Marketplace IntegrációE-Kereskedelmi CsomagokVállalati WeboldalEgyedi SzoftverCégalapításFulfillment KözpontTermékraktározásMobilalkalmazás Fejlesztés
Bejelentkezés
Magyarország · Cégalapítás

2026 teljes GDPR + Info tv. 2011 útmutató Magyarországra: NAIH DPA, cookie hozzájárulás, DPO, érintetti jogok, adatvédelmi incidens 72h, bírságok €20M/4%.

🇭🇺 GDPR + 2011. évi Infotörvény Megfelelőségi Útmutató — 2026-os Kiadás

GDPR és NAIH a Magyar E-kereskedelmi Vállalkozások Számára 2026: Adatvédelem, Cookie Hozzájárulás és Megfelelőségi Útmutató

A magyar e-kereskedelem 2026-ban háromrétegű adatvédelmi rendszer alatt működik: az EU GDPR (2016/679 rendelet), Magyarország hazai 2011. évi Infotörvénye (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról), valamint az EU ePrivacy irányelve, amelyet a magyar elektronikus hírközlési jogba ültettek át. A NAIH — Nemzeti Adatvédelmi és Információszabadság Hatóság — mindhármat felügyeli és érvényesíti, és akár 20 millió EUR vagy a globális árbevétel 4%-áig terjedő bírság kiszabására jogosult. A cookie hozzájárulási sávoktól a 72 órás incidens-bejelentési ablakig ez a 2026-os útmutató pontosan bemutatja, mit kell tennie egy magyar webáruháznak, közérthető magyar nyelven, a teljes jogi hivatkozásokkal, amelyeket az Ön DPO-ja vagy külső jogi tanácsadója látni kíván.

✓ 10 megfelelőségi pillér ✓ 2026-os NAIH végrehajtás ✓ Cookie hozzájárulási sablon ✓ SCC + Schrems II készen
zunapro.com/panel/hungary/privacy
Adatvédelmi Központ GDPR Készen
NAIH Audit Pontszám 9.6 / 10
Hozzájárulások
28 914
↑ 412 ma
DSAR Nyitott
3
Mind 30 napon belül
Incidens Gyakorlatok
12/12
72ó OK
Utolsó 7 Nap · Cookie Sáv Események 68,4% Elfogadás↑ 4,2%
HKSzeCsPSzoMa
Friss Érintetti Kérelmek Élő
#DSAR-1428 Hozzáférés — GDPR 15. cikk 2 nap van
#DSAR-1427 Törlés — GDPR 17. cikk Felülvizsgálatban
#DSAR-1426 Hordozhatóság — GDPR 20. cikk Lezárva
NAIH Audit Napló · utolsó esemény 2mp · SCC validálva
20M €
Max NAIH / GDPR Bírság
72ó
Incidens Bejelentési Ablak
8
Érintetti Jog (GDPR 3. fej.)
2011
Magyar Infotörvény (CXII)

Magyar Adatvédelmi Pillanatkép 2026 — Gyors Olvasás

A magyar e-kereskedelem a GDPR ((EU) 2016/679 rendelet) + a 2011. évi Infotörvény (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról, rövidítve Infotv.) hatálya alatt működik, amelyet a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) érvényesít. Minden webáruháznak szüksége van: (1) egy megfelelő cookie hozzájárulási sávra olyan Összes elutasítása gombbal, amely ugyanolyan feltűnő, mint az Összes elfogadása, (2) egy magyar nyelvű adatkezelési tájékoztatóra, amely lefedi a GDPR 13–14. cikkét, (3) eljárásokra a nyolc érintetti jog egy hónapon belüli teljesítésére, (4) egy 72 órás incidens-bejelentési folyamatra, amely a NAIH online űrlapjához igazodik, és (5) SCC + TIA bármely EU/EGT-n kívüli adattovábbításhoz. A NAIH bírságok elérhetik a 20 millió EUR-t vagy a globális éves árbevétel 4%-át.

A 2026-os Magyar Adatvédelmi Környezet Egy Pillantásra

Egyetlen európai ország sem rétegzi úgy az adatvédelmi szabályait, mint Magyarország. Az alábbi kártyák összefoglalják az ebben az útmutatóban tárgyalt hat megfelelőségi pillért — tartsa szem előtt ezeket, miközben végigolvassa az egyes mélyelemző szakaszokat.

GDPR — (EU) 2016/679 rendelet

Közvetlenül alkalmazandó 2018. május 25. óta · 99 cikk · minden magyar adatkezelőt és adatfeldolgozót kötelez

Max 20M € / 4%Közvetlen EU rendelet

NAIH — A Magyar Adatvédelmi Hatóság

Alapítva 2012-ben (a Parlamenti Biztost váltotta fel) · Központ: Falk Miksa utca, Budapest

900+ határozat/évMagyarország adatvédelmi hatósága

2011. évi Infotörvény (Infotv.) — 2011. évi CXII. törvény

Magyar átültetés + információszabadság · utolsó nagyobb módosítás: 2018. évi XXXVIII. törvény

78 szakaszMagyar nemzeti jogszabály

Cookie és ePrivacy — 2003. évi C. törvény (Eht.)

Átülteti az EU ePrivacy irányelvét (2002/58/EK) · előzetes hozzájárulás szükséges nem alapvető cookie-khoz

Elutasítás = ElfogadásEgyenlő feltűnőség szabálya

Adatkezelési Tájékoztató

Kötelező a GDPR 13–14. cikke + a 2011. évi Infotörvény alapján · magyar nyelven a magyar ügyfeleknek

10+ kötelező közlésRétegzett tájékoztatás OK

DPO — Adatvédelmi Tisztviselő (GDPR 37. cikk)

Szükséges közhatalmi szervek + nagyléptékű megfigyelés vagy különleges kategóriájú adatok kezelése esetén

NAIH értesítésElérhetőség + azonosító

Készen áll arra, hogy magyar webáruháza GDPR és NAIH megfelelővé váljon?

Csatlakoztassa üzletét a Zunapróhoz, és kapja meg a magyar megfelelőségi csomagot — CMP cookie sáv, adatkezelési tájékoztató generátor, DSAR munkafolyamat, incidens-bejelentési sablon és SCC nyilvántartás — előre konfigurálva.

🛡️ Megfelelőségi Csomag Aktiválása

1. GDPR + 2011. évi Magyar Infotörvény — A Kétrétegű Alap

GDPR — A Páneurópai Réteg

Az Általános Adatvédelmi Rendelet ((EU) 2016/679 rendelet) 2018. május 25-én vált közvetlenül alkalmazandóvá, és felváltotta az 1995-ös adatvédelmi irányelv által létrehozott nemzeti törvények mozaikját. Mivel a GDPR rendelet, nem pedig irányelv, Magyarországon átültetés nélkül közvetlenül hatályos — minden magyar e-kereskedelmi vállalkozást kötnek a 99 cikke és 173 preambulumbekezdése.

A webáruházak számára a legfontosabb operatív cikkek: 5. cikk (alapelvek — jogszerűség, tisztességes eljárás, átláthatóság, célhoz kötöttség, adattakarékosság, pontosság, korlátozott tárolhatóság, integritás, elszámoltathatóság), 6. cikk (jogalapok — hozzájárulás, szerződés, jogi kötelezettség, létfontosságú érdek, közfeladat, jogos érdek), 13–14. cikk (az érintettnek nyújtandó tájékoztatás), 15–22. cikk (érintetti jogok), 28. cikk (adatfeldolgozói szerződések), 30. cikk (adatkezelési tevékenységek nyilvántartása), 32. cikk (biztonság), 33–34. cikk (incidens bejelentés), 35. cikk (DPIA) és 44–49. cikk (nemzetközi adattovábbítások).

A 2011. évi Infotörvény — A Magyar Réteg

A 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról — amelyet rövidítve Infotv.-nek vagy egyszerűen "Infotörvénynek" hívnak — Magyarország alapvető adatvédelmi jogszabálya. Hét évvel megelőzi a GDPR-t, de 2018-ban a 2018. évi XXXVIII. törvénnyel jelentősen módosították a GDPR-hoz való igazítás érdekében, miközben megőrizte azokat a magyar specifikumokat, amelyeket a GDPR kifejezetten a tagállamokra bíz.

Az Infotörvény szerepe 2026-ban a következőképpen foglalható össze: (a) kodifikálja a NAIH felépítését, jogköreit és eljárásait — a GDPR 6. fejezete minden tagállamtól megköveteli egy független felügyeleti hatóság kijelölését, de a részleteket a nemzeti jogra bízza, (b) szabályozza a közszférában kezelt adatokat és az információszabadsággal kapcsolatos kéréseket, amelyek a GDPR hatályán kívül esnek, (c) biztosítja a GDPR által megengedett nemzetbiztonsági és bűnüldözési kivételeket, és (d) magyar nyelvű dokumentációs és értesítési követelményeket ír elő ott, ahol a GDPR nyelvsemleges.

Hogyan Hat Egymásra a Kettő

A gyakorlatban a magyar e-kereskedelmi szereplőknek először a GDPR-t kell olvasniuk az anyagi jogi kötelezettségek miatt, másodszor pedig az Infotörvényt az eljárási sajátosságok miatt — hogyan kell panaszt benyújtani a NAIH-nál, hogyan végez vizsgálatokat a NAIH, hogyan néznek ki a bírságok és határozatok, és hogyan vizsgálják felül a magyar bíróságok a NAIH határozatait fellebbezés alapján. Az Infotörvény kitölti a GDPR hézagait is az újságírói, tudományos, művészi és irodalmi célú adatkezelés (GDPR 85. cikk), a munkavégzéssel kapcsolatos adatkezelés (GDPR 88. cikk) és a digitális hozzájárulás életkora tekintetében (Magyarország ezt a GDPR 8. cikke alapján 16 évben határozta meg).

📜 Olvassa el a teljes 2011. évi Infotörvény útmutatót

Szakaszról szakaszra kommentár a 2011. évi CXII. törvényhez, a 2018-as módosításokhoz, és arról, hogyan kapcsolódik minden rendelkezés a GDPR-hoz a magyar e-kereskedelmi szereplők számára.

Infotörvény Útmutató →

2. NAIH — A Magyar Adatvédelmi Hatóság

A Parlamenti Biztostól a Független Hatóságig

A NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) 2012. január 1-jén jött létre a 2011. évi Infotörvény alapján, felváltva a korábbi Adatvédelmi Biztos (Parlamenti Biztos az adatvédelemért és információszabadságért) intézményét. A változás a magyar adatvédelmi felügyeletet az egyszemélyes ombudsmani modellről egy teljesen intézményes hatóságra cserélte, saját személyzettel, költségvetéssel és döntéshozatali jogkörökkel.

A NAIH központja Budapesten a Falk Miksa utcában található, és egy Elnök vezeti, akit a Köztársasági Elnök nevez ki kilenc évre, a miniszterelnök javaslatára. A jelenlegi elnök (Dr. Péterfalvi Attila 2012, a hatóság megalapítása óta tölti be a hivatalt, és további ciklusokra is újraválasztották) körülbelül 130 jogász, IT szakember és adminisztratív munkatárs élén áll.

A NAIH Jogkörei a GDPR + Infotörvény alapján

A NAIH gyakorolja a GDPR 58. cikkében felsorolt összes felügyeleti jogkört, ideértve:

  • Vizsgálati jogkörök — bármely adatkezelő / adatfeldolgozó kötelezése információszolgáltatásra, helyszíni ellenőrzések lefolytatása, hozzáférés szerzése minden helyszínhez, adatkezelő berendezéshez és eszközhöz
  • Korrekciós jogkörök — figyelmeztetések, megrovások, érintetti kérelmek teljesítésére kötelezés, az adatkezelés megfelelővé tételére kötelezés, ideiglenes vagy végleges korlátozás, beleértve az adatkezelés tilalmát, az adatok helyesbítésére vagy törlésére kötelezés, valamint közigazgatási bírság kiszabása
  • Engedélyezési és tanácsadási jogkörök — véleményezés jogalkotási tervezetekről, tanúsító szervezetek akkreditálása, a kötelező erejű vállalati szabályok (BCR) és magatartási kódexek jóváhagyása

A GDPR jogkörökön felül az Infotörvény jogot ad a NAIH-nak arra, hogy hivatalból eljárást indítson (panasz nélkül), bírósági végzést kérjen az adatkezelés felfüggesztésére, és feltételezett bűncselekményeket (pl. különleges kategóriájú adatokhoz való jogosulatlan hozzáférés a magyar Büntető Törvénykönyv, a 2012. évi C. törvény 219. §-a alapján) az ügyészséghez utaljon.

Panasz Benyújtása a NAIH-nál

Bármely érintett — legyen az magyar lakos vagy látogató — panaszt nyújthat be a NAIH-nál, ha úgy véli, hogy személyes adatait jogellenesen kezelték. A panaszeljárás díjmentes, magyarul és (korlátozott mértékben) angolul elérhető a naih.hu oldalon, és a NAIH általában két hónapon belül hoz elsőfokú határozatot a hiánytalan panasz beérkezésétől. A NAIH negyedéves közleményeiben és weboldalán teszi közzé a anonimizált határozatokat, így az EU egyik legátláthatóbb adatvédelmi hatósága.

⚖️

Gyakorlati NAIH tipp: A NAIH azt, ahogyan Ön az érintett kezdeti kérésére reagál, jelentős tényezőként kezeli a bírság megállapításánál. Azok az eladók, akik későn, kitérően vagy egyáltalán nem válaszoltak, lényegesen súlyosabb bírsággal néznek szembe, mint azok, akik gyorsan és teljes körűen reagáltak — akkor is, ha az alapprobléma azonos volt. Állítsa be a Zunapro DSAR munkafolyamatot →

A Jogalap — ePrivacy + GDPR

A cookie hozzájárulás Magyarországon két pilléren nyugszik: az EU ePrivacy irányelve (2002/58/EK) 5. cikk (3) bekezdésén a 2003. évi C. törvénybe az elektronikus hírközlésről (Eht.) történő átültetés szerint, valamint a GDPR 6. cikk (1) bekezdés a) pontján, amely meghatározza, mi minősül érvényes hozzájárulásnak. A kombinált szabály egyszerűen kimondható és könnyen megsérthető: mielőtt bármilyen cookie-t vagy hasonló nyomkövetőt tárolna vagy érne el a felhasználó végfelhasználói eszközén, az adatkezelőnek önkéntes, konkrét, tájékozott és egyértelmű előzetes hozzájárulást kell beszereznie. A szigorúan szükséges cookie-k (munkamenet, kosár, biztonság, alapvető terheléselosztás) mentesülnek; minden más — analitika, hirdetés, közösségi plug-inok, A/B tesztelés, hőtérképek — hozzájárulást igényel.

Milyen Egy Megfelelő Sáv 2026-ban

A NAIH számos végrehajtási határozatot adott ki, amelyek tisztázzák az elvárásait. A 2026-os minimálisan életképes magyar sáv jellemzői a következők:

  • 1. réteg (sáv) — bármely nem alapvető cookie aktiválása előtt jelenik meg, felsorolja a kategóriákat (Szükséges, Funkcionális, Analitika, Marketing), és három, vizuálisan egyenrangú opciót kínál: Összes Elfogadása, Összes Elutasítása, Testreszabás
  • 2. réteg (beállítások modális) — kategóriánkénti részletes kapcsolók, egyenként elutasíthatók; felsorol minden harmadik fél szolgáltatót, célját, megőrzését és a saját adatvédelmi szabályzatára mutató linket
  • 3. réteg (cookie szabályzat oldal) — teljes táblázat minden cookie-ról, élettartamáról, típusáról, céljáról, feléről, valamint link a tágabb adatkezelési tájékoztatóhoz
  • A hozzájárulás visszavonása — "olyan könnyen visszavonhatónak kell lennie, mint amilyen könnyen megadható" (GDPR 42. preambulumbekezdés); állandó lebegő gomb vagy láblécben lévő link a tipikus minta
  • Nincsenek sötét mintázatok — az előre bejelölt négyzetek, a színkontraszt-trükkök, a görgetés-mint-hozzájárulás és a cookie-falak kifejezetten jogellenesek a NAIH és az EDPB 03/2022 számú iránymutatása szerint
📋
NAIH cookie végrehajtási előzmények: A NAIH magyar kiskereskedőket, hírportálokat és SaaS szolgáltatókat bírságolt meg nem megfelelő sávokért — a tipikus bírságok 1–10 millió forint a KKV-knál, 50–250 millió forint a nagy szereplőknél. A naih.hu határozati archívuma tartalmazza minden bírság közzétett indoklását.

Az Elutasítás-Vizuális-Egyenlőség Szabálya

A 2025–2026-os NAIH cookie végrehajtás legtöbbet vitatott pontja az, hogy az Összes Elutasítása gomb valóban olyan feltűnő-e, mint az Összes Elfogadása. Az "egyenlő feltűnőség" azt jelenti, hogy ugyanaz a színintenzitás, ugyanaz a méret, ugyanaz a pozícionális súly és ugyanannyi kattintás. Egy gyakori 2024 előtti sötét mintázat — egy fényes kék "Összes Elfogadása" gomb egy vékony szürke szöveges link "Több opció" mellett — Magyarországon jelenleg önmagában jogsértésnek minősül, és a Zunapro CMP-je automatikusan érvényesíti a vizuális egyenrangúságot.

4. Adatkezelési Tájékoztató — Egy Kötelező Dokumentum

GDPR 13. és 14. Cikk — A Tájékoztatási Kötelezettségek

Az adatkezelési tájékoztató Magyarországon nem opcionális. A GDPR 13. cikke kötelezi az adatkezelőt arra, hogy az érintettet az adatgyűjtés pillanatában tájékoztassa: az adatkezelő (és a DPO, ha van) személyazonosságáról és elérhetőségéről, az adatkezelés céljairól és jogalapjáról, a címzettekről vagy a címzettek kategóriáiról, a harmadik országba történő továbbítás szándékáról és az alkalmazott biztosítékokról, a megőrzési időről, az érintett jogairól, beleértve a NAIH-hoz történő panasz benyújtásának jogát, arról, hogy az adatszolgáltatás szerződéses vagy törvényes-e és a megtagadás következményeiről, valamint az automatizált döntéshozatal — beleértve a profilalkotást — fennállásáról.

A 14. cikk tartalmazza a párhuzamos kötelezettségeket az érintettől eltérő forrásból gyűjtött adatok esetében — jellemzően piactéri rendelési feedek, hűségprogram átvitelek és B2B partnerlisták — egy kötelezettséget hozzáadva arra, hogy az érintettet egy hónapon belül vagy az első kommunikáció során tájékoztassák, attól függően, melyik az előbb.

A Magyar Specifikus Kiegészítések

Az Infotörvény előírja, hogy az adatkezelési tájékoztatót az érintett számára elérhető formátumban és nyelven kell biztosítani — a magyar fogyasztók számára ez magyart jelent. Sok magyar e-kereskedelmi szereplő magyar elsődleges szabályzatot tesz közzé, mellette pedig másodlagos angol verziót a határon átnyúló ügyfelek számára. A bevált gyakorlat magában foglalja:

  • A NAIH nyilvántartási szám feltüntetését, ha olyan adatkezelést végez, amely formális NAIH nyilvántartást igényel (többnyire örökölt / közszektor)
  • A 2011. évi Infotörvényre való kifejezett hivatkozást a GDPR cikkek mellett a jogalap szakaszban
  • Az adatkezelő teljes postai címét és kapcsolattartási e-mail címét — a NAIH könnyű elérhetőséget vár el
  • A megőrzési időt konkrét években — az olyan homályos megfogalmazásokat, mint "amíg szükséges", a NAIH határozatok bírálták

Rétegzett Tájékoztatás — Gyakorlati Minta

Az EDPB 5/2020 iránymutatása támogatja a "rétegzett tájékoztatást" — egy rövid, közérthető összefoglalót, amely a teljes részletes szabályzatra mutató linket tartalmaz. A magyar webáruházak számára a tipikus rétegzett minta a következő: (1) egy egybekezdéses közérthető magyar nyelvű összefoglaló a pénztári űrlapon, (2) a teljes Adatkezelési Tájékoztató, amely minden oldal láblécéből elérhető, és (3) témaspecifikus tájékoztatások a hírlevél feliratkozásnál, a fiók regisztrációnál és a cookie hozzájárulásnál. A Zunapro mindhárom réteget egyetlen adatkezelési tájékoztató sablonból generálja, automatikusan szinkronizálva a magyar webáruház, a mobilalkalmazás és a piactéri kirakatok között.

📝 Generálja magyar adatkezelési tájékoztatóját

A Zunapro Adatkezelési Tájékoztató generátora előre kitölti a GDPR 13–14. cikk + 2011. évi Infotörvény szabványszövegét; Ön az adatkezelői adatokat, megőrzési időket és adatfeldolgozókat 15 percen belül testreszabhatja.

Adatkezelési Tájékoztató Generálása →

5. Adatvédelmi Tisztviselő (DPO) — Mikor Kell Kineveznie

A Három GDPR 37. Cikk Szerinti Kiváltó Ok

A magyar e-kereskedelmi szereplőknek nem automatikusan van szükségük adatvédelmi tisztviselőre. A GDPR 37. cikk (1) bekezdése három együttes kiváltó okot határoz meg, amelyek közül bármelyik elegendő:

  • Közhatalmi szerv — minisztériumokra, önkormányzatokra, állami tulajdonú vállalatokra vonatkozik; nem releváns a magán e-kereskedelem szempontjából
  • A fő tevékenységek az érintettek rendszeres és módszeres, nagymértékű megfigyeléséből állnak — viselkedés alapú hirdetési hálózatokra, helymeghatározó alkalmazásokra, nagy hűségprogramokra vonatkozik, amelyek a csatornákon keresztül profilozzák a vásárlókat, valamint ad-tech közvetítőkre
  • A fő tevékenységek a különleges kategóriájú adatok (9. cikk) vagy büntető ítéletekkel kapcsolatos adatok (10. cikk) nagymértékű kezeléséből állnak — online gyógyszertárakra, termékenységi / dietetikai szakemberekre, egészségtech vállalatokra, bizonyos politikai vagy vallási affinitású kiskereskedőkre vonatkozik

A tisztán tranzakciós e-kereskedelem — fizikai termékek értékesítése fogyasztóknak, a kézbesítési és számlázási adataik feldolgozása — általában nem éri el ezeket a küszöbértékeket. Egy 5000 rendelés/hónapos lakberendezési üzletnek nem kell DPO-t kineveznie; egy 50 000 tagú előfizetéses gyógyszertár szinte biztosan kell.

Mit Jelent a "Nagymértékű" és a "Fő Tevékenység"

Az EDPB iránymutatása (korábban WP29 03/2017 vélemény) azt javasolja, hogy értékeljék: (a) az érintettek számát, (b) az adatok mennyiségét, (c) az adatkezelés időtartamát és állandóságát, és (d) földrajzi hatókörét. A "fő tevékenységek" az adatkezelő céljainak eléréséhez nélkülözhetetlen tevékenységeket jelentik — a bérszámfejtés ritkán "fő tevékenység"; a vásárlók profilozása személyre szabott hirdetésekhez igen.

Önkéntes DPO Kinevezés

Azok a magyar kiskereskedők, akik a GDPR 37. cikkben szereplő küszöbérték alatt vannak — és sokan így tesznek — önkéntesen kinevezhetnek DPO-t. Az előnyök jelentősek: egyetlen elszámoltatható kapcsolattartó a NAIH számára, egyértelmű belső eszkalációs pont az érintetti kérelmek és incidensek számára, valamint hitelességjelző a B2B partnerek számára. A Zunapro hozzárendelheti az Ön belső jogászát vagy egy kiszervezett DPO partnert a magyar bérlőjéhez; az elérhetőségeik automatikusan kitöltik az adatkezelési tájékoztatót és a NAIH értesítési mezőket.

A NAIH Értesítése a DPO-ról

Ahol DPO-t neveznek ki (kötelezően vagy önkéntesen), a GDPR 37. cikk (7) bekezdése előírja az adatkezelő számára, hogy közzétegye a DPO elérhetőségét, és közölje azokat a NAIH-val. A NAIH online DPO értesítési űrlapot biztosít. A DPO-nak operatív függetlenséget kell élveznie, nem bocsátható el, és nem büntethető a DPO feladatok ellátásáért, és közvetlenül a legmagasabb vezetői szintnek tartozik beszámolóval.

6. Érintetti Jogok — A Nyolc GDPR Jogosultság

A Nyolc Jog Egy Pillantásra

A GDPR 3. fejezete nyolc jogot biztosít minden egyén számára. A magyar webáruházaknak operatív folyamatokat kell kiépíteniük mindegyik teljesítésére a hitelesített kérelem beérkezésétől számított egy naptári hónapon belül (összetett kérelmek esetén az érintettnek küldött indokolt értesítéssel két hónappal meghosszabbítható).

Tájékoztatás és Hozzáférés
13–15. cikk
Tájékoztatás az adatgyűjtéskor (13–14), hozzáférési jog, beleértve az adat másolatát és az adatkezelés részleteit (15)
Helyesbítés és Törlés
16–18. cikk
Helyesbítés (16), törlés / az elfeledtetéshez való jog (17), az adatkezelés korlátozása (18)
Hordozhatóság és Tiltakozás
20–22. cikk
Adathordozhatóság (20), tiltakozási jog (21), automatizált döntésekkel / profilalkotással kapcsolatos jogok (22)

A DSAR Munkafolyamat — Azonosság Ellenőrzése

Az Érintetti Hozzáférési Kérelem (DSAR) érkezhet e-mailben, webes űrlapon, postai levélben vagy akár közösségi média DM-ben is. A válaszadás előtt az adatkezelőnek ésszerűen ellenőriznie kell a kérelmező személyazonosságát — GDPR 12. cikk (6) — anélkül, hogy a szükségesnél több adatot gyűjtene. Egy regisztrált ügyfél esetében az ellenőrzés általában egy bejelentkezett fiók megerősítését és egy e-mail hurkot jelent; egy nem ügyfél esetében nemzeti személyi igazolvány hash-t vagy meglévő rendelési hivatkozást is magában foglalhat. A túlzott ellenőrzés önmagában is jogsértés: a NAIH azért is bírságolt adatkezelőket, mert egy webáruházi feliratkozó ellenőrzéséhez színes útlevélmásolatot követeltek.

A Válasz — Formátum, Csatorna, Költség

A választ írásban kell adni "tömör, átlátható, érthető és könnyen hozzáférhető formában, világos és közérthető nyelven" (GDPR 12. cikk (1)) — magyarul a magyar érintettek számára, kivéve, ha kifejezetten más nyelvet kértek. A válasz díjmentes; "adminisztratív díj" felszámítása csak nyilvánvalóan megalapozatlan vagy túlzott kérelmek esetén megengedett, és csak a NAIH által felügyelt mértékben. A 20. cikk szerinti hordozhatósági kérelmek esetén a formátumnak strukturáltnak, általánosan használtnak és géppel olvashatónak kell lennie — CSV vagy JSON, nem pedig egy egyszerű PDF.

🛂 Automatizálja DSAR munkafolyamatát

A Zunapro DSAR modulja a bejövő kéréseket egy hitelesített sorba irányítja, alkalmazza a 30 napos SLA időzítőt, generálja a strukturált CSV/JSON exportot a hordozhatósághoz, és tárolja a választ audit naplóval a NAIH ellenőrzésekhez.

DSAR Munkafolyamat →

7. Adatvédelmi Incidens Bejelentés — A 72 Órás Szabály

Mikor Áll Fenn Incidens

A GDPR 4. cikk (12) bekezdése tágan határozza meg az adatvédelmi incidenst: "a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi". Ez magában foglal mindent egy zsarolóvírus támadástól, amely zárolja a rendelési adatokat, egy rosszul konfigurált felhőtárolóig, amely az ügyfélcímeket teszi közzé, egy alkalmazottig, aki egy ügyféllistát személyes Gmail-re küld, vagy egy futárig, aki elveszít egy nyomtatott szállítási nyilvántartást.

Értesítés a NAIH-nak (33. cikk)

Ahol az incidens valószínűsíthetően kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek indokolatlan késedelem nélkül, és lehetőség szerint legkésőbb az erről való tudomásszerzést követő 72 órán belül értesítenie kell a NAIH-ot. A NAIH magyar nyelvű online incidens-bejelentési űrlapot biztosít a naih.hu oldalon; az űrlap a következőket kéri:

  • Az incidens jellege, beleértve, ahol lehetséges, az érintettek kategóriáit és hozzávetőleges számát, valamint az érintett adatrekordok kategóriáit és hozzávetőleges számát
  • Kapcsolattartási pont — jellemzően a DPO vagy egy vezető adatvédelmi kapcsolattartó
  • Az incidens valószínűsíthető következményei az érintettekre nézve
  • Az incidens kezelésére és a hátrányos hatások csökkentésére meghozott vagy javasolt intézkedések

Ha a teljes információ 72 órán belül nem áll rendelkezésre, az értesítést szakaszosan is meg lehet adni — de a kezdeti értesítést időben kell megtenni, és a kiegészítő információkat akkor kell megadni, amikor ismertté válnak.

Értesítés az Érintetteknek (34. cikk)

Ahol az incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek emellett az érintett személyeket is közvetlenül kell értesítenie, világos és közérthető magyar nyelven, leírva az incidens jellegét, valószínűsíthető következményeit és a meghozott intézkedéseket. Az érintettek értesítése nem szükséges, ha az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket alkalmazott (pl. titkosítás, amely érthetetlenné teszi az adatokat), vagy ezt követően olyan intézkedéseket tett, amelyek biztosítják, hogy a magas kockázat valószínűsíthetően ne valósuljon meg, vagy ez aránytalan erőfeszítést jelentene (ebben az esetben nyilvános közlemény elfogadható).

Nyilvántartás Vezetése (33. cikk (5) bekezdés)

Függetlenül attól, hogy egy incidenst bejelentenek-e a NAIH-nak vagy az érintetteknek, az adatkezelőnek minden incidenst dokumentálnia kell — tények, hatások, korrekciós intézkedések — egy belső incidens nyilvántartásban. A NAIH rendszeresen ellenőrzi ezt a nyilvántartást az auditok során, és a nyilvántartás hiánya önmagában jogsértés.

🚨

Incidens gyakorlat javaslat: Évente legalább kétszer futtasson asztali szimulációt. A 72 órás óra a "tudomásszerzéstől" indul, amelyet a NAIH szigorúan értelmez — jellemzően attól a pillanattól, amikor az IT csapat egy incidenst személyes adatokkal kapcsolatosnak azonosít, nem attól a pillanattól, amikor a jogi csapat bevonásra kerül. Konfigurálja incidens-reakció munkafolyamatát →

8. Határon Átnyúló Adattovábbítások — SCC a Schrems II Után

Az V. Fejezet Kerete

A GDPR V. fejezete (44–49. cikk) szabályozza a személyes adatok továbbítását az Európai Gazdasági Térségen (EGT — EU + Izland, Liechtenstein, Norvégia) kívülre. Az alapszabály egyszerű: bármilyen "harmadik országba" történő továbbítás tilos, kivéve, ha valamelyik konkrét biztosíték alkalmazandó. A magyar e-kereskedelmi szereplők rendszeresen végeznek V. fejezet szerinti továbbításokat — USA-ban tárolt analitikába, egyesült királyságbeli teljesítési partnerekhez, török vagy indiai ügyfélszolgálati szolgáltatókhoz.

A Biztosítéki Eszköztár

A rendelkezésre álló mechanizmusok, az e-kereskedelmi gyakorlati használat csökkenő sorrendjében:

  • Megfelelőségi határozatok (45. cikk) — az Európai Bizottság az Egyesült Királyság, Svájc, Japán, Dél-Korea, Kanada (kereskedelmi), Új-Zéland, Argentína, Izrael, a Feröer-szigetek, Guernsey, Jersey, a Man-sziget, Uruguay és Andorra jogi kereteit nyilvánította megfelelőnek. Az ezekbe az országokba történő továbbításokat EU-n belüli továbbításként kezelik.
  • Általános Szerződési Feltételek (46. cikk (2) bekezdés c) pont) — az Európai Bizottság 2021-es moduláris SCC-i az e-kereskedelmi határon átnyúló megfelelőség igáslova. Az 1–4. modulok adatkezelő-adatkezelő, adatkezelő-adatfeldolgozó, adatfeldolgozó-adatfeldolgozó és adatfeldolgozó-adatkezelő közötti adattovábbításokat fednek le.
  • EU-USA Adatvédelmi Keret — a Keret alapján tanúsított USA-beli címzettekhez történő továbbítások esetén (az USA Kereskedelmi Minisztériumának oldalán közzétett listán) a továbbításokat megfelelőként kezelik; nem tanúsított címzettek esetén az SCC + Adattovábbítási Hatásvizsgálat továbbra is kötelező.
  • Kötelező Erejű Vállalati Szabályok (47. cikk) — multinacionális csoportok használják csoporton belüli továbbításokra; NAIH (vagy más EU adatvédelmi hatóság) jóváhagyását igénylik.
  • Eltérések (49. cikk) — kifejezett hozzájárulás, szerződéses szükségesség, fontos közérdek. Ezeket szűken értelmezik, és nem használhatók rendszeres, nagymértékű továbbításokra.

A Schrems II Réteg

Az Európai Unió Bíróságának Schrems II ítélete (C-311/18, 2020. július 16.) érvénytelenítette a régi EU-USA Adatvédelmi Pajzsot, és további kötelezettséget rótt az adatkezelőkre: egy Adattovábbítási Hatásvizsgálatot (TIA), amely értékeli, hogy a fogadó ország joga "lényegében egyenértékű" védelmet biztosít-e a GDPR-ral — különös tekintettel a kormányzati megfigyelési hozzáférésre. Ahol az értékelés hiányosságokat tár fel (jellemző az USA-ba történő, az Adatvédelmi Keret tanúsítás nélküli továbbításokra), az adatkezelőnek kiegészítő intézkedéseket kell végrehajtania — titkosítás EU-ban tartott kulcsokkal, álnevesítés vagy megosztott adatarchitektúrák — a hiány orvoslására.

Az Adattovábbítás Dokumentálása

Minden határon átnyúló továbbítást rögzíteni kell a 30. cikk szerinti adatkezelési tevékenységek nyilvántartásában, a következőkkel: a cél ország, a jogi mechanizmus (megfelelőség, SCC, BCR, eltérés), az SCC aláírás dátuma, a használt moduláris konfiguráció, és a TIA eredménye. A Zunapro automatikusan kitöltött határon átnyúló adattovábbítási nyilvántartást vezet az Ön bérlője által használt integrált szolgáltatások alapján — minden fizetési szolgáltató, minden CRM csatlakozó, minden piactéri híd naplózza az adattovábbítási láncát.

9. NAIH Bírságok — Mennyi, Milyen Gyakran, Hogyan Kerülhető El

A GDPR 83. Cikk Bírság Szintjei

A GDPR két szinten korlátozza a közigazgatási bírságokat:

  • 1. szint — 10 millió EUR vagy a teljes éves globális árbevétel 2%-a, attól függően, melyik a magasabb, az adatkezelési nyilvántartással, biztonsággal, incidens bejelentéssel, DPIA-val és DPO kinevezéssel kapcsolatos kötelezettségek megsértéséért (8., 11., 25–39., 42., 43. cikk)
  • 2. szint — 20 millió EUR vagy a teljes éves globális árbevétel 4%-a, attól függően, melyik a magasabb, az alapelvek (5. cikk), az adatkezelés jogszerűsége (6. cikk), a hozzájárulás feltételei (7. cikk), különleges kategóriák (9–10. cikk), érintetti jogok (12–22. cikk) és nemzetközi adattovábbítások (44–49. cikk) megsértéséért

Fontos, hogy a GDPR bírságokat a globális, nem pedig a helyi árbevételhez képest korlátozzák — egy multinacionális magyar leányvállalata olyan bírsággal szembesülhet, amelyet a csoport világméretű bevételéhez kalibráltak.

A 83. Cikk (2) Bekezdés Szerinti 11 Kalibrálási Tényező

A NAIH-nak minden bírságot tizenegy tényező figyelembevételével kell mérlegelnie: a jogsértés jellege, súlyossága és időtartama; az érintettek száma; az okozott kár szintje; szándékos vagy gondatlan jelleg; mérséklő intézkedések; a felelősség mértéke (technikai és szervezési intézkedések); korábbi jogsértések; a NAIH-val való együttműködés mértéke; az érintett adatkategóriák; az, hogy hogyan vált ismertté a jogsértés (az önbejelentés számít); a jóváhagyott magatartási kódexekhez vagy tanúsításhoz való csatlakozás; és bármely más súlyosító vagy enyhítő tényező.

