GDPR: Az EU új adatvédelmi rendelete webáruházak számára
5
A GDPR (General Data Protection Regulation) az EU adatvédelmi rendelete, amely 2018. május 25-től jelentősen megváltoztatja az adatkezelési szabályokat az egész világon.
Szeretné, ha új webáruháza megfelelne a GDPR szabályoknak? Készíttesse velünk webáruházát!
Kire vonatkozik a GDPR?
Annak ellenére, hogy csak EU-s szabályozás, minden olyan cégre, honlapra vonatkozni fog, amely kezeli EU-s állampolgárok adatait, tehát az Unión kívüli cégekre is ilyen esetekben.
Webáruházak esetén azt kell meghatározni, hogy az EU-ban tartózkodó magánszemélyek a célközönség közé tartoznak-e? Ezt minden egyes webshopra külön lehet meghatározni, de a magyar nyelvű webáruházak mindenképpen beleesnek ebbe a kategóriába.
A korábbi szabályokkal ellentétben, amikor direkt marketing, hírlevelek, nyereményjátékok esetén váltunk adatkezelővé, az új szabályozás szerint adatkezelő minden olyan személy, aki a személyes adatokon végzett cselekményt, így azok felvételét, gyűjtését, tárolását, különböző célokra történő felhasználását, továbbítását, módosítását stb. végzi.
Adatfeldolgozónak az számít, aki az adatkezelő megbízásából és nevében személyes adatokkal dolgozik.
Mi az a személyes adat?
A jogszabály szerint minden olyan adat, ami alapján valaki beazonosítható, személyes adatnak számít. Ezek pl.: név, cím, email, telefon, IP-cím, cookie, adott informatikai rendszerbeli egyedi azonosítója (ID) vagy bármilyen más online azonosító.
Mi lesz az adatvédelmi nyilvántartással?
Magyarországon a mostani adatvédelmi szabályok szerint webáruházaknak akkor kell nyilvántartási számot kérni (válunk adatkezelővé), ha vásárlóink adatait direkt marketingre, nyereményjátékra használjuk, hírlevelet akarunk nekik küldeni. A jövőben a nyilvántartási szám igénylésére nem lesz szükség, viszont jelentősen ki fog bővülni az a kör, amikor meg kell felelni a GDPR rendeletnek.
Bejelentési kötelezettségünk (az adatkezelőknek és az adatfeldolgozóknak is) az új rendszerben csak személyes adatokkal kapcsolatos jogsértések esetén keletkezik, ilyenkor az adatkezelőnek a tudomásszerzést követően haladéktalanul, de legkésőbb 72 órán belül be kell jelentenie az incidenst a NAIH felé.
Mi kell ahhoz, hogy megfeleljek a GDPR-nek?
A jogszerű adatkezelésnek négy feltétele van: világosan meghatározott cél, megfelelő jogalap, kellően részletes tájékoztatás az érintett magánszemélyek részére és az érintettek jogainak megfelelő biztosítása.
Ez webáruházak számára gyakorlatban azt jelenti, hogy a webshop használata nem lehet egyéb adatkezelésekhez (általában marketing) kötve. Nem lehet többé tehát azt megcsinálni, hogy regisztrációkor (vagy vásárláskor) kötelezővé tesszük a hírlevélre történő feliratkozást, hanem a felhasználónak szabadon kell döntenie arról, hogy a webshop használata mellett szeretne-e pl. hírlevelet kapni.
Emellett lehetőséget kell biztosítani a vásárlóknak, látogatóknak arra, hogy szabadon eldönthessék, hogy a webáruház mely adatkezeléséhez járulnak hozzá, és melyhez nem.
Változik az adatvédelmi tájékoztató a webáruház felületén?
Minden egyes webáruházra külön adatvédelmi tájékoztatót célszerű készíteni, mivel valószínűleg az egyes webshopok különböznek egymástól üzleti és adatvédelmi szempontok alapján. Ez azt jelenti, hogy a sablon, vagy másolt adatvédelmi tájékoztatók ideje lejárt. A rendelet azt is előírja, hogy az adatvédelmi tájékoztató az ÁSZF-től külön kerüljön elhelyezésre, és legyen egyértelmű, könnyen érthető.
A tájékoztatóban úgy kell elkészíteni, hogy meg kell majd határozni, hogy mely adatkezelési célokhoz kér hozzájárulást az adatkezelő (a webáruház), mely adatokat mely célra kezel jogszabályi előírás alapján és melyeket jogos érdek alapján.
A tájékoztatónak tartalmazni kell, hogy amennyiben az érintett valamely, az adatkezeléshez kapcsolódó jogát érvényesíteni akarja (pl. tiltakozik az adatkezelés ellen), akkor ezt hogyan tudja megtenni.
Ezek a dolgok természetesen nem csak az adatvédelmi tájékoztatóban kell, hogy megjelenjenek, hanem a webshop működésének is meg kell felelni az újonnan támasztott követelményeknek, tehát könnyen előfordulhat, hogy a legtöbb webáruház számára átalakításokra lesz szükség.
Vásárlók adatainak kezelése
Megrendelés előtt a felhasználónak hozzá kell járulnia a személyes adatok kezeléséhez, majd biztosítani kell a biztonságos adatkezelést. Az ügylet lebonyolítása után ezeket az adatokat törölni kell, kivéve, ha az ügyfél hozzájárul további tárolásukhoz. Az ügylet lebyonolításának végét az adatvédelmi tájékoztatóban meg kell adni, általában ez a termék kézhez kapása, az ingyenes visszaküldési időszak, vagy a garanciális időszak vége.
