Az e-kereskedelem a legkézenfekvőbb eszköz arra, hogy a termékeidet külföldi célközönségnek is megmutasd. Akár egy, akár több országba szeretnéd bevezetni a termékkínálatodat, tisztában kell lenned azzal, hogy abban az országban egyrészt hogyan és milyen módon működtethető egy webshop, másrészt azzal is, hogy ott, milyen adatvédelmi szabályok vannak érvényben.
Már hónapok óta húzzák a harangot a 2018 májusától kötelezően alkalmazandóúj úniós adatvédelmi rendelet miatt, melynek következtében a hazai (és nemzetközi) online közösség egy új betűszót próbál több-kevesebb sikerrel értelmezni: GDPR.
A betűk mögött megbújó valódi jelentéstartalomról a közvélemény eddig nem sok mindent tud, a legtöbben csak annyit, hogy ha a vállalkozásuk online és offline személyes adatkezeléseia GDPR-nak nem fognak megfelelni, akkor hatalmas büntetést róhat ki rájuk a magyar adatvédelmi hatóság, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH). A bizonytalanság következtében, ahogy az már lenni szokott, a féligazságokra épülő netes flame-re alapozva kisebbfajta tömeghisztéria kezd kialkaulni; a webshop tulajdonosok legújabb mumusa egyre nagyobbra nő.
Szeretnénk eloszlatni a félreértés-halmazt, ami a GDPR körül bontakozott ki és talán sikerül az adatvédelmi rendeletetet démonizáló netes trollok és egyéb flamehuszárok által gerjesztett hiedelmet is elcsitítani.
Mi a GDPR, és mire van szükséged ahhoz, hogy a céged megfeleltesd?
Az általános adatvédelmi rendelet, azaz GDPR az Európai Unió új adatvédelmi rendelete. 2018 május 25. napjától ez lesz a világ egyik legszigorúbb adatvédelmi szabályozása,és hatással lesz arra, hogy a vállalatok – még a legkisebbek is – világszerte hogyan, és milyen módon építhetnek adatbázist a vásárlóik, látogatóik személyes adataiból. A szabályozás ahogy korábban is írtam, nem csak az online, hanem az offline adatkezelésekre is alkalmazandó. Ugyanúgy érvényes állami cégekre, magánvállalkozásokra, hivatalokra és intézményekre, mint az e-kereskedőkre. Tehát, például egy kórháznak ugyanúgy meg kell felelnie a GDPR előírásainak– tekintve, hogy az alkalmazottak és a betegek adataival is dolgozik – mint egy cipőket forgalmazó webshopnak.
Akkor is fel kell készülnöd a GDPR-nakmegfeleltetni a weboldaladat, webshopodat, ha nem Európában működik a céged, csupán európai polgároknak nyújtasz szolgáltatást, vagy értékesítesz terméket. Ahogy azt a beszédes magyar neve is mutatja, a világháló számára nincsenek országhatárok, legalábbis demokratikus alapelvek mentén működő társadalmakban nincsenek. Lehet, hogy Neked csak egy blogod van és egy hírlevél-feliratkozó űrlapod. Lehet, hogy csak arról írsz, hogy mennyire szereted a teát vagy a lovakat. Nem akarsz semmit sem eladni, sem megvenni. De, mivel a látogatóid között lehetnek európaiak, őket pedig a GDPR védi, a blogodat meg kell feleltetned az adatvédelmi törvénynek.
Az internet ablakot nyit mindenki előtt, legyen az magánszemély, e-kereskedő, hivatásos blogger, amatőr írópalánta, vagy egy fodrász. A GDPR minden olyan adatkezelőt érint, amely székhelye Európában van, vagy Európán kívülről szolgáltatást, vagy árút értékesít az EU-ban tartozkodó személyek részére, ezért tisztában kell lenned azzal, hogy neked vannak-e európai ügyfeleid.
Tudnod kell azt is, hogy a GDPR értelmében személyes adat az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ. A bármely kifejezést a lehető legtágabban kell értelmezni, tehát személyes adat minden olyan adat, amely valamely természetes személyre vonatkozhat és bármilyen módon lehetőség van az érintett személyének megállapítására az adat és az érintett közti kapcsolat alapján. Személyes adat tehát az IP cím, a MAC adress, a cipő méret, vagy akár a szem szín. Nemcsak a vásárlód neve, és e-mail címe minősül tehát személyes adatnak, hanem rengeteg egyéb, a vásárláshoz kapcsolódóan kezel adat is. Ezek mindegyikét ugyanolyan védelemben részesíti a GDPR.
Adatkezelésnek minősül minden olyan tevékenység, amely személyes adattal végezhető, kezdve annak megismerésétől annak továbbításán át a törléséig.
Hétköznapi és közérthető nyelvre lefordítva a GDPR meghatározza azt, hogy:
- mi számít személyes adatnak és mi nem,
- hogyan és miként lehet törvényes keretek között személyes adatot gyűjteni, adatbázist építeni a látogatók és vásárlók adataiból,
- melyek az érintettek saját, személyes adataik felett gyakorolható jogai, és védelemben részesíti ezeket,
- hogyan, és milyen formában kell az adatkezelésben érintetteket tájékoztatni az adatkezelés lényegi jellemzőiről,
- milyen jogalapon és milyen célok érdekében kezelhetők személyes adatok,
- mik a jogszerű hozzájárulás kritériumai, és a hozzájárulást milyen formában kell megszerezni,.
Amennyiben tehát személyes adatot akarsz kezelni, szükséges ehhez megfelelő jogalapot szerezned, mely az esetek döntő többségében az érintett hozzájárulása lesz. Szükséges az érintetteket megfelelően tájékoztatnod az adatkezelés jellemzőiről, és amennyiben jogaikat kívánják gyakorolni, erre lehetőséget kell biztosítanod számukra. A jogszerű adatkezelés további kötelező feltétele előzetesen meghatározni az adatkezelés időtartamát, és az adatkezelési idő lejártát követően törölni az adatokat.
A GDPR betartása a Te felelősséged, ahogy az is, hogy információbiztonsági szempontból megvédd a birtokodba került ügyféladatokat.
Például, ha valaki az EU-ban, vagy EU-ból e-mailben értesít téged arról, hogy szeretné, hogy töröld a vásárlásainak történetét, akkor ezt meg kell tenned.
Hogy pontosan mit is kell tenni ez ügyben?
- Frissítsd a feliratkozó és hozzájárulást megadó nyilatkozataidat.
- Készíts a GDPR szerinti adatkezelési tájékoztatót.
- Tájékoztasd az oldalad látogatóit az adatkezelési céljaidról, és az adatkezelés jellemzőiről, és ha szükséges, kérj tőlük hozzájárulást a cookie-k használatáról.
- Ha harmadik féltől származó alkalmazásokat vagy témákat használsz a boltod támogatására, utána kell nézned, hogy ezek az alkalmazások vagy témák kezelnek-e személes adatokat, és ha igen, megfelelnek-e a GDPR-nak.
- Mérd fel, hogy szükséged van-e adatvédelmi tisztviselő kinevezésére.
- Adatfeldolgozók igénybevétele esetén erről tájékoztasd az érintetteket. Az adatfeldolgozóid kiválasztása során körültekintően kell eljárnod, ugyanis az ő tevékenységükért is felelősséggel tartozol. Meg kell győződnöd róla, hogy az adatfeldolgozód is GDPR megfelelő.
- Le kell tesztelned az oldalad GDPR szempontból, azaz, hogy képes-e betartani az ügyfelek és a felhasználók számára a GDPR által biztosított jogokat, beleértve az adatokhoz való hozzáféréshez, javításhoz, törléshez és exportáláshoz való jogot is.
Mivel mindenki más okból és máshogyan kezel személyes adatokat, a GDPR tekintetében másfajta felkészülést is igényelnek. Ha nem vagy biztos abban, hogy rád és a cégedre vagy weboldaladra egészen pontosan a GDPR mely pontjai vonatkoznak, mielőbb konzultálj olyan szakértővel, aki felkészült és érdemi tudással, információkkal rendelkezik a GDPR-ral és a kapcsolódó adatkezelési és adatvédelmi gyakorlattal kapcsolatban. Ne feledd, hogy a GDPR megfelelés nem csak a szabályzatokról, és a tájékoztatókról szól! Információbiztonsági szempontból is szükséges biztosítanod az általad kezelt adatokat. Mi a felkészülésben a Bovard Adatvédelmi Kft. segítségét vesszük igénybe, akik komplex megoldást nyújtanak a személyes adatok kezelését érintő problémáinkra.
