Már biztosan Te is hallottál a GDPR-ról, az Európai Unió új, általános adatvédelmi rendeletéről, amely kötelező érvényű minden tagállam vállalkozásaira, így a Te webáruházadra is 2018. május 25-től.

A háttérben a Corinwebshop is készül az előírásoknak rendszer szinten megfelelni, ám a saját webáruházadban neked kell gondoskodnod a megfelelő tájékoztatásról, beállításról.

De mi is az a GDPR?
A GDPR az Európai Unió általános adatvédelmi rendelete, amit minden tagállamban egységesen kötelező alkalmazni 2018. május 25-től. Ez a rendelet szabályozza a természetes személyek (érintettek) jogait, az adatkezelők és az adatfeldolgozók kötelezettségeit, az eljáró hatóságok hatásköreit, stb. Mivel uniós rendeletről van szó, ezért az uniós tagállamokban „megelőzi” a törvényeket, azaz kötelező minden adatkezelőre nézve. Az Infotörvény módosítása jelenleg még zajlik, az új parlament fogja megszavazni remélhetőleg még május 25 előtt.

A GDPR célja hogy egységesítse Európában a személyes adatok kezelését. Jelenleg csak néhány hatósági(NAIH) irányelv áll rendelkezésre, valamint a hamarosan elkészülő új Infótörvény, így az új törvények gyakorlati használata, hatósági értelmezése, állásfoglalásai fogják kialakítani hogy mi a megfelelő egy egy konkrét gyakorlati esetben. Az elrettentő 20 millió eurós vagy az éves forgalom 4%-os bírsága elsősorban a nagyok (google, facebook) miatt született és nem az európai vállalkozások (KKV) tönkretétele a célja. Ezért a kevés információ ellenére igyekezzünk nem pánikolni, csak pozitívan és jóhiszeműen megoldani, hogy csak a legszükségesebb személyes adatokat kezeljük, és biztosítsuk a vásárlóink jogait.

A GDPR-t mindenkinek be kell tartania, aki személyes adatot kezel. (Ez alól kivételt képeznek a természetes személyek otthoni adatkezelése, közösségi oldalakon kapcsolattartás, levelezés stb.)

Személyes adatnak minősül minden olyan adat, ami alapján a természetes személyt – akár közvetett módon – azonosítani lehet.
A GDPR definíciója és a jelenlegi irányelvek szerint természetes személy személyes adata(közvetlen vagy közvetett módon azonosítja) például vezeték- és utónév, lakcím, helymeghatározó adat (mobiltelefon helymeghatározás), online azonosító (email, IP cím, felhasználó azonosító), igazolványszámok, vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális, politikai, vallási vagy szociális adatai.

Webshop esetén adatkezelő:
A webáruházat üzemeltető természetes vagy jogi személy (az üzemeltető cég, vagy egyéni vállalkozó), aki a személyes adatok kezelésének célját meghatározza.

Adatfeldolgozó:
mindenki, aki a webáruház által kezelt adatokat szintén kezeli: tárhelyszolgáltató, futárszolgálat, hírlevélküldő szoftver, vállalatirányítási rendszer, marketing értékesítési szoftver.

Webshopok kötelezettségei, teendői:
Adatkezelőként az alábbiakat kell figyelembe venned, és a vevőidnek tájékoztatást kell nyújtanod, vagy az engedélyüket kell kérned:
1. fel kell mérned az adatkezelési eseteket, azokat is, melyek kötelező jellegűek, pl:
– sütik (cookie-k) használata
– hírlevél feliratkozás
– nyereményjáték
– regisztráció, felhasználói profil
– megrendelések, számlázás, szállítás
– kapcsolatfelvételi lehetőségek (űrlapok, ajánlatkérések)
– minden további eset ahol személyes adatokat kérsz be vagy add meg a látogató, érdeklődő, vásárló

2. Saját belső céges nyilvántartásba kell venni az adatkezelési eseteket.
Május 25-től már nem kell a NAIH felé bejelenteni és nyilvántartási számot kérned, helyette magadnak kell vezetni az adatkezelésed. (A NAIH oldalán a táblázat alatt bővebb info: https://naih.hu/bejelentkezes.html )

3. a GDPR alapján fel kell mérned, kell-e és mit módosítanod a folyamataidon, a weboldalon, adatkezelési és egyéb tájékoztatókban

4. a GDPR alapján szabályokat kell alkotnod az adatkezelésre, feldolgozásra vonatkozóan
Tájékoztatnod kell az érintetteket az adatkezelések céljairól, jogalapjáról, időtartamáról…stb. (alább)
Fontos változás a GDPR-ben, hogy megváltoznak az adatkezelés jogalapjai. Egy webshop tipikusan az érintett hozzájárulása alapján kezelt eddig adatokat, ez részben módosul, mivel a szerződés teljesítésével kapcsolatos adatkezelés külön jogalap lett. Ha tehát az érintett a szerződésben részes fél, akkor a szerződés teljesítéséhez szükséges adatkezelés (pl.: teljesítés, szállítás) ezen jogalap alapján kezelhető. A direkt marketing célú adatkezelés továbbra is az érintett hozzájárulásán fog alapulni, és jelentős marad továbbra is a jogi előírások alapján kezelt adatok köre (pl.: a fogyasztóvédelmi panaszok kezelése, garanciális panaszok kezelése, számlázás).

5. biztosítani kell az érintettek jogait:

– hozzáférés joga az adataihoz
– helyesbítéshez való jog: az adatkezelő indokolatlan késedelem nélkül helyesbíteni köteles az érintett kérésére az adatait, vagy biztosítani kell a módosítás lehetőséget.
– törléshez (elfeledéshez) való jog: az adatkezelő indokolatlan késedelem nélkül törölni köteles az érintett kérésére az adatait, vagy biztosítania kell a törlés lehetőségét számára.
– adatkezelés korlátozásához való jog,
– adathordozhatósághoz való jog,
– tiltakozáshoz való jog.

6. belső szabályozás, nyilvántartás, dokumentáció vezetése a meghatározott elvek szerint (pl. adatkezelési szabályzat, incidenskezelés és nyilvántartás… stb.)

Gyakorlati tippek, tanácsok:
1. a webshop köteles adatkezelési tájékoztatót közzétenni (tehát már nem elegendő az ún. Adatvédelem menüpont sablon szövege, részletesen és közérthetően – tehát nem jogi szövegezéssel – közzé kell tenned az alábbiakat.)
Egyértelmű és részletes adatkezelési tájékoztatót kell írnod, melynek tartalmaznia kell a tájékoztatást:
– az adatkezelés céljáról, jogalapjáról,
– az adatkezelő-, és adatfeldolgozásra jogosultakról,
– az adatkezelés időtartamáról, és hogy
– kik ismerhetik meg az adatokat.
– az érintettek jogai, jogorvoslati lehetőségeiről
– amennyiben szükséges (250 főnél kisebb vállalkozásokban csak speciális esetben kell) az adatvédelmi tisztviselő, az ő nevét is közzé kell tenni
– tájékoztatóban új elemként kell feltüntetni azt, hogy az adat közlése feltétele-e a szerződéskötésnek, a profilalkotás tényéről szóló tájékoztatást, és hogy a hozzájárulást bármikor vissza lehet vonni.

Adatkezelési tájékoztató minta»

2. Vásárlói regisztráció, profil törlésének lehetősége
A GDPR meghatározza, hogy biztosítani kell a felhasználó számára a kezelt személyes adatainak a törlését (elfelejtés joga), ez a webshopban elsődlegesen a regisztrációs adatokat jelenti, amelyet automatikusan elvégez a Corinwebshop. Ha bármely harmadik fél rendszerébe is továbbítod a személyes adatokat(pld értékesítési rendszer) akkor ott neked kell manuálisan(amíg nem készül automatikus lehetőség) törölnöd.

3. Cookie-k kezelése
A sütik, vagy cookie-k használatáról már jó ideje tájékoztatni kell a vásárlót, melyet el kell tudni fogadnia. Azonban a látogató elutasíthatja a nem kötelező(szükséges) Cookie-k elfogadását, így ezek nem lehetnek a nézelődés vagy vásárlás feltételei. A régebben használt külön süti kezelési szabályzat helyett most az adatkezelési tájékoztatóban kell közzé tenni a sütikezelés céljait, időtartamát

4. Hírlevél feliratkozás
Amennyiben valaki feliratkozik a webshopodban a hírlevélre, akkor annak technikai és jogi feltételeit biztosítani kell:

Szükség van egy olyan adatkezelési tájékoztatóra, ami a GDPR-nak megfelelő tartalommal tájékoztatja az érintettet az adatkezelés céljáról, jogalapjáról, időtartamáról, a kezelt személyes adatok köréről, és az érintett jogairól. Ennek elkészítése vagy elkészíttetése a webáruház tulajdonos feladata.

Magán a honlapon ezt a tájékoztatót meg kell jeleníteni, és még a hírlevél feliratkozás előtt igazolhatóan el kell fogadtatni az érintettel. Ezt egy az adatkezelési tájékoztatóra mutató linkkel és egy előre nem bepipált check box-szal tudjuk megtenni. A webshop rendszer felelőssége e tekintetben az, hogy ezt a check box-ot a weboldaladon meg tudd jeleníteni, az adatkezelési tájékoztatót linkelhesd, a te felelősséged pedig az, hogy legyen ilyen tájékoztató.

A későbbiekben, ha a vásárló leiratkozik a hírlevélről, akkor őt a hírlevél listáról is törölnöd kell, és ha szükséges igazolnod kell, hogy ezt megtetted.

Néhány hasznos link:
Az eredeti GDRP magyar nyelvű infografikás összefoglálsa
http://ec.europa.eu/justice/smedataprotect/index_hu.htm

NAIH magyar nyelvű GDPR rendelet szövege: https://www.naih.hu/files/GDPR_TXT_HU.pdf

NAIH Tájékoztató a webáruházakra vonatkozó tavalyi 2017-es adatvédelmi követelményekről ami már GDPR irányelveket is tartalmaz, hiszen a GDPR rendelet még 2016-ban készült:
https://www.naih.hu/files/2017-02-17-webaruhaz-tajekoztato-NAIH-2017-1060-V.pdf

Törvényi háttér (NAHI) 2018.05.25. után:
https://naih.hu/toervenyi-hatter-2018.05.25.-utan.html

https://naih.hu/felkeszueles-az-adatvedelmi-rendelet-alkalmazasara.html

Facebook GDRP pixelid képpont: https://www.facebook.com/business/gdpr

A CorinWebshop rendszer szinten felkészül a változásokra, ám arra felhívjuk a figyelmedet, hogy önmagában az, hogy a webshop rendszered megfelel az előírásoknak(eszközöket biztosít neked és a látogatóidnak), az nem jelenti azt, hogy hátradőlhetsz, mert a tényleges adatkezelési lépéseket neked kell megtenned.

Szeretnénk a segítségedre lenni az adatkezelési tájékoztató szövegezésével kapcsolatban, így a demo.corinwebshop.com minta webshophoz készítettünk egy általános adatkezelési tájékoztatót, melyet felhasználhatsz a saját webáruházad adatkezelési tájékoztatójának megírásához.
Felhívjuk figyelmedet, hogy az általunk készített adatkezelési tájékoztató demo csak egy minta, a saját webáruházaddal kapcsolatban neked kell megírnod! Ha a mintát testreszabás nélkül felhasználod, azért felelősséget nem tudunk vállalni!

A jelen írás többek között a Webshop Magazinban megjelent cikket felhasználva készült.