GDPR – te már készen állsz?

Az uniós bürokraták fontos tennivalót kerestek maguknak, ami indokolja a munkájukat, így többek között sikerült megalkotniuk a GDPR-t, vagyis az új adatvédelmi és kezelési törvényt, ami minden uniós országban vagy oda szolgáltató cégnek kötelező bevezetni.

Az indok egy régebbi oldalfeltörés, ahol hitelkártya-számokat loptak el. Erre sikerült egy olyan törvényt kitalálni, ami gyakorlatilag mindenkire vonatkozik, aki bármilyen adatot kezel, vagy ahhoz hozzáfér.

Ha te számlát állítasz ki magánszemélyek részére, mint vállalkozó, azonnal te is része leszel a GDPR bevezetésére kötelezettek hatalmas halmazának, hiszen nálad vannak magánszemélyek neve és címe.

Ha alapítványod van, aki magánszemélyektől is kapott valaha is támogatást máris bumm, ezt megnyerted te is. Weboldalt üzemeltetsz, ahol IP címeket hagynak maguk után a felhasználók? Igen, te is készülhetsz.

Hírlevelet üzemeltetsz? Webáruházad van? Hajaj, már csak másfél hónapod van.

Eddig is megfeleltél az egyébként szigorú magyar adatvédelmi törvénynek? Na, azt nyugodtan felejtsd el, ettől még meg kell felelned a GDPR-nek is.

Hogy kellően komolyan vegyék a cégek, alapítványok, egyesületek és mindenki más ezt a roppant fontos új rendeletet, maximum 20 millió eurós(!!!) vagy a bevétel 4%-a közül azt, amelyik nagyobb(!!) büntetést helyeztek kilátásba.

Eddig az egyesületek nem tartoztak még az adatvédelmi törvény hatálya alá sem, lévén a tagok önszántukból adták meg a személyes adataikat. Mostantól azoknak is be kell vezetni a GDPR-t. Kértem is árajánlatot, erre a faék egyszerűségű dologra (az egyesületi tagok nyilvántartása papír alapon és egy Google form-on) kaptam egy 575 ezer forintos árajánlatot, ettől egy kicsit ki is maradt a lélegzetem. Alku nincs, aki kicsit is ért a dologhoz, most annyit kér, amennyit akar. (Ha te tudsz valami olcsóbb lehetőséget, vagy valami konzerv, egyesületekre szabott GDPR-t, nehogy magadban tartsd az információt.)

Egy szó, mint száz: ha vállalkozó vagy, esetleg egyesület vagy alapítvány, weboldalt üzemeltetsz vagy bármilyen egyéb formában személyes adatok jutnak el hozzád bármilyen célból, járj utána, mit is kell tenned. Már csak másfél hónapod maradt az egészre.

(Ja és ettől megszűnik a hackertámadás és nem fog rossz emberek kezébe jutni személyes adat? Nem, pont ugyanannyi adatvisszaélés lesz, mint eddig, de legalább mondhatják, hogy csináltak valamit uniós szinten.)

Share

94 hozzászólás

  • Joey
    Valami konkrétumot azért olvastam volna még, hogy például vállalkozóként mit kell tennem, ha magánszemély számára is állítottam ki számlát. Utólag letakarni a nevét és széfben tárolni? Na jó, de most komolyan…
  • Kiszamolo
    Joey, keress rá a kifejezésre, rengeteg infót találsz a kérdésben. Meg azt, hogy attól még valakivel úgyis meg kell csináltatnod. Ki kezeli az adatokat, ki férhet hozzá, mit kell tenned, ha adatlopást észlelsz, erre ki kell képezned az összes alkalmazottadat is és a többi agymenés.
  • Attila
    mit tartalmaz ez a 575e ft-os ajanlat?
    kapsz egy elore megirt adatkezelesi szabalyzatot az egyesulet reszere? folyamatleirast, stb, amit majd jol alairsz, es egybol gdpr compliant lettel?

    (csak abbol indulok ki, amit irtal, hogy papiron + googledocsban tartasz nyilvan adatokat.. vagy valami fejlettebb informatikai rendszer hasznalatara is koteleznek?)

  • Kiszamolo
    Attila, nem tudom. Azt mondták, sajnos ennyi, mert van mindenféle marhaság, amit mind szabályozni kell. Reménykedem, hogy van valahol valami konzerv GDPR, amit valaki egyesületeknek csinált és mondjuk 50 ezerért árulja. Nem is tudom, mit fognak csinálni a tízfős egyesületek, akiknek 10 év alatt sincs ennyi bevételük?
  • george
    “Weboldalt üzemeltetsz, ahol IP címeket hagynak maguk után a felhasználók? Igen, te is készülhetsz.”

    Azért pontosítsunk, hogy a legtöbb kisebb weboldal shared hostingon megy, ahol az IP címeket a szolgáltató tárolja. Ennek a tárolására nincs semmi ráhatása egy ilyen weboldal karbantartójának, úgyhogy ezekben az esetekben a szerverszolgáltató felelőssége a dolog.

    Ilyennel dolga annak lehet, akinek VPS-en vagy dedikált szerveren vagy hasonlón megy az oldala, mert ezeken a naplózás is saját kézben van, de ez inkább a komolyabb oldalakat érinti, nem az átlagvállalkozó három oldalból álló weboldalát, ahol felsorolja a szolgáltatásait és az elérhetőségét.

  • Will
    Ez pontosan melyik törvény?
  • Dee
    Ez csak online (is) működő vállalkozásokra vonatkozik, vagy mezei asztalosra is akinek nincs weboldala?
  • Tamás
    “Nem is tudom, mit fognak csinálni a tízfős egyesületek, akiknek 10 év alatt sincs ennyi bevételük?”

    Semmit, mert max 20 millió eur vagy az éves bevétel 4%-a, de eleinte csak figyelmeztetni fognak.
    Amúgy az elve viszonylag egyszerű: személyes adatok kezelése csak az adat tulajdonosának specifikus beleegyezését követően, célhoz kötötten, meghatározott időtartamra. Utána törölnöd kell.
    A május 25-e előtt gyűjtött, és aktívan már nem használt adatokra (archív) tudomásom szerint nem vonatkozik.
    EU-ban (is) tevékenykedő nemzetközi multinál dolgozom, a központunk decemberre (!) ígéri a vonatkozó szervezeti működési szabályzat és nyomtatványok kidolgozását. Szóval nem eszik olyan forrón a kását… 🙂

  • Tamás
    Dee: mindenkire vonatkozik, aki adatot gyűjt és kezel. Tehát, ha felírod (vagy akár a telefonodba beírod) az ügyfelek nevét és telefonszámát, akkor igen, már rád is vonatkozik.
  • Tamás
    Will: naih.hu/files/CELEX_32016R0679_HU_TXT.pdf
  • Kaizen
    Eddig amit hallgattam a GDPR tanfolyamon egy weboldal esetében önmagában az IP cím nem személyes adat, csak akkor, ha egyéb adatokkal együtt kezelik és azonosíthatóvá válik. NAIH állásfoglalásban is ugyanezt olvastam…
    Azt hogy kivel csináltatjátok meg pedig fontos, mert az első követelménye, hogy az iskolázatlan ember is megértse… 🙂
  • Tamás
    Ezt is érdemes olvasgatni, ha valakit mélyebben érdekel a téma: 7blog.hu/gdpr/
  • Mentsvár
    Senkit nem buzdítva hanyagságra egyébként elmondható, hogy a NAIH eddigi létszáma kb arra volt alkalmas, hogy a – most megszűnő – NAIH számok adminisztrációját ellássa és bejelentés esetén eljárjon (tehát magától nem járt utána a jogkövető magatartás/dokumentáció meglétének). A mostani felszabaduló és bővített létszám pedig hónapokon át csak a GDPR-ban írt adatvédelmi konzultációkkal foglalkozik majd, mert kb napi 500 ilyen igény beérkezésére saccolnak, tehát soká lesz aktív, szervezetek körmére néző fellépés a hatóság részéről.
    Sok klasszikus Big data elemzés és remarketing viszont a profilozás rész miatt így is ellehetetlenül.

    A maximális bírság mértéke pedig többek között azért változik, mert az eddigi hazai 20 milliós (forintos, nem eurós!) büntetésplafon nagy adatkezelők számára lenyelhető működési költségtétel volt. (tehát nem a KKV szektorból terveznek adósrabszolgát csinálni).

