A webáruházak zömét Magyarországon a KKV szektorba tartozó vállalkozások üzemeltetik, akiknek az Európai Unió új Általános Adatvédelmi Rendelete (GDPR) miatt jövő májusig sok tennivalójuk lesz. A tavaly év eleji elektronikus kereskedelmi jogszabály módosítás alapján már feketelista készül róluk, a GDPR pedig új kihívásokat is tartogat számukra: a mintegy 300-szorosára emelkedő maximális adatvédelmi bírság tekintetében ugyanis megszűnik az a szabály, amely szerint a KKV szektorba tartozó vállalkozások az első adatvédelmi jogsértés esetén nem bírságolhatók. A webáruházakat érintő jövő évi adatvédelmi változásokról kérdeztük meg az e-kereskedelmi jogi kérdésekben jártas Sár és Társai Ügyvédi Iroda partner ügyvédjét, dr. Horváth Katalint.
Magyar Péter lenne jobb a gödörben lévő magyar gazdaságnak vagy Orbán Viktor?
Nem lesz baj abból, hogy a nyugdíjmegtakarításokat ingatlancélra is el lehet költeni?
Online Klasszis Klub élőben Felcsuti Péterrel!
A webáruház üzemeltetők kénytelenek lesznek eddigi adatkezelési gyakorlatukat tüzetesen átvizsgálni és jelentős módosításokat eszközölni benne. Az EU új adatvédelmi rendelete ugyanis példátlan szigort vezet be az adatkezelésben, amely jelentősen csökkenti majd a webáruház üzemeltetők lehetőségeit az online marketingben is.
lépés: az üzleti folyamatok áttekintése, adatkezelés minimalizálása
A webáruház tulajdonosoknak szűk fél évük maradt arra, hogy hozzáigazítsák üzleti folyamataikat az új adatkezelési szabályokhoz. Ennek első lépése mindenképpen az kell, hogy legyen, hogy feltérképezik az eddigi üzleti folyamataikat és az azokkal járó adatmozgásokat. Vagyis első lépésként meg kell határozni, hogy mely üzleti folyamatok során milyen típusú személyes adatokat gyűjt a webáruház üzemeltetője, milyen célból gyűjti, kezeli azokat, továbbítja-e harmadik személynek, például hírlevélküldő szolgáltatónak. Szükséges azt is beazonosítani, hogy honnan származnak az adatok: a webáruház látogatói maguk adják meg, vagy automatikusan gyűjtött adatokról van szó, vagy pedig esetleg az adatok harmadik személytől, más adatbázisból származnak – más tartalmú tájékoztatást kell ugyanis adni az új szabályok alapján attól függően, mi az adatok forrása.
Ezt követően szükséges annak elemzése, hogy az egyes adatkezelési pontokon valóban szükséges-e azoknak és annyi adatnak a kezelése – és ahol az üzleti cél és folyamat nem feltétlenül követeli meg az adott személyes adat kezelését, ott az adattakarékosság elvének megfelelően el kell hagyni az adott adat gyűjtését, tárolását. Azt is érdemes megvizsgálni, hogy mely adatok gyűjtését, tárolását, kezelését lehet megoldani álnevesítéssel, anonimizálással, titkosítással vagy egyéb olyan technikai intézkedéssel, amely biztosítja, hogy az adat és az érintett közötti kapcsolat ne legyen helyreállítható.
lépés: az adatkezelési tájékoztató felülvizsgálata és módosítása
Ha a vállalkozás az 1. lépésen túl van, és tisztában van azzal, hogy mikor, milyen forrásból származó, milyen adatot, milyen célra kezel, és azt hova továbbítja, akkor következhet a meglévő adatkezelési tájékoztatók felülvizsgálata és a tényleges üzleti folyamatokhoz és a rendelet szabályaihoz történő igazítása. A rendelet a tájékoztatás tartalmára nézve az eddigi magyar jogszabályi előírásokhoz képest sok plusz elemet ír elő, és eltérő a tájékoztatás tartalma aszerint, hogy az adatok az érintettől származnak, vagy más forrásból (például adatbázis megvásárlása útján). A GDPR alapján mintegy tucatnyi információt kell közölni a vásárlókkal, vagyis biztos, hogy szükséges a jelenlegi, magyar jogszabályon alapuló adatkezelési tájékoztató módosítása.
Ha pedig esetleg a webáruház üzemeltető profilalkotást is végez a gyűjtött adatokkal, például személyi preferenciák alapján szeretne reklámokat megjeleníteni online felületeken, közösségi médiában, stb., akkor a tájékoztatási kötelezettsége további elemekkel bővül.
GDPR: Hogyan induljunk el, és mit lépjünk meg a májusi határidőig?
Mivel nincs két egyforma webáruház, és az üzleti, adatkezelési folyamatok sem feltétlenül egyeznek meg, ezért nem érdemes sablon tájékoztatót használni vagy a versenytársa tájékoztatóját lemásolni – hangsúlyozza dr. Horváth Katalin. Ráadásul a rendelet előírja, hogy a tájékoztatót az ÁSZF-től és más, a vásárlásra vonatkozó feltételektől elkülönítve kell elhelyezni, és könnyen érthető, egyértelmű, világos módon kell megfogalmazni. Ez pedig újabb kihívás elé állítja a webáruház tulajdonosokat, hiszen jogilag pontos, de mindenki számára érthető szöveget kell közölnie a vásárlókkal.
