Ne zsákbamacskát áruljon! – GDPR-útmutató webshopoknak (1. rész)

A személyes adatok kellő védelme (a GDPR előírásainak betartása) bármely vállalkozás immár kikerülhetetlen kötelezettsége. Egy webshop számára különösen, hiszen az odalátogatók nemcsak nézelődni, hanem vásárolni szeretnének, így adataik mellett pénzüket is biztonságban akarják tudni. Cikkünkben összefoglaltuk, melyek a legfontosabb szabályok és elvek, amelyekre egy internetes áruháznak figyelnie kell – de ha valaki bizonytalan még e jogi környezetben, bátran kérje szakavatott és gyakorlati tapasztalatokkal felvértezett tanácsadóink személyes útmutatását is.

Vágjunk bele tehát rögtön a közepébe, és járjuk körül egy különben is dinamikusan fejlődő, ám a covid szorításában a közelmúltban még fokozottabb teret nyerő szolgáltatási területtel, a webáruházakkal szembeni adatvédelmi megfelelés elvárásait.

Régi kereskedői igazság, hogy a „vevőnek mindig igaza van”. Webshop-GDPR-ra lefordítva értsük ezt még inkább szó szerint: ha vásárlóink bármiféle eljárást kezdeményeznek velünk, mint adatkezelőkkel szemben, mert veszélyben vagy sértve érzik ránk bízott adataikat, netán jogaikat, a tapasztalat szerint ritka eset, hogy mi kerüljünk ki az ügyből győztesen. Tegyük hozzá, nem az elfogult hatóság miatt, hanem, mert e panaszok a legtöbbször – sajnos – valóban megalapozottak.

Gyors felsorolással adatvédelmi szempontból egy webshop indításának fő feltételei: biztonságos adatátvitel a honlapon; adatkezelési tájékoztatók készítése, frissen tartása, megfelelő nyilvántartások vezetése; az érintettek jogainak érvényesítése, incidens esetén gyors intézkedés; és a legtöbb esetben adatvédelmi tisztviselő kinevezése.

Az első lépés: csak célzott adatkezelést!

Kezdjük azzal, hogy minden adatkezelési folyamatnál (vásárlói regisztráció, rendelések, fizetés, hírlevél-feliratkozás, reklám- és marketingkampányok, a honlap biztonságos adatátvitele /SSL-tanúsítvány/ és sütikezelése, jelszavak stb.) vegyük számba, hogy milyen adatokat kezelünk és tárolunk. És főként, hogy valóban szükségünk van-e mindezekre – amire nincs, azt haladéktalanul töröljük.

Az érintettek – azaz vevőink – jogai

A webáruház vásárlói, amint adataikat kezeljük, érintetté válnak. A GDPR különös figyelmet fordít az érintettek jogaira – amelyek közül webshopunkban is a legfontosabbak:

  • megfelelő információ (tájékoztatás) a webáruház adatkezeléséről, közte: az adatkezelés célja, jogalapja, szükségessége és időtartama;
  • hozzáférési jog: kérésre kötelező kiadni a vásárlóról a tárolt, kezelt adatokat;
  • helyesbítéshez, törléshez, hordozáshoz való jog: kérésre el kell végezni a kért módosításokat, akár végleges törlést is;
  • automatizált adatkezelés: a vásárló dönthet arról, ha nem akar ilyenben részt venni (profilozás).
  • az adatvédelmi tisztségviselő elérhetősége.

Kötelező hozzájárulás az adatok tárolásához, kezeléséhez

A GDPR egyik meghatározó jogalapja a kötelező hozzájárulás, beleegyezés adataink tárolásához és kezeléséhez. Bármilyen feliratkozási vagy regisztrációs űrlapnál, ahol adatokat kérünk, szükséges egy jelölőnégyzet (checkbox) közzététele, amelynek önkéntes kipipálásával egyértelműen beleegyezésüket adják adataik kezeléséhez. Fontos, hogy a leiratkozási lehetőséget is meg kell adni, és ekkor sem érheti hátrány a felhasználókat. Ehhez a gyakorlatban a honlapon különféle beállításokat kell alkalmazni – fentiek mellett ilyenek még a cookie-k engedélyezése vagy tiltása; saját adataink letöltése vagy törlése a vevői fiókban.

Könnyen elérhető és precíz adatvédelmi tájékoztató

Egy webshop számára is nélkülözhetetlen dokumentum az adatvédelmi tájékoztató, aminek fontos kritériuma, hogy könnyen érthető legyen bárki számára és érdemben tájékoztasson arról, hogy milyen lépéseket teszünk adataik védelmére. Legyen átlátható, hogy milyen céllal és jogalappal gyűjtjük és hol tároljuk az adatokat. Webáruház esetén kötelező a tárhelyszolgáltató megnevezése is.

Ha mégis megtörtént a baj: adatvédelmi incidensek gyors kezelése

Adatvédelmi incidens minden olyan eset, amikor az adatkezelő (a webáruház) által kezelt adatok illetéktelenekhez kerülnek (kiszivárognak), elvesznek, megsemmisülnek. Az adatkezelő felelőssége
észrevenni, ha ilyen történik; három napon belül bejelenteni a hatóságnak; megtenni a szükséges lépéseket a probléma orvoslására. A legfontosabb maga az észlelés, amihez elengedhetetlen a megfelelő folyamatleírás és a rendszeres adatbiztonsági ellenőrzések.

Bár jelen cikkünkben kimondottan a webshop indításához szükséges főbb adatvédelmi feladatokat gyűjtöttük össze, ezek természetesen ugyanúgy az általános GDPR-megfelelés elemei. Amelyekről a crosssec.com blogcikkeiben, és immár önálló, saját online-webshopjában az alapok elsajátításától a mesteri szint eléréséig minden kellő iránymutatást könnyen megtalál. Ha szükséges, tanácsadó csapatunk akár megbízott adatvédelmi tisztviselőkénti személyes közreműködésével is.

Ha még részletesebb információkat szeretne arról, hogy az Ön webshopja miként kerülheti el egyszerűen az adatvédelmi hibákat, és hogyan felelhet meg a rendeletnek, a fenti gombra kattintva tekintse meg webshopunk kínálatát!

Kíváncsi vagyok a Crosssec-webshop GDPR kínálatára!

Rovat:
Szűcs Zsolt - Crosssec Blog
Szerző:
Szűcs Zsolt
Kommunikációs menedzserként a nyelvi kiválóság elkötelezett híve – saját megfogalmazásával ő felel azért, hogy írásainkban a betűk mindig az ideális összetételben és sorrendben kövessék egymást. Hogy cikkeink, blogjaink tartalma legyen bár mindig lexikális alaposságú, a formájuk maradjon mégis érdekes, színes, olvasmányos.
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram