GDPR és a webes szolgáltatók előkészületei

GDPR az Európai Unió által 2016-ban elfogadott rendelet, amely az adatvédelemmel kapcsolatos és 2018. május 25-én fog életbe lépni. Ez a rendelet minden vállalkozás számára, akik személyes adatok nyilvántartásával foglalkoznak, fontos lesz. Ha nem tartják be az adatvédelemmel kapcsolatos új elvárásokat, nagyon magas, akár 20 millió eurós bírságot is kiszabhatnak rájuk.

Nézzünk meg, hogyan reagáltak eddig erre a webes területen szolgáltató cégek!

Nagyon sok előkészület látott már napvilágot a Google, Hotjar és Mouseflow már különösen elöl jár ebben a folyamatban. Készülnek arra, hogy a GDPR hatálybalépésekor már az új elvárásoknak megfelelően legyen az adatvédelem kialakítva náluk.

GDPR és Hotjar

Hazánkban is nagyon sokan használják a Hotjar szolgáltatásait a weboldaluk monitoringozására. Nagyon hasznos információkat nyerhetünk ezzel a szoftverrel arról, hogy a felhasználók mikor mit csinálnak a weboldalunkon. Ezeket az információkat később az online marketing megvalósítása során is fel tudjuk használni.

A Hotjar főleg a felhasználói szempontjából közelítette meg az adatvédelmi rendeletben elvártakat és pontokba szedte ezzel kapcsolatosan, hogy milyen feladatok várnak rá az elkövetkezendő időszakban. Az oldalt folyamatosan frissítik, így látható a kitűzött lépésekkel kapcsolatban,  jelenleg hogyan állnak.

Négy részre szedték a GDPR-el kapcsolatos lépéseket, elvárásokat: 

• Mit tesz a Hotjar a GDPR-el kapcsolatosan?
• Milyen változtatásokat kell a Hotjarnak tenni a GDPR-el kapcsolatban?
• Mit kell tenni a Hotjar ügyfeleinek?
• Ha valaki még nem tudna a GDPR-ről, akkor bővebb információt adnak erről

Hotjar 2017 júniusában kezdett foglalkozni azzal, hogy megfeleljen az új adatvédelmi rendelet általi követelményeknek.  Jelenleg is tesz azért, hogy az ügyfeleinek a legnagyobb biztonságot tudja nyújtani adatvédelem területén, illetve minden szempontból meg szeretne felelni a nemzetközi jogszabályoknak is.

A pontos lépések a következők voltak eddig ezzel kapcsolatban:

• Termékük átvizsgálása GDPR szempontok alapján –  Készen van
• Adatvédelmi biztos kijelölése  – Készen van
• Adatvédelmi szerződésük átvizsgálása GDPR szempontok alapján – Készen van
• Stratégia és követelmény rendszer kidolgozása a termékük GDPR általi megfelelésre – Készen van
• A feltárt változtatási igények elvégzése a termékükön, szolgáltatásukban  – Folyamatban
• Belső folyamatok  és eljárások megváltoztatása a GDPR-nek megfelelően  – Folyamatban
• Véglegesítés és teljeskörű tájékoztatás   – Időpontja meghatározás alatt

Milyen belső változtatásokat hajt végre a Hotja a GDPR miatt ?

Elemzési eszközeiken belül javítják az anonimitást. Változtatást hajtanak végre azért, hogy testreszabható legyen, hogyan kéri a visszajelzést a jóváhagyással járó folyamatok esetében a felhasználó. Olyan egyedi felület kidolgozásán is tevékenykednek, amivel az ügyfeleiknek lehetőségük lesz arra, hogy saját fiókjukban tárolt személyes adatokkal kapcsolatos kérdéseket is fel tudjanak tenni.

Mit kell tenni az ügyfélnek?

Két dolgot kell tennie minden ügyfélnek.  Győződjön meg arról, hogy weboldalán a Hotjar ÁSZF-jében leírt módon kommunikálnak a felhasználókkal. Ezzel kapcsolatban az javasolják, hogy mindig legyen naprakész ezzel kapcsolatban az ügyfél, vagyis olvassa el az ASZF-et.

Ha az Európai Unió területén tevékenykedik a felhasználó, akkor alá kell írni az adatvédelmi megállapodást az Hotjar-al, amit német és máltai szakemberekkel együtt dolgoztak ki az adatvédelmi rendelet alapján.  Itt érhető el az ezzel kapcsolatos dokumentum, amit aláírva kell visszaküldeni a megadott e-mail címre két munkanapon belül.

