Hogyan érinti a webshopokat a GDPR?

A webshopot üzemeltető vállalkozások jó része feltehetően már találkozott az adatvédelemmel, rendelkezik a honlapjára feltöltött adatkezelési tájékoztatóval, esetleg adatvédelmi szabályzata is van és tevékenységét bejelentette a NAIH részére. Jogosan merülhet fel tehát a kérdés, hogy miben is új a GDPR és a webshopoknak mit is kell tenniük annak érdekében, hogy felkészüljenek az új adatvédelmi rendeletre, közismertebb nevén a GDPR-ra.

GDPR szótár: 15 fontos alapfogalom, amit jó ha ismersz
Vészesen közeledik az uniós adatvédelmi rendelet hatálybalépésének időpontja. Nem könnyű eligazodni a rendelet előírásai között, ebben nyújthat segítséget az alábbi GDPR szótár, amelyben szakértőnk a legfontosabb alapfogalmakkal ismerteti meg, a teljesség igénye nélkül.
A korábbi bejelentési-rendszer és nyilvántartás (ezzel együtt a NAIH szám) megszűnik

A GDPR egyetlen könnyítést jelentő újítása a korábbi bejelentési kötelezettség megszüntetése, amely azt jelenti, hogy az adatkezelőknek az adatkezeléseiket 2018. május 25. után már nem kell bejelenteniük a NAIH részére. Ezzel megszűnik az a kötelezettség is, hogy a NAIH számok a honlapon, illetve a szabályzatban feltüntetésre kerüljenek.

A NAIH nyilvántartás megszüntetése azonban nem jelenti a nyilvántartás-vezetési kötelezettség megszűnését, sőt, a GDPR meghatározza, hogy milyen esetekben és milyen tartalommal kötelesek az adatkezelők az adatkezelési tevékenységükről nyilvántartást vezetni. Webshopok esetében különösen azt érdemes megvizsgálni, hogy a látogatókra, vásárlókra vonatkozó nagy számú, nem alkalmi jellegű adatkezelést végeznek-e, kezelnek-e különleges személyes adatokat, illetve alkalmaznak-e profilalkotást.

Itt olvashatja a témában a Piac & Profit összes cikkét!

Kép:Pexels

Technológiasemlegesség

A GDPR garanciális jelleggel kimondja, hogy a természetes személyek védelmének technológiailag semlegesnek kell lennie és nem függhet a felhasznált technikai megoldásoktól. Webshopok esetében kifejezett figyelmet kell fordítani a hírlevelek küldésére, az e-mail marketingre, a felhasználó-követésre (ideértve a cookie sávok alkalmazását is), valamint a viselkedés-alapú hirdetések alkalmazására, áruk, szolgáltatások nyújtására.

Az adatkezelési tájékoztatók frissítése

Ami a felkészülést illeti az első és legfontosabb kritérium, hogy a felhasználó (látogató, vásárló) megfelelő tájékoztatást kapjon a személyes adatainak kezeléséről, amelynek legegyszerűbb formája a webshop honlapján elhelyezett adatkezelési tájékoztató. A GDPR pontosan meghatározza, hogy a nem közvetlenül az érintettől gyűjtött személyes adatok esetén milyen tartalmú tájékoztatást kell adni az érintetteknek, amely a korábbi szabályozáshoz képest bővebb tartalmat jelent.

GDPR: szakítani kell a szabad-tilos szemlélettel
Május 25-e, az új uniós adatvédelmi szabályozás hatálybalépésének napja közel van, de azért utána is fel fog kelni a nap, ezért még most sem késő elkezdeni a felkészülést a megfelelésre, főleg azért, mert előbb utóbb úgyis mindenkinek meg kell felelnie az új előírásoknak – figyelmeztetett Halász Bálint, a Bird & Bird nemzetközi ügyvédi iroda partnere. Már csak azért is érdemes foglalkozni a megfeleléssel, mert a GDPR a kötelezettségek mellett számos lehetőséget is tartogat a cégek számára.
Fontos kiemelni a tájékoztatók kapcsán, hogy nem csupán tartalmi, hanem formai szempontból is újításokat hoz a GDPR. 2018. május 25-étől ugyanis a tájékoztatók akkor megfelelőek, amennyiben azok nyelvezete világos és közérthető, a honlapon könnyen hozzáférhetően kerülnek elhelyezésre, valamint tömör, de átlátható formában kerülnek megszerkesztésre. Nem megfelelő a gyakorlat, ha az adatkezelési tájékoztató nem különül el a vállalkozás által alkalmazott Általános Szerződési Feltételtől.

A hozzájárulások felülvizsgálata

A webshopok a látogatók, illetve a tényleges vásárlók adatait jelenleg egységesen az érintettek hozzájárulása alapján kezelik. A változás kétirányú.

