E-mail marketing szoftver

A cikksorozat előző részei: 1. rész, 2. rész, 3. rész

Ahogy a cikksorozat előző részében említettük, abban az esetben, amennyiben jogszerűek szeretnénk lenni és el kívánjuk kerülni az esetleges szankciókat, néhány alapelvnek okvetlenül eleget kell tenni: 

1. célhoz kötöttség elve
2. az adatkezelés jogalapja
3. egyértelmű, részletes tájékoztatás
4. adatvédelmi nyilvántartás

Cikksorozatunk előző számában az adatvédelmi nyilvántartással kezdtünk el foglalkozni. 

Az adatvédelmi nyilvántartásba kerülő adatkezelők az adatkezelés jogszerűsége szempontjából sajnos nem kerülnek vizsgálat alá, azaz a nyilvántartásba vétel nem tanúsítja az adatkezelés jogszerűségét. A törvény kilenc pontban sorolja fel azokat az adatkezeléseket, amelyek a nyilvántartással nem érintettek. A nyilvántartásba nagyon egyszerű módon, az adatkezelő Hatóságnál való kérelmezésre lehet bekerülni. 

Az adatvédelmi nyilvántartásba vétel díjköteles (a díjrendelet még nem jelent meg, ezért egyelőre gyakorlatilag még ingyenes). Nem szabad figyelmen kívül hagyni, csak akkor kezdődhet meg az adatkezelés, ha megtörtént a nyilvántartásba vétel! Minden egyes eltérő célú adatkezelést külön be kell jelenteni még abban az esetben is, ha a kezelt adatok köre azonos! Az ügymenet meggyorsítása érdekében a bejelentés során minden megkívánt adatot érdemes gondosan feltüntetni, mert így a Hatóság az adatkezelést, a bejelentés érdemi vizsgálata nélkül 8 illetve egyes adatkezelőknél 40 napon belül nyilvántartásba veszi. Nagyon hasznos információ lehet, abban az esetben, ha a Hatóság elmulasztja a határidőt, az adatkezelés nyugodtan megkezdhető.

Adatfeldolgozás

Nem győzzük hangsúlyozni, az adatkezelés attól válik jogszerűvé, ha az érintett személy hozzájárul az adatainak a kezeléséhez vagy az adatkezelőt törvény hatalmazza fel az adatkezelésre.  A gyakorlatban azonban elég sűrűn előjönnek olyan esetek, amikor az adatok kezelése során bizonyos technikai műveletek megkívánják a kiszervezést, azaz az adatok átadását. 

Kiváló példa erre a számlázás. Amennyiben egy szolgáltató havonta egyszer százezres nagyságrendben kell, hogy számlát nyomtasson az ügyfelei részére, érthető, ha ezt a tevékenységet kiszervezi, mivel nem túl gazdaságos havi egy számlázás kedvéért 3%-os kihasználtsággal nagyteljesítményű nyomdagépet, borítékoló gépet illetve az ezeket kezelő személyzetet fenntartani. 

A legkézenfekvőbb megoldás az, ha ezt a feladatot egy nyomda látja el, melynek át kell adni a feladat elvégzéséhez szükséges adatokat, azaz az adatkezelés adatait. Sok galibát okozna, ha az érintett személyektől a szolgáltató ahhoz kérne hozzájárulást, hogy egy nyomda csekket küldjön a részükre. Sokan nem is igazán értenék a dolgot.  Ebben az esetben áthidaló megoldásként szerencsére nem szükséges az érintett személyek hozzájárulását kérni, elegendő az adatfeldolgozó megjelölése az adatkezelési tájékoztatóban.      

Az adatkezeléssel kapcsolatos cikksorozatunk szakmai hátterét a Privacy Policy Online Services biztosítja.

A Protopmail teljes körű, professzionális e-mail marketing rendszer közép- és  nagyvállalatok számára-Keressen velünk pénzt!

A cikksorozat előző részei: 1. rész, 2. rész

Ahogy a cikksorozat előző részében említettük, abban az esetben, amennyiben jogszerűek szeretnénk lenni és el kívánjuk kerülni az esetleges szankciókat, néhány alapelvnek okvetlenül eleget kell tenni: 

1. célhoz kötöttség elve
2. az adatkezelés jogalapja
3. egyértelmű, részletes tájékoztatás
4. adatvédelmi nyilvántartás

Ahogy az előző cikkünkben jeleztük a 3. ponttal, azaz az egyértelmű, részletes tájékoztatással fogjuk folytatni.

3. Egyértelmű, részletes tájékoztatás

Logikusan ahhoz lehet hozzájárulást adni, amiről teljes ismerettel/tájékoztatással rendelkezik az ember. Ennek értelmében az adatkezeléshez való hozzájárulás csak akkor lesz érvényes, ha megfelelő, részletes, az adatkezelés minden részletére kiterjedő tájékoztatáson alapszik. Minden esetben még természetesen az adatkezelés megkezdése előtt tájékoztatni kell az érintettet arról, hogy az adott adatgyűjtés önkéntes hozzájáruláson vagy jogszabály által elrendelt kötelező adatkezelésen alapszik-e. Az adatkezelésre vonatkozó tájékoztatásból nem maradhat el mind az adatkezelő mind pedig az adatfeldolgozó beazonosítható megjelölése, egyértelműen tudatni kell az adatkezelés célját vagy céljait, jogalapját. A jogalap kapcsán, ahogy már többször is említést tettünk róla, meg kell jelölni, hogy önkéntes vagy jogszabályi alapon történik-e az adatkezelés.

Amennyiben jogszabály alapján történő adatkezelésről van szó, akkor a jogszabályhelyeket pontosan meg kell jelölni. Egyértelmű felvilágosítást kell adni az adatkezelés időtartamáról és az esetleges adattovábbítás címzettjeiről. Tudatni kell az érintett jogait (tájékoztatás, helyesbítés, törlés, tiltakozás) és a jogorvoslati lehetőségeit (az adatvédelmi hatóság és a bíróság eljárásai). Sokan elkövetik azt a hibát, hogy további adatkezelésre használják az adatokat engedély nélkül. Tehát, ha érintett személy hozzájárul az adatainak a kezeléséhez, mindez automatikusan nem vonja maga után a további adatkezelést. Amennyiben az érintett személy adatait további célokra szeretnénk felhasználni, természetesen ezzel kapcsolatosan is még az újabb adatkezelés megkezdése előtt újabb tájékoztatást kell adni.

4.  Adatvédelmi nyilvántartás

Az új adatvédelmi törvény megváltozott formában, de megtartja az adatvédelmi nyilvántartás intézményét. A nyilvántartásnak az a célja, hogy a polgárok tájékozódhassanak arról, mely adatkezelő milyen adatkezelést végez. Sokan úgy vélik, ebbe a nyilvántartásba csak olyan adatkezelők kerülhetnek, melyeknek az adatkezelése jogszerű. A nyilvántartásba kerülő adatkezelőket ilyen módon nem vizsgálják, azaz a nyilvántartásba vétel nem tanúsítja az adatkezelés jogszerűségét.

A nyilvántartás egyszerű módon a Hatóság honlapján érhető el. A törvény kilenc pontban sorolja fel azokat az adatkezeléseket, amelyek a nyilvántartással nem érintettek. Az adatvédelmi nyilvántartásba az adatkezelő Hatóságnál való kérelmezésére lehet bekerülni. Fontos, csak akkor kezdődhet meg az adatkezelés, ha megtörtént a nyilvántartásba vétel.  

Az adatkezeléssel kapcsolatos cikksorozatunk szakmai hátterét a Privacy Policy Online Services biztosítja.

A Protopmail teljes körű, professzionális e-mail marketing rendszer közép- és  nagyvállalatok számára-Keressen velünk pénzt!

A cikksorozat előző részében írtuk, hogy amennyiben jogszerűek szeretnénk lenni és el kívánjuk kerülni az esetleges szankciókat, az alábbi alapelveknek mindenképpen eleget kell tennünk:

1. Célhoz kötöttség elve
2. Az adatkezelés jogalapja
3. Egyértelmű, részletes tájékoztatás
4. Adatvédelmi nyilvántartás

Ígéretünkhöz híven az adatkezelés jogalapjával folytatjuk, előtte azonban nem szeretnénk átsiklani egy fontos elem felett; ez pedig az adatkezelés időtartama. Sokak számára meglepő lehet, hogy a korlátlan ideig történő adatkezelés tilos. Ha belegondolunk a korlátlan ideig történő adatkezelésnek nincs is értelme leginkább azért, mert sok adat, akár a név is - elsősorban hölgyek esetében - változhat.

