GDPR KISOKOS WEBÁRUHÁZ TULAJDONOSOKNAK

 In Tudásbázis

Mi az a GDPR?

A GDPR az EU adatvédelmi rendelete, amely 2016. májusában lépett érvénybe, és a benne szereplő rendelkezések 2018. május 25-én válnak hatályossá. Gyakorlatilag a hazánkban jelenleg irányadó a 2011-es Infótörvény adatvédelemmel és adatkezeléssel kapcsolatos rendelkezéseinek egy részét váltja fel, egészíti ki.

Ebből tehát egyértelműen következik, hogy minden cégnek, így az e-kereskedelmi vállalkozásoknak is biztosan rendelkezésre kell hogy álljon már most is érvényes adatvédelmi, adatkezelési belső szabályozás, az már más kérdés hogy eddig erre ki mekkora hangsúlyt fektetett.
Azoknál, akik eddig is komolyan vették ezt a területet (mert felelősséget éreztek a dolgozóik, partnerik és vásárlóik adatai iránt, mint adatkezelőkés/vagy adatfeldolgozók), sokkal kisebb feladat lesz a GDPR átállás.

Mik a legfontosabb eltérések az Infótörvényhez képest?
A GDPR által okozott változásokat több csoportba lehet sorolni:

  • Új fogalmak, kötelezettségek
  • Meglévő szabályok szigorítása
  • Egyes eddig meglévő követelmények enyhítése

A teljes GDPR megfelelőség elérése egy vállalkozás számára sem valósulhat meg egy lépcsőben, legfőképp mert nagyon sok újonnan bevezetésre kerülő kötelezettségnek nincs sem működési, sem a hatóság részéről ellenőrzési gyakorlata. A NAIH lesz továbbra is az hatóság, amely akár egy saját maga által indított vizsgálat, akár egy külső bejelentés(!) alapján keletkezett ügy kivizsgálása során ellenőrizni fogja a GDPR megfelelőség betartását.

Amit talán mindenki hallott már, és ami a legijesztőbb lehet: az eddigi 20 millió forintos felső bírságolási határ jelentősen megemelkedik: nagyvállalatok esetében akár a forgalom 4%-a, vagy akár 20M euró is lehet.

Célzott adatkezelés

Először is minden belső adatkezelési folyamatnál (vásárlói regisztráció, rendelések kezelése, hírlevelezés, marketing kampányok, stb.) vegyük számba, hogy az általunk kezelt adatok esetében adatkezelők, vagy adatfeldolgozók vagyunk-e.
Például egy webáruház üzemeltetője minden esetben adatkezelő (a vásárló adatait saját céljaiból kezeli), de amennyiben egy külső szoftver is használja azokat az adatokat, a külső szoftver üzemeltetője adatfeldolgozóvá válik, és azért a webáruház tulajdonosnak ugyanúgy felelősséget kell vállalnia. Ezen felelősség szabályozására születik meg az adatkezelő és adatfeldolgozó között lévő szerződés.

Nagyon sok kellemetlenségből megmenekülhet a vállalkozás, ha első körben számba veszi, milyen adatokat kezel és tárol, valóban szüksége van-e arra az adatra, vagy csak egy folyamat részeként jut hozzá, de valójában nem is használja.
Számba kell venni minden külső és belső rendszer által, a vásárlóinktól, partnereinktől bekért adatot, amire nincs szükség azt az adatbázisból el kell távolítani, és a további adatgyűjtést meg kell szüntetni. Minden folyamatnál el kell határolni az adatkezelő és adatfeldolgozó személyét. Adatfeldolgozó (külső partner, külső szoftver) esetében ellenőrizni kell, hogy a vele kötött szerződés megfelelő-e, az adatkezelő rendelkezik-e GDPR megfelelősséggel.

Fontos, és általában külső szakértőhöz rendelt kérdéskör lehet az adatok titkosításának kérdése. Tipikusan ilyen a minden webáruháznál jelen lévő, a felhasználó személyes vásárlói fiókjához tartozó jelszó. Nem elég vélelmezni, hogy a webáruház rendszer ezt helyesen kezeli, meg is kell győződni erről.
Ugyanígy fontos lehet az adatbázisok átjárhatósága, azaz amennyiben egyes adatok (pl. hírlevéllisták) elkülönítve kerülnek tárolásra, az egyik rendszer károsodása ne okozzon adatvesztést, adatsérülést a másik rendszerben.
Saját fejlesztésű webáruház esetén ezekről a kérdésekről a webáruház fejlesztőjét kell nyilatkoztatni. Bérelt áruház esetén pedig annak ÁSZF-je az irányadó.

Az érintettek jogai 

A webáruház vásárlói, akiknek az adatait a vállalkozás kezeli, érintetté válnak. A GDPR különös figyelmet fordít az érintettek jogaira, úgy mint:

  • tájékoztatás a webáruház által végzett adatkezelésről
    • az adatkezelés joga, célja, és szükségessége
    • az adatkezelés időtartama
    • szükség esetén az adatvédelmi tisztségviselő elérhetősége
  • hozzáférési jog: a vásárló kérésére a webáruház köteles kiadni az általa a vásárlóról tárolt, kezelt adatokat
  • helyesbítéshez, törléshez, hordozáshoz való jog: a vásárló kérésére haladéktalanul el kell végezni a személyes adataival kapcsolatban kért módosításokat, beleértve az adatok végleges törlését is.
  • automatizált adatkezelés: a vásárló dönthet arról, ha nem akar részt venni automatizált adatkezelésben (pl. profilozás).