A GDPR az adatkezelés jelenlegi jogalapjaitól részben eltérő szabályokat állít fel. Ezért minden esetben vizsgálandó, hogy hozzájárulás helyett nem célszerűbb-e a szerződés megkötését és annak előkészítését adatkezelési jogalapnak tekinteni a webshopok esetében. Gondoljunk arra, hogy az adott webshop látogatója regisztrál az oldalon és megrendel egy terméket, ebben az esetben a regisztrált látogató mint vevő és a webshop között szerződés jön létre a megrendelt termék árának kifizetése és a vevő részére történő szállítása vonatkozásában. Találkozhatunk olyan honlapokkal is, amelyek esetében regisztráció sem szükséges a termék megrendeléshez, azonban a két fél között szintén szerződéses jogviszony keletkezik.

Előfordulnak olyan esetek is, amikor a látogató regisztrál a honlapon, de nem rendel meg terméket, illetve azt visszamondja, esetleg nem érvényesíti az igénybe vett kedvezményt biztosító kupont. Szerződéskötés hiányában is azonban megvalósul személyes adat kezelés (pl. IP cím, e-mail, lakcím, telefonszám, stb.). Ilyen esetekben az adatkezelés jogalapja továbbra is az érintetti hozzájárulás.

A GDPR jelentős mértékben szigorít a hozzájárulás megadásának módján is. A GDPR ugyanis az érintett hozzájárulása kapcsán megköveteli, hogy az önkéntes, kifejezett, megfelelő tájékoztatáson alapuló és egyértelmű legyen. A hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, így például a szerződés létrejöttének feltételévé nem tehető a hírlevél küldéshez való hozzájárulás, vagy például a hozzájárulás megadására vonatkozó előre kipipált négyzet sem elfogadható és jogszerűtlen adatkezelést eredményez. Mindezeken túlmenően a webshopnak kell tudni bizonyítania, hogy az adatkezelési művelethez az adott látogató, vásárló hozzájárult.

GDPR: kérdezz-felelek az adatkezelés jogalapjairól
A GDPR meghatározza az adatkezelési lehetséges jogalapjait. A GDPR 6. cikke hat lehetséges jogalapot tartalmaz azon személyes adatok kezelése tekintetében, amelyek nem tartoznak a személyes adatok különleges kategóriájába. Az Adatvédelmi Munkacsoport (WP29) 2017. november 28-án iránymutatást adott ki a hozzájárulásról. Az alábbiakban a jogalapokkal kapcsolatos kérdéseket válaszolja meg dr. Kovács Zoltán Balázs, a Szecskay Ügyvédi iroda partnere.
A webshopoknak adatkezelési célonként és adattípusonként szükséges majd a felhasználók hozzájárulását kérni az adatkezeléshez, amelyen belül is külön hozzájárulást kell kérni a marketing célú adatkezeléshez (pl. hírlevél feliratkozáshoz, profilalkotáshoz, vásárlói vélemények gyűjtéséhez), ami újabb checkboxokat fog eredményezni a honlapon. A hozzájárulás megtagadása esetén pedig nem lehet a webshopban való vásárlást megtiltani.

Adatvédelmi incidensek kezelése

A GDPR által bevezetett új fogalom a személyes adatok integritásának, védelmének bármely megsértését jelenti, így pl. incidensről beszélünk, ha a vásárló adatait a webshop véletlenül megváltoztatja, törli, vagy jogosulatlan személyek számára hozzáférhetővé teszi.

A GDPR az incidensek kapcsán is nyilvántartási kötelezettséget ró az adatkezelőkre, ezen túlmenően pedig az adatkezelők kötelesek az incidensről való tudomásszerzéstől számított 72 órán belül az incidenst bejelenti a NAIH felé, illetve adott esetben az érintetteket is tájékoztatni.

Adatfeldolgozói szerződések

A GDPR nem csupán az adatkezelőkkel, az adatfeldolgozókkal szemben is megköveteli a személyes adatok védelmére vonatkozó szabályok betartását. Adatfeldolgozónak azt a személyt tekintjük, aki az adatkezelő utasításai alapján személyes adatot kezel. Tulajdonképpen minden webshopra igaz, hogy adatfeldolgozót vesz igénybe, gondoljunk a megrendelt terméket kiszállító partnerre, vagy az IT-szolgáltatóra.

A GDPR kötelezővé teszi az adatkezelők és az adatfeldolgozók közötti írásbeli szerződések megkötését, amelynek tartalmi elemeire vonatkozóan is szigorú előírásokat határoz meg. A webshopoknak felül kell vizsgálniuk a partnereikkel fennálló szerződéseiket és a GDPR által meghatározott adatvédelmi rendelkezéseket be kell építeniük a szerződési feltételekbe.