Google Analytics
Ha honlapunkon csak Google Analytics-ot használunk, más módon nem gyűjtünk személyes adatokat, akkor nem kell mást csinálnunk a weboldallal, mivel ilyenkor az adatokat a Google kezeli, mi csak statisztika formájában látjuk azokat. Ez általában egyszerű honlapokra vonatkozik, a webáruházak gyűjtenek más formában is személyes adatokat.
Remarketing
Amennyiben használjuk a Google Adwords, Facebook, vagy más külső források kódját felhasználók adatainak gyűjtésére (majd ezek alapján hirdetésekre), akkor már lesz teendőnk honlapunkkal, webáruházunkkal.
Az adatvédelmi tájékoztató remarketing részéhez segítséget nyújt a Google az előző linken.
Email marketing
Azt írja elő a rendelet, hogy hozzájárulás csak úgy adható meg, ha a honlap látogatója saját maga pipálja ki a négyzetet, amivel hozzájárul az adatkezeléshez. Az olyan weboldalak, ahol a rendszer alapból megteszi ezt helyette, át kell, hogy alakítsák ezt az új szabályoknak megfelelően. Emellett, ahogy korábban is írtuk, nem lehet a vásárlás, regisztráció feltétele a hírlevélre történő feliratkozás, így külön négyzet kell az adatvédelmi feltételek elfogadásához, és külön négyzet kell a hírlevélre történő feliratkozáshoz, akkor is, ha egyszerre szeretnénk ezeket a folyamatot elvégezni.
A feliratkozási űrlapról elérhetővé kell tenni az adatvédelmi feltételeket, és csak olyan információkat lehet elkérni, amik feltétlenül szükségesek az adott tevékenységhez. Ezek az információk tehát nem lesznek ugyanazok pl. egy hírlevél és a kapcsolatfelvételi űrlapon.
Mindezek mellett biztosítani kell, hogy a felhasználó le tudjon iratkozni hírlevelünkről, valamint az is, hogy leiratkozás esetén minden adatát töröljük az adatbázisból. (Ha csak a hírleveles adatbázisokra vonatkozik a leiratkozási kérés, de pl. ügyfélről, vagy regisztrált látogatóról van szó, akkor csak a hírlevél adatbázisokból kell törölni az adatokat.)
Kapcsolat űrlap
Nem csak hírlevelek esetén, hanem kapcsolat űrlapnál is meg kell felelni az új jogszabályoknak, ami azt jelenti, hogy egy egyszerű ajánlatkérés, vagy kapcsolatfelvétel kérés esetén is el kell fogadni a látogatónak az adatkezelési szabályokat. Ez tehát a legtöbb honlapnál átalakításokat fog megkövetelni, mivel a régi rendszerben erre nem volt szükség.
Adatfeldolgozók
Webáruházak esetén általában adatfeldolgozónak tekinthetők a kiszállítást végző partnerek és az IT-szolgáltató is. Az adatfeldolgozó felelősségi köre lényegesen szélesebb lesz a GDPR alapján, mint a jelenlegi szabályozás szerint. Az érintettek ugyanis közvetlenül is érvényesíthetik igényeiket az adatfeldolgozóval szemben, ennek ellenére az adatfeldolgozó önálló felelőssége nem mentesíti az adatkezelőt a saját felelőssége alól.
Webáruházas fizetés
Az adatfeldolgozáshoz tartoznak a fizetéssel kapcsolatos kérdések is. Általában a bankkártyás fizetéseket nem maga a webshop, hanem egy külsős, biztonságos felületet üzemeltető szolgáltató bonyolítja le (pl. egy bank). Minden esetben meg kell vizsgálni, hogy ilyenkor adatfeldolgozás, esetleg közös adatkezelés valósul-e meg.
Adatvédelmi bírságok
A bírság maximális mértéke 20 millió euró vagy az előző év világpiaci árbevételének 4 %-a közül az az érték, amely magasabb. A bírságot a NAIH szabja ki, a konkrét összeg meghatározása több tényezőtől is függ majd, figyelembe véve a jogsértés súlyát, mértékét, az okozott sérelem nagyságát, hogy az gondatlanságból, szándékosságból, netán menthető nemtudásból következik-e be, a korábban elkövetett jogsértéseket, az eset hatóság általi tudomásszerzését (az adatkezelő vagy panaszos jelentette), valamint egyéb tényezőket.
Összefoglalás
A korábbi szabályozásokkal ellentétben a GDPR adatvédelmi rendelet sokkal többet követel meg olyan honlapoktól, webáruházaktól, melyek személyes adatokat kezelnek. Ha meg akarunk felelni a jogszabálynak, nem lesz elég csak átírni az adatvédelmi szabályzatot, hanem valószínűleg át kell alakítani weboldalunkat (kisebb vagy nagyobb mértékben), valamint egyéni, saját honlapra, webshopra vonatkozó adatvédelmi szabályzatot kell létrehoznunk, és ezeket 2018 májuk 25-ig mind meg kell csinálnunk. Ha Ön is webáruház tulajdonos, ne vegye félvállról a problémát, mivel a kiszabható bírságok mértéke jelentős!
Szeretné, ha új webáruháza megfelelne a GDPR szabályoknak? Készíttesse velünk webáruházát!
