A korábbi bejelentési-rendszer és nyilvántartás (ezzel együtt a NAIH szám) megszűnik

A GDPR egyetlen könnyítést jelentő újítása a korábbi bejelentési kötelezettség megszüntetése, amely azt jelenti, hogy az adatkezelőknek az adatkezeléseiket 2018. május 25. után már nem kell bejelenteniük a NAIH részére. Ezzel megszűnik az a kötelezettség is, hogy a NAIH számok a honlapon, illetve a szabályzatban feltüntetésre kerüljenek.

A NAIH nyilvántartás megszüntetése azonban nem jelenti a nyilvántartás-vezetési kötelezettség megszűnését, sőt, a GDPR meghatározza, hogy milyen esetekben és milyen tartalommal kötelesek az adatkezelők az adatkezelési tevékenységükről nyilvántartást vezetni. Webshopok esetében különösen azt érdemes megvizsgálni, hogy a látogatókra, vásárlókra vonatkozó nagy számú, nem alkalmi jellegű adatkezelést végeznek-e, kezelnek-e különleges személyes adatokat, illetve alkalmaznak-e profilalkotást.

Itt olvashatja a témában a Piac & Profit összes cikkét!

Kép:Pexels

Technológiasemlegesség

A GDPR garanciális jelleggel kimondja, hogy a természetes személyek védelmének technológiailag semlegesnek kell lennie és nem függhet a felhasznált technikai megoldásoktól. Webshopok esetében kifejezett figyelmet kell fordítani a hírlevelek küldésére, az e-mail marketingre, a felhasználó-követésre (ideértve a cookie sávok alkalmazását is), valamint a viselkedés-alapú hirdetések alkalmazására, áruk, szolgáltatások nyújtására.

Az adatkezelési tájékoztatók frissítése

Ami a felkészülést illeti az első és legfontosabb kritérium, hogy a felhasználó (látogató, vásárló) megfelelő tájékoztatást kapjon a személyes adatainak kezeléséről, amelynek legegyszerűbb formája a webshop honlapján elhelyezett adatkezelési tájékoztató. A GDPR pontosan meghatározza, hogy a nem közvetlenül az érintettől gyűjtött személyes adatok esetén milyen tartalmú tájékoztatást kell adni az érintetteknek, amely a korábbi szabályozáshoz képest bővebb tartalmat jelent.

Fontos kiemelni a tájékoztatók kapcsán, hogy nem csupán tartalmi, hanem formai szempontból is újításokat hoz a GDPR. 2018. május 25-étől ugyanis a tájékoztatók akkor megfelelőek, amennyiben azok nyelvezete világos és közérthető, a honlapon könnyen hozzáférhetően kerülnek elhelyezésre, valamint tömör, de átlátható formában kerülnek megszerkesztésre. Nem megfelelő a gyakorlat, ha az adatkezelési tájékoztató nem különül el a vállalkozás által alkalmazott Általános Szerződési Feltételtől.

A hozzájárulások felülvizsgálata

A webshopok a látogatók, illetve a tényleges vásárlók adatait jelenleg egységesen az érintettek hozzájárulása alapján kezelik. A változás kétirányú.

A GDPR az adatkezelés jelenlegi jogalapjaitól részben eltérő szabályokat állít fel. Ezért minden esetben vizsgálandó, hogy hozzájárulás helyett nem célszerűbb-e a szerződés megkötését és annak előkészítését adatkezelési jogalapnak tekinteni a webshopok esetében. Gondoljunk arra, hogy az adott webshop látogatója regisztrál az oldalon és megrendel egy terméket, ebben az esetben a regisztrált látogató mint vevő és a webshop között szerződés jön létre a megrendelt termék árának kifizetése és a vevő részére történő szállítása vonatkozásában. Találkozhatunk olyan honlapokkal is, amelyek esetében regisztráció sem szükséges a termék megrendeléshez, azonban a két fél között szintén szerződéses jogviszony keletkezik.

Előfordulnak olyan esetek is, amikor a látogató regisztrál a honlapon, de nem rendel meg terméket, illetve azt visszamondja, esetleg nem érvényesíti az igénybe vett kedvezményt biztosító kupont. Szerződéskötés hiányában is azonban megvalósul személyes adat kezelés (pl. IP cím, e-mail, lakcím, telefonszám, stb.). Ilyen esetekben az adatkezelés jogalapja továbbra is az érintetti hozzájárulás.