Az utolsó, amit fontosnak tartanak a tájékoztatás, ahol egy rövid, de nagyon hasznos tájékoztatás található a GDPR-el kapcsolatban.

GDPR és Mouseflow

A Mouseflow is hasonló szolgáltatással foglalkozik, mint a Hotjar. A Mouseflow a következő lépéseket tette annak érdekében, hogy megfeleljen a GDPR általi előírásoknak:

• Adatvédelmi megállapodást készítettek, amit már most kérni lehet tőlük.
• Ezentúl minden adatot HTTPS protokollon keresztül fognak forgalmazni
• Soha sem küldenek adatot a rögzítési adatközponton kívülre. HA egy adatot az Egyesült Államokban rögzítenek akkor azt onnan nem küldik tovább. Ez igaz az Európai Unióban (Európai adatközpontban)  rögzített adatokra is.
• Biztosítják az adatinformációk kikapcsolási lehetőségét.
• Németországi felhasználók esetében letiltják a billentyűleütési funkciók követési funkcióit, többi ország esetében ezt lehetővé teszik.
• Minden fiók esetében olyan szolgáltatást nyújtanak, aminek segítségével a HTML tartalom cseréjéhez/kizárásához végre lehet hajtani
• Német felhasználók esetében az IP cím utolsó négy számjegyét automatikusan eltávolítják az anonimitás megőrzése érdekében
• Szintén német felhasználók esetében letiltják minden űrlap esetében a nyomkövetési adatok nyomon követésétőségét
• Platform behatolási rutin tesztet hajtanak végre ezzel kapcsolatban
• Képzést nyújtanak a munkatársaiknak, hogy biztonság és magánélet témakörben

2018. május 25 előtt a MouseFlow a következőkkel el fog készülni:

• Nyugalmi állapotban tiltásra kerül a HTML és DOM mutációs adatok
• Do Not Track  beállítás a böngészőkben
• Magánélettől független vitarendezési folyamat kialakítása
• USA-val tanúsítják az EU-USA adatvédelmi pajzsnak történő megfelelést
• Minden fiókban megakadályozzák az EU vagy EGT államok adatainak nyomkövetését
• Olyan eszközt fognak kifejleszteni, amely segítségével a lehetővé válik a nyomonkövetett űrlapok engedélyezése
• Engedélyezik az űrlapba felvett adatok maszkolását
• Német fiókok esetében megakadályozzák az IP cím utolsó négy számjegyének a megjelenését.
• Egy kérdést adnak hozzá a visszajelzési eszközükhöz annak érdekében, hogy engedélyt kapjanak a kapcsolattartási adatok hozzáféréséhez

Mit kell a felhasználónak tennie a Mousflow további használatához annak érdekében, hogy GDPR elvárásainak megfeleljen?

• Ellenőrizze, hogy weboldalán a személyes adatok nem követhetőek
• Ha mégis vannak olyan személyes adatok, amelyek következőre javasolják a kizárási mechanizmusok alkalmazását a weboldalon
• IP címek anonimizálása, és utolsó számjegyeinek levágása
• Tesztfelvétel készítése azért, hogy biztosak legyenek a használók abban, hogy minden kizárás megfelelő módon működik
• Helyi törvények és szabályok figyelembe vétele az adatok követhetőségével kapcsolatban
• Ha kérelmet kap bármilyen javításra a felhasználó, akkor az 48 óra alatt tegye meg a módosítást és  küldjön értesítést a megadott e-mail címre
• Bármilyen kérés, kérdésre 10 napon belül válaszolnak a Mousflow munkatársai

Eddig két nagy monitoringozással foglalkozó szolgálató lépéseit tekintettük át a GDPR-el kapcsolatban. De mégis mi a helyzet a mindenki által használ Google-val? Ők milyen lépéseket tesznek annak érdekében, hogy megfeleljenek a GDPR által támasztott követelményeknek? A Google jelenleg milyen  fázisban tart az ezzel kapcsolatos fejlesztésekben? Ezekre a kérdésekre is nézzük meg a válaszokat:

GDPR és a Google

A GDPR az Unió általános adatvédelmi rendelete a legjelentősebb változása előtt áll, írja a Google. A jelenlegi rendeletet, amely 1995-óta, több mint 20 éve van érvényben  a GDPR fogja felváltani.

A Google számos eszköze közül kettő esetében helyeznek kiemelt hangsúlyt azért, hogy  megfeleljen a GDPR-nek. Az egyik eszköz a G Sutie a másik pedig  Google Cloud Platform. Jelentős változtatásokat fognak eszközölni a szerződéses feltételekben.

A Google elkötelezett azzal szemben, hogy a felhasználóit segítse az EU adatvédelmi elvárásaihoz történő megfelelésben, ami  kulcsfontosságú a GDPR-s megfelelésnek:

• Adatfeldolgozási feltételek:  G Suite és Google Could Platform adatfeldolgozási feltételei egyértelműen meghatározzák az ügyfelekkel szembeni adavédelmi elvárásokat. A Google esetében ez már egy kidolgozott folyamatot takar, amit az elkövetkezendő időben a GDPR általi elvárásoknak megfelelően át fognak alakítani
• Harmadik fél általi ellenőrzések és igazolások: Számos harmadik fél által készített auditot és tanúsítványt nyújt a Google a G Suite és a Google Cloud Platfromot használó ügyfeleinek a Google. Jó pár éve használja a Google az ISO 27001 biztonsági szabványt. 2016-ban két új szabványt vezettek be a Felhő szolgáltatásaihoz a ISO 27017 és ISO 27018 szabványt, amivel a személyes adatok azonosítására alkalmas információk védelmét látták el.
• Nemzetközi adatátvitel: A GDPR a nemzetközi adatok átvitelével kapcsolatosan is rendelkezik elvárásokkal. A G Suite és a Google Clould Platform Privacy Shield védjegye alatt lett tanúsítva. Továbbá változtatásokat hajtottak végre azért, hogy a szerződéses adataikban is a GDPR elvárások tükröződjenek, vagyis a két platform minden tekintetben  megfelel az Európai és a Nemzetközi jog elvárásainak az adatvédelmi szempontból
• Adat export: A GDRP  rendelkezik a személyes adatok exportálására vonatkozóan is. Google azt vallja, hogy a felhőben lévő tartalom az adott felhasználóé. Az adatátviteli lehetőség több éve megtalálható a felhő szolgáltatásoknál, de a Google folyamatosan azon dolgozik, hogy ezek adatok átvitelét szabályozza.
• Incidens értesítések: G Suite és a Google Cloud Platform évek óta rendelkezik incidens értesítési funkcióval, ami a GDPR-ben is megfogalmazásra került. A Google több száz mérnöke azon dolgozik, hogy az incidensek számát csökkentsék, vagyis úgy fejlesszék, hogy ilyen események ne történhessenek meg.

Milyen stádiumban van jelenleg a Google a GDPR-rel kapcsolatban?

Google véleménye szerint most van itt van lehetőség arra, hogy  a jelenlegi és a jövőbeni ügyfelek is felkészüljenek a GDRP-re, a következőket javasolja a Google:

• Ismerje meg az új elvárásokat. Ezek az új elvárások azt fogják igényelni, hogy új megállapodást kössön az adott szolgáltatóval.(A Google-val újat kell kötni)
• Fontoljuk meg a nyilvántartott adatok frissített és pontos nyilvántartását
• Tekintsük át az aktuális ellenőrzéseinket és ennek folyamatait azért, hogy megfeleljen a GDR-nek. Arra is ki kell tervet dolgozni, hogy a hiányosságokat hogyan szüntessük meg
• Vegyük fontolóra azt, hogyan tudjuk kihasználni a Google Felhő kompatibilitási képességeit,  sajátosságait és tekintsük át a harmadik fél által adott tanúsítványokat
• Tartsuk naprakészen a szabályozási útmutatónkat, ha változás történik, akkor konzultáljunk jogi szakértővel, aki segít a frissítésben.

Mit szeretne a Google még ezzel kapcsolatban végrehajtani a jövőben?

Folyamatosan arra törekednek, hogy partnereikkel együttműködjenek azért, hogy az adatvédelmi elveknek megfeleljenek. Jelenleg mérnökök, fejlesztők, tanácsadók dolgoznak azon, hogy a GDPR végrehajtási útmutatóban leírtaknak megfeleljenek. Elérhetővé teszik a frissített adatfeldolgozási módosítást ügyfeleik számára. További anyagokat készítenek, hogy a GDPR elvárásainak minden ügyfelük időben meg tudjon felelni.

GDPR és a jövő, vállalkozások esetében

A fentiek alapján el lehet mondani, hogy a vállalkozások számára egy nagyon mozgalmas és tevékeny várható. Minden vállalkozás életében fontos, hogy a weboldala is fel legyen készítve a GDPR-re. Ez az a felület, ahol a felhasználóktól információkat kérünk be, az üzletünk itt kezdődik, így tegyünk eleget az adatvédelmi elvárásoknak.

Az Ön weboldala megfelel a GDRP-nek?  Töltse ki az űrlapunkat azért, hogy megtudja: