Webáruházak a NAIH célkeresztjében

Webáruház GDPR bírság

2022-ben indított vizsgálatok határozatai alapján a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 8 alkalommal vizsgálta különböző weboldalak és webáruházak adatvédelmi megfelelőségét és összesen 46.800.000 Ft értékben szabott ki részükre adatvédelmi bírságot. Nézzük meg a legfrissebb 500.000 Ft-os bírsággal zárult esetet, amelyben a legtöbb weboldalakat érintő adatvédelmi mulasztás fellelhető.

Mi történt?

Érintetti bejelentés érkezett a Hatósághoz, miszerint személyes adatait érintő törlési kérelme ellenére továbbra is hírlevelek érkeznek a webáruház címéről.

A bejelentő a webáruház egy korábbi vásárlója volt, rendelés során iratkozott fel a hírlevélre. Később a hírlevélben található automatikus leiratkozó linken kérte személyes adatai törlését, mely sikerességéről visszaigazoló tájékoztatást kapott. Ennek ellenére további hírlevél érkezett elektronikus postaládájába.

A webáruház Hatóságnak tett nyilatkozata szerint hackertámadás áldozatai lettek, és egy zsarolóvírus miatt az ügyféladatbázist vissza kellett állítani egy korábbi időpontra. Ennek következményeképp a hírlevélküldő rendszer frissítésekor a bejelentő adatai visszakerültek a listára. Ekkor újabb kérelem érkezett a bejelentőtől, személyes adatai törlésére, melynek a webáruház eleget is tett. Ellenben a Hatóság mégis megtalálta a bejelentő telefonszámát és email címét a webáruház rendszerében. Ezt követően a Hatóság tesztregisztrálást és tesztvásárlást folytatott le, így további kivetnivalókat találtak a webáruház adatkezelésében.

Mit kellett volna máshogy tenni?

A webáruház egy ponton túl már nem volt együttműködő a Hatósággal, a végzésben megadott határidőn belül nem válaszoltak, ezért az adatvédelmi bírságon felül 200.000 Ft eljárási bírságot is meg kellett fizetniük; Ez elkerülhető lett volna a további együttműködéssel. Emellett a vizsgálat biztosításához a Hatóság lefoglalta a webáruház weboldalát és a hírlevél- és sms küldő rendszer adatbázisát is. Az ügy lezárását követően a lefoglalást megszüntették.

Adatkezelési tájékoztató

A Hatóság vizsgálata során megállapította, hogy a webáruház tájékoztatói és szabályzatai érintetti jogokra vonatkozó részei szó szerint megismétlik az általános adatvédelmi rendeletben leírtakat, anélkül, hogy a saját adatkezelési folyamataikra konkretizálták volna azokat. A tájékoztatók esetében fontos, hogy valamennyi adatkezelési folyamatra vonatkozzon külön dokumentum vagy dokumentum-rész, biztosítva az átláthatóságot, egyértelműséget. Amennyiben külön rendszerek működtetik a hírlevél és a rendszerüzenetek küldését, illetve más adatbázisokban vannak tárolva a kapcsolódó személyes adatok, ezek külön adatkezelési folyamatoknak minősülnek.

Marketing célú levelek, hírlevelek

A webáruház a marketing célú hírlevelek és rendszerüzenetek (pl. névnapi köszöntőlevél) adatkezelési jogalapjaként a hozzájárulást jelölte meg. Az általános adatvédelmi rendelet hozzájárulás esetén követelményeket állít fel. E szerint a hozzájárulásnak megfelelő tájékoztatáson kell alapulnia, ehhez az érintettnek meg kell ismernie a személyes adataira vonatkozó adatkezelést. A hozzájárulásnak továbbá önkéntesnek kell lennie, a hozzájárulás következményei nem lehetetleníthetik el a választás szabadságát. Az érintett akaratát konkrét, egyértelmű cselekedet útján kell kinyilvánítania, a hozzájárulásnak aktív magatartásnak kell lennie. Erre jól bevált gyakorlat a checkbox (jelölőnégyzet) használata, azonban ez csak akkor elfogadható, ha nincs előre bejelölve és a hozzájárulás meghatározott adatkezelési célokra van bontva.

A webáruház adatkezelési tájékoztatója nem tartalmazta a marketing célú adatkezelésről szóló tájékoztatást – adatkezelés céljai, körülményei –, ezért a hozzájáruláshoz nem adtak megfelelő tájékoztatási alapot, enélkül az adatkezelésük jogalap nélkülinek bizonyult.

A hozzájárulás módja sem volt megfelelő, mivel az ÁSZF-et és a marketing célú hozzájárulást nem különítették el, ezekről ugyanabban a jelölőnégyzetben kellett nyilatkoznia a vásárlónak.

A rendszerüzenetek esetén érdemes lett volna más jogalapot választani, bár az érintettnek ebben az esetben is joga van kérni az adatai törlését, tiltakozhat az adatkezelés ellen.

Törlési kérelem

Hozzájáruláson alapuló adatkezelés esetében biztosítani kell, hogy az érintett a hozzájárulását visszavonhassa, ez esetben az adatkezelőnek be kell szüntetni az adatok kezelését, nem küldhet további hírleveleket. A törlési kérelem beérkezésétől számítva indokolatlan késedelem nélkül, de maximum 1 hónapon belül köteles az adatkezelő tájékoztatást adni a kérelem alapján hozott intézkedésekről – a törlés tényéről vagy a megtagadás okáról.

Az ügyben az első törlési kérelem beérkezésekor a webáruház munkatársai 2 órán belül törölték az érintett azon személyes adatait, amelyek nem esnek kötelező jelleggel a jogszabályi rendelkezés alá, úgymint például a vásárlási adatok. A törlést követően hackertámadás miatt a rendszert egy korábbi időpontra állították vissza, így kerültek a bejelentő adatai ismét a hírlevél listára. Ezután a bejelentő kérésére adatait újból törölték a hírlevélküldő rendszerből, azonban ezt automatikusan meg kellett volna tegyék az adatbázis visszaállításakor, annak érdekében, hogy az érintett kérelme, joga ne sérüljön.

Kinek kell gondoskodni a webáruházak és weboldalak GDPR megfelelőségéről?

Általános tévhit a weboldal és webshop tulajdonosok körében, hogy az adatvédelmi dokumentumok létrehozása a megbízott webfejlesztő feladatkörébe tartozik, azonban ez korántsem így van. A weboldal fejlesztők nem adatvédelmi szakemberek, nincs meg a kellő mélységű képzettségük a GDPR-rendeletről, sem a megbízó adatkezelési és üzleti folyamatairól, ezért nem hárítható rájuk a felelősség.

Ha szeretne többet megtudni a weboldal-fejlesztőket érintő adatvédelmi kötelességek határairól és a helyes adatkezelési gyakorlatokról, ajánljuk figyelmébe a 2023. június elsején megrendezésre kerülő díjmentes online előadásunkat, amelyen adatvédelmi szakértőink válaszolják meg a legégetőbb kérdéseket.

Iratkozzon fel hírlevelünkre, hogy első kézből értesüljön az eseménnyel kapcsolatos információkról!

Ismerje meg szolgáltatásainkat, adatvédelmi szakértőinket weboldalunkon és előzze meg az adatvédelmi bírságot, egyéni vállalkozóként már akár 48.000. Ft-tól!

Rovat:
Szerző:
Crosssec Solutions
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram