A kis testvér is mindent láthat? GDPR-útmutató webshopoknak (2. rész)
Ahogyan azt előző blogcikkünkben felvázoltuk, a személyes adatok GDPR-elvárásoknak megfelelő kezelése bármely vállalkozás, így a webshopok alapvető kötelessége. Sorra vettük a legfontosabb elveket, szabályokat, amelyek már az induláskor nélkülözhetetlenek. Írásunk mostani, második részében eggyel továbblépünk, és bemutatjuk többek között a viselkedés alapú reklámok és promóciós levelek küldésének szabályos módját, illetve áttekintjük az adatkezelésbe bevont harmadik országbeli felekkel kapcsolatos előírásokat.
Bemelegítésként talán nem árt felsorolásszerűen átismételni, mi mindenre is szükséges odafigyelni, ha webshopot indítunk, és tisztességesen meg akarunk felelni az adatvédelmi előírásoknak – márpedig ez utóbbi nem is kérdés, ugye.
A webshop alapja maga a web, elsőként tehát egy megbízható honlapot kell készítenünk (SSL-tanúsítvány!), ahol a vevők saját adataikat biztonságban tudva keresgélhetnek portékáink között. És ahol aztán el kell helyeznünk különféle tájékoztatókat – adat- és süti (cookie)-kezelésünkről, a vásárlói regisztráció menetéről, hírlevélküldési gyakorlatunkról, reklám és marketingkampányainkról – illetve, hogy mindezekkel kapcsolatban milyen jogok illetik meg látogatóinkat; és nem utolsó sorban adatvédelmi tisztviselőnk elérhetőségeit.
Harmadik országbeli felek: Facebook, Google, Microsoft…
A legtöbb honlap, egy internetes áruház pedig adatkezelőként szinte biztosan igénybe veszi külső adatfeldolgozók, ezen kívül úgynevezett harmadik országbeli felek szolgáltatásait, kommunikációs platformjait. A különféle beszállítók, futárszolgálatok, számlázó cégek vagy tárhelyszolgáltatók mellett tipikus példa erre a Facebook, a Google vagy a Microsoft – amely triót részben éppen azért emeltük ki, mert ők tartják a nemzetközi adatvédelmi büntetési rekordokat (milliárd forintokban számolva!). Vagyis, a „nagy név” nem feltétlenül jelent automatikusan nagy biztonságot is, így erre is figyelnünk kell. Ahogyan a partnereinkkel kötendő, saját érdekeink mellett vevőinkét is védő, szakszerű szerződések megkötésére is.
És mert az EU-n kívüli országokban regisztráltak eleve külön kategóriát alkotnak, velük a főszabály szerint csak akkor „üzletelhetünk”, ha hivatalosan is biztonságosnak minősített – mármint adatvédelmi szempontból – országból szolgáltatnak.
Viselkedés alapú reklámok: a kis testvér is mindent láthat?
Mint több más esetben, a viselkedés alapú reklámok esetén is a legfontosabb, hogy ügyfelünk (vásárlónk) tudjon róla, illetve konkrét hozzájárulását adja az adott folyamathoz. Esetünkben egyik leggyakoribb példa a kosárelhagyás utánkövetése. Ez a mi szemszögünkből egy szuper funkció, hiszen ha „vevőnk” valamiért nem jutott el a fizetésig, tehát ott maradt a kosárban a termék, akkor küldünk egy e-mailt, hogy „a termék még rád vár, nem fejezted be a vásárlást, stb.”. Hasonló elven működik az „ezt és ezt a terméket nézted meg korábban, most akcióssá vált, kattints ide a vásárláshoz” jellegű promóció is.
Ezeknek a pszichológiája tényleg működik, de fontos, hogy szabályozzuk és már a regisztrációkor, jelezzük, hogy ilyent alkalmazhatunk. Sok büntetés éppen ezek elmaradásából ered, mert a külön hozzájárulás nélkül, regisztrációs e-mail-címre is gond nélkül kiküldik ezeket a leveleket, márpedig az szabálytalan.
Hírlevelek, promóciós levelek – szintén csak külön engedéllyel
Mindennapos hibaforrás a hírlevelek, promóciós levelek küldésének esete. Itt az első szabálytalanság, amit elkövethetünk, hogy úgy gondoljuk, ha már magához a regisztrációhoz hozzájárult valaki, attól kezdve „mindent szabad” – például ajánlatokkal bombázni is. Pedig nem! Az ilyen célú levélküldéshez minden esetben külön, önálló hozzájárulás szükséges – ráadásul nem általunk előre bejelölt, hanem a vevő által kipipálandó, kimondottan „feliratkozom” tartalmú checkboxszal. Hasonlóképpen szabálytalan ismeretleneknek kéretlen e-mailekben hírleveleket vagy akár feliratkozási ajánlatot küldeni. És ha a feliratkoztatáson szabályszerűen túljutottunk, ne feledkezzünk meg a leiratkozás hasonlóan GDPR-kompatibilis – például minden hírlevél láblécében elhelyezett – lehetővé tételéről sem.
Némileg különbözik a hírlevéltől a DM-levél – a meghatározás szerint előbbi nem tartamazhat reklámot; vagyis, ha akár csak cégnevünket belefogalmaztuk, az már nem hírlevél. A GDPR ezt nem tiltja ugyan, ám vagy eleve a feliratkozáskor jeleznünk kell, hogy leveleinkben reklámokra is számíthatnak, vagy e célra beiktatunk egy külön jelölőnégyzetet.
Ha mindezekre kellő figyelmet fordítunk, nyugodtak lehetünk, hogy nem az adatvédelmi hatóság vet majd szemet bírságként webshopunk profitjára. Ám ahogy cikkünk első részében is ajánlottuk, ha bármely kérdésben a honlapunkon található számos útmutató mellett is bizonytalan még bármely kérdésben, forduljon bizalommal szakavatott tanácsadó csapatunk tagjaihoz támogatásért.
Ha még részletesebb információkat szeretne arról, hogy az Ön webshopja miként kerülheti el egyszerűen az adatvédelmi hibákat, és hogyan felelhet meg a rendeletnek, a lenti gombra kattintva tekintse meg a mi webshopunk GDPR-kínálatát!