) Van nyilv\u00e1nosan el\u00e9rhet\u0151 adatkezel\u00e9si t\u00e1j\u00e9koztat\u00f3d (privacy policy), ami le\u00edrja a szem\u00e9lyes adatkezel\u00e9si folyamataidat<\/h4>\n\n\n\n
4) A privacy policy-ben szerepel a jogalap (lawful basis), ami megmagyar\u00e1zza, mi\u00e9rt kezeled a szem\u00e9lyes adatot<\/h4>\n\n\n\n
Felel\u0151ss\u00e9g \u00e9s menedzsment (Accountability & Management)<\/h3>\n\n\n\n
5) Kijel\u00f6lt\u00e9l Data Protection Officer-t (DPO-t), ha k\u00f6telez\u0151<\/h4>\n\n\n\n
\n\n
6) A d\u00f6nt\u00e9shoz\u00f3k naprak\u00e9szek a GDPR ir\u00e1nyelvekben<\/h4>\n\n\n\n
7) A technikai biztons\u00e1god naprak\u00e9sz<\/h4>\n\n\n\n
8) A munkat\u00e1rsakat adatv\u00e9delmi tudatoss\u00e1gra tr\u00e9ningezed<\/h4>\n\n\n\n
9) Van list\u00e1d az al-adatfeldolgoz\u00f3kr\u00f3l (sub-processor), \u00e9s a privacy policy-ben is jelzed a haszn\u00e1latukat<\/h4>\n\n\n\n
10) EU-n k\u00edv\u00fcli v\u00e1llalkoz\u00e1sk\u00e9nt kijel\u00f6lt\u00e9l EU-s k\u00e9pvisel\u0151t, ha EU-s \u00e9rintettek adatait kezeled<\/h4>\n\n\n\n
11) Szem\u00e9lyes adatot \u00e9rint\u0151 adatv\u00e9delmi incidenst bejelentesz a hat\u00f3s\u00e1gnak \u00e9s az \u00e9rintetteknek<\/h4>\n\n\n\n
12) Van szerz\u0151d\u00e9sed minden adatfeldolgoz\u00f3val, akinek adatot adsz \u00e1t<\/h4>\n\n\n\n
\n\n
\u00daj jogok (New Rights) \u2013 folyamatok az \u00e9rintetti k\u00e9r\u00e9sekhez<\/h3>\n\n\n\n
13) Az \u00fcgyfelek k\u00f6nnyen k\u00e9rhetnek hozz\u00e1f\u00e9r\u00e9st a szem\u00e9lyes adataikhoz<\/h4>\n\n\n\n
14) Az \u00fcgyfelek k\u00f6nnyen friss\u00edthetik a szem\u00e9lyes adataikat<\/h4>\n\n\n\n
15) Automatikusan t\u00f6rl\u00f6d az adatot, amire m\u00e1r nincs \u00fczleti c\u00e9lod<\/h4>\n\n\n\n
16) Az \u00fcgyfelek k\u00f6nnyen k\u00e9rhetik a szem\u00e9lyes adataik t\u00f6rl\u00e9s\u00e9t (right to be forgotten)<\/h4>\n\n\n\n
17) Az \u00fcgyfelek k\u00f6nnyen k\u00e9rhetik az adatkezel\u00e9s korl\u00e1toz\u00e1s\u00e1t<\/h4>\n\n\n\n
18) Az \u00fcgyfelek k\u00f6nnyen k\u00e9rhetik az adataik kiad\u00e1s\u00e1t (data portability)<\/h4>\n\n\n\n
19) Az \u00fcgyfelek k\u00f6nnyen tiltakozhatnak a profilalkot\u00e1s\/automatiz\u00e1lt d\u00f6nt\u00e9shozatal ellen<\/h4>\n\n\n\n
Hozz\u00e1j\u00e1rul\u00e1s (Consent)<\/h3>\n\n\n\n
20) Ha a jogalap hozz\u00e1j\u00e1rul\u00e1s, akkor a consent \u00f6nk\u00e9ntes, konkr\u00e9t, t\u00e1j\u00e9kozott \u00e9s visszavonhat\u00f3<\/h4>\n\n\n\n
21) A privacy policy k\u00f6z\u00e9rthet\u0151, vil\u00e1gos nyelvezettel k\u00e9sz\u00fclt<\/h4>\n\n\n\n
22) A hozz\u00e1j\u00e1rul\u00e1s visszavon\u00e1sa ugyanolyan k\u00f6nny\u0171, mint a megad\u00e1sa<\/h4>\n\n\n\n
23) Gyerekek adatain\u00e1l \u00e9letkor-ellen\u0151rz\u00e9s \u00e9s t\u00f6rv\u00e9nyes k\u00e9pvisel\u0151i hozz\u00e1j\u00e1rul\u00e1s<\/h4>\n\n\n\n
24) Privacy policy friss\u00edt\u00e9sekor t\u00e1j\u00e9koztatod a megl\u00e9v\u0151 \u00fcgyfeleket<\/h4>\n\n\n\n
