Tájékoztatjuk kedves ügyfeleinket, hogy 2018.08.17-én, pénteken az ügyfélszolgálatunk költözés miatt nem lesz elérhető. Köszönjük türelmüket!

Két évvel az indulása után jelentősen csökkentettük a .SHOP domain végződés díjait. A végződéssel még mindig rengeteg szabad nevet találhatunk. Webáruházaknak érdemes regisztrálni, főleg azoknak, akik saját márkanevet, fantázianevet használnak, esetleg külföldre terjeszkednek. A .SHOP végződés jellegéből adódóan többet nyújt, mint egy nemzeti TLD. A világ minden részén megértik, mindenki számára egyértelmű, hogy a weboldalon vásárolni lehet.

A mai naptól minden meglévő .SHOP domain hosszabbítás díját 9.990Ft+ÁFA /év összegre mérsékeltük. Augusztus végéig új regisztráció esetén pedig az első évben rendkívüli akcióval 3.990Ft+ÁFA díjért szerezhető meg a domain.

Ne hagyja ki Ön sem!      Itt regisztrálhatja saját .SHOP domainjét!

Úgy tűnik, hogy van élet a GDPR után is, minden úgy történt, ahogy sejteni lehetett: szépen csöndben elmúlt az a nap is. Sokan az online marketing és vele együtt a webáruházak halálát vizionálták, ami természetesen nem következett be, sőt. Új lendületet vett az e-kereskedelem, a webáruházak bevétele még az eddiginél is nagyobb ütemben, folyamatosan nő. A szabályozás bevezetése után a vásárlók bizalma is nagyobb lett a webáruházak iránt.

A tegnapi napon került megrendezésre a szokásos éves e-kereskedelmi konferencia, ahol az Év Internetes Kereskedője díjak is átadásra kerültek. Az idei évben különböző kategória díjakat is odaítéltek a webáruházaknak, a közönségszavazás, a pályázati anyagokban közölt objektív adatok, a vásárlói tesztek és a szakmai zsűri döntése alapján. Nagy örömünkre szolgál, hogy idén is partnerünk, a Lumenet.hu kapta a KKV kategóriában az Év Internetes kereskedője díjat. A fődíj mellett a Leginnovatívabb Kereskedő is a Lumenet lett és a Legjobb Felhasználói Élmény díját is besöpörték. Jó példa ez arra, hogy a megfelelő kereskedői hozzáállással a rendszerünkben működő webáruházak mire képesek. Gratulálunk Istvánéknak és a többi díjazottnak!

Legutóbbi bejegyzésünkben szakértőnk dr. Juhász Botond készített egy összefoglalót a hamarosan életbe lépő GDPR-ről. Részletesen tárgyaltuk a rendelet lényegét, előírásait és a webáruház üzemeltetők teendőit. Ebben a bejegyzésünkben pedig a technikai háttér változásait, a beállítási lehetőségeket, a megjelenő új funkciókat foglaljuk össze.

Az UNAS mint adatfeldolgozó

Egy webáruház esetén a kereskedő, aki a termékek értékesítését végzi az adatkezelő, akik pedig mellette, a felhatalmazásával az adatait kezelik az adatfeldolgozók. Ebben a jogviszonyban az UNAS adatfeldolgozóként szerepel, a webáruház rendszer segítségével lehetőséget biztosít az adatok megadására, azokat feldolgozza és tárolja, az adatokhoz pedig az adatkezelő részére hozzáférést biztosít. Az adatkezelő a webáruházban számtalan olyan funkciót vehet igénybe (jellemzően marketing, logisztikai és ügyviteli funkciók), melyek segítségével személyes adatokat továbbít harmadik fél részére. Ebben az esetben a harmadik fél is adatfeldolgozója lesz az adatkezelőnek. Mit kell dokumentálni a jogviszonyban? Egyrészt az adatkezelőnek meg kell neveznie az összes adatfeldolgozóját az adatkezelési tájékoztatójában, valamint az adatfeldolgozásra szerződést kell kössön az adatfeldolgozóval. Az adatkezelési tájékoztató tartalmáról a webáruház üzemeltetőnek kell gondoskodni. Az UnasShop szolgáltatás Általános Szerződési Feltételeit hamarosan módosítani fogjuk, amelyben szerepelni fog GDPR kompatibilis módon az adatfeldolgozói tevékenység. Ezt a szolgáltatás adminisztrációs felületére belépve tudja megismerni és elfogadni.

Webáruház működésbeli változások

Kijelenthetjük, hogy jelenleg a legtöbb magyar webáruház nem felel meg az Infotv.-nek sem, amihez képest a GDPR csak néhány működésbeli változtatást hozott. A legtöbb webáruház készítő cég meg sem említi a cookie kezelést, az egyes hozzájárulásokat vagy épp a profilalkotást. Ezek pedig a legkönnyebben tetten érhető területek, amelyekben működésbeli változtatás szükséges. A GDPR érinti az összes olyan beviteli pontot, ahol személyes adatokat ad meg a látogató a webáruházban. Ezek lehetnek űrlapok, regisztrációs adatlapok, hírlevélre feliratkozás ablak, kapcsolatfelvétel, stb. Az adatkezelést érintik a webáruházban történő cookie használatok, valamint a vásárló adatai alapján hozott automatikus döntések. Hiába szúr be valaki egy cookie engedélyező sávot, ha az a technikai háttérre nem hat, és hozzájárulástól függetlenül tucatjával érkeznek a cookie-k a vásárló számítógépére. Haszontalan a hozzájárulás checkbox a profilalkotáshoz, ha anélkül is remarketing hirdetések jelennek meg a Facebookon a vásárlónak, vagy személyre szabott hírleveleket kap.

Cookie-k engedélyezése

A GDPR szerint a cookie-k alkalmasak lehetnek a természetes személyek azonosítására, így kiterjed rájuk a GDPR hatálya. Nem mindegy azonban, hogy milyen cookie-ról van szó, ha az személyes azonosításra alkalmas a látogatónak szintén hozzájárulását kell adnia. A legtöbb esetben nem elég a "weboldal használatával elfogadom..." típusú alsó sáv, ráadásul a látogatónak utólag is meg kell tudnia változtatni a hozzájárulását. Ezek alapján az eddigi cookie kezelést alapjaiban alakítottuk át. Az adminisztrációs felületen létrehoztunk egy Adatkezelési beállítások menüt, ahol az adatkezelő a saját gyakorlatának megfelelően állíthatja be a működést. A belső és harmadik fél által (Pl. Google, Facebook, stb.) használt cookie-kat két csoportra osztottuk, működési és marketing jellegű cookie-kra. A működési cookie-k közé kerültek a webáruház alapvető funkcióihoz használatos cookiek, melyek nem alkalmasak személyes azonosításra. A többi pedig szélesebb körű funkciókhoz, nyomonkövetéshez, remarketinghez kell. A látogató számára három féle engedélyező sáv kapcsolható be. Ha csak olyan cookie-kat használ az áruházban, melyek nem alkalmasak személyes azonosításra, elegendő az egyszerű nyugtázó sáv. Marketing jellegű cookie-k engedélyezéséhez két féle sáv alkalmazható. Szövegében hasonló tartalommal bírnak, az egyik verzióban "Engedélyezem/Nem engedélyezem" választással járulhat hozzá a marketing jellegű cookie-k fogadásához a látogató. A másik verzióban egy checkbox segítségével, majd a döntésének mentésével fejezheti ki szándékát. Természetesen, amíg a látogató nem engedélyezte a marketing jellegű cookie-k használatát, addig ezek nincsenek használatban. Az áruház üzemeltető azonban beállíthatja - amennyiben úgy ítéli meg hogy személyes azonosításra nem alkalmas az adott cookie -, hogy az hozzájárulás nélkül is használatban legyen. Ez az eset fordulhat elő pl. Google Analytics használata esetén, ha azt az üzemeltető csak alapvető statisztikai célokra használja, azonban ha a Google Adwords segítségével célközönséget épít az Analytics kódjával az már remarketing tevékenység. A látogató szándékának kifejezése után az engedélyező sáv eltűnik, helyette egy kisebb "Cookie beállítások" fül marad meg az áruház alsó részén ezzel biztosítva, hogy a hozzájárulás később módosítható, megtagadható legyen.

Hozzájárulás adatkezeléshez, tájékoztató elfogadása

A GDPR kompatibilis működés alapja az adatkezelési tájékoztató. A webáruház üzemeltető feladata, hogy a folyamatainak megfelelően elkészítse ezt a tájékoztatót, amiben megfogalmazza, hogy milyen adatokat kér be, azokat mire használja fel, hogyan tárolja és azokat kinek adja át. Az UnasShop rendszerben természetesen lehetőség van saját adatkezelési tájékoztató feltöltésére, amire a megfelelő hivatkozásokat megtalálja a vásárló a webáruházban, illetve visszaigazoló levelek mellékletébe is automatikusan csatolható. A személyes adatok kezelésére a tájékoztató elfogadásával ad hozzájárulást a látogató. Felülvizsgáltuk a funkciókat és összesen 10 ponton helyeztünk el az adatkezelési tájékoztató elfogadásra alkalmas checkboxot a választható kinézetekben (pl. hírlevél feliratkozás, kapcsolatfelvétel, stb.). A checkbox mellett egy alapszöveg található, mely szabadon átírható a gyakorlatnak megfelelően. Amennyiben a beépített űrlapkezelő segítségével kér be személyes adatot, az űrlap aljára egy kötelezően jelölendő checkboxot kell hozzáadnia a megfelelő szövegezéssel. Ha egyedi kinézetet használ, vagy külső hírlevélküldő rendszer feliratkozó űrlapját közvetlenül szúrta be a webáruházba, azt ellenőrizni szükséges. Ezekben az esetekben egyedi fejlesztésekre is szükség lehet ahhoz, hogy a webáruház megfeleljen a rendeletnek.

Profilalkotás

Webáruház esetén a profilalkotás egy trendi marketing eszköz, aminek segítségével a vásárlói viselkedés alapján automatikus döntések hozhatók, intelligens, személyre szabott ajánlatok, kedvezmények alakíthatók ki. Napjaink marketingszakemberei el sem tudják képzelni a termékek hirdetését anélkül, hogy valamilyen tényezők alapján célközönséget alkossanak, korábbi tevékenységeket figyelembe véve reklámozzanak. A GDPR ezzel szemben lehetőséget biztosít a látogatónak arra, hogy a profilalkotást megtagadja. Nyilatkozhat úgy a vásárló, hogy a személyes adatainak felhasználását csak a megrendelés teljesítésére korlátozza. Az adatkezelési beállításoknál elhelyeztük az erre vonatkozó beállításokat. Amennyiben az áruházban történik profilalkotás, az erre vonatkozó hozzájárulás checkboxa itt bekapcsolható. Ezen kívül megadható, hogy mely funkciók legyenek elérhetők hozzájárulás megadása nélkül is.

Az adatok informatikai biztonsága

A GDPR számos adatbiztonsági előírást tartalmaz, amely miatt mindenképpen szükséges az adattárolási, adatkezelést végző IT rendszerek átvizsgálása. Az UnasShop rendszerben eddig is magas fokú biztonsággal tároltuk az adatokat. A GDPR kapcsán felülvizsgáltuk a háttérrendszert adathozzáférési, adatvesztési és minden olyan biztonsági szempontból, ami a személyes adatokat érinti, ezzel kapcsolatban további biztonsági intézkedéseket is bevezettünk. Az adatokat földrajzilag elosztott felhő jellegű hálózaton, redundánsan tároljuk, rendszereink zártak, nem használunk nyílt forráskódú részeket. Alapvető irányelv az adatáramlás biztonságossá tétele, ami miatt érdemes a webáruházaknak SSL tanúsítványt telepíteni. Az SSL tanúsítvány egyébként is szükséges, mivel a böngészők nem biztonságosnak jelölik az olyan oldalakat, ahol nem biztonságos csatornán történik adatbekérés. Azonban azt is fontos megemlíteni, hogy a webáruház üzemeltetője minden személyes adathoz hozzáfér a szolgáltatás adminisztrációs felületén, onnan adatokat, adatbázisokat menthet le, hozzáféréseket engedélyezhet harmadik fél számára. A hozzáférések kontrollálása, felhasználóinak, jelszavainak biztonságban tartása a kereskedő felelőssége.

Egyéb adatkezelői feladatok röviden

A fenti technikai változások azért szükségesek, hogy a rendszer meg tudjon felelni a GDPR követelményeinek. Ez azonban csak a egyik része a felkészülésnek, az adatkezelőnek további feladatai vannak. Mivel mindenkinek más a gyakorlata, más a cégen belüli munkamegosztása, érdemes adatkezelési szakértőt megbízni a folyamatok átvizsgálásával. Valószínűleg szükség lesz adakezelésért felelős személy kijelölésére cégen belül, új adatkezelési tájékoztató megfogalmazására, adatkezelési nyilvántartás vezetésére, esetleg adatvédelmi hatásvizsgálat lefolytatására.

Végszó

A fentiekből tisztán látszik, hogy bár a GDPR kétségtelenül plusz teendőkkel látja el a webáruház üzemeltetőket, az UnasShop felhasználóknak nagy előnyük van azzal kapcsolatban, hogy a technikai háttér fejlesztésével nem kell külön foglalkozniuk. Az egyedi fejlesztésű webáruházak csak nagyobb költség mellett tudnak az új rendelet követelményeinek megfelelni, valamint a legtöbb bérelhető webáruház is csak érintőlegesen foglalkozik a témakörrel. Az UnasShop rendszer segítségével GDPR kompatibilis módon lehet webáruházat üzemeltetni, de persze önmagában ez nem jelent garanciát. A szükséges funkciók beállításai a mai naptól elérhetőek az adminisztrációs felületen. A rendelet hatályba lépésének napjáig részműködések kisebb mértékben változhatnak. A különböző jogértelmezések miatt vannak még nyitott kérdések, amelyekre a joggyakorlat fogja megadni a választ. Amennyiben szükségesek lesznek változtatások a későbbiekben, azokat természetesen meg fogjuk tenni a visszajelzések alapján.

Közeledik a GDPR határidő: 2018. május 25-től kötelezően alkalmazandó lesz, és ez minden adatkezelési gyakorlat felülvizsgálatát és szükség esetén a korrekcióját igényli. Felkértük szakértőnket dr. Juhász Botondot, a Fogyasztó Barát ÁSZF modul üzemeltetőjét, a Jutasa Kft. tulajdonos ügyvezetőjét, hogy foglalja össze a legfontosabb tudnivalókat a GDPR kapcsán.

A GDPR és az UNAS rendszere

Az UNAS felkészült az átállásra: a vonatkozó előírásoknak a rendszer megfelel, és a hónapok óta zajló előkészületeknek köszönhetően 2018. május 25-től GDPR kompatibilis módon működik majd. Ugyanakkor tudnia kell, hogy önmagában az, hogy az Ön által használt rendszer megfelel az előírásoknak nem jelenti azt, hogy Ön hátradőlhet, mert Önnek kell majd a tényleges adatkezelési lépéseket megtennie.

Mi is az a GDPR?

A GDPR az Európai Unió általános adatvédelmi rendelete, amit minden tagállamban egységesen kötelező alkalmazni 2018 május 25-től. Ez a rendelet szabályozza az érintettek jogait, az adatkezelők és az adatfeldolgozók kötelezettségeit, az eljáró hatóságok hatásköreit, stb. Ne tévessze meg a „rendelet” elnevezés, mivel uniós rendeletről van szó, ezért a tagállamokban „megelőzi” a törvényeket, azaz közvetlenül alkalmazandó. A magyar Infotv. tehát nem lehet ellentétes a GDPR szövegével, jelenleg is folyik annak módosítása annak érdekében, hogy a rendelettel összhangba kerüljenek a szabályai. Az Infotv. május 25. után is hatályban marad, de az elsődleges szabály, amit egy webshopnak mint adatkezelőnek figyelembe kell vennie, a GDPR lesz.

A GDPR a természetes személyek (érintettek) személyes adatait védi

A GDPR a természetes személyeknek a személyes adatok védelméhez való jogát védi, a „személyes adat” is csak természetes személy vonatkozásában értelmezhető, egy cégnek nincsen sem személyes adata, sem a személyes adatokkal kapcsolatos jogai.

Kinek kell betartani a GDPR-t?

Mindenkinek, aki személyes adatot kezel. Ez alól vannak kivételek, például ha az adatkezelést természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik, akkor rájuk nem vonatkozik a rendelet. Személyes vagy otthoni tevékenységnek minősül például a levelezés, a címtárolás, valamint az említett személyes és otthoni tevékenységek keretében végzett, közösségi hálózatokon történő kapcsolattartás és online tevékenységek. Egy webshop által végzett adatkezelésre azonban természetesen vonatkozik a GDPR.

Mi minősül személyes adatnak?

Minden olyan információ, ami alapján az érintett természetes személyt akár közvetett módon azonosítani lehet! A GDPR definíciója szerint személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

Jogi és informatikai előírások

A GDPR egyik fő elve az elszámoltathatóság és a bizonyíthatóság. Ez azt jelenti, hogy Önnek adatkezelőként nem elég a szabályoknak megfelelni, hanem azt igazolnia is kell tudni. Másrészt nem hivatkozhat arra, hogy a szabályoknak való megfelelés nem az Ön, hanem pl. a tárhelyszolgáltató, számlázó program szolgáltató, hírlevélküldő program szolgáltató stb. dolga, hanem bizony ezeknek az adatfeldolgozóknak a tevékenységéért Ön adatkezelőként felel (ez eddig is így volt). Ebből viszont következik az, hogy Önnek nem elég pusztán az adatkezelési tájékoztatóját a GDPR-ral összhangba hozni, hanem figyelnie kell arra is, hogy a tényleges informatikai és egyéb szervezeti műveletek is a GDPR-nak megfelelően történjenek.

Ki az adatkezelő egy webáruház alapvető tevékenységei során?

A webáruházat üzemeltető cég vagy egyéni vállalkozó, azaz az a természetes vagy jogi személy, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.

Ki az adatfeldolgozó egy webáruház tevékenységei során?

Egy webáruház esetén adatfeldolgozó mindenki, aki a webáruház által kezelt adatokat az adatkezelő utasítása alapján szintén kezeli, így például a tárhelyszolgáltató (mert ott tárolják a személyes adatokat), a futárszolgálat (mert megkapja az érintett nevét, címét), a hírlevélküldő szoftvert üzemeltető cég (mert hozzáfér az érintettek e-mail címéhez, stb.). A GDPR szerint adatfeldolgozó az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.

A webshopok kötelezettségei a GDPR kapcsán

A webáruház köteles előzetesen tájékoztatást nyújtani az adatkezeléseikről, tehát köteles adatkezelési tájékoztató közzétenni. Az érintett kérésére köteles tájékoztatást adni arról, hogy van-e folyamatban az érintettre vonatkozó adatkezelés, ha igen, akkor mi az adatkezelések célja, mik a kezelt adatok kategóriái, kik az esetleges címzettek. Ha az érintett él a törléshez vagy elfeledtetéshez való jogával, akkor a webshop köteles ezt teljesíteni. Ha adatvédelmi incidens történt, akkor a webáruház ezt a tudomására jutást követő 72 órán belül be kell jelentse a felügyeleti hatósághoz, az adatvédelmi incidensekről pedig nyilvántartást vezetni köteles. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatni köteles az érintettet az adatvédelmi incidensről. Úgyszintén köteles minden webáruház a nem alkalmi jellegű adatkezeléseiről nyilvántartást vezetni.

Miért kell megváltoztatni az adatkezelési tájékoztatót?

Az Infotv. is meghatározza, hogy milyen tartalommal kell előzetesen tájékoztatni az érintettet az adatkezelés megkezdése előtt. Egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról és arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak eddig is ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. A GDPR különösen az érintettek jogai kapcsán hoz változást: megjelent az elfeledtetéshez és az adathordozhatósághoz való jog is, ezekről is tájékoztatni kell az érintetteket. Amennyiben adatvédelmi tisztviselő is közreműködik, az ő nevét és elérhetőségét is fel kell tüntetni.

Konkrét példa - hírlevélküldés

Amennyiben valaki feliratkozik az Ön webshopjában a hírlevélre, akkor annak technikai és jogi feltételeit biztosítani kell:

• Szükség van egy olyan adatkezelési tájékoztatóra, ami a GDPR-nak megfelelő tartalommal tájékoztatja az érintettet az adatkezelés céljáról, jogalapjáról, időtartamáról, a kezelt személyes adatok köréről, és az érintett jogairól. Ennek elkészítése vagy elkészíttetése az Ön feladata.
• Magán a honlapon ezt a tájékoztatót meg kell jeleníteni, és még a hírlevél feliratkozás előtt igazolhatóan el kell fogadtatni az érintettel. Ezt egy az adatkezelési tájékoztatóra mutató linkkel és egy előre nem bepipált check box-szal tudja megtenni. Az UNAS felelőssége e tekintetben az, hogy Ön ezt a check box-ot a weboldalán meg tudja jeleníteni, az adatkezelési tájékoztatót tudja linkelni, az Ön felelőssége pedig az, hogy legyen ilyen tájékoztatója, és linkelje is azt.
• A későbbiekben ha a vásárló leiratkozik a hírlevélről, akkor Önnek őt a hírlevél listáról törölnie kell, és igazolnia kell tudni, hogy ezt megtette. Ennek módja az UNAS rendszerében szintén adott, hiszen a feliratkozók listája szerkeszthető, és több formátumban lekérhető.

Mik a teendők?

A felkészülés több, egymásra épülő folyamatot feltételez az alábbi lépésekkel:

• Fel kell mérni az adatkezelési eseteket.
• Nyilvántartásba kell venni ezeket az adatkezelési eseteket.
• Meg kell határozni, hogy a GDPR alapján mit és hogyan kell módosítani az adatkezelésen (folyamatában és a weboldalon).
• Meg kell alkotni a szükséges belső és külső szabályokat.
• Ha szükséges, akkor ki kell nevezni az adatvédelmi tisztviselőt.
• Be kell vezetni az új adatkezelési folyamatot.
• Fenn kell tartani a GDPR-nak megfelelő gyakorlatot.

Az adatkezelési esetek felmérése

Alapvetően ezek a „beviteli pontok” jönnek szóba:

• működési és/vagy marketing sütik telepítése (IP-cím megjegyzése) az oldal látogatásakor
• regisztráció, megrendelés, hírlevél feliratkozás
• kapcsolatfelvétel (akár űrlapon, akár e-mailben), bármely marketing popup, ahol személyes adatot gyűjtünk (pl. e-mail címért kupon felajánlása, stb.)
• nyereményjáték
• garanciális panaszok, fogyasztóvédelmi panaszok kezelése

Természetesen a fentieken túl több adatkezelési cél előfordulhat, de a fentiek jellemzően lefedik egy webshop működését. Ezeken az adatkezelési eseteken kell végig menni, és azokat nyilvántartásba venni, illetve az adatkezelési tájékoztatóban meghatározni az alábbiak szerint: jogalap, cél, időtartam, kezelt adatok köre.

Milyen adatkezeléseket végez egy webáruház a megadott adatokkal?

Az adatkezeléseket alapvetően két csoportba oszthatjuk:

• a szerződéskötés és a szerződés teljesítése céljából végzett adatkezelés: a kapcsolatfelvétel, megrendelés, számlázás, szállítás stb. céljából végzett adatkezelések
• marketing célú – hozzájáruláson alapuló - adatkezelés: ide tartozik a hírlevél küldés, remarketing, nyereményjáték céljából történő adatkezelés.

Mi lesz az adatkezelés jogalapja egy webshop esetében?

Fontos változás a GDPR-ben, hogy megváltoznak az adatkezelés jogalapjai. Egy webshop tipikusan az érintett hozzájárulása alapján kezelt eddig adatokat, ez részben módosul, mivel a szerződés teljesítésével kapcsolatos adatkezelés külön jogalap lett. Ha tehát az érintett a szerződésben részes fél, akkor a szerződés teljesítéséhez szükséges adatkezelés (pl.: teljesítés, szállítás) ezen jogalap alapján kezelhető. A direkt marketing célú adatkezelés továbbra is az érintett hozzájárulásán fog alapulni, és jelentős marad továbbra is a jogi előírások alapján kezelt adatok köre (pl.: a fogyasztóvédelmi panaszok kezelése, garanciális panaszok kezelése, számlázás).

NAIH regisztráció, adatvédelmi nyilvántartás

A NAIH adatvédelmi nyilvántartás átalakul, a jelenlegi regisztráció meg fog szűnni, és a GDPR alapján az adtakezelőknek maguknak kell nyilvántartást vezetniük az adatkezeléseikről. Ez alól a 250 főnél kevesebb személyt foglalkoztató vállalkozás alapvetően kivételt képez mégis azzal, hogy ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár, ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes adatok különleges kategóriáinak vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére. Mivel egy webáruházban az adatkezelések döntő többsége nem alkalmi jellegű, ezért az adatkezelési nyilvántartást minden webshopot üzemeltető adatkezelőnek vezetnie kell majd.

