Az év elején nagy port kavart az a hír, miszerint az egyik adatbázis építéssel foglalkozó céget a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság), jogtalan adatkezelés miatt 10.000.000 Ft-os bírsággal büntetett.
Ennek az ügynek az apropóján a Direkt és Interaktív Marketing Szövetség és a NAIH szervezett tájékoztatást, amin természetesen mi is részt vettünk.
A tájékoztatón hallottakat összefoglaltuk, hogy mire kell figyelned a jövőben, ha adatkezeléssel, adatfeldolgozással foglalkozol, és szeretnéd elkerülni a 10 milliós bírságokat.
Alacsonyan szállnak a 10 milliós bírságok
Igen, jól hallottad, 10.000.000 bírság. A NAIH ugyanis nem csak az ellenőrzések terén keményített be, és lesznek egyre gyakoribbak, hanem a bírságok mértékében is. A bírságok 100.000 Ft-tól egészen 10 millió Ft-ig terjedhetnek!
Ezt a 10 milliós bírságot azonban nem csak egyszer szabhatja ki a hatóság, hanem pl. akár annyi alkalommal is, ahány alkalommal egy kampány során a nem megfelelően kezelt adatbázisra küldtél ki eDM-et, hírlevelet.
Vagyis ez azt jelenti, hogy ha van egy helytelenül kezelt adatbázisod, amire mondjuk, úgy küldesz hírlevelet, hogy előtte a feliratkozóknak nem jelzed egyértelműen, hogy kinek, mikor, milyen céllal gyűjtöd a feliratkozókat, akkor ahányszor erre az adatbázisra küldesz ki hírlevelet, annyiszor szoroz a hatóság, azaz nem csak 10 milliós lesz az a bírság.
Adatvédelmi nyilatkozat
Nem csak erre hívta fel a figyelmet a hatóság részéről dr. Keszey Gábor, hanem arra is, hogy sokszor találkoznak azzal a jelenséggel, hogy a különböző feliratkozási formoknál nem alkalmaznak adatvédelmi nyilatkozatot, pedig ezt is kötelező lenne feltüntetni, külön chekbox-xal, amit a feliratkozónak ki kell pipálnia, azaz el kell fogadnia és hozzá kell járulnia az adatai felhasználásához. Az ma már nem elegendő, ha a weboldalon ki van írva valahol az adatvédelmi nyilatkozat, azt jóvá is kell hagynia a feliratkozónak, ezért van szükség a chekboxra.
Ha 19 résztvevő, akkor 19 chekbox
További rossz hír, hogy ha több fél részére építesz adatbázist, akkor annyi chekbox és adatvédelmi nyilatkozat kell a form mellé, ahány partnered részt vesz az adatbázis építésben. Tehát pl., ha egy nyeremény játék során építesz adatbázist, amit több résztvevő szervez, és az adatokat az összes résztvevő megkapja, további marketing célú felhasználásra, akkor annyi adatvédelmi nyilatkozatot és annyi chekbox-ot kell külön feltüntetni a regisztráció során, ahány szervező van. Ha 19-en kapják meg később az adatbázist, akkor 19 chekbox kell a form mellé. Szép lesz. És ösztönző.
NAIH lajstromszám
Azt remélhetőleg mindenki tudja, hogy ha bármilyen adatgyűjtésbe kezd, akkor a NAIH-tól ún. adatvédelmi lajstromszámot kell kérni, hogy hivatalos és engedélyezett legyen az adatok gyűjtése, felhasználása. Sokszor ennél a pontnál hasalnak el a vizsgált ügyfelek, ugyanis még mindig gyakran találkoznak azzal a jelenséggel, hogy adatvédelmi nyilatkozat ugyan van, de lajstrom szám nincs, azaz nem szerepel az adatgyűjtő az Adatvédelmi nyilvántartásban, márpedig ez kötelező. Ennek hiányát is bünteti a NAIH. (Akinek nincs NAIH lajstrom száma nagyon gyorsan itt kezdje el igényelni: http://www.naih.hu/bejelentkezes.html)
Adatfeldolgozó vs. Adatkezelő
Ugyancsak a lajstrom számmal összefüggő probléma, hogy a lajstromszámot igénylő felek nem tudnak, vagy hibásan tesznek különbséget adatkezelő és adatfeldolgozó között, és ennek megfelelően kérnek lajstromszámot a hatóságtól. Azonban a két szereplő szerepköre, adatkezelő vagy adatfeldolgozó, eltér egymástól.
A 2011. évi CXII. törvény azaz Info törvény szerint adatkezelő „az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja.”
Adatfeldolgozó pedig „az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján - beleértve a jogszabály rendelkezése alapján kötött szerződést is - adatok feldolgozását végzi.”
Elektornikus hírleveleket külön érinti
A hatóság munkatársa egy olyan apróságra is felhívta a figyelmünket, ami az elektronikus hírleveleket is közvetlenül érinti. Jó tanácsként említette, hogy a jövőben ajánlatos lesz feltüntetni a hírlevelekben azt is, hogy a címzett, honnan iratkozott fel a hírlevélre.
Továbbá azt is elmondta, hogy a leiratkozásra ugyanúgy, ahogy eddig, kötelező lehetőséget adni a hírlevelekben, a lehető legegyszerűbb módon.
Ha végig veszed ezeket a vizsgálati szempontokat, akkor rájöhettél, hogy ezek mind olyan apróságok, amiket ha Te is megvizsgálsz a honlapodon, vagy a hírleveleidben, akkor könnyű szerrel tudod őket orvosolni, így elkerülheted a 10 milliós bírságot.
UPDATE: Az adatvédelmi bírásg 2015. október 1-től nem 10, hanem 20 millió forint!
Ha úgy érzed másnak is hasznos lehet a bejegyzés, ne resteld megosztani!