lépés: a hozzájárulás kérési folyamat felülvizsgálata, módosítása
Az EU adatvédelmi rendelete szükségessé teszi az adatkezeléshez való hozzájárulás módjának a felülvizsgálatát és módosítását is. Az új szabály ugyanis előírja, hogy lehetőséget kell biztosítani a vásárlóknak, látogatóknak arra, hogy szabadon eldönthessék, hogy a webáruház mely adatkezeléséhez járulnak hozzá, és melyhez nem. Ebből eredően adatkezelési célonként és adattípusonként szükséges majd a felhasználók hozzájárulását kérni az adatkezeléshez, és külön hozzájárulást kell kérni a hírlevél feliratkozáshoz, profilalkotáshoz, ami újabb checkboxokat fog eredményezni a regisztrációs felületen. A hozzájárulás megtagadása esetén pedig nem lehet a webáruházban való vásárlást megtiltani. Természetesen a vásárláshoz feltétlenül szükséges minimális adatok (például e-mail cím, szállítási adatok) megadásához lehet kötni a vásárlást, azonban a vásárláshoz nem feltétlenül szükséges – például profilalkotási célú – adatkezeléshez való hozzájárulás megtagadását nem lehet szankcionálni.
További nehezítés, hogy nem elegendő az adatkezelés jogalapját egyszerűen a hozzájárulás kéréssel elintézni, mivel az egyes adatkezelési célokhoz rendelten kell meghatározni majd az adatkezelés jogalapját, ami lehet maga a hozzájárulás, de az adatkezelést előírhatja például jogszabály, vagy a rendelet alapján az hozzájárulás nélkül történhet a webáruház üzemeltetőjének jogos érdekéből is. A tájékoztatóban pedig pontosan meg kell majd határozni, hogy mely adatkezelési célokhoz kér hozzájárulást az adatkezelő, mely adatokat mely célra kezel jogszabályi előírás alapján és melyeket jogos érdek alapján.
A fenti előírások a marketing szakembereknek nagy fejtörést fognak okozni, hiszen össze kell egyeztetni a felhasználóbarát kialakítást, az egyszerű hozzájárulás adást, a lemorzsolódás megakadályozását, az üzleti, marketing és a jogi szempontokat, amely akár jelentősebb fejlesztési feladatot is jelenthet a vállalkozás számára.
lépés: nyilvántartások létrehozása
Az adatvédelmi rendelet további terheket ró az adatkezelőkre, mivel kötelezővé teszi adatkezelési nyilvántartás vezetését, amelyben a vállalkozásnak a rendeletben meghatározott tucatnyi adatot kell nyilvántartania – kezdve azzal, hogy kinek, milyen adatát, milyen célra, meddig, milyen jogalapon kezeli, egészen odáig, hogy ki mikor milyen adata törlését, helyesbítését kérte, vagy mikor, milyen adatvédelmi incidens merült fel. A nyilvántartási kötelezettség teljesítése jelentős adminisztrációs többletterhet fog jelenteni, amely erre kifejlesztett nyilvántartó szoftverekkel mérsékelhető – emelte ki dr. Horváth Katalin.
lépés: az IT biztonság vizsgálata, adatbiztonság megteremtése
A GDPR számos adatbiztonsági előírást tartalmaz, amely miatt mindenképpen szükséges az adattárolási, adatkezelést végző IT rendszerek átvizsgálása. Ezekhez a vizsgálatokhoz célszerű IT biztonsági szakembert igénybe venni, aki képes valamennyi adatszivárgást, adatvesztést, külső behatolást, adatlopást lehetővé tevő hiányosság feltérképezésére és ezen lukak befoltozására. Nem elegendő ráadásul egyszer elvégezni ezt a vizsgálatot, az IT és adatbiztonságot folyamatosan garantálnia kell a webáruház üzemeltetőjének, vagyis ez egy folyamatos kötelezettséget és terhet jelent.
A GDPR felkészülés fontos eleme annak megvizsgálása, hogy szükséges-e a webshop esetében adatvédelmi hatásvizsgálatot lefolytatni vagy adatvédelmi tisztviselőt kinevezni. Ehhez alapvetően annak mérlegelése szükséges, hogy végez-e a webshop különleges adatok kezelését, tömeges érintettet érintő adatkezelést, érintettek tömeges és szisztematikus megfigyelését, profilalkotást, vagy olyan adatkezelést, amely az érintettekre nézve magas kockázattal jár, illetve alkalmaz-e kockázatot jelentő új technológiát. Amennyiben bármelyik kategória megvalósul, a webáruház köteles az adatvédelmi hatásvizsgálatot elvégezni.
6+1. lépés: a munkatársak képzése, belső szabályzatok elkészítése
A webáruház üzemeltető akkor sem dőlhet hátra, ha a fenti 6 feladaton túl van, vagyis rendben vannak a szabályzatai, készen állnak a nyilvántartásai, elkészült az adatvédelmi hatásvizsgálattal is. A GDPR felkészülés ugyanis még nem fejeződött be, hiszen saját belső köreiben is rendet kell tennie: tájékoztatnia kell az új szabályokról a dolgozóit, és belső szabályzatokat kell készíteni az adatvédelmi, adatbiztonsági előírások betartására. Így rendeznie kell például a jogosultságkezelést, az IT rendszerhez való hozzáférés szabályait, az adatvédelmi incidens kezelés belső protokollját, amely legalább akkora és ugyanolyan fontos feladat, mint a vásárlóknak szóló tájékoztató elkészítése és a webáruházban való közzététele.
Látható, hogy a GDPR előírásai sokrétűek, az egész webáruház működését érintik, és nem pusztán jogi jellegűek, hanem informatikai szakértelmet is igényelnek – ezért mindenképp javasolt időben elkezdeni a felkészülést adatvédelemben jártas jogi és IT biztonsági szakértő bevonásával – emelte ki dr. Horváth Katalin, a Sár és Társai Ügyvédi Iroda partner ügyvédje.