Szép nap a mai, bevezették EU-szerte a GDPR-t. Bizonyára Te is találkoztál vele, hiszen 2-3 hete csak jönnek-jönnek az emailek minden szolgáltatótól, akivel eddig kapcsolatba kerültél (Google, Adobe, Dropbox, kutyafüle), és minden komolyabb webshoptól, ahol valaha regisztráltál, melyben felhívják a figyelmedet, hogy változott a Privacy Policy. De mi a helyzet a fotósokkal?
Minden nagy cég meg akar felelni az új adatvédelmi rendeletnek, ezért mindenhol hónapokat készültek erre jogászokat, informatikusokat bevonva a témába, és vélhetőleg rengeteg pénzt fel is emésztett mindez.
De mi a helyzet a kisvállalkozókkal és a magánszemélyekkel?
Mi a helyzet a velünk, fotósokkal? Bizony ránk is vonatkozik az EU-s rendelet, nekünk is meg kell felelni a ma életbe lépett adatvédelmi szabályoknak.
Csak sajnos azért nem tudunk ezen a szinten semmit az egészről, mert országunk vezetése az elmúlt hónapokban kampányolással, választások lebonyolításával és kormányalakítással volt elfoglalva, ezért a jónép tájékoztatására már nem jutott idő és kapacitás. (nem csodálkozik, nem röhög!) Annyira nem volt kapacitás, hogy ahogy Te kedves felhasználó nem foglalkoztál ezzel az egésszel, úgy ők sem, például a NAIH, vagyis a magyar adatvédelmi hivatal még mindig nincs hivatalosan kinevezve, mint a GDPR betartatásáért felelős hivatalos szerv. Pedig ezt máig le kellett volna jelentenünk az EU-nak. (Gondolom le is jelentettük, csak éppen kinevezve nem lettek, de ez nekünk fotósoknak mindegy is, csak szerettem volna érzékeltetni, hogy nem csak mi tojunk az egészre, hanem az országvezetés is. Itt csak a multik és a nagy cégek görcsölnek, jogosan, mert hiába a fejetlenség, mától őket fogják elővenni első körön.)
Menet közben jöttek azért a hírek, hogy például az osztrákok nem eszik annyira forrón a kását, és náluk a kisember nem lesz megbüntetve élből, ha nem felel meg a követelményeknek, csak figyelmeztetik első körben. Szerencsére tegnap nálunk is bejelentették, hogy ez ügyben az osztrák mintát fogjuk vélhetően követni, vagyis a kis- és középvállalatok, egyéni vállalkozók nem számíthatnak bünetésre egyelőre, de ellenőrizni őket is fogják. Azért voltak olyan rendesek, hogy hagyták parázni a fél országot 1-2 hónapig, és a határnap előtt egy nappal jelentették ezt be. Köszönjük!
Na nem akarom a végletekig húzni ezt a cikket,
lássuk mi a teendőd – elviekben – fotósként?
Fotósként te adatkezelő vagy, ha tetszik ha nem, ha magánszemélyként “svarcban” garázdálkodsz, ha KATÁs egyéni vállalkozóként dolgozol, ha cégként, tök mindegy. Azért vagy adatkezelő, mert az általad lefotózott emberek képmásait tárolod fotók formájában, a megbízóid emailcímét, telefonszámát a telefonodban, a szerződésen, de még az érdeklődéseket is fogadod emailben. Ha van egy kontakt űrlap a weboldaladon, akkor simán, ha nincs akkor is írnak neked az érdeklődők, így meg van a nevük és az elérhetőségük, ami személyes adat. Ha a weboldaladon webstatisztikát alkalmazol (pl. Google Analytics), akkor pláne vannak személyes adatok a birtokodban. Ha WordPress vagy Joomla alapú weboldalad van és ontod a cookie-kat az odalátogatókra, akkor adatkezelő vagy.
Ha adatkezelő vagy, akkor márpedig rád is vonatkoznak a GDPR szabályai, vagyis neked is gondoskodnod kell az adatok biztonságos kezeléséről, a nyomonkövethetőségről, az elszámoltathatóságról, az ügyfeleid, alanyaid tájékoztatásáról, a lehetőségről, hogy kérésükre törölve legyen minden adatuk, illetve mindezen dolgok adminisztrációjáról.
Lássuk nagy vonalakban mik ezek. Előre hangsúlyozom, hogy írhatok totálisan hülyeséget is, ugyanis nem vagyok szakértő és nem is egyeztettem szakértővel, csak azt írom le, amit egyrészt a józan eszem diktál, illetve amit olvastam, hallottam ez ügyben:
1. Védelem
A biztonság témakörében kezdjük az ún. front-enddel, vagyis a weboldaladdal. Az oldaladnak adatforgalma van a szerver és a felhasználó számítógépe között. Nem árt, ha ez az adatforgalom nem bárki által látható módon zajlik, hanem titkosítva van, szóval ha az oldalad még nem használ SSL-t (nem úgy kezdődik, hogy https, hanem úgy hogy http), az nem annyira jó. Egyrészt már az összes böngésző zaklatja az oldalátogatót, hogy az oldalad nem biztonságos, ami neked nem jelent túl jó renomét, másrészt alapszinten bukod el a látogatóid adatainak védelmét, mondjuk egy kontakt űrlap kitöltésekor és elküldésekor.
Ha lefotóztál valakit, akkor a számítógépeden, külső vinyón, felhőben, DVD-n, tökmindegy, de valahol tárolod azokat a fotókat. A GDPR szellemében nem árt az ilyen fotókat tartalmazó mappát mondjuk jelszóval védeni, a külső vinyót szintén, vagy épp elzárni valami szekrénybe, széfbe, szintúgy a DVD-t, pendrive-ot is.
Ha számlát adtál a fotózásról, akkor a számlákat is őrizni kell, bár azt amúgyis kell, de a számlán is szerepel személyes adat (név, cím). Hol vannak ezek a számlák? Biztonságos helyen? Ha valaki betör a házadba, megtalálja a fiókban és elviszi (tudom nem életszerű, de a GDPR amúgy se nagyon az), akkor adatlopás történt, ami bejelentésköteles a hatóságnál.
A telefonod tele van nevekkel és telefonszámokkal, emailekkel…csupa személyes adat. Van jelkódod vagy ujjlenyomatos telefonfeloldás? Csak te tudod, vagy a párod is meg a haverod is?
2. Tájékoztatás és engedély
Az ügyfeleidet és a weboldalad látogatóit tájékoztatnod kell ezekről a dolgokról. Tudomásukra kell hoznod, hogy ki vagy Te, mik az elérhetőségeid, milyen adatot gyűjtesz be tőlük, róluk, milyen céllal gyűjtöd be, mire használod, ki fér hozzá ÉS meddig tárolod azokat. Tudatnod kell, hogy ha problémájuk van e tekintetben, hová fordulhatnak. Ez csak a tájékoztatás része, a neheze most jön:
A látogatóknak és az ügyfeleknek engedélyt kell adniuk mindehhez. Nem úgy, hogy valahol az apróbetűben le van írva, hogy ha megbíztak egy fotózással, azzal automatikusan elfogadták, vagy ha meglátogatják az oldalt, automatikusan hozzájárultak ehhez meg ahhoz. Nem. Az “automatikus” szót úgy ahogy van el is felejtheted, ugyanis a GDPR kimondja (konyhanyelven fogalmazva), hogy semmi nem lehet automatikus, meg magától értetődő, hanem a felhasználónak tevőlegesen kell hozzájárulnia az adatgyűjtéshez. Ezt olyan szigorúan veszik, hogy például egy regisztrációnál az “Elfogadom az adatvédelmi szabályzatot” checkbox nem lehet előre bepipálva, hanem a látogatónak kell bejelölnie azt, mielőtt rányom a regisztrációs gombra!
És persze aláírt szerződésnek kell lennie a zsebedben, ha lefotózol valakit, amiben hozzájárul ezekhez a dolgokhoz, a szerződésnek meg része kell legyen az adatvédelmi nyilatkozat és szabályzat.
Ugyanez igaz a sütihasználatra (cookie-használatra) is a weboldalon. Nem tudod, hogy az oldalad használ-e sütiket? Használ, hidd el. Ha WordPress, vagy Joomla alapú, akkor tucatnyit is akár, szóval jobb ha beletörődsz. A szabály pedig úgy szól, hogy a felhasználónak el kell fogadnia a sütihasználatot, még azelőtt, hogy a böngésző bármilyen sütit letárolna a gépén. Tevőleg kell elfogadnia! Nem elég az, hogy “ha tovább görgetsz, vagy rákattintasz valamire, vagy eltöltesz X-időt az oldalon, úgy vesszük, hogy elfogadtad”. Felejts el mindenféle automatikát, ahogy írtam. Sőt, ha jól olvastam valahol, úgy szól a rendelet, hogy biztosítani kell a felhasználónak a weboldal süti nélküli meglátogatásának lehetőségét is, mégha az nem is működik így megfelelően. Nem lehet olyat kiírni, hogy ha nem akarsz sütiket, távozz az oldalról!
Jó példa erre az általam kezelt FotóAPRÓ, és ezen keresztül meg is mutatom, hogy mindez micsoda szívással jár a hétköznapi életben. Feltettem a weboldalra egy új sütikezelő rendszert, ami megfelel a GDPR szabályzatnak (konkrétan ez is a neve, hogy GDPR cookie vagy mi a szösz). Be lehet állítani rajta mindent, amit az előbb leírtam, de természetesen a legszigorúbbra állítottam, vagyis amíg a felhasználók nem nyomnak rá, hogy “ELFOGADOM!” addig a böngésző nem tárol semmit. Az oldalt böngészni, hirdetésekben keresni lehet sütik nélkül is, de belépni vagy regisztrálni már nem lehet, csak ha elfogadták. Eredmény? Az elején totális káosz, ugyanis senki nem vette észre a cookie-alert sávot, amit az oldal alján helyeztem el, ízlésesen hozzáigazítva az oldal színeihez. Sorban jöttek az emailek, hogy “nem tudok belépni, már 3x új jelszót kértem, help!” Ennek az lett a vége, 2-3 hétig egy orbitális figyelmeztető ablak fogadott minden látogatót, ami erre felhívta a figyelmet, illetve a sütisávot alulról felülre raktam és átszíneztem, így az elütő színű ELFOGADOM! gomb (így csupa nagybetűvel, hogy jól látható legyen) oda került a Belépés gomb mellé. Innentől nem jöttek az emailek. Innentől csak a nagyobb sz.pás jött.
Ugyanis az oldalra látogatók 90%-a nem nyom rá az elfogadásra, hiszen csak nézi az oldalt, de nem akar belépni vagy hirdetni, emiatt az oldal semmilyen sütit nem tárol el a gépükön. Eredmény? A webstatisztikában azóta mindenki mindig új látogató, ráadásul minden jel arra mutat, hogy minden oldalra kattintással úgy látogatónak lesz regisztrálva, ráadásul minden jel arra mutat, hogy minden látogató direkt forgalom, vagyis nem Google-ből jött, nem Facebookról kattintott át, hanem bírta a böngészőbe az oldal URL-jét és ütött egy Entert. Nyilván…pff..
Ez totálisan hazavágta a webstatisztikát!!!
Az új rendszer bevezetése óta az oldalt látogatók 90+ százaléka új lágotató (10% visszatérő, ők azok akik rányomtak a cookie-elfogadásra), az oldal látogatóinak száma emiatt – papíron – megnégyszereződött, és az Analytics szerint mindenki jön, átlag fél percet eltölt az oldalon, majd egyből lelép (90+ százalék visszafordulási arány). Papíron tehát katasztrofális lett a statiszika, ömlenek a látogatók, de nem néznek meg semmit, hanem egyből távoznak, mintha receptkereső nagymamák tömkelege kerülne a fotós apróhirdetési oldalra. Persze ez nem így van, semmi nem változott, csak sütik nélkül a látogatók aktivitása nem követhető. Köszi GDPR!
Ha most azt gondolod, hogy “kit érdekel, ne is nézegessék a webes aktivitásomat”, erre az a válaszom, hogy azért van webes aktivitásod, mert vannak számodra érdekes weboldalak. És azért vannak számodra érdekes weboldalak, mert hirdetésekből, szponzorokból fenn tudják tartani magukat. És azért tudják fenntartani magukat, mert a hirdetőknek és a szponzoroknak meg tudják mutatni, hogy nem csak a haverok olvassák az oldalt, hanem sokezer ember, ezért megéri rajta hirdetni. Ha nincs mérés, nincsenek számok, ha nincsenek számok, nincsenek reklámok, ha nincsenek reklámok, nincs pénz, ha nincs pénz, nincs weboldal, ha nincs weboldal akkor neked sincs webes aktivitásod, vagyis nézni-, olvasnivalód.
3. Elállás lehetősége
Visszatérve a GDPR-re, a felhasználóknak, ügyfeleknek lehetőséget kell biztosítani az elállásra. Ez azt jelenti, hogy bármikor meggondolhatják magukat és kérhetik, hogy többé ne rögzíts adatot, továbbá kérhetik, hogy ami birtokodban van adat, azt töröld. Töröld a fotókat, töröld az emaileket, töröld a telefonszámot. Ez még könnyű. Írjanak egy emailt ugye, ha ilyen kérésük van. De például a sütikre is igaz ez a honlapodon. Ha elfogadták a sütikezelést, azt bármikor vissza is kell tudniuk vonni.
És akkor még nem beszéltünk a weben publiklálásról, amire eddig is szigorú szabályok vonatkoztak, továbbra is azok maradnak. Hozzájárulás kell az emberektől, hogy publikáld a fotóikat és ezt bármikor vissza is vonhatják!
4. Dokumentáció
Az egész dolog legnagyobb rákfenéje az adminisztráció és a dokumentáció. Ugyanis minden fent leírt dolgot dokumentálni és adminisztrálni kell, és ehhez ki kell nevezni egy adatvédelmi felelőst, jobb híján magadat. Le kell írni, hogy mit gyűjtesz, miért gyűjtöd, hogyan tárolod, hol tárolod, mi a biztosítéka annak, hogy más nem fér hozzá, és meddig tárolod, mit fogsz tenni, amennyiben törlést kérnek, egyáltalán hogyan kérhetik, stb. Értsd, minden hóbelevancot, amit a fentiek szerint esetleg megcsináltál, egy ellenőrzés során bizonyítanod is tudni kell dokumentációval. Bizonyítanod kell, hogy te lefektettél egy adatvédelmi “workflow-t”, és minden alkalommal ennek megfelelően jársz el, ha új adat került a birtokodba.
Hát így vagyunk mi mostanság. Ha érdekel még a téma, figyelmedbe ajánlom a Papp Gábor tanácsait tartalmazó cikket. Ott még le van írva jónéhány dolog, és talán jobban is ért hozzá, mint én.
Vélemény?