Egy webáruház oldalán eddig is kötelező volt elérhetővé tenni (letölthető formátumban is!) az adatkezelési szabályzatot. Ezt érdemes átnézni, és szükség esetén az új szabályok figyelembe vételével pontosítani, bővíteni.

Alapelvek:

  • csak olyan adatot kérjük a vásárlótól, amire tényleg szükségünk van!
  • vezessük végig a működési folyamatainkat (rendelés feldolgozása, ügyfélpanaszok kezelése, marketing tevékenységek), nézzük meg hol kerülnek az adatok harmadik fél számára átadásra. Itt se adjunk át többet, mint amennyi feltétlen szükséges!
  • alaposan nézzük át a harmadik felekkel (mint adatfeldolgozókkal) kötött szerződéseinket, illetve magát a szerződő partnerünket nyilatkoztassuk a megfelelőségről!

Egy webáruház működése során elkerülhetetlen, hogy külső partnerek, mint adatfeldolgozók jelenjenek meg az adatkezelési folyamatban. A tipikus, szinte mindenhol előforduló esetek:

  • weboldal üzemeltető partner (vevő adatbázis tárolása, beleértve a biztonsági mentéseket is!)
  • hírlevél küldő rendszer (vásárló személyes adatai, neve, email címe)
  • logisztikai partner, aki az áruk kiszállítását végzi (vevő személyes adatai, neve, címe, elérhetőségei)
  • affiliate partnerek, amennyiben vevő-adatbázis megosztás történik
  • ajánlórendszert üzemeltető külső partner (amennyiben kap konkrét vásárlói adatokat, itt akár a profilozás is felmerülhet)

Incidensek kezelése 

Adatvédelmi incidensnek tekintendő minden olyan eset, amikor az adatkezelő (tehát a webáruház) által kezelt adatok megsemmisülnek, vagy elvesznek, illetéktelenekhez kerülnek. Az adatkezelő felelőssége, hogy:

  • képes legyen észrevenni ha ilyen eset történik
  • maximum három napon belül bejelentést kell tenni a hatóságnak
  • meg kell tervezni szükséges lépéseket (kezelt adatok tulajdonosainak védelme, adatok visszaszerzése, visszaállítása)

Fentiek közül a legfontosabb az első pont, azaz az észlelés: a webáruházak esetében megfelelő folyamatleírás kell annak érdekében, hogy az adatbiztonsági ellenőrzések rendszeresen megtörténjenek. Tipikusan érdemes az adatfeldolgozói szerződések áttekintése, hiszen itt egy harmadik félnek adunk át olyan adatokat, amelyekért nekünk kell felelősséget vállalnunk.

Ellenőrzések, hatósági felügyelet 

A GDPR életbelépésével megszűnik a NAIH-hoz történő előzetes bejelentési kötelezettség, azaz új e-kereskedelmi vállalkozás indításánál már nem kell NAIH azonosítót kérni.

Ugyanakkor minden érintett jogosult lesz arra, hogy panasszal, bejelentéssel éljen közvetlenül a hatóság felé. A gyakorlatban ez azt fogja jelenteni, hogy egy webáruház vásárlója közvetlenül a hatósághoz fordulhat, amennyiben úgy érzi hogy mint értintett, az az adatkezelővel szemben panasszal kínál élni.

Bár a GDPR lehetőség ad arra, hogy az adatkezelési elveinkről csak az adatkezelés megkezdése pillanatában tájékoztassuk az érintetteket, mégis pont azért hogy az ügyfeleink, partnereink transzparensen lássák a működésünk, ugyanúgy mint eddig érdemes ezt előre megtenni.

Összefoglalás 

A GDPR-ra való átmenet nem azt jelenti, hogy 2018. május 25-én bizonyos rendszereket lekapcsolunk, más új rendszereket pedig be. A két éves türelmi idő pont azért volt, hogy minden webáruház folyamatosan, saját erőforrásaihoz mérten ütemezve tudjon felkészülni az új követelmények betartására.

Régi kereskedői alapszabály, hogy „mindig a vásárlónak van igaza” – ehhez kapcsolódóan alapelv az is hogy a vásárlóim által rám bízott adatokért felelős vagyok. Ha eddig is felelős adatkezelőként jártam el, azaz előre megterveztem, figyelemmel kísértem, és ellenőriztem azon rendszereim működését, amelyek a rám bízott adatokat kezelték, akkor a GDPR megfelelőség elérése sokkal könnyebb lesz.

Ha egy kereskedő bizonytalan, még mindig nem késő segítséget kérnie olyan cégektől, akik szakértőként, hiteles tudásanyaggal segíthetnek mind a belső folyamatok rendbetételében, mind pedig a szükséges dokumentumok elkészítésében.

Javasolt szakmai oldalak GDPR témában:
Podcast Márkus Csabával a Deloitte GDPR csapatának vezetőjével, az adó- és jogi tanácsadás üzletág partnerével
2. A NAIH adatvédelmi reformmal kapcsolatos állásfoglalásai

Legutóbbi bejegyzések
Mit érdemes tudni az elállási jogról? - A vevő kérdez, A SzEK.org válaszolEcommerce Hungary