Felelősen akkor jársz el, ha emellett hiteles forrásokra támaszkodva tájékozódsz például az alábbi linkeken:
ICO: Útmutató az adatvédelemhez – angol nyelvű útmutató
GDPR magyarul: https://www.bovard.hu/gdpr/
GDPR – angol nyelvű útmutató
CNIL: európai szabályozás 6 lépésben – (francia nyelvű útmutató)
Magyarországon a felkészüléshez egy 12 lépéses iránymutatót dolgozott ki a Nemzeti Adatvédelmi és Információszabadság Hatóság(NAIH):
- Adatvédelmi tudatosság erősítése
- Adatkezelés kritériumainak vizsgálata
- Az érintett megfelelő tájékoztatása
- Az érintettek jogai
- Az érintettek hozzáférési joga
- Az adatkezelés jogalapja
- A hozzájárulás feltételeinek felülvizsgálata
- Gyermekek jogainak kiemelt védelme
- Adatvédelmi incidens bejelentése
- Beépített adatvédelem, előzetes adatvédelmi hatásvizsgálat
- Adatvédelmi tisztviselők
- Az adatvédelmi felügyeleti hatóság illetékessége
A pontok részletes leírását a NAIH honlapján éred el; ha tisztában akarsz lenni a GDPR hivatalos, magyarországi alkalmazásának irányelveivel, akkor mindenképpen szánj időt arra, hogy elolvasd.
Webshippy és a GDPR?
Zárásul pedig, hogy mi itt a Webshippynél mit tettünk annak érdekében, hogy minden ügyfelünknek a kiszervezett logisztikai megoldása GDPR kompatibilis legyen?
Régóta készülünk arra, hogy a GDPR beköszön a hétköznapjainkba így büszkén állíthatjuk, hogy a Webshippy ügyfelei a logisztikát tekintve a védett oldalon vannak mert:
- Bevontuk jogászunkat és javaslatai alapján átírtuk az adatkezelési nyilatkozatunkat
- Minden olyan eszközt, amely ügyféladatot tárol vagy használ, akkreditáltattunk
- Átnéztük a beszállítóinkat és külső együttműködő partnereinket és megbizonyosodtunk arról, hogy ők is betartják a GDPR előírásait
- Hamarosan kiadunk egy jogi nyilatkozatot is ügyfeleink részére, amely gyakorlati tanácsokkal látja el őket az átállásra
A részedről a legfontosabb minimum elvárás ezzel kapcsolatban, hogy a weboldalad Adatkezelési tájékoztatójábankitérsz arra, hogy a Webshippy végzia logisztikai feladataidat, és az ezen feladatok ellátásához szükséges személyes adatokat átadod a részünkre, mint adatfeldolgozók részére. Az alábbi mondatot javasoljuk kihelyezni:
“Csomagjaink összeállítását és termékeink kiszállítását a Webshippy Fulfillments Kiszervezett Webáruház Logisztikai Szolgáltató végzi.”
Az aláhúzott részt célszerű belinkelni (https://webshippy.com), hogy az érdeklődők utána tudjanak nézni a cégünk tevékenységének, így kialakulhasson a bizalom.
Ne feledjétek még mindig „sok” időtök van május 25-ig, hogy a rendelkezésnek eleget tegyetek. Amennyiben szeretnétek, akkor megpróbálunk tanácsadóinkkalközösen workshoppot szervezni, ahol mélyebb tájékoztatást, és gyakorlati tanácsokat tudunk majd adni Nektek.
Végül egy jó tanács:
Fontos, hogy amennyibencéget, vállalatot vezetsz, nemcsak neked, de azoknak az alkalmazottaidnak is tisztában kell lenniük a GDPR követelményeivel, akik bármilyen formában személyes adatokat kezelnek a cégednél. Biztosítsd a munkavállalóid számára a megfelelő és szükséges oktatást. A Blogposztot a későbbiekben frissítjük, amennyiben a NAIH a GDPR-al kapcsolatban elkezdi a hivatalos állásfoglalások kiadását.
Ha még olvasnál GDPR témában további cikkeket, akkor javasoljuk ezt az írást!
Te szeretnél résztvenni GDPR workshopon?
IGEN NEM