Egyes webshop-ok esetében a bankkártyás fizetéseket nem maga a webshop, hanem egy külsős, biztonságos felületet üzemeltető szolgáltató bonyolítja le. Minden esetben vizsgálandó, hogy ilyen esetben adatfeldolgozás, esetleg közös adatkezelés valósul-e meg.

Péterfalvi Attila: nem fenyegetésként mondom, de ellenőrizni fogunk
Május 25-étől immár kötelezően alkalmazni kell az új európai Általános Adatvédelmi Rendeletet, amelynek angol neve (General Data Protection Regulation) után előszeretettel nevezünk GDPR-nak. Péterfalvi Attila, a NAIH elnöke szerint nincs tovább, aki nem felel meg az előírásoknak, az nem számíthat a hatóság jóindulatára.
Beépített és alapértelmezett adatvédelem

A GDPR által bevezetett fogalom azt jelenti, hogy a webshopoknak a belső folyamataikban is meg kell felelniük az adatkezelésre vonatkozó előírásoknak, azaz a működésüket olyan módon kell kialakítaniuk, hogy az adatvédelmi szempontokat már az egyes működési fázisok (pl. belépés a webshop-ba, vásárlás stb.) megtervezésekor figyelembe vegyék, és azokat beépítsék.

Meg kell vizsgálni, hogy az adatkezelési tevékenység megköveteli-e az adatvédelmi hatásvizsgálat lefolytatását, szükséges-e adatvédelmi tisztviselő kinevezése, milyen tartalmú nyilvántartást kell vezetni, kellően biztosítottak-e az érintetti jogok. A kötelezően létrehozandó, gondosan megszerkesztett adatvédelmi szabályzattal a webshopok összhangba tudnak kerülni a GDPR-ban lefektetett elszámoltathatóság elvével és biztosítani tudják a jogszerű adatkezelést vagy adatfeldolgozást.

Mi történik, ha a felkészülésre nem fordítanak kellő figyelmet a webshopok?

Súlyos pénzbeli szankcióknak teszik ki magukat, a bírságtételek ugyanis rendkívül magasak, akár az éves árbevétel 4%-áig vagy 20 millió euróig terjedhetnek. A fentiek alapján könnyen belátható, hogy a GDPR gyakorlatilag megkerülhetetlen, a webshopoknak előbb vagy utóbb be kell építeniük és be kell árazniuk a mindennapi tevékenységükbe az adatvédelemmel kapcsolatban felmerülő technikai és szervezési intézkedéseket, ezért érdemes időt és erőforrást szánni rá még a felkészülési időszakban.

Szerző:

dr. Sipőcz Dalma

jogász, act legal

Bán és Karika Ügyvédi Társulás

Adatvédelmi incidens: mit tanulhatunk a Facebook-botrányból?
A személyes adatok kezelésének és védelmének kérdése talán még soha nem volt annyira a középpontban, mint az elmúlt hetekben: a GDPR szinte minden gazdálkodószervezetet, közintézményt érint,  a világsajtóban végigsöprő Facebook–Cambridge Analytica-ügy pedig sajátos megvilágításba helyezi az új rendelkezések aktualitását és lehetséges hatásait is.

Véleményvezér

Szenzáció a magyar költségvetésben

Szenzáció a magyar költségvetésben 

Meglepő számok a nyugdíj költségvetési sorain.
Hadházy Ákos szerint állami luxusrepülővel mentek kormánytagok szotyizni Németországba

Hadházy Ákos szerint állami luxusrepülővel mentek kormánytagok szotyizni Németországba 

A kormánytagok luxusutazásai lassan mindennaposak.
Immár Bulgária is lehagyott minket az egy főre jutó fogyasztásban

Immár Bulgária is lehagyott minket az egy főre jutó fogyasztásban 

Az életszínvonal egyik legfontosabb mutatójában mindenki alá értünk Európában.
Hadházy Ákos kiderítette az óbudai alpolgármester letartóztatásának hátterét

Hadházy Ákos kiderítette az óbudai alpolgármester letartóztatásának hátterét 

A magyar nyomozó hatóságokról nem fognak expresszt elnevezni.
Sokba kerül az Orbán-kormány eladósodása

Sokba kerül az Orbán-kormány eladósodása 

Ismét kifogtunk egy utolsó helyet az Európai Unióban.
Több száz pedagógust vert át a Belügyminisztérium

Több száz pedagógust vert át a Belügyminisztérium 

A pórul járt pedagógusok minden bizonnyal beperlik a Belügyminisztériumot.


Magyar Brands, Superbrands, Bisnode, Zero CO2 logo