Adatkezelési kérdések a kutyakozmetikákban

Adatkezelési kérdéseket járunk körbe cikkünkben

„Micsoda hülyeség!” – mondhatja egy kutyakozmetikus, ha meghallja, milyen adatkezelési szabályokat ír elő a GDPR- rendelet az ő számára is. Dr. Sümegi Zsombor adatvédelmi szakértő (www.gdprszakerto.hu) szerint bizonyos szempontból igaza van, hiszen egy olyan bürokratikus előírásról van szó, ami minden cégre vonatkozik, de a törvény betartása kötelező. Másrészt így lehetősége is nyílik arra, hogy a kutyakozmetika megvédje magát egy dühös vendégtől vagy munkavállalótól.

Sok kutyakozmetikus azt gondolja, őt nem érintik a GDPR (General Data Protection Regulation, általános adatvédelmi rendelet) előírásai. Vegyünk egy egyszerű példát: a kutyakozmetikus beírja a noteszébe a gazdi nevét, telefonszámát és a kutya nevét. A GDPR-rendelet szempontjából ez már említésre érdemes esemény?

  • Igen. A definíció szerint személyes adat az „azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ”. Személyes adatnak számít a név, az e-mail-cím, a telefonszám – ha nyilvános adatbázisban is szerepel, hiszen ehhez a szám tulajdonosa korábban a beleegyezését adta. Azt is mérlegelni kell, mire lehet az esetlegesen kiszivárgott adatokat felhasználni, érheti-e kár a gazdit? Ha a válasz igen, akkor GDPR-szempontból említésre méltó eseményről van szó. Jelen esetben a válasz igen, hiszen ha tudják, hogy van kutyája valakinek, sőt annak „paramétereit” is ismerik, akkor ezzel az információval vissza lehet élni, elkezdhetik például hívogatni, hogy vásároljon kutyáknak szánt termékeket. Hozzá kell tenni, hogy a pontos szabályozás ezzel a területtel kapcsolatban nem egyértelmű, hiszen a kutyus adatai nem az adott személy személyes adatai, ellenben nehéz egy kutyust gazdi nélkül értelmezni. Főleg, hogy a kutyákban még chip is található, ami pedig a gazdihoz van rendelve.

A hűségprogram is érintett

Vannak egyéb helyzetek is, amikor beléphet az adatvédelmi rendelet. Például mi a helyzet akkor, ha egy kutyakozmetika hűségprogramot indít, és nyilvántartja a gazdi telefonszámát, a nevét, és mondjuk azt is, hányszor vett igénybe egy szolgáltatást? Adatvédelmi szempontból kell ezzel foglalkozni?

  • Igen, mert – követve az előbbi logikát – ha egy lehetséges adatszivárgásból bármilyen hátrány származik, akkor az a gazdit fogja érinteni. Az üzlet adatkezelési tájékoztatójában pontosan rögzíteni kell, milyen célból, milyen jogalappal, milyen adatot hogyan és meddig tárol a kutyakozmetika. Nyilvánvaló például, hogy ha elpusztul a kutya, a gazdi nem akar értesülni az akciókról. A későbbi konfliktusok megelőzésére érdemes a gazdi előzetes hozzájárulását kérni adatai tárolásához, illetve jelezni, hogy akkor kerülnek majd ki az adatai a nyilvántartásból, ha ő azt kifejezetten kéri.

Mi történik, ha a vendég nem akarja megadni az adatait?

  • Érdemes előre leszögezni, hogy aki nem adja meg az adatait, az nem veheti igénybe a szolgáltatást, hiszen a feltételeket a kutyakozmetika megszabta. Több mint száz céget auditáltunk eddig, a tapasztalatunk az, hogy mindenhol van problémás ügyfél, akinek az egész világgal baja van és akár a GDPR-t is előveszi, ha már másba nem tud kapaszkodni. Erre előre fel kell készülni. Ha ezt leírja egy kutyakozmetika, akkor ebbe nem lehet belekötni. Ha a vendég igénybe vette a szolgáltatást, akkor elfogadta az adatkezelési tájékoztatót is. A GDPR-szabályozás egyik nagy előnye, hogy bebiztosíthatja magát az üzlet, már csak ezért is érdemes foglalkozni vele.

Az adatkezelési tájékoztató biztonságot nyújt


Többször említette az adatkezelési tájékoztatót, ha jól értem, ezt mindenképpen el kell készíteni. Pontosan minek kell szerepelnie benne?

  • Korábban már említettem, hogy a tájékoztatóban pontosan rögzíteni kell, milyen célból, milyen jogalappal, milyen adatot, hogyan és meddig tárol a kutyakozmetika, kik férnek hozzá az adatokhoz. Például hírlevél kiküldése céljából, vagy azért, hogy a vendég részt vehessen egy hűségprogramban és így tovább. Fontos tudni, ha egy informatikus alvállalkozó kezeli a hírleveleinket, akkor vele egy adatfeldolgozási megállapodást kell kötni, ugyanis a kutyakozmetika kárára akár ő is visszaélhet a kezelt személyes adatokkal, vagy tőle függetlenül nála történhet adatvédelmi incidens. Van olyan adat, amit jogos érdekünkből fakadóan kezelhetünk. Például a gazdi telefonszámát, ha a kozmetikában hagyja a kutyust, hogy később érte jön. Nyilván ebben az esetben fontos, hogy elérhessük bármikor.

Ez világos, de mi a helyzet a vendég e-mail- vagy postai címével?

  • Ezeket vagy a teljes nevét a hozzájárulásával kezelhetjük csak, amennyiben nem értékesítettünk neki. Viszont amennyiben egy cég elektronikus levelezés céljából megszerzi ügyfeleitől elektronikus elérhetőségi adataikat egy termék vagy szolgáltatás értékesítése során, akkor felhasználhatja ezeket az adatokat saját hasonló termékeivel vagy szolgáltatásaival kapcsolatos közvetlen üzletszerzési célra jogos érdekéből fakadóan. Ilyen esetben az ügyfelek számára egyértelműen és kifejezetten lehetőséget kell biztosítania arra, hogy az ilyen célú felhasználás ellen díjmentesen és egyszerűen kifogással élhessenek, azaz leiratkozhassanak.

Beleegyezés és adatkezelési tájékoztató

A vendég beleegyezésnek írásbelinek kell lennie, amit egy esetleges ellenőrzés során be kell mutatni?

  • Nem. A beleegyezés szóbeli is lehet, bár ezt nehéz utólag bizonyítani. Ha azonban – az összes problémás pontot lefedő – adatkezelési tájékoztató elérhető a kutyakozmetika honlapján és az üzletben is kinyomtatva, vagy közlik az ügyféllel, hogy a kollégáknál megtalálható, akkor a hatóság elismeri, hogy a vendégnek minden lehetősége megvolt a tájékozódásra. Ebben a tájékoztatóban tudjuk őt (meg a munkavállalóinkat is) az esetleges kamerás megfigyelésről is tájékoztatni, ha vannak biztonsági kameráink. Ezt  ugyanis ezt külön előírja az Info törvény és a Személy- és vagyonvédelmi törvény.

Beszéljünk egy kicsit arról, milyen adatkezelési tájékoztatót kell elhelyezni a weboldalon?

  • A weboldal látogatójának aktívan bele kell egyeznie abba, hogy elfogadja az adatkezelési tájékoztatóban foglaltakat és hozzájárul adatai kezeléséhez – ez gyakorlatilag azt jelenti, hogy bepipálja azt a jól ismert kis négyzetet. Fontos, hogy a látogatónak kell odatennie a jelet, az nem lehet előre bepipálva.

Így lehet címlistát gyűjteni hírlevelek kiküldéséhez

Építhet egy kutyakozmetika legálisan e-mail-adatbázist?

  • Igen, de csak az adatkezelési tájékoztatóban leírtaknak megfelelő módon. Általában az érdeklődő a honlapon feliratkozik a hírlevélre úgy, hogy egy pipát helyez el a megfelelő helyre. Ott kell lennie egy linknek is, ami az adatkezelési tájékoztatóra mutat. A látogatónak pontosan kell tudnia, hogy a kutyakozmetika milyen célból gyűjti az e-mail-címeket (hírlevél kiküldése céljából), milyen jogalapon (hozzájárulás), és milyen harmadik félnek adja át esetleg. Fontos tudni, hogy ha hírlevél küldésre kértük be az adatot, akkor ingyenes sampon minta küldésére azt nem használhatjuk, hiszen az már egy másik cél. Tehát a célokat és a megfogalmazást előre jól át kell gondolni.

Hogyan tudja egy kutyakozmetika egy esetleges későbbi vitában bizonyítani, hogy a weboldal látogató odatette azt a bizonyos pipát?

  • Az informatikusnak kell megoldania, hogy ennek nyoma maradjon. Sokszor egy visszaigazoló e-mailt is kiküldenek, aminek ott van a másolata a szerveren. Ott az is látszik, hogy a látogató nem jelzett vissza, nem tiltakozott, elfogadta a szabályzatot. Itt ismétlem meg, hogy az informatikus alvállalkozónak számít (harmadik fél), akivel a kutyakozmetika megosztja az adatokat. A szabályozás szerint adatfeldolgozási megállapodást kell vele aláírni, amiben tisztázni kell, hogy a felelősség nála is van, illetve milyen elvárásoknak kell megfelelnie (ezeket a GDPR-rendelet részletezi pontosan). Így legalább az informatikus számára is nyilvánvaló lesz, hogy az adatkezelést komolyan kell vennie.

A régi címlisták problémásak

A régi címlistákat szabad használni?

  • Ebben az esetben az a kérdés, honnan van az adatbázis, és megvan-e minden egyes címzett beleegyező nyilatkozata?Valószínűleg nem, hiszen korábban erre nem volt szükség. Ha a címlistát kapták vagy vásárolták valakitől, a címlista eladója hogyan gyűjtötte a címeket? Ha nem tudja igazolni, hogy a felhasználók a beleegyezésüket adták ahhoz, hogy hírlevelet kapjanak az adott kutyakozmetikától (!), akkor a címeket nem szabad használni. Van egy olyan módszer is, ha 2018. május 25-nél korábban, értékesítés során kapták meg az adatot (előzőekben a jogos érdeknél beszéltünk róla), hogy minden régi címre kiküldenek egy e-mailt, amiben kérik a címzett hozzájárulását a további levelezéshez. Fontos, hogy egyetlen levelet szabad küldeni olyan szövegezéssel, hogy ha a címzett három napon belül nem jelez vissza, akkor törlik az adatbázisból. Semmiképpen nem szabad „zaklatni”. Mi általában azt javasoljuk, hogy érdemes inkább újraépíteni egy „szabályos” adatbázist.

Igaz-e az, hogy adatbázis építésére fel lehet használni az info@cegnev.hu jellegű e-mail-címeket?

  • Igen, hiszen a GDPR rendelet a magánszemélyek adatait védi, nem a cégekét. Azonban ha az emailcím már tartalmaz nevet, vezetéknéz.keresztnév@cégnév.hu , akkor az már személyes adatot tartalmaz, tehát vonatkozik rá a GDPR.

A figyelmeztetés megelőzi a büntetést

Mi történik, ha jön egy ellenőrzést, és a hatóság nem talál mindent rendben?

  • Nem elsődleges cél a büntetés. Az az elvárás, hogy minden cég a saját anyagi és technikai lehetőségeihez mérten tegyen meg mindent a szabályok betartásáért. Nem ugyanazt várják el egy kutyakozmetikától, mint egy multitól. A kutyakozmetikában is meg kell, hogy legyen az a dokumentumcsomag, aminek része az adatkezelési tájékoztató és az Info törvény által elvárt mellékletei (nyilvántartások, egyéb szabályzatok) és az adatfeldolgozási megállapodás az informatikussal. Szerencsére ezt viszonylag egyszerű összeállítani. Lehet erre azt mondani, hogy egy bürokratikus hülyeség, de egyrészt kötelező, másrészt megvédi az üzletet egy vitában. Másrészt gondoljunk csak arra, hogy a kutyakozmetikában még háborgok a GDPR-szabályok miatt, de amikor kilépek az utcára, magánszemélyként már örülök annak, hogy ugyanezek a szabályok engem is megvédenek. Dolgozni sem lehetne, ha folyamatosan hívogatnának minket.

Büntet a hatóság a GDPR-szabályok be nem tartása miatt?

  • Első körben általában nem. Azt vizsgálják, mennyire súlyos, szándékos volt a jogsértés, és mekkora kár keletkezett. Egy kutyakozmetikánál ez a kár nem lehet túlságosan nagy, és a hatóság általában csak felszólítja a tulajdonost a hiányok pótlására. Ha viszont nagy gondatlanságot tapasztal – esetleg nem is első alkalommal –, akár szándékos vagy nemtörődöm viselkedést, például azt látja, hogy az érzékeny adatokat tartalmazó papírlapok szét vannak szórva, akkor kiszabhat akár 100-300 ezer forintos büntetést vagy többet is. Elvileg a vállalkozás árbevételének 4 százalékáig terjedhet a büntetés mértéke. Azt tudni kell, hogy a hatóság általában bejelentések révén indít vizsgálatot, amit meg lehet előzni azzal, hogy a sértett fél kérését teljesítjük, például töröljük a címlistáról, és nem küldünk neki több levelet.

Fotó: Freepik.com

Oszd meg barátaiddal is, ha tetszett a cikk:
  •  
  •   
  •  

Legutóbbi bejegyzések

Szólj hozzá