  • Kiszamolo
    Mentsvár, azért azt érzi mindenki, hogy nem tudják és nem is fogják május 25-én szénné büntetni az országot, főleg úgy, hogy az érintettek 80%-a azt sem tudja még, hogy egyáltalán érintett…
  • barna
    570-ért megcsinálom! 🙂
  • Peti
    Minket már tavaly év végén felkészítettek a változásokra. A adatvédelemre olyan szinten ügyelnünk kell, hogy ha egy árut készítünk össze a raktárba, még azon sem szerepelhet semmilyen név, csak egy vevőazonosító. A szállítóleveleket, számlákat, mind zárható szekrénybe kell tenni, semmi nem maradhat idegenek által elérhetővé. Ha az üzletben kint marad a pulton egy név, telefonszámmal, már bukta az egész. És itt már nem tíz- vagy százezres büntetésekkel kell számolni, hanem milliós bírsággal.
  • untermensch4
    Kiszamolo a törvény ismeretének hiánya nem mentesít és már 2016-ban kihirdették vala.”a GDPR az eddigieknél sokkal szigorúbb szankcionálási eszközöket ad a nemzeti hatóságok (Magyarországon a NAIH) kezébe” ez pedig magyarisztánban egy jó kis büntetési lehetőség amiből majd “az eu miatt van” lesz. És május 25.-étől az összes, tagnévsorral rendelkező párt megbüntethető 20M euróra, kivéve vszeg az állampártot… ha van szándék, van kapacitás is. Az eu-s vasúttörvény után két héttel született anno az új magyar kisvasút-törvény. Jóval az első felcsúti kapavágás előtt.
  • Kaizen
    Mondjuk megint írtak 88 oldalt olyan emberek, olyan dologról, amikrőI fogalmuk sincs. 🙂 Ez alapján ha a telefondoban szerepel az ügyfeled, akkor már keményen adatot kezelsz, nem beszélve a határidőnaplódról.
    Az hogy adatot kezelnek Rólad pedig csak akkor tudod meg, ha valahonnan visszajut Hozzád. Gondolom ennek fényében a következő léps majd az lesz, hogy élesben be kell majd kötni a kezelt adatokat, mint az online pénztárgépeket… 🙂 Bár az már elég meredek lenne…
  • bela
    A HVG-nek most jött ki egy melléklete a gdpr-ről. 3000 Ft, amiből 40 oldal maga a gdpr magyar nyelven, de az előtte lévő 35 oldalon van benne néhány nyomtatvány minta is, amit érdemes megnézni.
  • Dani
    Ha sikerül pontot tenned az ügy végére, illetve legalább picit előre haladni, és olyan információkhoz jutsz, ami az olvasóidnak is hasznos lehet, oszd meg légyszíves! 🙂

    Én annyit érzek az egészből, hogy túlgondolt, káosz az egész, mindenkit riogatnak vele, de egyenlőre nem sok emberrel találkoztam aki érdemben tudott mondani valamit.
    Engem is érinteni fog a dolog. (pl. egy jogi személy tulajdonában álló tárgyról gyűjtök naponta adatokat. Ez elvileg nem személyes adat. De akkor mi?)

    Egyenlőre kivárok. Semmi konkrétum nincs sehol, sok-sok órát beleölni meg jelenleg egyszerűen nincs időm. Úgyis tisztulni fog a kép. Pár hónapon belül meg nem lesz nagy ejnyebejnye. Ha meg mégis, és igaz, hogy max a bevétel 4%-a a bünti, még mindig jobban kijövök, mintha most költenék valakire milliókat. Vagy az túl naiv elképzelés, h ha valamiért megbüntetnek, akkor tudni fogom, h min kell változtatni?

  • Kiszamolo
    barna, az az 570 forint az áfás, vagy áfanélküli ár? A nyomtatás költsége is benne van? 🙂
  • Kiszamolo
    Dani, nem akarom elvenni a kedved, de a büntetés tétele maximum 20 millió euró vagy 4% közül az, amelyik nagyobb….

    Ezzel együtt is remélem, hogy nem fognak mindenkit szénné büntetni azonnal.

  • Peter
    A weboldalak szempontjából ez megint egy idiótaság, valószínűleg weboldalt még nem nagyon láttak a törvény szerzői.
    Ilyen volt az előző is, hogy ki kellett rakni a gyönyörű cookie bannereket, mint a kiszámolón is ott van az oldal alján is. Eredmény: SEMMI SEM VÁLTOZOTT, csak lett egy csík a weboldalak alján, amit észre sem vesznek már a felhasználók, mobilon viszont szépen akár a képernyő felét is eltarkahatja.
    Most meg azt várják, hogy midnen egyes weboldal tulajdoos (jó, van, aki nem tárol adatokat), Gizi néni a webshopjával, 1 mlllió Forintos költséggel írasson új adatvédelmi nyilatkozatot, az egész oldalát újra kelljen csinálnia, mert “privacy by design”? Rémálom. Az ügyvédeknek, adatvédelmi szakértőknek viszont szép kor jön, ugyanakkor 1-200 ezer Ft / hót termelő webshopok vagy bezárnak, vagy pármilliót beruháznak? Vagy kapják a büntetést a semmiért, mivel aki fel akarja törni..
  • almastaska
    Amennyire én tudom ezzel kapcsolatban két fontos dolog van:
    1: cookie kezelés: a cookie már személyes adatnak minősülhet ha össze lehet kapcsolni a felhasználóval és addig nem kezelheted a cookie-t, amíg erről nem nyilatkozott a felhasználó…. Viszont a legtöbb oldalon a cookie megjelenítő rész már használ cookiet 😛

    2: tökmindegy ki kezeli az adatokat, az adatgazda akkor is elővehető ha a kezelő a hibás! Az adatgazdának meg kell győződnie arról, hogy az adatgazda jól jár el.

  • almastaska
    Az adatgazdának meg kell győződnie arról, hogy az adatkezelő jól jár el. – na így a helyes…. jók ezek a könnyen összekeverhető fogalmak…
  • Szaniko
    Ha egyéni vállalkozóként nem állítunk ki számlát magánszemélynek akkor ránk nem vonatkozik a gdpr? Jól értem?

    Köszönöm szépen!

  • almastaska
    Most meg elveszett a leírás egy része, megpróbálom újra. Szóval tudomásom szerint:

    – szóval ha a cookie-s adatkezelő részen le van írva, hogy személyes adatokat kezelsz és a user becheckolja (nincs implicit beleegyezés) akkor a szabályok nagy része tekintetben már jó vagy, mert erre harapnak nagyon, hogy a user tudja hogy te most személyes adatokat fogsz kezelni.

    – nem kötelező a titkosítás, csak opció

    – csak olyan adatokat kérhetsz be, ami a szolgáltatás ellátásához feltétlenül szükséges

    – sok-sok szabályozásos doksit kell gyártani meg aláírni

    – ha adatvédelmi incidens van, akkor jelenteni kell (persze itt se mindegy, hogy milyen incidens)

    Kevés cég foglalkozik ilyennel és azért kérnek annyit amennyit akarnak, mert amíg neked csinálják a cuccot, addig másnak nem tudják… Elmaradt haszon ügye…

  • Adócsaló Vállalkozó
    Csak egy első gondolat: Ha nekem úgy kell mindent megfogalmaznom, hogy az utolsó alkesz bunkó is értse, akkor ezek a majmok miért nem úgy fogalmazzák meg a jogszabályt, hogy egy egyszerű vállalkozó is elboldoguljon vele? Gondolom, ez ügyben az 540000 Ft mozgatta őket. 😀
  • Hillel
    Ha nem tárolhatok el semmit, ha nem járul hozzá (mondjuk cookie-ban egy false-t), akkor minden alkalommal fel kell neki dobnom? Vagy ez még belefér mert nem személyes adat?
  • Dani
    , köszi a HVG-s tippet, ennyit mindenképp megér!

    @Kiszámoló: felületesen olvastam el, és “amelyik kisebb”-et értettem alatta. 🙂 Így már azért más tészta. Viszont továbbra is úgy gondolom, hogy egyenlőre elég nyitott szemmel járnom a témában, komolyabb beavatkozás és adatvédelmi átírás majd pár hónap múlva, ha tisztább lesz a kép. Nyilván nem a szabályozást akarom semmibe venni, inkább csak megspórolni a “korai” felesleges köröket.

  • Györgyi
    Utánaolvastam, azt írják, hogy csak az online térben jelenlévő vállalkozókat érinti. Offline tanítok, és papíralapú számlakönyvből adom a számlákat. Szóval nem igazán tudom, miben érinthetne. A magánszemélyek meg nem is szoktak számlát kérni, csak nyugtát, azon meg semmilyen személyes adat nincsen.
  • archmage
    A novitax.hu/megrendeles-kepzes/adatvedelmi-irat-minta-csomagok/ linken a Basic csomag lehet, hogy elég neked. Részletesebb tájékoztatást a csomagok tartalmáról e-mail-ben lehet kérni.
  • yoshida
    A helyi uszodában a sportkártya hasznalokat egy lapra írják (nincs leolvasójuk) és nekünk kell kitolteni a nevünk kártya számunk, valamint hogy mikor voltunk ott. Persze én ezen a listán látom az előttem érkező embereket. Akkor júniustól kérhetem, egyrészt, hogy én nem fogom tölteni, töltsék helyettem, másrészt másnak se adhatjak oda, mert szerepelek rajta, és nem akarom hogy más lássa, mikor voltam úszni? 🙂 vagy kötelezhetnek arra, hogy jaruljak hozzá, hogy más is láthatja a nevem amikor felirja magát a lapra? És ezt a beleegyezést is egy lapon fogják jegyezni amit megint adatkezelni kell? 😀
  • Általános szakértő
    Nem kifejezetten szívügyem ez a GDPR, de ha annyit sikerül elérni vele, hogy ne hívogathassanak büntetlenül legkülönbözőbb időpontban a telefonos ügynökök, azzal a fal szöveggel, hogy: – Ugye még megvan az üdülési joga, -ami persze sosem volt- akkor sikernek fogom érezni a GDPR-t.

    Konzerv GDPR-t egyenlőre nem tudom, hogy árul-e valaki, de az biztos, hogy most nagyot lehet szakítani vele, ezért nem fogod tudni olcsón megúszni. Abban is biztos vagyok, hogy akad olyan vállalkozó, aki megcsinálja neked amit szerinte kell, majd később kiderül, hogy olyan “terméket” kaptál a pénzedért, amire nem is volt szükséged, viszont ami tényleg kellene, azt meg meg kell csináltatnod utólag. Újabb súlyos pénzekért.

  • Kiszamolo
    Általános, ez eddig is tilos volt, a magyar adatvédelmi törvény az egyik legkeményebb volt Európában. Ettől még semmi nem fog változni.
  • Kiszamolo
    Györgyi, ez így nem igaz, hogy csak online vállalkozókat érintene. Azonban ha nem adsz számlát magánszemélynek, akkor lehet, hogy téged nem érint.
  • Körtefa
    Jól érzem, hogy akkor innentől [ha beindulna a büntető-üzem], nem éri meg korlátlan felelősségű vállakozást alapítani, jó ha van egy korlát mint pl. KFT-nél?
  • Zozo
    Györgyi: ezzel szerintem az a baj, hogy az elvi lehetőség ott van, hogy a magánszemély bármikor számlát kérjen, ennek kiállítását nem tagadhatod meg. Nem hiszem, hogy bárhol elfogagadnák, hogy majd az első ilyen számla előtt nekiállsz és megcsinálsz mindent.
  • szocske
    , én azt tippelem inkább, hogy az uszoda inkább kilép a sportkártya elfogadók köréből, mert annyit nem hoz nekik, amennyi extra adminisztációval jár, úgyhogy a helyedben nem kekeckednék sokat.
  • kritizator
    egyházakkal mi a helyzet?
  • Boltos
    Pénztárgép használatára kötelezett vállakozó vagyok. Évente kb. egy kézi számlát töltők ki. Akkor most én is adatkezelő vagyok az egy szál számlatömbömmel?
  • Csaba
    Azért csinálta brüsszel, hogy bármelyik kormány az országán belül bármelyik civil szervezetet vagy céget egy mozdulattal likvidálhassa.
    És nem, nem tudsz megfelelni. Mert nem vagy gondolatolvasó. A rendelet még csak támpontot sem ad. Készítsd el mindent, aztán majd ők utólag kitalálják, hogy jól gondoltad-e.
  • Péter
    Nem lenne ezzel alapesetben semmi baj, ha lenne benne értelem. Olvastam valahol olyat, hogy ha valaki a céges laptopot és a céges levelezést elkezdi mondjuk vaterazni használni akkor már borul az egész és akkor azon már vannak személyes adatait.
  • Gábor
    Hát a hozzászólásokból és a cikkből az látszik, hogy nem nagyon értitek a GDPR lényegét.
    Az tény, hogy NAGYON szigorú a GDPR szabályozás, de az is igaz, hogy a magyar infotörvény (ami már évek óta hatályban van), 95%ban megegyezik ezzel, azaz a legtöbb dolognak már régen úgy kellene lenni mindenkinél.
    A leglényegesebb a törvényben, hogy a vállalkozás (szervezet) felelőssége úgy kialakítani és folyamatosan fennttartani a rendszert, hogy megfeleljen a GDPR-nak. Egy alvállalkozó ennek max a felét tudja megcsinálni.
    Pár alapelv:
    A GDPR a személyes adatok kezelését szabályozza, amelyet vállalkozás kezel.
    Területi hatálya: Európa.
    Személyes adat lehet minden, ami alapján egy magánszemély pontosan azonosítható. Ezt nagyon tágan értelmezik, ezért szinte minden belemagyarázható.
  • Gábor
    Az adatkezelés célhoz kötött kell legyen, azaz előre tudnod kell (és a személlyel is előre közölnöd kell), hogy az adatot hogyan fogod használni. A cél nem lehet túl általános.
    Az adatkezelés jogalapja lehet (van még más is, ez a két lényeges):
    – törvényi felhatalmazás (pl munkaügyi nyilvántartások)
    – személyes hozzájárulás (itt játszik a célhoz kötöttség, és a részletes tájékoztató)