Ut\u00f3k\u00f6vet\u00e9s (Follow-up)<\/h3>\n\n\n\n
25) Rendszeresen fel\u00fclvizsg\u00e1lod a policy-kat \u00e9s a gyakorlatot<\/h4>\n\n\n\n
Speci\u00e1lis esetek (Special Cases)<\/h3>\n\n\n\n
26) Tudod, mikor k\u00f6telez\u0151 DPIA-t (Data Protection Impact Assessment) k\u00e9sz\u00edteni<\/h4>\n\n\n\n
27) EU-n k\u00edv\u00fclre csak megfelel\u0151 v\u00e9delemmel tov\u00e1bb\u00edtasz adatot, \u00e9s ezt le\u00edrod a privacy policy-ben<\/h4>\n\n\n\n
\u00c9rintetti jogok (Data Subject Rights) \u2013 r\u00e9szletes lista hivatkoz\u00e1sokkal<\/h2>\n\n\n\n
\u00c1tl\u00e1that\u00f3 t\u00e1j\u00e9koztat\u00e1shoz val\u00f3 jog<\/h3>\n\n\n\n
K\u00f6zvetlen adatgy\u0171jt\u00e9sn\u00e9l k\u00f6telez\u0151en megadand\u00f3 inform\u00e1ci\u00f3k<\/h3>\n\n\n\n
\n\n
Nem k\u00f6zvetlen adatgy\u0171jt\u00e9sn\u00e9l k\u00f6telez\u0151en megadand\u00f3 inform\u00e1ci\u00f3k<\/h3>\n\n\n\n
Hozz\u00e1f\u00e9r\u00e9si jog (Right of access)<\/h3>\n\n\n\n
\n\n
Helyesb\u00edt\u00e9shez val\u00f3 jog (Right to rectification)<\/h3>\n\n\n\n
T\u00f6rl\u00e9shez val\u00f3 jog (Right to erasure \/ right to be forgotten)<\/h3>\n\n\n\n
\n\n
Az adatkezel\u00e9s korl\u00e1toz\u00e1s\u00e1hoz val\u00f3 jog (Right to restriction of processing)<\/h3>\n\n\n\n
\n\n
T\u00e1j\u00e9koztat\u00e1shoz val\u00f3 jog helyesb\u00edt\u00e9sr\u0151l\/t\u00f6rl\u00e9sr\u0151l\/korl\u00e1toz\u00e1sr\u00f3l<\/h3>\n\n\n\n
Adathordozhat\u00f3s\u00e1ghoz val\u00f3 jog (Right to data portability)<\/h3>\n\n\n\n
Tiltakoz\u00e1shoz val\u00f3 jog (Right to object)<\/h3>\n\n\n\n
Automatiz\u00e1lt d\u00f6nt\u00e9shozatallal szembeni v\u00e9delem (Right not to be subject to automated decision-making)<\/h3>\n\n\n\n
Gyakorlati megval\u00f3s\u00edt\u00e1s: konkr\u00e9t l\u00e9p\u00e9sek weboldalakhoz<\/h2>\n\n\n\n
1) A weboldal technikai v\u00e9delme (Secure Your Website)<\/h3>\n\n\n\n
\n\n
2) Cookie consent banner \u2013 ha nem sz\u00fcks\u00e9ges cookie-kat haszn\u00e1lsz<\/h3>\n\n\n\n
\n\n
Gyakori t\u00e9vhit<\/h4>\n\n\n
3) Webes \u0171rlapok (kapcsolat, aj\u00e1nlatk\u00e9r\u00e9s, regisztr\u00e1ci\u00f3) fel\u00fclvizsg\u00e1lata<\/h3>\n\n\n\n
\n\n
4) Marketing e-mailekhez hozz\u00e1j\u00e1rul\u00e1s kezel\u00e9se<\/h3>\n\n\n\n
\n\n
5) Felk\u00e9sz\u00fcl\u00e9s adatv\u00e9delmi incidensekre (data breach)<\/h3>\n\n\n\n
\n\n
WordPress-specifikus szempontok<\/h2>\n\n\n\n
\n\n
GDPR b\u00edrs\u00e1gok \u00e9s egy\u00e9b hat\u00f3s\u00e1gi int\u00e9zked\u00e9sek<\/h2>\n\n\n\n
\n\n
\n\n
GYIK \u2013 gyakori k\u00e9rd\u00e9sek weboldaltulajdonosk\u00e9nt<\/h2>\n\n\n\n
Mi az a GDPR megfelel\u0151s\u00e9gi checklist?<\/h3>\n\n\n\n
Ki felel a GDPR megfelel\u0151s\u00e9g\u00e9rt?<\/h3>\n\n\n\n
Vonatkozik a GDPR amerikai (US) c\u00e9gekre is?<\/h3>\n\n\n\n
Mi a maxim\u00e1lis b\u00fcntet\u00e9s nem megfelel\u0151s\u00e9g eset\u00e9n?<\/h3>\n\n\n\n
Kell cookie banner?<\/h3>\n\n\n\n
Kell Data Protection Officer (DPO)?<\/h3>\n\n\n\n