A NAIH Végrehajtási Múltja

Válogatott közzétett magyar bírságok (illusztratív, nem teljes körű):

  • DPD Hungary — 250M HUF (~650 ezer EUR, 2022) az ügyfélszolgálati hívások jogellenes hangelemzéséért — vezető EU precedens az MI/hangprofilozás területén
  • Magyar politikai párt — 11M HUF (2019) nem tagok részére küldött jogellenes közvetlen marketing e-mailekért
  • Távközlési szolgáltató — 100M HUF+ (2020) nem megfelelő hozzáférési kontrollért, amely incidenshez vezetett
  • Több KKV webáruház — egyenként 1–10M HUF hiányzó vagy jogellenes cookie sávokért, hiányzó adatkezelési tájékoztatókért, késedelmes incidens bejelentésekért
  • Bank — 250M HUF (2021) ügyfelek jogalap nélküli jogellenes profilalkotásáért

Gyakorlati Bírság-Elkerülési Csomag

A NAIH határozatok közzétett indokolása ismétlődő "enyhítési kedvezmény" mintára utal. Azok az adatkezelők, akik a következőket mutatják be, jellemzően 30–70%-kal a tarifa alatt kapnak bírságot:

  • Működő DPIA minden magas kockázatú adatkezelésre (hűségprofilalkotás, viselkedési hirdetések, biometrikus pénztárak)
  • Dokumentált 30. cikk szerinti adatkezelési tevékenységek nyilvántartása, naprakészen tartva
  • Működő DSAR munkafolyamat, amelyet ténylegesen használtak, és megfelel a 30 napos SLA-nak
  • Titkosított személyes adatok nyugalomban és átvitelben, kulcskezelési bizonyítékkal
  • Éves személyzeti képzési nyilvántartások, frissítve felvételkor és bármely incidens után
  • Működő incidens nyilvántartás és évente legalább egy dokumentált incidens gyakorlat
  • Önbejelentés bizonyítéka 72 órán belül valódi incidens esetén
  • Cookie sáv az Összes Elutasítása gombbal vizuálisan egyenrangú az Összes Elfogadása gombbal

10. A 2026-os Magyar E-kereskedelmi GDPR Ellenőrzőlista

Egy 25 Pontos Megvalósítási Útiterv

Az alábbi ellenőrzőlista az előző kilenc szakaszt egy gyakorlati, prioritizált útitervbe sűríti. A legtöbb magyar KKV három-hat hét részmunkaidős munkával vagy egy fókuszált két héttel teljesítheti, a Zunapro megfelelőségi csomagjával automatikusan konfigurálva.

Alap (1–2. hét)

  1. Térképezze fel az összes személyes adatfolyamot — bemenet, tárolás, adatfeldolgozó, kimenet, megőrzés
  2. Állítsa össze a 30. cikk szerinti Adatkezelési Tevékenységek Nyilvántartását (ROPA)
  3. Azonosítsa a 6. cikk szerinti jogalapot minden adatkezelési tevékenységhez
  4. Azonosítson minden különleges kategóriájú adatot (9. cikk), és erősítse meg a kiegészítő jogalapot
  5. Döntse el, hogy a DPO kötelező vagy önkéntes; nevezze ki és értesítse a NAIH-ot, ha igen
  6. Állítson be egy belső adatvédelmi postafiókot (pl. [email protected])

Dokumentáció (2–3. hét)

  1. Tegye közzé a magyar Adatkezelési Tájékoztatót (GDPR 13–14. cikk + Infotörvény hivatkozások)
  2. Tegyen közzé külön cookie szabályzatot minden cookie felsorolásával
  3. Tegye közzé az Általános Szerződési Feltételeket (ÁSZF), a magyar Polgári Törvénykönyvhöz igazítva
  4. Írjon alá adatfeldolgozói szerződéseket (DPA) a 28. cikk szerint minden adatfeldolgozóval — tárhely, e-mail, analitika, CRM, fizetés, futár, piactéri hidak
  5. Írjon alá SCC modulokat minden EGT-n kívüli adatfeldolgozóval, és végezzen Adattovábbítási Hatásvizsgálatot mindegyikre
  6. Dokumentáljon egy megőrzési ütemtervet adatkategóriánként (8 év a számlákhoz, marketing hozzájárulás + 5 év a bizonyításhoz, cookie-k a megadott lejárati idő szerint)
  1. Telepítsen egy CMP cookie sávot, ahol az Összes Elfogadása / Összes Elutasítása / Testreszabás vizuálisan egyenrangú
  2. Blokkoljon minden nem alapvető cookie-t amíg a hozzájárulás megadása megtörténik
  3. Biztosítson egy állandó "Cookie beállítások" linket a láblécben a hozzájárulás visszavonásához
  4. Naplózzon minden hozzájárulási eseményt időbélyeggel, sáv verzióval, választással — NAIH általi ellenőrzésre

Operatív Munkafolyamatok (4–5. hét)

  1. Építsen egy DSAR munkafolyamatot személyazonosság ellenőrzéssel és 30 napos SLA időzítővel
  2. Építsen egy incidens-reakciós forgatókönyvet a NAIH online űrlaphoz igazítva, 72 órás időzítővel
  3. Hozzon létre egy incidens nyilvántartást minden incidensre, függetlenül attól, hogy bejelentendő-e vagy sem
  4. Konfiguráljon marketing hozzájárulás rögzítést duplex opt-innel a hírlevél feliratkozáshoz
  5. Konfiguráljon részletes hozzájárulást adatkezelési célonként a pénztárnál — nincs összevont hozzájárulás

Ellenőrzés (6. hét)

  1. Futtasson egy asztali incidens gyakorlatot IT, jogi, ügyfélszolgálati csapattal és DPO-val
  2. Végezzen belső auditot a cookie sávon a böngésző fejlesztői eszközeivel
  3. Nyújtson be egy teszt DSAR-t egy barátságos ügyféltől, és validálja a 30 napos munkafolyamatot végponttól végpontig
  4. Ütemezze a következő éves GDPR frissítő képzést minden személyes adatokat kezelő munkatárs számára

Központosítsa a magyar GDPR + NAIH megfelelőséget egy panelben

Adatkezelési tájékoztató generátor + cookie hozzájárulási sáv + DSAR munkafolyamat + incidens nyilvántartás + SCC nyilvántartás + megőrzési szabályok — előre konfigurálva a 2011. évi Infotörvényhez és a NAIH közzétett elvárásaihoz. 15 perces beállítás, automatikus NAIH-űrlap igazítás.