    Az adatvédelmi hatóságnak két fontos szerepe van:
    – ellenőrzés (szerintem sem lesz rá kapacitása, eddig sem volt)
    – bejelentett incidensek kezelése (bármilyen adatvédelmi probléma keletkezik, be kell jelenteni a vállalkozásnak 3 napon belül)

    Amúgy a törvény kb 100 oldal, és minden mondatában van valami lényeges.

  • Sleepy McGee
    Viszont akinek van alkalmazottja, akár csak egy is, akkor onnantól kezdve végez bérszámfejtést –> személyes adatokat kezel, és máris ellenőrizhető büntethető.
  • Tibor
    Hogy is mondjam kulturaltan, a farpofaik egyenek lohust…
  • Dani2
    Csicskák ezek, nem fognak büntetni. Mindig kitalálnak valami baromságot, amiről aztán kiderül, hogy nem is úgy van, nem is azt akarták, meg majd megbüntetik a Google-t csillió euróra, ha valami nem tetszik nekik, nem a Felsőiszapszentmotorosi Filatéliai Egyletre fognak lecsapni…
  • Kornél
    A legfontosabb egyébként, hogy május 25-ig kell a nemzeti jogrendbe beépíteni, és még nincs kész a magyar jogszabály – ami csak a választás után lesz. Addig senki nem tudja, hogy teljesen pontosan hogy ültetik át, hogyan tisztázzák a kérdéses részeket.
    Én semmit nem költenék még rá, mint egyéni vállalkozó, mert biztos lesz rá megoldás, hogy ne kelljen százezreket kifizetnem feleslegesen…
  • Andru
    Általában azért csak az online felülettel rendelkező vállalkozókat érinti, mert ott kérsz be olyan adatot, ami nem csak a kiszolgáláshoz kell. A számlaadatok nem esnek ennek a hatálya alá, mivel azt a számviteli törvény is előírja. Aki tehát csak számláz, annak nem kell.
    Ez benne is van az okosságban.

    A cookie-ra az vonatkozik (ahogy kivettem), hogy innentől nem elég OK gombot tenni, hogy elfogadod a cookie-t, hanem bele kell egyeznie, azaz pipa vagy valami. Ha nem teszi, nem tehetsz a gépére. (Persze, előtte már kell egy cookie, hogy tudd, van-e a gépén, de ez technikai kérdés, nem kikerülhető állítólag. Ehhez a részéhez nem értek egyáltalán.)