Bizonyos adatok esetében törvény határozza meg a határidőt, pl. a számviteli bizonylatok kapcsán 8 évet. Amennyiben nincs ilyen jogszabály, akkor magának az adatkezelőnek kell mindezt meghatároznia és elsősorban érdemes a praktikumot figyelembe venne. Még az adatkezelés megkezdése előtt meg kell határozni egy határidőt, melynek eltelte után az adatokat törölni fogjuk.

Egy jó példa erre az állásportálok adatkezelése. Ha az álláskereső már fél éve nem lépett be a rendszerbe, akkor vélhetően már sikerült elhelyezkednie, azaz az álláskeresési szándéka nem aktuális így egyik félnek sem érdeke, hogy az adatait tovább kezelje; így egy előzetes értesítés után az adatokat törölni kell.

2. Az adatkezelés jogalapja

A főszabály szerint az adatok kezelésének két jogalapja lehet: 
a) Az érintett hozzájárulása
b) Jogszabályi felhatalmazás
+ a meglévő két jogalap mellett a törvény – uniós harmonizációs kötelezettségeinek eleget téve-  garanciális szabályok mellett lehetőséget biztosít arra, hogy az adatkezelő törvényi felhatalmazás és az érintett hozzájárulása hiányában is kezeljen személyes adatokat.

Az első jogalap elég egyértelmű, az érintett személy önkéntesen (!), megfelelő tájékoztatást követően, határozottan és félreérthetetlenül (!) hozzájárul a személyes adatainak a kezeléséhez. Maga a hozzájárulás megadható szóban, írásban, ráutaló magatartással, de ebben az esetben a hallgatás nem tekinthető beleegyezésnek! Különleges adat kezelése esetében kizárólag írásban lehet az adatkezeléshez hozzájárulni. 

Külön szeretnénk felhívni a figyelmet a valóban részletes és megfelelő tájékoztatás szükségességére, mivel ennek hiányában az adatkezelés jogellenes lesz. Törvény illetve önkormányzati rendelet közérdekből elrendelheti az adatok kezelését, azaz a kötelező adatkezelést. Ebben a kivételes esetben akár az érintett kívánsága ellenére is kezelhetők a személyes adatai. Az adatkezelés feltételeit a jogszabály határozza meg.

A törvény értelmében a 16. életévét betöltött kiskorú elég érett ahhoz, hogy személyes adatai felett maga is rendelkezhessen szülői beleegyezés vagy utólagos jóváhagyás nélkül.

Van két könnyítő tényező a törvény értelmében. 

1. Amennyiben az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalanul nagy költséggel jár, továbbá a személyes adat kezelése
a) az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy
b) az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll nem szükséges az érintett személy hozzájárulása. 

2. Amennyiben a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában
a) a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy
b) az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.

Tehát speciális esetben, az adatkezelő a jogi kötelezettségének teljesítése érdekében vagy egy harmadik személy jogos érdekének érvényesítése érdekében az érintett személy hozzájárulása nélkül, sőt akár az eredeti hozzájárulás visszavonását követően is kezelheti a személyes adatokat a anélkül, hogy erre törvény külön felhatalmazná, vagy az érintett ehhez hozzájárult volna. Ez csak akkor történhet meg, ha az új adatkezelés az érintett által korábban, a hozzájárulásával felvett adatokra vonatkozik, vagy pedig a hozzájárulás beszerzése lehetetlen, továbbá ha a hozzájárulás beszerzése aránytalan költséggel járna.

Cikksorozatunk következő részében az egyértelmű részletes tájékoztatással fogunk foglalkozni. 

Az adatkezeléssel kapcsolatos cikksorozatunk szakmai hátterét a Privacy Policy Online Services biztosítja.

A Protopmail teljes körű, professzionális e-mail marketing rendszer közép- és  nagyvállalatok számára-Keressen velünk pénzt!

Cikksorozatunk ezzel a törvénnyel foglalkozik, melynek ismerete kulcsfontosságú lehet.

Az adatvédelmi törvényt mindenkinek alkalmaznia kell, aki Magyarországon személyes adatokat kezel, teljesen mindegy, hogy milyen technológiáról vagy mekkora adatbázisról van szó. Ebből eredően vitathatatlan, hogy bizony akár az egyszemélyes vállalkozásra is vonatkozik, ahol akár egy sima Excel táblázatban találhatóak meg az ügyfelek személyes adatai.  

Célszerű a kályhánál kezdeni, azaz tisztázni, pontosan mit nevezhetünk személyes adatnak:

Személyes adat az Ügyfél vagy munkavállaló neve, címe, a születési adatok, igazolvány szám, végzettségre és képességekre vonatkozó információk, TAJ szám, adóazonosító jel, magán telefonszám, magán e-mail cím, arckép, hang, kézjegy. Összességében azok az információk, ismeretek, adatok tartoznak ide, amely egy konkrét, élő természetes személlyel közvetlenül vagy akár közvetve kapcsolatba hozható, beazonosítható, valamint az adatból levonható, az érintett személyre vonatkozó következtetés.

Amikor egy adat beazonosíthatóvá tesz egy konkrét személyt, azaz személyes adattá válik, akkor értelemszerűen személyes adatként kell kezelni.  Ilyen például az IP cím, mely közvetetten is, de beazonosíthatóvá teszi a felhasználót.   

Amennyiben jogszerűek szeretnénk lenni és el kívánjuk kerülni az esetleges szankciókat, néhány alapelvnek okvetlenül eleget kell tenni:  

1. Célhoz kötöttség elve
2. Az adatkezelés jogalapja
3. Egyértelmű, részletes tájékoztatás
4. Adatvédelmi nyilvántartás

1. Célhoz kötöttség elve

Személyes adatokat kizárólag előre meghatározott célból lehet kezelni, valamely jog gyakorlása vagy kötelezettség teljesítése érdekében; azaz indokolatlanul nem. Jó példa erre egy webáruház, mely a megrendelések kezelésére, teljesítésére, azaz a számlázás, postázás céljából kezeli a személyes adatokat. Csak olyan adatokat lehet „begyűjteni”, melynek oka illetve funkciója van; azaz az adatkezelés céljának megvalósulásához elengedhetetlenül szükséges legszűkebb, még indokolható mértékben meghatározásra kerülő adatfajtákat lehet kezelni. 

Egy példa erre: Adott egy rendezvény és a résztvevők között nyereményeket szeretnének kisorsolni, mely kétféle módon valósulhat meg; az egyik esetben a játékosok nevét és címét tartalmazó részvételi lapokat sorsolják ki, és a nyertes nevét bemondják, míg a másik esetben sorszámozott tombolaszelvényeket osztanak ki a résztvevők között, és a kihúzott sorszámmal megegyező tombola birtokosa nyer. 

Mivel a másodikként leírt eljárás is tökéletesen alkalmas az adott cél elérésére, az elsőként vázolt eset nem lesz jogszerű, mivel ott feleslegesen kezelik a játékosok adatait. Személyes adat csak a cél megvalósulásához szükséges mértékben kezelhető.  

Ha postai úton kívánunk kommunikálni az Ügyfeleinkkel, akkor indokolható a postacímek kezelése, ha az Ügyfeleinknek születésnap alkalmából gratulációt szeretnénk küldeni, akkor indokolatlan a teljes születési dátum kezelése, elegendő a hónap és nap ismerete. Azonban, ha korcsoport szerint más és más köszöntést küldenénk, máris indokolttá válik a születés évének a kezelése. 

Következő bejegyzésünkben az adatkezelés jogalapjával fogjuk folytatni.

Az adatkezeléssel kapcsolatos cikksorozatunk szakmai hátterét a Privacy Policy Online Services biztosítja.

A Protopmail teljes körű, professzionális e-mail marketing rendszer közép- és  nagyvállalatok számára-Keressen velünk pénzt!