Hogyan érinti a webshopokat a GDPR?

A webshopot üzemeltető vállalkozások jó része feltehetően már találkozott az adatvédelemmel, rendelkezik a honlapjára feltöltött adatkezelési tájékoztatóval, esetleg adatvédelmi szabályzata is van és tevékenységét bejelentette a NAIH részére. Jogosan merülhet fel tehát a kérdés, hogy miben is új a GDPR és a webshopoknak mit is kell tenniük annak érdekében, hogy felkészüljenek az új adatvédelmi rendeletre, közismertebb nevén a GDPR-ra.

GDPR szótár: 15 fontos alapfogalom, amit jó ha ismersz
Vészesen közeledik az uniós adatvédelmi rendelet hatálybalépésének időpontja. Nem könnyű eligazodni a rendelet előírásai között, ebben nyújthat segítséget az alábbi GDPR szótár, amelyben szakértőnk a legfontosabb alapfogalmakkal ismerteti meg, a teljesség igénye nélkül.
A korábbi bejelentési-rendszer és nyilvántartás (ezzel együtt a NAIH szám) megszűnik

A GDPR egyetlen könnyítést jelentő újítása a korábbi bejelentési kötelezettség megszüntetése, amely azt jelenti, hogy az adatkezelőknek az adatkezeléseiket 2018. május 25. után már nem kell bejelenteniük a NAIH részére. Ezzel megszűnik az a kötelezettség is, hogy a NAIH számok a honlapon, illetve a szabályzatban feltüntetésre kerüljenek.

A NAIH nyilvántartás megszüntetése azonban nem jelenti a nyilvántartás-vezetési kötelezettség megszűnését, sőt, a GDPR meghatározza, hogy milyen esetekben és milyen tartalommal kötelesek az adatkezelők az adatkezelési tevékenységükről nyilvántartást vezetni. Webshopok esetében különösen azt érdemes megvizsgálni, hogy a látogatókra, vásárlókra vonatkozó nagy számú, nem alkalmi jellegű adatkezelést végeznek-e, kezelnek-e különleges személyes adatokat, illetve alkalmaznak-e profilalkotást.

Itt olvashatja a témában a Piac & Profit összes cikkét!

Kép:Pexels

Technológiasemlegesség

A GDPR garanciális jelleggel kimondja, hogy a természetes személyek védelmének technológiailag semlegesnek kell lennie és nem függhet a felhasznált technikai megoldásoktól. Webshopok esetében kifejezett figyelmet kell fordítani a hírlevelek küldésére, az e-mail marketingre, a felhasználó-követésre (ideértve a cookie sávok alkalmazását is), valamint a viselkedés-alapú hirdetések alkalmazására, áruk, szolgáltatások nyújtására.

Az adatkezelési tájékoztatók frissítése

Ami a felkészülést illeti az első és legfontosabb kritérium, hogy a felhasználó (látogató, vásárló) megfelelő tájékoztatást kapjon a személyes adatainak kezeléséről, amelynek legegyszerűbb formája a webshop honlapján elhelyezett adatkezelési tájékoztató. A GDPR pontosan meghatározza, hogy a nem közvetlenül az érintettől gyűjtött személyes adatok esetén milyen tartalmú tájékoztatást kell adni az érintetteknek, amely a korábbi szabályozáshoz képest bővebb tartalmat jelent.

GDPR: szakítani kell a szabad-tilos szemlélettel
Május 25-e, az új uniós adatvédelmi szabályozás hatálybalépésének napja közel van, de azért utána is fel fog kelni a nap, ezért még most sem késő elkezdeni a felkészülést a megfelelésre, főleg azért, mert előbb utóbb úgyis mindenkinek meg kell felelnie az új előírásoknak – figyelmeztetett Halász Bálint, a Bird & Bird nemzetközi ügyvédi iroda partnere. Már csak azért is érdemes foglalkozni a megfeleléssel, mert a GDPR a kötelezettségek mellett számos lehetőséget is tartogat a cégek számára.
Fontos kiemelni a tájékoztatók kapcsán, hogy nem csupán tartalmi, hanem formai szempontból is újításokat hoz a GDPR. 2018. május 25-étől ugyanis a tájékoztatók akkor megfelelőek, amennyiben azok nyelvezete világos és közérthető, a honlapon könnyen hozzáférhetően kerülnek elhelyezésre, valamint tömör, de átlátható formában kerülnek megszerkesztésre. Nem megfelelő a gyakorlat, ha az adatkezelési tájékoztató nem különül el a vállalkozás által alkalmazott Általános Szerződési Feltételtől.

A hozzájárulások felülvizsgálata

A webshopok a látogatók, illetve a tényleges vásárlók adatait jelenleg egységesen az érintettek hozzájárulása alapján kezelik. A változás kétirányú.

A GDPR az adatkezelés jelenlegi jogalapjaitól részben eltérő szabályokat állít fel. Ezért minden esetben vizsgálandó, hogy hozzájárulás helyett nem célszerűbb-e a szerződés megkötését és annak előkészítését adatkezelési jogalapnak tekinteni a webshopok esetében. Gondoljunk arra, hogy az adott webshop látogatója regisztrál az oldalon és megrendel egy terméket, ebben az esetben a regisztrált látogató mint vevő és a webshop között szerződés jön létre a megrendelt termék árának kifizetése és a vevő részére történő szállítása vonatkozásában. Találkozhatunk olyan honlapokkal is, amelyek esetében regisztráció sem szükséges a termék megrendeléshez, azonban a két fél között szintén szerződéses jogviszony keletkezik.

Előfordulnak olyan esetek is, amikor a látogató regisztrál a honlapon, de nem rendel meg terméket, illetve azt visszamondja, esetleg nem érvényesíti az igénybe vett kedvezményt biztosító kupont. Szerződéskötés hiányában is azonban megvalósul személyes adat kezelés (pl. IP cím, e-mail, lakcím, telefonszám, stb.). Ilyen esetekben az adatkezelés jogalapja továbbra is az érintetti hozzájárulás.

A GDPR jelentős mértékben szigorít a hozzájárulás megadásának módján is. A GDPR ugyanis az érintett hozzájárulása kapcsán megköveteli, hogy az önkéntes, kifejezett, megfelelő tájékoztatáson alapuló és egyértelmű legyen. A hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, így például a szerződés létrejöttének feltételévé nem tehető a hírlevél küldéshez való hozzájárulás, vagy például a hozzájárulás megadására vonatkozó előre kipipált négyzet sem elfogadható és jogszerűtlen adatkezelést eredményez. Mindezeken túlmenően a webshopnak kell tudni bizonyítania, hogy az adatkezelési művelethez az adott látogató, vásárló hozzájárult.

GDPR: kérdezz-felelek az adatkezelés jogalapjairól
A GDPR meghatározza az adatkezelési lehetséges jogalapjait. A GDPR 6. cikke hat lehetséges jogalapot tartalmaz azon személyes adatok kezelése tekintetében, amelyek nem tartoznak a személyes adatok különleges kategóriájába. Az Adatvédelmi Munkacsoport (WP29) 2017. november 28-án iránymutatást adott ki a hozzájárulásról. Az alábbiakban a jogalapokkal kapcsolatos kérdéseket válaszolja meg dr. Kovács Zoltán Balázs, a Szecskay Ügyvédi iroda partnere.
A webshopoknak adatkezelési célonként és adattípusonként szükséges majd a felhasználók hozzájárulását kérni az adatkezeléshez, amelyen belül is külön hozzájárulást kell kérni a marketing célú adatkezeléshez (pl. hírlevél feliratkozáshoz, profilalkotáshoz, vásárlói vélemények gyűjtéséhez), ami újabb checkboxokat fog eredményezni a honlapon. A hozzájárulás megtagadása esetén pedig nem lehet a webshopban való vásárlást megtiltani.

Adatvédelmi incidensek kezelése

A GDPR által bevezetett új fogalom a személyes adatok integritásának, védelmének bármely megsértését jelenti, így pl. incidensről beszélünk, ha a vásárló adatait a webshop véletlenül megváltoztatja, törli, vagy jogosulatlan személyek számára hozzáférhetővé teszi.

A GDPR az incidensek kapcsán is nyilvántartási kötelezettséget ró az adatkezelőkre, ezen túlmenően pedig az adatkezelők kötelesek az incidensről való tudomásszerzéstől számított 72 órán belül az incidenst bejelenti a NAIH felé, illetve adott esetben az érintetteket is tájékoztatni.

Adatfeldolgozói szerződések

A GDPR nem csupán az adatkezelőkkel, az adatfeldolgozókkal szemben is megköveteli a személyes adatok védelmére vonatkozó szabályok betartását. Adatfeldolgozónak azt a személyt tekintjük, aki az adatkezelő utasításai alapján személyes adatot kezel. Tulajdonképpen minden webshopra igaz, hogy adatfeldolgozót vesz igénybe, gondoljunk a megrendelt terméket kiszállító partnerre, vagy az IT-szolgáltatóra.

A GDPR kötelezővé teszi az adatkezelők és az adatfeldolgozók közötti írásbeli szerződések megkötését, amelynek tartalmi elemeire vonatkozóan is szigorú előírásokat határoz meg. A webshopoknak felül kell vizsgálniuk a partnereikkel fennálló szerződéseiket és a GDPR által meghatározott adatvédelmi rendelkezéseket be kell építeniük a szerződési feltételekbe.

Egyes webshop-ok esetében a bankkártyás fizetéseket nem maga a webshop, hanem egy külsős, biztonságos felületet üzemeltető szolgáltató bonyolítja le. Minden esetben vizsgálandó, hogy ilyen esetben adatfeldolgozás, esetleg közös adatkezelés valósul-e meg.

Péterfalvi Attila: nem fenyegetésként mondom, de ellenőrizni fogunk
Május 25-étől immár kötelezően alkalmazni kell az új európai Általános Adatvédelmi Rendeletet, amelynek angol neve (General Data Protection Regulation) után előszeretettel nevezünk GDPR-nak. Péterfalvi Attila, a NAIH elnöke szerint nincs tovább, aki nem felel meg az előírásoknak, az nem számíthat a hatóság jóindulatára.
Beépített és alapértelmezett adatvédelem

A GDPR által bevezetett fogalom azt jelenti, hogy a webshopoknak a belső folyamataikban is meg kell felelniük az adatkezelésre vonatkozó előírásoknak, azaz a működésüket olyan módon kell kialakítaniuk, hogy az adatvédelmi szempontokat már az egyes működési fázisok (pl. belépés a webshop-ba, vásárlás stb.) megtervezésekor figyelembe vegyék, és azokat beépítsék.

Meg kell vizsgálni, hogy az adatkezelési tevékenység megköveteli-e az adatvédelmi hatásvizsgálat lefolytatását, szükséges-e adatvédelmi tisztviselő kinevezése, milyen tartalmú nyilvántartást kell vezetni, kellően biztosítottak-e az érintetti jogok. A kötelezően létrehozandó, gondosan megszerkesztett adatvédelmi szabályzattal a webshopok összhangba tudnak kerülni a GDPR-ban lefektetett elszámoltathatóság elvével és biztosítani tudják a jogszerű adatkezelést vagy adatfeldolgozást.

Mi történik, ha a felkészülésre nem fordítanak kellő figyelmet a webshopok?

Súlyos pénzbeli szankcióknak teszik ki magukat, a bírságtételek ugyanis rendkívül magasak, akár az éves árbevétel 4%-áig vagy 20 millió euróig terjedhetnek. A fentiek alapján könnyen belátható, hogy a GDPR gyakorlatilag megkerülhetetlen, a webshopoknak előbb vagy utóbb be kell építeniük és be kell árazniuk a mindennapi tevékenységükbe az adatvédelemmel kapcsolatban felmerülő technikai és szervezési intézkedéseket, ezért érdemes időt és erőforrást szánni rá még a felkészülési időszakban.

Szerző:

dr. Sipőcz Dalma

jogász, act legal

Bán és Karika Ügyvédi Társulás

Adatvédelmi incidens: mit tanulhatunk a Facebook-botrányból?
A személyes adatok kezelésének és védelmének kérdése talán még soha nem volt annyira a középpontban, mint az elmúlt hetekben: a GDPR szinte minden gazdálkodószervezetet, közintézményt érint,  a világsajtóban végigsöprő Facebook–Cambridge Analytica-ügy pedig sajátos megvilágításba helyezi az új rendelkezések aktualitását és lehetséges hatásait is.

Véleményvezér

Kísértetszállodát talált Hadházy Ákos

Kísértetszállodát talált Hadházy Ákos 

Különös pénzosztások az idegenforgalmi beruházások körül.
A korrupció rontja a boldogságindexet

A korrupció rontja a boldogságindexet 

Ötvenhatodik helyen a magyarok.
Hadházy Ákos újabb fél méter magas kilátót talált 217 millió forintért

Hadházy Ákos újabb fél méter magas kilátót talált 217 millió forintért 

Lombkoronasétány helyett ezúttal nádkoronasétány épült.
Száguldhatna a forint, ha Orbán Viktor kiegyezne az unióval

Száguldhatna a forint, ha Orbán Viktor kiegyezne az unióval 

A jogállamiság helyreállítása sok pénzt hozna.


Magyar Brands, Superbrands, Bisnode, Zero CO2 logo