Magyar Megfelelőségi Csomag Aktiválása →

Ezen útmutató teljes jogszabályi és döntési alapja jogi tanácsadók és DPO-k számára:

Forrás Hivatkozás Relevancia
GDPR (EU) 2016/679 rendelet, 2016. április 27. Közvetlen EU rendelet — teljes szöveg
Infotörvény 2011 2011. évi CXII. törvény (Infotv.) — utoljára módosítva 2018. évi XXXVIII. törvénnyel Magyar átültető jogszabály + NAIH felépítés
ePrivacy 2002/58/EK irányelv — magyar átültetés: 2003. évi C. törvény (Eht.) Cookie hozzájárulás + elektronikus hírközlés
Marketing 2008. évi XLVIII. törvény a gazdasági reklámtevékenységről (Grtv.) Magyar opt-in szabályok marketingre
Számvitel 2000. évi C. törvény a számvitelről, 169. § 8 éves számla megőrzés
Polgári Törvénykönyv 2013. évi V. törvény (Ptk.) Általános elévülés + polgári jogi felelősség
Büntető Törvénykönyv 2012. évi C. törvény, 219. § Személyes adatok jogellenes kezelése — bűncselekmény
Schrems II EUB C-311/18. sz. ügy (2020. július 16.) SCC + Adattovábbítási Hatásvizsgálat doktrína
SCC 2021 Bizottsági Határozat (EU) 2021/914 Általános Szerződési Feltételek moduláris készlet
EDPB Iránymutatások 03/2022 iránymutatások a sötét mintázatokról; 5/2020 a hozzájárulásról; sok más Mértékadó értelmezés az EU adatvédelmi hatóságai között

A táblázat olvasása: A GDPR a működési alap; az Infotörvény hozzáad magyar eljárást és NAIH felépítést; az ePrivacy és Marketing törvények szabályozzák a hozzájárulási folyamatokat cookie-khoz és e-mailhez; a Számviteli és Polgári Törvénykönyvek határozzák meg a megőrzési minimumokat; a Büntető Törvénykönyv az utolsó mentsvár a súlyos jogsértésekre. A Zunapro megfelelőségi modulja hivatkozik ennek a táblázatnak minden sorára a háttérben.

Magyar GDPR és NAIH GYIK 2026

Alkalmazandó-e a GDPR a magyar e-kereskedelmi üzletekre 2026-ban?

Igen — kivétel nélkül. A GDPR ((EU) 2016/679 rendelet) közvetlenül alkalmazandó minden olyan magyar e-kereskedelmi vállalkozásra, amely személyes adatokat kezel, ami a gyakorlatban minden webáruházat, minden piactéri eladót és minden B2B értékesítési platformot jelent. Magyarország 2011. évi CXII. törvénye (az Infotörvény, Infotv.) hazai szinten ülteti át a GDPR-t, és kiegészítő szabályokat ír elő a közszférában kezelt adatokra, a nemzetbiztonságra és az információszabadságra.

A NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) a felügyeleti hatóság, amely mindkettőt érvényesíti, kötelező határozatok és közigazgatási bírságok kiszabására jogosult akár 20 millió EUR vagy a globális árbevétel 4%-áig.

Mi a NAIH és milyen jogkörökkel rendelkezik?

A NAIH — Nemzeti Adatvédelmi és Információszabadság Hatóság — a magyar adatvédelmi hatóság, amelyet az Infotörvény alapján 2012. január 1-jén hoztak létre. Felváltotta a korábbi Adatvédelmi Biztost.

A NAIH panaszokat vizsgál, helyszíni ellenőrzéseket végez, kötelező határozatokat hoz, elrendelheti az adatkezelés felfüggesztését vagy megszüntetését, és GDPR szintű közigazgatási bírságokat szabhat ki akár 20 millió EUR-ig vagy a globális éves árbevétel 4%-áig. Határozatait a naih.hu oldalon teszi közzé.

Kötelezőek-e a cookie hozzájárulási sávok Magyarországon 2026-ban?

Igen. Az EU ePrivacy irányelve (2002/58/EK), amelyet a 2003. évi C. törvény az elektronikus hírközlésről ültet át, és a GDPR 6. cikke alapján minden magyar weboldalnak előzetes, önkéntes, konkrét, tájékozott és egyértelmű hozzájárulást kell beszereznie, mielőtt nem alapvető cookie-kat tárolna vagy érne el a felhasználó eszközén.

A NAIH több végrehajtási határozatában tisztázta, hogy az előre bejelölt négyzetek, a cookie-falak, a "továbblépés = hozzájárulás" mintázatok és a vizuálisan elnyomott Elutasítás gombok jogellenesek. Az Összes Elutasítása gombnak ugyanolyan feltűnőnek kell lennie, mint az Összes Elfogadása.

Szükségem van-e adatkezelési tájékoztatóra a magyar webáruházamban?

Igen — kötelező a GDPR 13. és 14. cikke, valamint a 2011. évi Infotörvény alapján. Adatkezelési tájékoztatójának (Adatkezelési Tájékoztató) azonosítania kell az adatkezelőt, fel kell sorolnia minden adatkezelési célt és jogalapot, meg kell neveznie az összes adatfeldolgozót és harmadik országbeli címzettet, meg kell adnia a megőrzési időket, és tájékoztatnia kell az érintetteket a jogaikról, valamint arról, hogy panasszal fordulhatnak a NAIH-hoz.

A magyar nyelvű változat szükséges a magyar ügyfelek számára; egy angol másodlagos verzió mellé jó gyakorlat a határon átnyúló értékesítéshez.

Mikor kell adatvédelmi tisztviselőt (DPO-t) kineveznem?

A GDPR 37. cikke előírja DPO kinevezését, ha (a) az adatkezelő közhatalmi szerv, (b) a fő tevékenységek az érintettek rendszeres és módszeres, nagymértékű megfigyeléséből állnak, vagy (c) a fő tevékenységek a különleges kategóriájú adatok (egészségügyi, biometrikus, büntetőjogi) nagymértékű kezeléséből állnak. A legtöbb tisztán e-kereskedelmi KKV-nak nincs szüksége hivatalos DPO-ra.

Azonban a nagy hűségprogramokat, viselkedési profilalkotást vagy érzékeny termékeket (gyógyszertár, egészség, politikai affinitás) értékesítő magyar kiskereskedőknek ki kell nevezniük egyet, és értesíteniük kell a NAIH-ot az elérhetőségekről. Az önkéntes kinevezés gyakori hitelesség jelzőként.

Milyen érintetti jogokat kell tiszteletben tartania a magyar webáruházamnak?

A GDPR 3. fejezete nyolc érintetti jogot biztosít: tájékoztatás (13–14. cikk), hozzáférés (15. cikk), helyesbítés (16. cikk), törlés / az elfeledtetéshez való jog (17. cikk), korlátozás (18. cikk), adathordozhatóság (20. cikk), tiltakozás (21. cikk) és az automatizált döntéshozatallal és profilalkotással kapcsolatos jogok (22. cikk).

A magyar webáruházaknak a hitelesített kérelmekre egy naptári hónapon belül kell válaszolniuk (összetett esetekben két hónappal meghosszabbítható indokolt értesítéssel). A NAIH évente több száz panaszt kap a figyelmen kívül hagyott vagy késedelmes válaszokról.

Mi a 72 órás incidens bejelentési szabály?

A GDPR 33. cikke előírja az adatkezelők számára, hogy az illetékes felügyeleti hatóságnak — Magyarországon a NAIH-nak — indokolatlan késedelem nélkül, és lehetőség szerint az adatvédelmi incidens tudomására jutását követő 72 órán belül jelentsék be a személyes adatok megsértését. A NAIH online incidens-bejelentő űrlapot biztosít a naih.hu oldalon.

Ha az incidens valószínűsíthetően magas kockázattal jár az érintettekre nézve, a GDPR 34. cikke az érintett személyek közvetlen, világos és közérthető magyar nyelvű tájékoztatását is előírja. Minden incidenst (bejelentendő vagy nem) dokumentáló incidens nyilvántartás kötelező a 33. cikk (5) bekezdés alapján.

Továbbíthatok-e személyes adatokat az EU-n kívülre?

Csak a GDPR 5. fejezetében foglalt feltételek mellett. A magyar e-kereskedelem leggyakoribb mechanizmusa az Európai Bizottság Általános Szerződési Feltételei (SCC) — a 2021-es moduláris készlet — kiegészítve egy Adattovábbítási Hatásvizsgálattal (TIA) a Schrems II ítélet (C-311/18) után.

Megfelelőségi határozatok vonatkoznak az Egyesült Királyságra, Svájcra, Japánra, Dél-Koreára, Kanadára (kereskedelmi), Izraelre és másokra. Az USA-ba történő továbbítások felhasználhatják az EU-USA Adatvédelmi Keret tanúsított címzettjeit, de a magyar szereplőknek alaposan meg kell vizsgálniuk az USA-ba történő továbbításokat, és dokumentálniuk kell a kiegészítő intézkedéseket (titkosítás EU-ban tartott kulcsokkal, álnevesítés), ahol az USA-kormányzati hozzáférési kockázat fennáll.

Mekkora lehet ténylegesen egy NAIH bírság?

A GDPR 83. cikke a közigazgatási bírságokat 20 millió EUR-ban vagy a teljes éves globális árbevétel 4%-ában maximálja az előző pénzügyi évre vonatkozóan, attól függően, melyik a magasabb, a legsúlyosabb jogsértések (hozzájárulás, különleges kategóriák, érintetti jogok, nemzetközi adattovábbítások) esetén. Egy alacsonyabb szint 10M EUR-ban vagy 2%-ban maximálja a bírságokat a dokumentációs, biztonsági és incidens-bejelentési jogsértésekért.

A NAIH 2018 óta több százmillió forintos bírságokat szabott ki távközlési vállalatokra, bankokra, kiskereskedőkre és politikai pártokra. Még a KKV-k is rendszeresen 1–10M HUF bírságot kapnak hiányzó adatkezelési tájékoztatókért, hibás cookie sávokért vagy megválaszolatlan érintetti kérelmekért.

Mi a 2011. évi magyar Infotörvény (Infotv.) és hogyan viszonyul a GDPR-hoz?

A 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról — az Infotörvény, Infotv. — Magyarország alapvető adatvédelmi jogszabálya. Hét évvel megelőzi a GDPR-t, és 2018-ban a 2018. évi XXXVIII. törvénnyel jelentősen módosították a GDPR-hoz való igazítás érdekében, miközben megőrizte a közadatokra, az információszabadságra és a NAIH felépítésére vonatkozó magyar specifikus rendelkezéseket.

A GDPR közvetlenül alkalmazandó az anyagi jogi adatvédelemre; az Infotörvény tölti ki azokat a réseket, amelyeket a GDPR a tagállamokra bíz, és kodifikálja a NAIH vizsgálati, korrekciós és eljárási jogköreit. A kettő együttes olvasása elengedhetetlen bármilyen magyar megfelelőségi programhoz.

Szükségem van-e külön hozzájárulásra a marketing e-mailekhez?

Igen. A 2008. évi XLVIII. törvény a gazdasági reklámtevékenységről (Grtv.) és a GDPR 6. cikk (1) bekezdés a) pontja alapján a magyar e-kereskedelem csak olyan címzetteknek küldhet marketing e-maileket, akik előzetes, külön dokumentált opt-in hozzájárulást adtak.

Az ePrivacy irányelvből származó B2C "lágy opt-in" kivétel Magyarországon szűken értelmezett: kiterjed a meglévő ügyfelekre, ugyanazon adatkezelőre, hasonló termékekre, és csak akkor, ha minden üzenetben szerepel egy egyértelmű leiratkozási link. A pénztárnál előre bejelölt jelölőnégyzetek kifejezetten jogellenesek. A duplex opt-in (a feliratkozást követő megerősítő e-mail) bevált gyakorlat, és a NAIH szinte mindig érvényesíti határozataiban.

Meddig őrizhetem az ügyféladatokat az értékesítés után?

A GDPR 5. cikk (1) bekezdés e) pontja előírja a tárolási korlátozást — az adatok csak addig őrizhetők, ameddig az eredeti célhoz szükséges. A magyar számviteli törvény (2000. évi C. törvény a számvitelről, 169. §) előírja a számlákkal kapcsolatos adatok 8 éves megőrzését. A marketing hozzájárulási adatokat csak addig kell megőrizni, amíg a hozzájárulás érvényes, plusz a bizonyítási elévülési idő (jellemzően 5 év a magyar Polgári Törvénykönyv, a 2013. évi V. törvény szerint).

Az ePrivacy hatálya alá tartozó cookie-knak tiszteletben kell tartaniuk a megadott lejárati időt. A Zunapro adatkategóriánként automatikusan alkalmazza a megőrzési szabályokat — a számlákat 8 évig őrzi, a marketing adatokat törli a hozzájárulás visszavonásakor + 5 éves bizonyítási tartalékkal, a névtelen analitikát a megadott cookie élettartam szerint őrzi.

Milyen nyelven kell elkészítenem az adatkezelési tájékoztatómat és a cookie sávomat?

Magyarul — legalábbis a magyarországi ügyfelek számára. A GDPR előírja, hogy a tájékoztatást "világos és közérthető nyelven" kell adni, az érintett számára hozzáférhető módon (12. cikk (1)). A Magyarországon lakó fogyasztók számára ez magyar nyelvű Adatkezelési Tájékoztatót és magyar cookie sáv szöveget jelent.

A határon átnyúló webáruházak bevált gyakorlata egy magyar elsődleges verzió angollal (és bármely más releváns KKE-nyelvvel) mint alternatív választható verziókkal. A NAIH több végrehajtási határozatában is jogsértésnek nevezte az angol nyelvű adatkezelési tájékoztatókat, amelyek magyar fogyasztói adatokat érintettek.

Segít-e a Zunapro a GDPR és NAIH megfelelőségben a magyar webáruházak számára?

Igen. A Zunapro magyar specifikus megfelelőségi csomaggal érkezik: konfigurálható cookie hozzájárulási sáv (CMP), ahol az Összes Elutasítása vizuálisan egyenrangú az Összes Elfogadása gombbal, adatkezelési tájékoztató generátor előre kitöltve a 2011. évi Infotörvény hivatkozásaival, Érintetti Hozzáférési Kérelem (DSAR) munkafolyamat, 72 órás incidens-bejelentési sablon a NAIH űrlaphoz igazítva, SCC-alapú harmadik országbeli adattovábbítási nyilvántartás, és a magyar számviteli (8 éves) és marketing (hozzájárulás + 5 éves) időszakokhoz kötött automatizált megőrzési szabályok.

A beállítás jellemzően 15 percet vesz igénybe bérlőnként. A megfelelőségi csomag a Zunapro magyar piactéri és webáruház integrációival együtt érkezik — tekintse meg a teljes Magyar Központot →.

Tegye magyar webáruházát NAIH-audit-készen 15 perc alatt

Cookie sáv · Adatkezelési tájékoztató · DSAR munkafolyamat · Incidens nyilvántartás · SCC nyilvántartás · Megőrzési szabályok — mind előre konfigurálva a GDPR + 2011. évi Infotörvény + ePrivacy számára. Nem szükséges legaltech szakértelem, NAIH-űrlaphoz igazított sablonok mellékelve.

🇭🇺 Megfelelőség Aktiválása Most →
Megosztás:

Segítségre van szüksége?

Kapcsolódó szolgáltatás: Cégalapítás

Lépjen kapcsolatba

Ingyenes konzultáció az e-kereskedelmi projektjéhez.

WhatsApp-on írni