Portugál RGPD-áttekintés 2026 — gyors olvasmány
Portugália teljes körűen alkalmazza az uniós 2016/679 GDPR-t (RGPD), kiegészítve a nemzeti Lei n.º 58/2019 (LPDP) törvénnyel, amelyet 2019. augusztus 8-án hirdettek ki. A felügyeleti hatóság a CNPD (Comissão Nacional de Proteção de Dados), székhelye Lisszabonban van. Minden portugál e-kereskedelmi szereplőnek működtetnie kell egy megfelelő cookie-sávot, portugál nyelvű adatvédelmi tájékoztatót, adatkezelési tevékenységek nyilvántartását (ROPA), 28. cikk szerinti adatfeldolgozási megállapodásokat minden adatfeldolgozóval, valamint működési kapacitást ahhoz, hogy az érintetti kérelmeket 30 napon belül teljesítse, és az incidenseket 72 órán belül bejelentse a CNPD-nek. A bírságok elérhetik a 20 millió eurót vagy a globális éves árbevétel 4%-át — a CNPD 2018 óta szab ki több milliós eurós bírságokat.
A 2026-os portugál adatvédelmi környezet
Három jogi eszköz és egy felügyeleti hatóság szabályozza a személyes adatokat a portugáliai e-kereskedelemben. Az alábbi kártyacsomagot tartsa kéznél, miközben az egyes témákat részletesen olvassa.
RGPD — Regulamento Geral de Proteção de Dados
Uniós 2016/679 rendelet · hatályos 2018. május 25. óta · közvetlenül alkalmazandó mind a 27 uniós tagállamban, így Portugáliában is
Lei n.º 58/2019 — a portugál LPDP
Nemzeti végrehajtási törvény · kihirdetve 2019. augusztus 8-án · nemzeti sajátosságokat ad hozzá a hozzájárulási korhatárhoz, a kamerás megfigyeléshez, az újságírói célú adatkezeléshez
CNPD — Comissão Nacional de Proteção de Dados
Portugál adatvédelmi hatóság · alapítva 1994-ben · székhelye Av. D. Carlos I 134, Lisszabon · 7 tagja, akiket a parlament választ
Az uniós GDPR ökoszisztéma — EDPB és DPF
Az EDPB harmonizálja az adatvédelmi hatóságok gyakorlatát · az EU–USA DPF (2023 júliusa óta) újra lehetővé teszi az USA-ba irányuló adattovábbítást
DPO / EPD — Encarregado de Proteção de Dados
Kötelező nagy léptékű megfigyelés vagy különleges adatkategóriák kezelése esetén · független · elérhetőségei megtalálhatók a CNPD nyilvántartásában és az adatvédelmi tájékoztatóban
Harmadik országba irányuló adattovábbítás — SCC és DPF
Általános szerződési feltételek (2021-es uniós SCC-k) · EU–USA adatvédelmi keretrendszer szerint tanúsított importőrök · adattovábbítási hatásvizsgálat (TIA) kötelező
Készen áll, hogy portugál üzletét CNPD-kompatibilissé tegye?
A Zunapro minden portugál piactér-integrációba beépíti az RGPD-megfelelőséget — cookie-hozzájárulási sáv, ROPA, 28. cikk szerinti adatfeldolgozási megállapodások, érintetti kérelmek kezelése és 72 órás incidenskezelési terv. A megfelelőség infrastruktúra, nem utólagos gondolat.
1. RGPD és Lei 58/2019 — a kétrétegű portugál keretrendszer
RGPD: egy rendelet, 27 ország
A Regulamento Geral de Proteção de Dados (RGPD) az uniós 2016/679 rendelet portugál nyelvű elnevezése, amelyet 2016. április 27-én fogadtak el, és 2018. május 25. óta alkalmazandó. Uniós rendeletként (nem irányelvként) az RGPD közvetlen hatállyal bír Portugáliában — 99 cikke kötelező érvényű minden Portugáliában letelepedett adatkezelőre és adatfeldolgozóra, valamint minden olyan, az EU-n kívüli adatkezelőre, amely árukat vagy szolgáltatásokat kínál portugáliai személyeknek (3. cikk (2) bekezdés, területen kívüli hatály).
Ugyanazok a kötelezettségek vonatkoznak függetlenül attól, hogy az üzemeltető egy lisszaboni egyéni vállalkozó, egy portói sociedade por quotas (Lda), egy Portugáliába szállító német cég, vagy egy portugál fogyasztókat célzó amerikai Shopify-kereskedő. A rendelet technológiasemleges és kockázatalapú: a magas kockázatú adatkezelés (profilalkotás, különleges adatkategóriák, nagy léptékű megfigyelés) szigorúbb kötelezettségeket von maga után.
Lei 58/2019: a portugál réteg
Az RGPD szándékosan több mint 50 „nyitó záradékot” hagy a tagállamok számára. Portugália ezekkel a lehetőségekkel a Lei n.º 58/2019, de 8 de agosto — a Lei de Proteção de Dados Pessoais (LPDP) — révén élt, amelyet több mint egy évvel az RGPD alkalmazási dátuma után hirdettek ki, felváltva a korábbi Lei 67/98-at. Az LPDP az RGPD-re épülő portugál sajátosságokat tartalmaz:
- Hozzájárulási korhatár — 13 év (LPDP 16. cikk, az RGPD alapértelmezett 16 éves korhatáránál alacsonyabb). A 13 év alatti gyermekek esetében ellenőrizhető szülői hozzájárulás szükséges.
- Kamerás megfigyelési szabályozás (LPDP 19–22. cikk) — CCTV-táblák kihelyezése, megőrzési idő (alapértelmezetten 30 nap), CNPD-bejelentés nyilvános terek esetén.
- Újságírói, tudományos és művészeti célú adatkezelés (LPDP 24. cikk) — korlátozott mentességek, amelyek egyensúlyt teremtenek az adatvédelem és a véleménynyilvánítás szabadsága között.
- Közigazgatási szabálysértések (LPDP 37–50. cikk) — portugál sajátosságú eljárási szabályok, amelyek kiegészítik az RGPD 83. cikke szerinti bírságokat.
Lei das Comunicações Eletrónicas — a cookie-réteg
Egy harmadik jogi eszköz teszi teljessé a keretrendszert: a Lei n.º 41/2004, amely az uniós 2002/58/EK ePrivacy irányelv portugál átültetése. Az 5. cikk (3) bekezdése a cookie-hozzájárulási követelmény jogforrása — a cookie-k, pixelek, ujjlenyomat-készítési technológiák és helyi tárolási technológiák előzetes, szabadon adott, tájékozott hozzájárulást igényelnek attól függetlenül, hogy kezelnek-e személyes adatot. Minden portugál e-kereskedelmi oldalnak az ePrivacy-jogszabály miatt van szüksége cookie-sávra, nem magának az RGPD-nek a miatt.
💡 Olvassa el a teljes portugál piactér-integrációs útmutatót
Kösse össze az Amazon.es/.fr, a Worten, a Fnac, a Continente és a KuantoKusta rendszereket RGPD-kompatibilis hozzájárulás-gyűjtéssel és ROPA-generálással.
2. CNPD — a portugál adatvédelmi hatóság
Az intézmény
A Comissão Nacional de Proteção de Dados (CNPD) Portugália független felügyeleti hatósága. A Lei n.º 10/91 de 29 de abril törvénnyel jött létre, és az EU egyik legrégebb óta működő adatvédelmi hatósága — négy évvel megelőzte az 1995-ös adatvédelmi irányelvet is. A CNPD az Assembleia da República felügyelete alatt működik, teljes funkcionális és döntési függetlenséggel (RGPD 52. cikk).
A CNPD hét tagból áll: egy elnökből, akit a parlament öt évre, nem megújítható mandátummal választ, valamint hat további tagból (két parlamenti, két kormányzati, két kooptált). Székhelye: Avenida D. Carlos I, n.º 134, 1200-651 Lisboa.
A CNPD jogkörei
Az RGPD 57–58. cikke alapján, a Lei 58/2019 kiegészítésével:
- Vizsgálati jogkör — információkérés, ellenőrzések és vizsgálatok lefolytatása, hozzáférés az adatkezelési létesítményekhez és nyilvántartásokhoz
- Korrekciós jogkör — figyelmeztetések, megrovások, kötelezés az érintetti kérelmek teljesítésére, helyesbítésre, törlésre, adatkezelési tilalom, harmadik országba irányuló adatáramlás felfüggesztése
- Közigazgatási bírságok — akár 20 millió euróig vagy a globális éves árbevétel 4%-áig
- Engedélyezési és tanácsadói jogkör — kötelező erejű vállalati szabályok (BCR), SCC-k, tanúsítási mechanizmusok jóváhagyása; a parlament és a kormány tanácsadása
Hogyan lépjen kapcsolatba a CNPD-vel
- Honlap —
cnpd.pt(határozati nyilvántartás, panaszűrlap, incidensbejelentő űrlap) - Általános e-mail —
[email protected] - Incidensbejelentés — dedikált online űrlap a cnpd.pt oldalon
- Adatvédelmi tisztviselő bejelentése — online űrlap, az elérhetőségeket a kinevezéstől számított 30 napon belül meg kell adni
CNPD más uniós adatvédelmi hatóságokkal összehasonlítva — portugál stílus
A CNPD jogérvényesítési stílusa mérsékelt, de szakmailag szigorú. A spanyol AEPD-hez (rendkívül peresítő, évente több ezer határozat) vagy a francia CNIL-hez (nagy nyilvánosságú bírságközlemények) képest a CNPD kevesebb határozatot hoz, de a rendszerszintű jogsértésekre koncentrál, és szorosan együttműködik az EDPB konzisztenciamechanizmusán keresztül. A portugál e-kereskedelem jellemzően három csatornán vonja magára a CNPD figyelmét: érintetti panaszok, kötelező incidensbejelentések, valamint médiavisszhang vagy politikai figyelem által kiváltott ellenőrzések.
🛡️ A Zunapro automatikusan szinkronizál a CNPD-előírásokkal
ROPA-sablon, incidenskezelési terv, érintetti kérelmek munkafolyamata és adatvédelmi tisztviselői kapcsolattartó kártya — mindez előre konfigurálva a CNPD formátumához és portugál nyelvű, fogyasztóknak szóló szöveggel.
3. Cookie-hozzájárulási sáv — minden portugál oldalon kötelező
A jogalap
A cookie-hozzájárulási kötelezettségnek Portugáliában két egymást kiegészítő jogalapja van: az uniós 2002/58/EK ePrivacy irányelv 5. cikk (3) bekezdése, amelyet a Lei n.º 41/2004 ültetett át, valamint az RGPD 7. cikke szerinti hozzájárulási követelmények. Ennek együttes hatása, hogy bármely cookie, pixel, SDK, ujjlenyomat-készítő szkript, helyi tárolási objektum vagy hasonló nyomkövető technológia, amely nem feltétlenül szükséges a felhasználó által kifejezetten kért szolgáltatás nyújtásához, előzetes, szabadon adott, konkrét, tájékozott és egyértelmű, opt-in hozzájárulást igényel.
Mi számít „feltétlenül szükségesnek”
Szűk kategória mentesül a hozzájárulás alól, mivel feltétlenül szükséges a kért szolgáltatáshoz: munkamenet-cookie-k (bejelentkezés, kosár), CSRF-tokenek, terheléselosztó cookie-k, maga a hozzájárulás-beállítási cookie, az aktívan kért tartalomhoz szükséges multimédia-lejátszó állapota, valamint a felhasználó által választott felületi testreszabás (nyelv, sötét mód). Minden más — GA4, Meta Pixel, TikTok Pixel, Hotjar, Clarity, retargeting, A/B-teszt cookie-k, harmadik féltől származó CDN-betűtípusok, beágyazott YouTube/Vimeo-lejátszók, interakció előtt betöltődő közösségimédia-gombok — explicit, elhelyezés előtti opt-in hozzájárulást igényel.
Hogyan néz ki egy megfelelő sáv
A CNPD 2019/494 számú, cookie-kra vonatkozó iránymutatása (Orientações sobre cookies), amelyet 2022-ben frissítettek, meghatározza a minimumkövetelményeket:
- Az első rétegnek fel kell ajánlania az „Elfogadás”, „Elutasítás” és „Beállítások kezelése” lehetőségeket. Az elutasításnak ugyanolyan hangsúlyosnak kell lennie, mint az elfogadásnak (azonos szín, méret, elhelyezés). A megtévesztő, halványított szövegű elutasítógombok tilosak (EDPB).
- A második réteg — kategóriánkénti, részletes kapcsolók a nem alapvető kategóriákhoz, alapértelmezetten kikapcsolva.
- Cookie-falak tilalma — a hozzáférés elutasítás esetén történő megtagadása jogellenes (EDPB 05/2020 iránymutatás).
- Nincs „böngészés folytatása egyenlő hozzájárulással” — a görgetés vagy navigáció nem minősül hozzájárulásnak.
- A visszavonás olyan könnyű, mint a hozzájárulás megadása — állandó lebegő gomb vagy lábléc-link.
- 6–12 havonta újbóli megkérdezés, hozzájárulási napló vezetése az RGPD 7. cikk (1) bekezdése szerint.
Az elutasítógomb csapdája: a 2024–2026-os CNPD-ellenőrzések leggyakoribb megállapítása az aszimmetrikus sáv — egy feltűnő, zöld „Összes elfogadása” gomb mellett egy apró, szürke, aláhúzott szövegű „Elutasítás”. Ezt érvénytelen hozzájárulásnak tekintik, és minden cookie-elhelyezést jogérvényesítési kockázatnak tesz ki. Használja a Zunapro CNPD-validált hozzájárulási sávját →
Hozzájárulási sáv kategóriaszintjei — milyen kategóriákat kínáljon
🍪 Olvassa el a teljes portugál cookie-hozzájárulási útmutatót
A CNPD 2019/494 iránymutatás pontról pontra, megtévesztő gyakorlatok (dark pattern) ellenőrzőlistája, a GA4 Consent Mode v2 beállítása, valamint a Zunapro beágyazott, portugál közönségre előre validált hozzájárulási sávja.
4. Adatvédelmi tájékoztató — kötelező és mindig naprakész
A 13. cikk szerinti tájékoztatási kötelezettség
Az RGPD 12., 13. és 14. cikke minden adatkezelőtől megköveteli, hogy az adatgyűjtés pillanatában részletes tájékoztatást nyújtson az érintetteknek. Egy e-kereskedelmi oldal esetében ez a pillanat általában minden űrlapkitöltésnél bekövetkezik — regisztráció, fizetés, hírlevél, kapcsolatfelvétel, értékelés. A gyakorlatban ez az információ egyetlen dokumentumban, az adatvédelmi tájékoztatóban (Política de Privacidade) él, amelyre minden oldalról hivatkoznak, és amelyet minden adatgyűjtési ponton újra megjelenítenek.
Kötelező minimumtartalom
Egy 2026-ban CNPD-ellenőrzésen megálló adatvédelmi tájékoztató legalább az alábbiakat tartalmazza:
- Az adatkezelő kiléte — cégnév, adószám (NIPC), székhely, kapcsolattartó e-mail
- Az adatvédelmi tisztviselő elérhetősége, ha van kinevezve — dedikált e-mail-cím, például
[email protected] - Az adatkezelés céljai — részletes lista (megrendelésteljesítés, ügyfélszolgálat, marketing, analitika, csalás elleni védelem, könyvelés)
- Az egyes célokhoz tartozó jogalap — az RGPD 6. cikk (1) bekezdése (hozzájárulás, szerződés, jogi kötelezettség, létfontosságú érdek, közérdek, jogos érdek)
- Jogos érdek mérlegelési tesztje, ha a 6. cikk (1) bekezdés f) pontját alkalmazzák
- Címzettek — fizetési szolgáltatók, futárszolgálatok, piacterek, felhőalapú tárhelyszolgáltatók, e-mail-szolgáltatók
- Nemzetközi adattovábbítás — célországok, mechanizmus (SCC / megfelelőségi határozat / DPF), hivatkozás a garanciákra
- Megőrzési idők kategóriánként (számlák 10 évig, marketing a hozzájárulás fennállásáig, analitika 14 hónapig)
- Az érintetti jogok — teljes felsorolás, beleértve a CNPD-hez való panasztételi jogot
- Az adatszolgáltatás jogszabályi vagy szerződéses jellege, és a megtagadás következményei
- Automatizált döntéshozatal és profilalkotás, ha van ilyen, a logika és a jelentőség ismertetésével
- Az utolsó frissítés dátuma és verziótörténet
Közérthető portugál nyelv — az RGPD 12. cikke
Az RGPD 12. cikk (1) bekezdése tömör, átlátható, érthető és könnyen hozzáférhető tájékoztatót ír elő egyértelmű, közérthető nyelven. A CNPD ismételten kritizálta azokat a tájékoztatókat, amelyek kizárólag angol nyelvűek, miközben portugál fogyasztókat céloznak (a Lei 58/2019 2. cikke megerősíti a portugál nyelvi követelményt), amelyek általános sablonokat másolnak a tényleges adatfeldolgozók megnevezése nélkül, amelyek a lényeges információt 10 000 szavas jogi szövegben rejtik el, vagy amelyek az adatvédelmi tájékoztatót összevonják a felhasználási feltételekkel.
Rétegzett tájékoztatás — ajánlott gyakorlat
A CNPD támogatja az EDPB rétegzett tájékoztatás megközelítését: rövid összefoglaló a tetején (1–2 bekezdés a kilétről, a célokról és a jogokról), amelyet lenyitható szakaszokban részletes információ követ, valamint egy „tájékoztató lap” minden űrlapnál (2–3 mondatos gyűjtési tájékoztató, amely a teljes tájékoztatóra hivatkozik) a 13. cikk szerinti megfelelőség érdekében.
📜 Automatikusan generált portugál adatvédelmi tájékoztató
A Zunapro CNPD-ellenőrzésen megálló, portugál nyelvű adatvédelmi tájékoztatót generál az Ön tényleges piactér-integrációi, fizetési szolgáltatói és analitikai eszközei alapján — automatikusan frissülve, amikor új adatfeldolgozót köt be.
5. Adatvédelmi tisztviselő kinevezése — mikor és hogyan
Mikor kötelező adatvédelmi tisztviselőt kinevezni?
Az RGPD 37. cikke három esetben írja elő adatvédelmi tisztviselő (Encarregado de Proteção de Dados — EPD) kinevezését: (a) közhatóságok esetén (a bíróságok kivételével); (b) ha a fő tevékenység rendszeres és szisztematikus, nagy léptékű megfigyelés; (c) ha a fő tevékenység különleges adatkategóriák vagy bűnügyi adatok nagy léptékű kezelése. A portugál e-kereskedelemben a gyakorlati kiváltó ok jellemzően a (b) pont. Az EDPB iránymutatásai (WP 243 rev.01, amelyet a CNPD is jóváhagyott) tisztázzák, hogy a „fő tevékenység” nem foglalja magában a kiegészítő funkciókat, például a bérszámfejtést; a „nagy lépték” pedig kontextusfüggő (érintettek száma, adatmennyiség, időtartam, földrajzi kiterjedés).
Gyakorlati kiváltó példák
Valós küszöbértékek, ahol az adatvédelmi tisztviselő kinevezése erősen ajánlott vagy kötelező:
- 10 000+ ügyfél a CRM-ben, viselkedés alapú szegmentálással
- Élő retargeting a Metán, a Google Ads-en és a TikTokon, eszközök közötti egyeztetéssel
- Hűségprogram, amely csatornákon és időn átívelően követi a tranzakciós előzményeket
- Piactér-üzemeltető, amely egyszerre kezeli az eladók és a vevők adatait
- Egészségügyi, szépségápolási vagy gyógyszertári e-kereskedelem, amely az RGPD 9. cikke szerinti egészségügyi adatnak minősülő adatokat kezel
- Gyermektermékeket árusító bolt, amely 13 év alattiaknak szóló szülői hozzájárulási folyamatokat futtat
Mit csinál az adatvédelmi tisztviselő
Az RGPD 38–39. cikke határozza meg az adatvédelmi tisztviselő feladatait és védelmét:
- Tájékoztatja és tanácsolja az adatkezelőt, az adatfeldolgozót és az alkalmazottakat kötelezettségeikről
- Ellenőrzi a megfelelést az RGPD-vel, a Lei 58/2019-cel és a belső szabályzatokkal, beleértve a képzést is
- Tanácsot ad az adatvédelmi hatásvizsgálatokhoz (DPIA), ha a 35. cikk azt kiváltja
- Együttműködik a CNPD-vel mint a felügyeleti hatósággal való kapcsolattartó
- Függetlenség — feladatai ellátása során nem utasítható, és e feladatok ellátása miatt nem bocsátható el (38. cikk (3) bekezdés)
- Összeférhetetlenség tilalma — az adatvédelmi tisztviselő nem lehet vezérigazgató, marketingigazgató, informatikai igazgató vagy HR-vezető
Belső vagy külső adatvédelmi tisztviselő + CNPD-bejelentés
Az adatvédelmi tisztviselő lehet alkalmazott vagy szerződött szolgáltató. Portugál kkv-k esetében a külső, szolgáltatásként igénybe vett adatvédelmi tisztviselő jellemzően havi 350–1500 euróba kerül, a komplexitástól függően. Az RGPD 37. cikk (7) bekezdése kötelezi az adatkezelőt, hogy közzétegye az adatvédelmi tisztviselő elérhetőségét, és online űrlapon keresztül bejelentse a CNPD-nek, minden változást 30 napon belül frissítve. A bejelentés elmulasztása eljárási jogsértés, amely akár 10 millió euróig vagy az árbevétel 2%-áig bírságolható.
👤 Adatvédelmi tisztviselő szolgáltatásként portugál kereskedőknek
A Zunapro portugál RGPD-szakértőkkel együttműködve havi 350 eurótól kínál külső adatvédelmi tisztviselői szolgáltatást — CNPD-bejelentés, DPIA-támogatás, incidenskezelési terv és negyedéves megfelelőségi ellenőrzés is jár hozzá.
6. Érintetti jogok — működési SLA
A portugál érintettek nyolc joga
Az RGPD III. fejezete minden természetes személynek (legyen szó ügyfélről, érdeklődőről, beszállítói kapcsolattartóról vagy alkalmazottról) kikényszeríthető jogokat biztosít:
- Tájékoztatáshoz való jog (13–14. cikk) — az adatvédelmi tájékoztatón és a gyűjtési tájékoztatókon keresztül gyakorolható
- Hozzáférési jog (15. cikk) — megerősítés arról, hogy adatkezelés folyik, valamint az adatok és az adatkezelés körülményeinek másolata
- Helyesbítéshez való jog (16. cikk) — pontatlan vagy hiányos adatok javítása
- Törléshez való jog (17. cikk, „elfeledtetéshez való jog”) — törlés, ha a hat feltétel valamelyike fennáll
- Az adatkezelés korlátozásához való jog (18. cikk) — ideiglenes „lefagyasztás” az ellenőrzésig
- Adathordozhatósághoz való jog (20. cikk) — az érintett által megadott adatok géppel olvasható formátumú exportja
- Tiltakozáshoz való jog (21. cikk) — feltétlen a közvetlen üzletszerzéssel szemben; egyéb adatkezelés esetén mérlegelési teszt
- Jog ahhoz, hogy ne vessék alá kizárólag automatizált döntéshozatalnak (22. cikk) — ideértve a jogi vagy hasonlóan jelentős hatással járó profilalkotást is
Válaszadási határidő — RGPD 12. cikk (3) bekezdés
Az adatkezelőknek 30 napon belül kell válaszolniuk, ami összetettség vagy nagy adatmennyiség esetén két hónappal meghosszabbítható — a hosszabbítást az első hónapon belül, indokolással együtt kell közölni. A több piactéren, több ezer rekordot kezelő portugál e-kereskedelmi vállalkozások számára ez az SLA működési szempontból megterhelő. A legtöbb mulasztás a Shopify, az Amazon Seller Central, a Worten Marketplace, az e-mail és a könyvelőszoftver között szétszórt adatokból ered. Egy központosított ügyféladat-nyilvántartás, mint amilyet a Zunapro is kínál, napokról percekre csökkenti a 15. cikk szerinti válaszidőt.
Személyazonosság-ellenőrzés és elutasítás
Az RGPD 12. cikk (6) bekezdése csak akkor engedélyezi a további személyazonosság-ellenőrzést, ha ésszerű kétség merül fel. Bevett gyakorlat: az e-mail-cím ellenőrzése a nyilvántartásban, opcionálisan egy kitakart személyazonosító okmány bekérése. Az elutasítás csak akkor megengedett, ha a kérelem nyilvánvalóan megalapozatlan vagy túlzó; ezt az adatkezelőnek kell bizonyítania, és alternatívaként ésszerű díjat számíthat fel.
Törléshez való jog vs. jogszabályi megőrzési kötelezettség
Gyakori működési feszültség: az ügyfél a 17. cikk alapján törlést kér, de az adatkezelőnek 10 évig meg kell őriznie a számlákat (Código do IVA 52. cikk) és 10 évig a könyvviteli nyilvántartásokat (Código Comercial 40. cikk). Az RGPD 17. cikk (3) bekezdés b) pontja ezt feloldja — a törlés nem alkalmazandó a jogi kötelezettség teljesítéséhez kezelt adatokra. Gyakorlati megoldás: a marketing- és viselkedési adatok anonimizálása, a számlázási/könyvelési adatok zárolt, korlátozott hozzáférésű archívumban való megőrzése, valamint az ügyfél írásbeli tájékoztatása arról, hogy mit töröltek és mit őriztek meg.
Működési tipp: alakítson ki olyan érintetti kérelem-munkafolyamatot, amely ellenőrzésre kész nyilvántartást hoz létre: a beérkezés időbélyege, személyazonosság-ellenőrzés, a keresés hatóköre, az exportált adatok, az alkalmazott kitakarások, a válasz kézbesítése. A CNPD bármely, panasz alapján indított ellenőrzés során ezt a nyomvonalat fogja kérni. A Zunapro érintettikérelem-munkafolyamata →
7. Személyesadat-incidens — a 72 órás bejelentési határidő
Mi számít incidensnek
Az RGPD 4. cikk (12) bekezdése úgy határozza meg a személyesadat-incidenst, mint „a biztonság olyan sérülését, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi”. A gyakorlatban három kategória fedi egymást:
- Bizalmassági incidens — jogosulatlan közlés vagy hozzáférés (adatszivárgás, hackertámadás általi kiszivárgás, tévesen elküldött e-mail)
- Integritási incidens — az adatok jogosulatlan megváltoztatása (adatbázis-manipuláció, zsarolóvírus általi titkosítás)
- Rendelkezésre állási incidens — az adatokhoz való hozzáférés elvesztése (zsarolóvírus általi zárolás helyreállítás nélkül, szerver megsemmisülése)
Bejelentés a CNPD-nek — 33. cikk
Incidens bekövetkezésekor az adatkezelőnek a tudomásszerzéstől számított 72 órán belül be kell jelentenie a CNPD-nek, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. A bejelentésnek tartalmaznia kell:
- Az incidens jellegét, beleértve — ahol lehetséges — az érintett kategóriák és az érintett személyek, valamint rekordok hozzávetőleges számát
- Az adatvédelmi tisztviselő vagy más kapcsolattartó nevét és elérhetőségét
- Az incidens valószínű következményeit
- Az incidens kezelésére és a lehetséges hátrányos hatások enyhítésére hozott vagy javasolt intézkedéseket
Ha a teljes információ nem áll rendelkezésre 72 órán belül, részleges bejelentés is elfogadható, a fennmaradó rész indokolatlan késedelem nélküli közlésével. A CNPD online incidensbejelentő űrlapja lehetővé teszi a fokozatos frissítést — a kezdeti beadvány lehet egy tartalmi előzetes bejelentés, amelyet napokon belül részletes frissítések követnek.
Bejelentés az érintetteknek — 34. cikk
Ha az incidens várhatóan magas kockázattal jár a jogokra és szabadságokra nézve, az adatkezelőnek indokolatlan késedelem nélkül tájékoztatnia kell az érintetteket is, közérthető portugál nyelven, konkrétan leírva az incidenst, az adatvédelmi tisztviselő elérhetőségét, a következményeket és az enyhítő intézkedéseket. Három, a 34. cikk (3) bekezdése szerinti kivétel mentesít a közvetlen tájékoztatás alól: az adatok titkosítva voltak, és a kulcsok nem kerültek veszélybe, a későbbi intézkedések megszüntették a magas kockázatot, vagy a tájékoztatás aránytalan erőfeszítést igényelne (ez utóbbi esetben nyilvános közlemény szükséges helyette).
Belső incidensnyilvántartás és 2026-os akcióterv
Az RGPD 33. cikk (5) bekezdése minden személyesadat-incidens dokumentálását előírja (még azokét is, amelyek alacsony kockázatúak és nem igényeltek bejelentést): a tudomásszerzés időbélyege, az észlelés forrása, besorolás, hatókör, az érintett kategóriák és személyek száma, kockázatértékelés, a bejelentési döntés és időbélyegei, helyreállítás, gyökérokelemzés, levont tanulságok. Egy működőképes 72 órás akcióterv:
- 0. óra — észlelés — riasztás, azonnali triázs, hatókör meghatározása
- 0–4. óra — elhárítás — hozzáférések visszavonása, rendszerek izolálása, kriminalisztikai bizonyítékok megőrzése
- 4–24. óra — kockázatértékelés — az elemzést az adatvédelmi tisztviselő vezeti, bejelentési döntés
- 24–48. óra — előzetes CNPD-bejelentés a cnpd.pt űrlapon (előzetes bejelentés is elfogadható)
- 48–72. óra — teljes bejelentés, döntés a 34. cikk szerinti érintetti tájékoztatásról
- 3–7. nap — érintetti tájékoztatás, ha szükséges (e-mail és nyilvános közlemény)
- 7. nap után — levont tanulságok, nyilvántartás frissítése, CNPD-utánkövetés
Az óra a „tudomásszerzéssel”, nem a „bekövetkezéssel” indul el. Egy hetekkel korábban bekövetkezett, de csak ma észlelt incidens esetében a 72 órás határidő az észleléstől számít. Fordítva, önmagában az a gyanú, hogy „valami hiba lehet”, még nem minősül tudomásszerzésnek — az óra csak akkor indul el, amikor ésszerű bizonyossággal megállapítható, hogy incidens történt. A Zunapro incidensészlelése és 72 órás akcióterve →
8. Harmadik országba irányuló adattovábbítás — SCC-k a Schrems II ítélet után
A Schrems II földrengés
2020. július 16-án az Európai Unió Bírósága meghozta a Schrems II ítéletet (C-311/18), amellyel érvénytelenítette az EU–USA Privacy Shield keretrendszert, amely addig nagyjából 5000 transzatlanti adatáramlást szabályozott. A bíróság megerősítette az általános szerződési feltételek (SCC) érvényességét, de egy kritikus feltételt is hozzátett: az adatkezelőnek ellenőriznie kell, hogy a célország jogszabályi és gyakorlati háttere lényegében egyenértékű védelmet nyújt-e az RGPD-vel; ha nem, kiegészítő intézkedéseket kell bevezetni, vagy le kell állítani az adattovábbítást.
A 2026-os adattovábbítási eszköztár
Az RGPD V. fejezete öt mechanizmust ismer, amelyek jogszerűen engedélyezhetik az EGT-n kívüli adattovábbítást:
- 45. cikk — megfelelőségi határozat — jelenleg: Andorra, Argentína, Kanada (kereskedelmi célra), Feröer-szigetek, Guernsey, Izrael, Man-sziget, Japán, Jersey, Új-Zéland, Dél-Korea, Svájc, Egyesült Királyság, Uruguay. Izland, Liechtenstein és Norvégia az EGT részének minősül.
- 46. cikk — megfelelő garanciák — SCC-k, kötelező erejű vállalati szabályok (BCR), jóváhagyott magatartási kódexek, tanúsítványok.
- 47. cikk — kötelező erejű vállalati szabályok — vállalatcsoporton belül, a vezető adatvédelmi hatóság és az EDPB jóváhagyásával.
- 49. cikk — eltérések — kifejezett hozzájárulás (csak alkalmi jelleggel), szerződéses szükségesség, közérdek/létfontosságú érdek. Rendszeres üzleti tevékenységhez nem alkalmazható.
- EU–USA adatvédelmi keretrendszer (DPF) — hatályos 2023. július 10. óta, a Privacy Shieldet váltva fel. Az önminősítéssel tanúsított amerikai importőrök (AWS, Google, Microsoft, Meta, Salesforce, HubSpot, Mailchimp, Stripe, Shopify) 45. cikk szerinti megfelelőségi státuszt kapnak.
A 2021-es uniós SCC-k és az adattovábbítási hatásvizsgálat
A Bizottság 2021-es SCC-i (2021/914 végrehajtási határozat) moduláris felépítésűek, négy forgatókönyvvel: adatkezelő→adatkezelő, adatkezelő→adatfeldolgozó, adatfeldolgozó→adatfeldolgozó, adatfeldolgozó→adatkezelő. A régi, 2010-es SCC-ket 2021. szeptember 27-től új szerződések esetén, 2022. december 27-től pedig minden szerződés esetén hatályon kívül helyezték — bármely 2010-es SCC 2026-ban érvénytelen, és azonnal migrálni kell.
A Schrems II ítéletet és az EDPB 01/2020 ajánlásait követve az adatkezelőknek adattovábbítási hatásvizsgálatot (TIA) kell készíteniük minden nem megfelelőségi határozat alá tartozó adattovábbításhoz: az adattovábbítás feltérképezése, a mechanizmus (SCC/BCR/DPF), a harmadik ország kormányzati hozzáférési jogszabályainak vizsgálata (az USA-ban például a FISA 702. szakasza), kiegészítő intézkedések (nyugalmi állapotú titkosítás uniós kulcsokkal, álnevesítés), a lényegében egyenértékű védelemre vonatkozó következtetés. A CNPD nem követeli meg a TIA előzetes benyújtását, de bármely, EGT-n kívüli adatfeldolgozókat érintő ellenőrzés során bekérheti.
Gyakorlati 2026-os eszközkészlet
- Felhő (AWS / GCP / Azure) — DPF-tanúsított és uniós régiók; preferálja az uniós régiókat, dokumentálja a DPF-et tartalék megoldásként
- E-mail (Mailchimp, SendGrid) — DPF-tanúsított; az uniós alternatívák, mint a Brevo, gyakran előnyösebbek
- Analitika (GA4) — DPF-tanúsított + Consent Mode v2 + IP-anonimizálás
- Ügyfélszolgálat (Zendesk, Intercom) — DPF + elérhető uniós adathelyi kiegészítők
- Piactér API-k (Amazon SP-API) — uniós útvonalon, európai eladói fiókok esetén
🌍 Alapértelmezett uniós adathelyi rezidencia
A Zunapro minden portugál ügyféladatot uniós régiókban tárol (Frankfurt + Lisszabon tartalékként), a kizárólag amerikai al-adatfeldolgozók esetében DPF-tanúsított tartalékkal. Az Ön eszközkészletéhez előre kitöltött TIA-sablonok állnak rendelkezésre.
9. CNPD-bírságok — akár 20 millió euróig vagy a globális árbevétel 4%-áig
Az RGPD 83. cikke szerinti fokozatos szankciók
Az RGPD 83. cikke két bírságsávot határoz meg, és a CNPD a fix felső határ vagy az árbevétel-százalék közül a magasabbat szabhatja ki:
| Sáv | Maximális bírság | Érintett jogsértések |
|---|---|---|
| 1. sáv (83. cikk (4) bekezdés) | 10 M € vagy a globális éves árbevétel 2%-a | Nyilvántartás (30. cikk), biztonság (32. cikk), incidensbejelentés (33–34. cikk), adatvédelmi tisztviselő kinevezése (37–39. cikk), adatvédelmi hatásvizsgálat (35–36. cikk), gyermekek hozzájárulása (8. cikk), tanúsítás, magatartási kódexek |
| 2. sáv (83. cikk (5) bekezdés) | 20 M € vagy a globális éves árbevétel 4%-a | Jogalap (5–6. cikk), hozzájárulás feltételei (7. cikk), különleges adatkategóriák (9. cikk), érintetti jogok (12–22. cikk), nemzetközi adattovábbítás (44–49. cikk), a CNPD utasításainak be nem tartása |
| Lei 58/2019 | Portugál sajátosságú közigazgatási szabálysértések | Az LPDP 37–50. cikke további, kifejezetten portugál ügyekre vonatkozó bírságokat ad hozzá (táblák nélküli kamerás megfigyelés, az újságírói mentesség megsértése stb.) |
Hogyan számítja ki a CNPD a bírságot
A CNPD az RGPD 83. cikk (2) bekezdése szerinti tényezőket mérlegeli: a jogsértés jellege, súlyossága és időtartama; szándékos vagy gondatlan jelleg; enyhítő intézkedések; technikai és szervezési intézkedések; korábbi jogsértések; együttműködés a CNPD-vel; az érintett adatok kategóriái; a jogsértés tudomásra jutásának módja; magatartási kódexekhez való igazodás; a szerzett pénzügyi előnyök vagy elkerült veszteségek.
A CNPD nevezetes bírságai — múltbeli gyakorlat
- 4,3 millió € — INE (Instituto Nacional de Estatística, 2021) — népszámlálási adatok továbbítása amerikai al-adatfeldolgozónak a 46. cikk szerinti garanciák nélkül; a valaha kiszabott legnagyobb portugál RGPD-bírság
- 1,25 millió € — Hospital do Barreiro (2018) — klinikai adatokhoz való túlzott hozzáférés; az egészségügy a CNPD kiemelt ágazata
- 400 ezer € — Câmara Municipal de Lisboa (2021) — tüntetésszervezők személyes adatainak kiszivárogtatása
- 170 ezer € — Banco Santander Totta (2021) — az érintetti kérelmekre adott nem megfelelő válasz
- Számos 10–75 ezer eurós kkv-bírság cookie-sávok, hiányzó adatvédelmi tisztviselői elérhetőség és késedelmes incidensbejelentés miatt
A bírságon túl — polgári jogi felelősség
Az RGPD 82. cikke kártérítéshez való jogot biztosít az érintetteknek vagyoni vagy nem vagyoni kár esetén. A portugál bíróságok már ítéltek meg 500–5000 euró közötti nem vagyoni kártérítést érintettenként (szorongás, kontrollvesztés miatt) — több ezer érintettre vetítve a polgári jogi felelősség messze meghaladhatja a közigazgatási bírságot. A CNPD-határozatok sajtóvisszhangja következetes és jelentős hírnévkárt okoz, különösen a fogyasztói (B2C) márkák számára.
💼 Kiberbiztonsági és RGPD-biztosítási ajánlások
A legtöbb portugál kereskedelmi biztosító ma már kínál dedikált kiber-RGPD kötvényeket, amelyek fedezik a CNPD-bírságokat (ahol biztosítható), a 82. cikk szerinti polgári jogi felelősséget és az incidenskezelési költségeket. A Zunapro ellenőrzött közvetítői listát tesz közzé.
10. A 2026-os portugál e-kereskedelmi RGPD megfelelőségi ellenőrzőlista
A szabályozás működési gyakorlattá alakításának leghasznosabb eszköze egy konkrét ellenőrzőlista. Az alábbi lista összefoglalja az útmutatóban tárgyalt minden gyakorlati teendőt, a jogérvényesítési kockázat szerint rendezve.
Irányítás és dokumentáció
- Nevezzen ki adatvédelmi tisztviselőt, ha a 37. cikk szerinti feltételek fennállnak, és jelentse be a CNPD-nek
- Vezessen adatkezelési tevékenységek nyilvántartását (ROPA, 30. cikk), amely minden célt, jogalapot, kategóriát, megőrzési időt, címzettet és adattovábbítást lefed
- Végezzen adatvédelmi hatásvizsgálatot (DPIA, 35. cikk) magas kockázatú adatkezelés esetén
- Kössön 28. cikk szerinti adatfeldolgozási megállapodásokat minden adatfeldolgozóval (felhő, e-mail, analitika, piacterek, fizetés, futárok)
- Dokumentáljon adattovábbítási hatásvizsgálatokat (TIA) minden EGT-n kívüli adattovábbításhoz
- Vezessen belső incidensnyilvántartást (33. cikk (5) bekezdés)
Ügyfélszempontú elemek
- Tegyen közzé portugál nyelvű adatvédelmi tájékoztatót, amely a 13/14. cikk minden elemét lefedi, rétegzett és verziózott formában
- Telepítsen CNPD-kompatibilis cookie-sávot — szimmetrikus Elfogadás/Elutasítás, alapértelmezetten kikapcsolt, részletes kategóriák, állandó visszavonási lehetőség
- Jelenítsen meg gyűjtési tájékoztatót minden űrlapnál (regisztráció, fizetés, hírlevél, értékelés)
- Biztosítson egyszerű érintettikérelem-csatornát — e-mail és/vagy webes űrlap, 30 napos válaszidővel
- Azonnal tartsa tiszteletben a közvetlen üzletszerzés elleni tiltakozást (a 21. cikk (3) bekezdése feltétlen)
Technikai és szervezési intézkedések
- Vezesse be a 32. cikk szerinti biztonsági intézkedéseket — titkosítás nyugalmi állapotban és továbbítás közben, hozzáférés-szabályozás, MFA az adminisztrátori felületeken, sebezhetőségi vizsgálatok
- Alkalmazza a beépített adattakarékosságot (25. cikk)
- Érvényesítse a megőrzési szabályzatokat automatizált törléssel
- Álnevesítse vagy anonimizálja az adatokat, ahol lehetséges, különösen az analitikában
- Évente tesztelje a 72 órás incidensakciótervet asztali gyakorlattal
- Képezze a személyes adatokat kezelő munkatársakat — legalább évenkénti frissítő képzéssel
Negyedéves megfelelőségi ellenőrzés
Végezzen strukturált negyedéves ellenőrzést, amely kiterjed a következőkre: a ROPA frissessége a csatlakoztatott adatfeldolgozókhoz képest; az adatvédelmi tájékoztató verziója a jelenlegi adatkezelési gyakorlathoz képest; a cookie-sáv szkriptlistája a deklarált kategóriákhoz képest; érintettikérelem-napló (darabszám, válaszidő, késedelmi okok); incidensnyilvántartás (esetek, gyökérokok, helyreállítás); 28. cikk szerinti DPA-leltár; TIA-leltár; munkatársi képzési napló; az adatvédelmi tisztviselő tevékenységi naplója (tanácsadás, DPIA-k, CNPD-kapcsolattartás).
Központosítsa portugál RGPD-megfelelőségét egyetlen panelen
A Zunapro egyetlen csomagban kínálja az összes RGPD-követelményt — cookie-hozzájárulási sáv, ROPA, 28. cikk szerinti adatfeldolgozási megállapodások, érintettikérelem-munkafolyamat, incidenskezelési terv, TIA-sablonok és CNPD-formátumú adatvédelmi tisztviselői nyilvántartás — az Amazon, a Worten, a Fnac és a Continente piactér-integrációi mellett. A megfelelőség infrastruktúra, nem utólagos gondolat.
RGPD-megfelelőség aktiválása →Portugál RGPD GYIK 2026
Mi az RGPD, és hogyan viszonyul a GDPR-hoz?
Az RGPD (Regulamento Geral de Proteção de Dados) egyszerűen az Európai Unió általános adatvédelmi rendeletének (2016/679, GDPR) portugál nyelvű elnevezése. Szó szerint ugyanarról a rendeletről van szó, csak a nyelvi elnevezés különbözik.
Portugáliában az RGPD-t kiegészíti a Lei n.º 58/2019 (LPDP — Lei de Proteção de Dados Pessoais), a 2019. augusztus 8-án kihirdetett nemzeti végrehajtási törvény, amelynek betartatását a CNPD (Comissão Nacional de Proteção de Dados), a portugál felügyeleti hatóság végzi.
Ki a CNPD, és milyen jogkörökkel rendelkezik?
A CNPD (Comissão Nacional de Proteção de Dados) Portugália független adatvédelmi hatósága, amelyet a Lei n.º 10/91 hozott létre — így az EU egyik legrégebbi adatvédelmi hatósága. Hét tagból áll, az Assembleia da República felügyelete alatt.
A CNPD panaszokat vizsgál, ellenőrzi az adatkezelőket és adatfeldolgozókat, kötelező erejű határozatokat hoz, és súlyos RGPD-jogsértések esetén akár 20 millió eurós vagy a globális éves árbevétel 4%-át kitevő közigazgatási bírságot szabhat ki. Székhelye a lisszaboni Avenida D. Carlos I, n.º 134 szám alatt található.
Kötelező-e cookie-hozzájárulási sáv Portugáliában?
Igen. Az uniós 2002/58/EK ePrivacy irányelv 5. cikk (3) bekezdése, amelyet a Lei n.º 41/2004 ültetett át, előírja az opt-in hozzájárulást bármely nem alapvető cookie elhelyezése előtt. A CNPD 2019/494 iránymutatása (2022-ben frissítve) részletezi a követelményeket: szimmetrikus Elfogadás/Elutasítás, alapértelmezetten kikapcsolt, részletes kategóriák, cookie-falak tilalma, nincs „böngészés folytatása egyenlő hozzájárulással”.
Csak a feltétlenül szükséges cookie-k (munkamenet, kosár, CSRF, nyelvi beállítás, maga a hozzájárulás-tárolás) mentesülnek a hozzájárulási kötelezettség alól. Minden más — Google Analytics, Meta Pixel, TikTok Pixel, retargeting, beágyazott harmadik féltől származó tartalom — kifejezett, előzetes hozzájárulást igényel.
Mikor köteles egy portugál e-kereskedelmi oldal adatvédelmi tisztviselőt kinevezni?
Az RGPD 37. cikke kötelezővé teszi az adatvédelmi tisztviselő (Encarregado de Proteção de Dados — EPD) kinevezését, ha: (a) a fő tevékenység egyének nagy léptékű, rendszeres megfigyelését jelenti (viselkedéskövetés, profilalkotás, retargeting); (b) a fő tevékenység különleges adatkategóriák nagy léptékű kezelését jelenti (egészségügyi, biometrikus, faji eredetre vonatkozó adatok); vagy (c) az adatkezelő közintézmény.
A retargetinget, programozott hirdetéseket, hűségprofil-alkotást futtató, vagy 10 000+ ügyféladatot kezelő közepes és nagy portugál e-kereskedelmi szereplők jellemzően ebbe a körbe tartoznak, és kötelesek adatvédelmi tisztviselőt kinevezni, majd elérhetőségét bejelenteni a CNPD-nek. Külső, szolgáltatásként igénybe vehető adatvédelmi tisztviselő már havi 350 eurótól elérhető.
Milyen jogok illetik meg a portugál fogyasztókat az RGPD alapján?
Az RGPD 15–22. cikke nyolc jogot biztosít az érintetteknek: hozzáférés, helyesbítés, törlés („elfeledtetéshez való jog”), az adatkezelés korlátozása, adathordozhatóság géppel olvasható formátumban, tiltakozás az adatkezelés ellen (feltétlen a közvetlen üzletszerzéssel szemben), valamint a jog ahhoz, hogy ne vessék alá kizárólag automatizált, jogi hatással járó döntéshozatalnak.
Az adatkezelőknek 30 napon belül kell válaszolniuk, ami bonyolult kérelmek esetén 60 nappal meghosszabbítható. A válaszadás díjmentes, kivéve, ha a kérelem nyilvánvalóan megalapozatlan vagy túlzó. Az elutasítást indokolni kell, és a CNPD-nél megfellebbezhető.
Mi a 72 órás incidensbejelentési szabály?
Az RGPD 33. cikke előírja, hogy az adatkezelők a személyesadat-incidensről való tudomásszerzéstől számított 72 órán belül jelentsék be azt a CNPD-nek, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal az érintettek jogaira és szabadságaira nézve. A CNPD online bejelentő űrlapot biztosít a cnpd.pt oldalon.
Ha az incidens várhatóan magas kockázattal jár, a 34. cikk az érintettek közvetlen, indokolatlan késedelem nélküli tájékoztatását is előírja. A 72 órán belüli bejelentés elmulasztása önmagában is bírságolható RGPD-jogsértés (akár 10 millió euróig vagy az árbevétel 2%-áig). Az óra a tudomásszerzéssel, nem a bekövetkezéssel indul el.
Hogyan kezeli Portugália a harmadik országba irányuló adattovábbítást a Schrems II ítélet után?
Az Európai Unió Bíróságának Schrems II ítélete (C-311/18, 2020. július) nyomán a személyes adatok EGT-n kívüli továbbítása az RGPD 46. cikke szerinti garanciát igényel. A portugál e-kereskedelemben az alapértelmezett mechanizmus a 2021-es uniós általános szerződési feltételek (2021/914 végrehajtási határozat).
Az Egyesült Államokba irányuló adattovábbítás a tanúsított importőrök — AWS, Google, Microsoft, Meta, Salesforce, HubSpot és mások — esetében az EU–USA adatvédelmi keretrendszerre (DPF, hatályos 2023 júliusa óta) is támaszkodhat. A CNPD elvárja az adatkezelőktől, hogy minden EGT-n kívüli adattovábbításhoz dokumentáljanak egy adattovábbítási hatásvizsgálatot (TIA).
Mekkora a CNPD maximális bírsága az RGPD alapján?
Az RGPD 83. cikke két sávot határoz meg: akár 10 millió euró vagy a globális éves árbevétel 2%-a eljárási jogsértésekért (nyilvántartás, biztonság, incidensbejelentés, adatvédelmi tisztviselő), és akár 20 millió euró vagy a globális éves árbevétel 4%-a tartalmi jogsértésekért (jogalap, hozzájárulás, érintetti jogok, nemzetközi adattovábbítás). A felső korlát vagy a százalékos érték közül a magasabb alkalmazandó.
A CNPD már szabott ki több milliós bírságot, köztük 4,3 millió eurót az INE (Instituto Nacional de Estatística) számára 2021-ben, garanciák nélküli amerikai adattovábbítás miatt, 1,25 millió eurót a Hospital do Barreiro számára, valamint számos kkv-bírságot cookie-sávok és érintettikérelem-kezelés miatt.
Szükségem van írásos adatvédelmi tájékoztatóra a portugál e-kereskedelmi oldalamon?
Igen. Az RGPD 12., 13. és 14. cikke előírja, hogy az adatkezelők átfogó tájékoztatást nyújtsanak az érintetteknek az adatkezelésről — az adatkezelő és az adatvédelmi tisztviselő kiléte, a célok és jogalapok, a címzettek, a nemzetközi adattovábbítás célországai, a megőrzési idők, valamint az érintetti jogok, beleértve a CNPD-hez való panasztételi jogot.
Az adatvédelmi tájékoztatónak egyértelmű, közérthető portugál nyelvűnek kell lennie (a Lei 58/2019 2. cikke megerősíti a nyelvi követelményt), el kell különülnie a felhasználási feltételektől, minden oldalról könnyen elérhetőnek kell lennie (jellemzően lábléc-linkkel), és frissíteni kell, amikor új adatfeldolgozót vonnak be, vagy új célt adnak hozzá. Az általános, másolt sablonok rendszeresen elbuknak a CNPD-ellenőrzéseken.
Meddig kell megőriznem az ügyféladatokat az RGPD alapján?
Az RGPD megköveteli az adattakarékosságot és a korlátozott tárolhatóságot (5. cikk (1) bekezdés c)–e) pont). A portugál e-kereskedelemben a megőrzési idők rétegzettek: számlázási adatok 10 évig (Código do IVA 52. cikk); számviteli nyilvántartások 10 évig (Código Comercial 40. cikk); marketinghozzájárulás a hozzájárulás fennállásáig, de rendszeresen újra kell igazolni; webanalitikai adatok jellemzően 14–26 hónapig; a CCTV-felvételek legfeljebb 30 napig (CNPD 7680/2014 határozat).
Minden kategóriát dokumentálni kell az adatkezelési tevékenységek nyilvántartásában (RGPD 30. cikk), és fel kell tüntetni az adatvédelmi tájékoztatóban. A 17. cikk szerinti törlés nem írja felül a jogszabályi megőrzési kötelezettségeket — a számlákat törlés helyett zárolt archívumban kell megőrizni.
Legális a Google Analytics használata Portugáliában 2026-ban?
Igen, megfelelő garanciák mellett. A Schrems II ítélet után több uniós adatvédelmi hatóság (Ausztria, Franciaország, Olaszország) jogellenesnek minősítette a szokásos GA3-implementációkat. A Google Analytics 4 (GA4) az EU–USA adatvédelmi keretrendszer tanúsítványával (érvényes 2023 júliusa óta) és az IP-cím anonimizálásával együtt ma védhető megoldást jelent Portugáliában — a CNPD nem tiltotta be a GA4-et.
Ajánlott gyakorlat: a GA4 telepítése Consent Mode v2 móddal, bekapcsolt IP-anonimizálással, kikapcsolt Google Signals funkcióval (ahol nem feltétlenül szükséges), valamint dokumentált adattovábbítási hatásvizsgálattal. A GTM SS szerveroldali címkézés uniós régióban tovább csökkenti az adattovábbítási kockázatot. A kizárólag uniós alternatívák, mint a Plausible és a Matomo, teljesen kiküszöbölik a problémát.
Mi a különbség adatkezelő és adatfeldolgozó között?
Az RGPD 4. cikke szerint: az adatkezelő (responsável pelo tratamento) határozza meg az adatkezelés célját és eszközeit — jellemzően maga az e-kereskedelmi vállalkozás. Az adatfeldolgozó (subcontratante) az adatkezelő nevében, dokumentált utasítások alapján kezeli az adatokat — jellemzően olyan beszállítók, mint a felhőszolgáltatók, az e-mail szolgáltatók, a piacterek és a fizetési szolgáltatók.
Az RGPD 28. cikke minden adatkezelési tevékenységhez írásos adatfeldolgozási megállapodást (DPA) ír elő az adatkezelő és az adatfeldolgozó között. Az olyan piacterek, mint az Amazon, és a nagyobb SaaS-szolgáltatók szabványos DPA-kat tesznek közzé; a kisebb portugál kereskedőknek gyakran testre szabott, portugál nyelvű DPA-ra van szükségük. Mind az adatkezelőt, mind az adatfeldolgozót érintheti az RGPD 83. cikke szerinti bírság megfelelés hiánya esetén.
Használhatom a jogos érdek jogalapot a hozzájárulás helyett?
Néha igen. Az RGPD 6. cikk (1) bekezdés f) pontja csak egy dokumentált, háromlépéses mérlegelési teszt után teszi lehetővé a jogos érdeken alapuló adatkezelést: (1) az érdek jogos; (2) az adatkezelés szükséges; (3) az érdeket nem írja felül az érintett joga.
Ez működik csalás elleni védelemre, belső adminisztrációra, hálózati biztonságra, valamint bizonyos B2B közvetlen üzletszerzésre. Cookie-kra/nyomkövetőkre nem alkalmazható (az ePrivacy elsőbbséget élvez), sem különleges adatkategóriákra, sem a tiltakozókkal szembeni marketingre. A mérlegelési tesztet dokumentálni kell a ROPA-ban.
Mi történik, ha egy ügyfél panaszt tesz a CNPD-nél?
A CNPD ügyet nyit, felveszi a kapcsolatot az adatkezelővel írásbeli észrevételek beszerzése végett (jellemzően 10–20 munkanapon belül), dokumentációt kérhet (ROPA, adatvédelmi tájékoztató, érintettikérelem-napló, incidensnyilvántartás, DPA-k), és írásbeli vagy helyszíni vizsgálatot folytat. Az eljárás elutasítással, figyelmeztetéssel, korrekciós intézkedéssel vagy közigazgatási bírsággal zárul.
Az együttműködés és a bizonyítható megfelelőségi gyakorlat jelentősen csökkenti a bírság valószínűségét. A Zunapro RGPD Konzolja igény szerint minden szabványos dokumentációt CNPD-kompatibilis, portugál nyelvű formátumban állít elő.
Tegye RGPD-kompatibilissé portugál e-kereskedelmi vállalkozását egyetlen kattintással
CNPD-kompatibilis cookie-hozzájárulási sáv · portugál nyelvű adatvédelmi tájékoztató · ROPA · 28. cikk szerinti adatfeldolgozási megállapodások · érintettikérelem-munkafolyamat · 72 órás incidenskezelési terv · TIA-sablonok · adatvédelmi tisztviselői kapcsolattartó kártya. Minden portugál piactér-integrációba beépítve a Zunaprón. Nincs szükség jogtechnológiai bemutatóra, nincsenek hosszú távú szerződések.
🛡️ RGPD-megfelelőség aktiválása →Segítségre van szüksége?
Kapcsolódó szolgáltatás: Cégalapítás