A GDPR jelentős mértékben szigorít a hozzájárulás megadásának módján is. A GDPR ugyanis az érintett hozzájárulása kapcsán megköveteli, hogy az önkéntes, kifejezett, megfelelő tájékoztatáson alapuló és egyértelmű legyen. A hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, így például a szerződés létrejöttének feltételévé nem tehető a hírlevél küldéshez való hozzájárulás, vagy például a hozzájárulás megadására vonatkozó előre kipipált négyzet sem elfogadható és jogszerűtlen adatkezelést eredményez. Mindezeken túlmenően a webshopnak kell tudni bizonyítania, hogy az adatkezelési művelethez az adott látogató, vásárló hozzájárult.

A webshopoknak adatkezelési célonként és adattípusonként szükséges majd a felhasználók hozzájárulását kérni az adatkezeléshez, amelyen belül is külön hozzájárulást kell kérni a marketing célú adatkezeléshez (pl. hírlevél feliratkozáshoz, profilalkotáshoz, vásárlói vélemények gyűjtéséhez), ami újabb checkboxokat fog eredményezni a honlapon. A hozzájárulás megtagadása esetén pedig nem lehet a webshopban való vásárlást megtiltani.

Adatvédelmi incidensek kezelése

A GDPR által bevezetett új fogalom a személyes adatok integritásának, védelmének bármely megsértését jelenti, így pl. incidensről beszélünk, ha a vásárló adatait a webshop véletlenül megváltoztatja, törli, vagy jogosulatlan személyek számára hozzáférhetővé teszi.

A GDPR az incidensek kapcsán is nyilvántartási kötelezettséget ró az adatkezelőkre, ezen túlmenően pedig az adatkezelők kötelesek az incidensről való tudomásszerzéstől számított 72 órán belül az incidenst bejelenti a NAIH felé, illetve adott esetben az érintetteket is tájékoztatni.

Adatfeldolgozói szerződések

A GDPR nem csupán az adatkezelőkkel, az adatfeldolgozókkal szemben is megköveteli a személyes adatok védelmére vonatkozó szabályok betartását. Adatfeldolgozónak azt a személyt tekintjük, aki az adatkezelő utasításai alapján személyes adatot kezel. Tulajdonképpen minden webshopra igaz, hogy adatfeldolgozót vesz igénybe, gondoljunk a megrendelt terméket kiszállító partnerre, vagy az IT-szolgáltatóra.

A GDPR kötelezővé teszi az adatkezelők és az adatfeldolgozók közötti írásbeli szerződések megkötését, amelynek tartalmi elemeire vonatkozóan is szigorú előírásokat határoz meg. A webshopoknak felül kell vizsgálniuk a partnereikkel fennálló szerződéseiket és a GDPR által meghatározott adatvédelmi rendelkezéseket be kell építeniük a szerződési feltételekbe.

Egyes webshop-ok esetében a bankkártyás fizetéseket nem maga a webshop, hanem egy külsős, biztonságos felületet üzemeltető szolgáltató bonyolítja le. Minden esetben vizsgálandó, hogy ilyen esetben adatfeldolgozás, esetleg közös adatkezelés valósul-e meg.

Beépített és alapértelmezett adatvédelem

A GDPR által bevezetett fogalom azt jelenti, hogy a webshopoknak a belső folyamataikban is meg kell felelniük az adatkezelésre vonatkozó előírásoknak, azaz a működésüket olyan módon kell kialakítaniuk, hogy az adatvédelmi szempontokat már az egyes működési fázisok (pl. belépés a webshop-ba, vásárlás stb.) megtervezésekor figyelembe vegyék, és azokat beépítsék.

Meg kell vizsgálni, hogy az adatkezelési tevékenység megköveteli-e az adatvédelmi hatásvizsgálat lefolytatását, szükséges-e adatvédelmi tisztviselő kinevezése, milyen tartalmú nyilvántartást kell vezetni, kellően biztosítottak-e az érintetti jogok. A kötelezően létrehozandó, gondosan megszerkesztett adatvédelmi szabályzattal a webshopok összhangba tudnak kerülni a GDPR-ban lefektetett elszámoltathatóság elvével és biztosítani tudják a jogszerű adatkezelést vagy adatfeldolgozást.

Mi történik, ha a felkészülésre nem fordítanak kellő figyelmet a webshopok?

Súlyos pénzbeli szankcióknak teszik ki magukat, a bírságtételek ugyanis rendkívül magasak, akár az éves árbevétel 4%-áig vagy 20 millió euróig terjedhetnek. A fentiek alapján könnyen belátható, hogy a GDPR gyakorlatilag megkerülhetetlen, a webshopoknak előbb vagy utóbb be kell építeniük és be kell árazniuk a mindennapi tevékenységükbe az adatvédelemmel kapcsolatban felmerülő technikai és szervezési intézkedéseket, ezért érdemes időt és erőforrást szánni rá még a felkészülési időszakban.

Szerző:

dr. Sipőcz Dalma

jogász, act legal

Bán és Karika Ügyvédi Társulás