Google és Facebook remarketing

A remarketing megítélése jelenleg még nem egyértelmű, nehéz eldönteni, hogy a weboldal üzemeltető, vagy a Google lesz-e az adatok kezelője. Egyelőre azt jelenthetjük ki biztosan, hogy amennyiben az érintett azonosításra alkalmatlan módon cookie adatokat kezel egy webshop üzemeltető, akkor nem valósul meg személyes adat kezelés. Ha már a cookie adatokkal az érintett azonosítható is, akkor a remarketing tevékenység is adatkezelés lesz és szükséges a jelenlegi gyakorlat szerinti cookie ablak fenntartása.

Mi a profilalkotás?

Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen alapuló döntés hatálya (ideértve a profilalkotást is), amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené. Profilalkotás a GDPR alapján a természetes személyekre vonatkozó személyes jellemzők bármilyen automatizált személyes adatok kezelése keretében történő kiértékelése, ha az érintettre nézve joghatással jár vagy őt hasonlóan jelentős mértékben érinti. A profilalkotás egy webshopnál két módon is megvalósulhat, egyrészt a vásárlói profilban található adatokkal, másrészt a cookie-k által gyűjtött adatokkal. Ha ezekre az adatokra automatizált módon adatkezelést építünk, akkor meg kell felelni a GDPR külön követelményeinek, és biztosítani kell az érintett számára, hogy a profilalkotás és a rá épülő automatikus döntéshozatal ellen tiltakozni tudjon. Ha például a webshop vásárlói profil adataiban található korábbi vásárlások alapján automatikusan kedvezményt biztosítok a meghatározott összeg felett vásárló személyeknek, akkor az már profilalkotáson alapuló automatikus döntéshozatal lesz. Ugyanígy profilalkotás lehet, ha a cookie adatok alapján automatikusan olyan termékről kínál a Google ajánlatot, mint amit korábban a vásárló már keresett az interneten, de ez esetben kérdéses, hogy ki alakítja ki a profilt és hogy mindez az érintettre nézve joghatással jár-e vagy őt hasonlóan jelentős mértékben érinti-e. Ezekre a kérdésekre a választ a joggyakorlat fogja megadni.

Az érintettek jogai

A GDPR különösen az érintettek jogai kapcsán hoz változást: megjelent az elfeledtetéshez és az adathordozhatósághoz való jog is, ezekről is tájékoztatni kell az érintetteket. A tájékoztatóban új elemként kell feltüntetni azt, hogy az adat közlése feltétele-e a szerződéskötésnek, profilalkotás tényéről szóló tájékoztatást és hogy a hozzájárulást bármikor vissza lehet vonni. A GDPR előírásai szerint az alábbi jogok illetik meg az érintettet:

• a hozzájárulás visszavonásának joga
• személyes adatokhoz és az adatkezeléssel kapcsolatos információkhoz való hozzáférés
• helyesbítéshez való jog
• adatkezelés korlátozása
• törléshez való jog
• tiltakozáshoz való jog
• hordozhatósághoz való jog

Büntetések?

Ezen a területen tapasztalható a legnagyobb zavar és bizonytalanság. Péterfalvi Attila, a NAIH elnöke ebben a tekintetben megnyugtató választ adott: „Nem akarunk milliárdos büntetéseket kiszabni, sem cégeket csődbe vinni, ezért nem fenyegetésként mondom, de ellenőrizni fogjuk, hogy rendben megy-e az adatok kezelése.”

Hasznos linkek

• http://ec.europa.eu/justice/smedataprotect/index_hu.htm
• https://eur-lex.europa.eu/legal-content/HU/TXT/HTML/?uri=CELEX:32016R0679&from=HU
• http://naih.hu/29-es-munkacsoport-iranymutatasai.html
• http://naih.hu/az-adatvedelmi-reformmal-kapcsolatos-allasfoglalasok.html
• https://www.facebook.com/business/gdpr
• https://cloud.google.com/security/gdpr/
• https://unas.hu/blog/fogyasztovedelem

Végszó

A jelen írás egyes részei a Webshop Magazinban megjelent, Dr. Németh Ádám infokommunikációs szakjogásszal közösen jegyzett cikkből származnak. Az írás szerzője Dr. Juhász Botond, a Fogyasztó Barát ÁSZF modult üzemeltető Jutasa Kft. tulajdonos ügyvezetője. Az UnasShop rendszer technikai hátterének változásairól, a szükséges beállításokról külön hírben tájékoztatjuk az ügyfeleinket.