A bevezetése előtt egy héttel sok információ és tévhit keringett azzal kapcsolatban, mi is az a GDPR megfelelés. A világ jogászai és webfejlesztői hasonlóan sok bizonytalansággal találták szembe magukat, amikor értelmezni próbálták a rendeletet, és kitalálni, hogy a hatóságok miként fogják értelmezni azt, amikor törvényi végrehajtásra kerül sor.

Másfél évvel az élesedés után, és néhány NAIH-eljárással később már sokkal tisztábban látunk.

A világ weboldalainak a 30%-át WordPress hajtja, ezért vegyük át most, hogy mi kell a GDPR megfelelés eléréséhez egy weboldal létrehozásakor, vagy ha már van ilyen weboldalunk, mit kell megvizsgálnunk rajta.

Figyelem: ez a cikk nem jogi tanácsadás. Az alább leírt szempontok és javaslatok a webfejlesztők és marketingesek (és persze jogászok) közös tapasztalatain alapulnak, figyelembe véve a különböző országbéli adatvédelmi hatóságok álláspontjait. A törvényi megfeleléshez minden esetben kérje ki jogi szakértő javaslatát.

Nem csupán azokat az alapvetéseket kell biztosítanunk, hogy legyen Adatvédelmi tájékoztató / szabályzat, a feliratkozást a feliratkozó kifejezett szándéka okozhassa (mi ne tudjuk őt feliratkoztatni), hogy külön kérdésben tegyük fel, hajlandó-e marketing e-mailek fogadására tőlünk, illetve legyen leiratkozási lehetősége.

Az is nyilvánvaló elvárás a GDPR megfelelés biztosításához, hogy átlátható legyen a weboldal adatkezelése, azaz milyen adatokat gyűjt, hol vannak ezek tárolva és feldolgozva, és legyen lehetősége a felhasználónak elkérnie a tárolt adatait záros határidőn belül. Kérhesse a felhasználó az adatai törlését, és az legyen is végrehajtva, illetve a továbbiakban ne is legyenek azok gyűjtve. Amennyiben adatszegés (data breach) történik, azaz feltételezhetően idegen kezekbe is kerülhetett személyes adat; erről 72 órán belül értesíteni kell a felhasználókat.

Lépjünk is túl a nyilvánvaló feltételeken, hiszen ezeket már szinte mindenki ismeri, akinek személyes adatok kezelésével akad dolga vagy akár van ilyen weboldala is.

A GDPR megfelelés az alábbi nem nyilvánvaló technikai feltételeket kívánja:

Amennyiben vannak nem GDPR megfelelő weboldal modulok, el kell azokat távolítani és / vagy megfelelőekkel kell helyettesíteni. A fejlesztők folyamatosan dolgoztak azon, hogy a moduljaik GDPR megfelelés szempontjából rendben legyenek; magam is többel kapcsolatban álltam ez ügyben.

Példák a nem GDPR megfelelés eseteire:

Weboldal látogatói statisztikai modulok – ezek egy része távoli (saját) szerverre küldi a látogatói adatokat, és ott összesíti, majd jeleníti meg.

Avatar-megjelenítő közösségi modulok – ezek a regisztrált felhasználók adatait távoli (saját) szerveren tárolják.

Spam-szűrő modulok, amik minden hozzászólás felhasználói adatait a saját adatbázisukkal hasonlítják össze.

Biztonsági mentő modulok, amik a teljes biztonsági mentéssel együtt a felhasználói adatbázist is elviszik egy saját szerverre.

Weboldal-gyorsító modulok, amik a felhasználó-közeli szerverektől töltik le a weboldal elemeit, és így működésük GDPR-szempontból megkérdőjelezhető.

Közösségi hálózati megosztó modulok, amik pl. egy cikk megosztását segítik, viszont a cikk olvasásakor már rég letöltötték a felhasználó személyes adatait a közösségi hálózatról (pl. Facebook-ról).

Kapcsolati űrlapok, amik nem kérik a feliratkozó egyértelmű beleegyezését, nem fogadtatják el velük az Adatvédelmi szabályzatot, és nem biztosítják a dupla-feliratkozást, amikor csak egy visszaigazoló e-mailben kattintott link hatására történik meg a feliratkozás (az űrlap segítségével mi nem tudjuk őt feliratkoztatni). Nem figyelnek arra, hogy csak az e-mail cím lehet kötelező mező a feliratkozó / érdeklődő űrlapon.

Weboldal statisztikai modulok, mint pl. a Google Analytics nem gyűjthetik a weboldal látogatók IP címét.

Látható, hogy nagyon sok olyan adatszegés valósulhat meg, amiről sokan még nem is tudnak. A világ webfejlesztői közössége folyamatosan tárja fel és publikálja ezeket, ahogy a rendelet szövege egyre inkább gyakorlati értelmet nyer. Remélem, tudtam segíteni néhányat ezek közül megvilágítani.

Folyamatosan figyelem, és dolgozom fel az újonnan felmerülő potenciális adatszegési eseteket, hogy új, GDPR megfelelés szempontú  weboldal készítésénél már ezeket figyelembe véve tervezzek és valósítsak meg, de szívesen segítek már meglévő weboldalak átnézésében és kijavításában is.

Új weboldalak készítésénél legalább az alábbiak szerint gondoskodjon a GDPR-megfelelőségről: