Legutóbbi bejegyzésünkben szakértőnk
dr. Juhász Botond készített egy
összefoglalót a hamarosan életbe lépő
GDPR-ről. Részletesen tárgyaltuk a rendelet lényegét, előírásait és a webáruház üzemeltetők teendőit. Ebben a bejegyzésünkben pedig a technikai háttér változásait, a beállítási lehetőségeket, a megjelenő új funkciókat foglaljuk össze.
Az UNAS mint adatfeldolgozó
Egy webáruház esetén a kereskedő, aki a termékek értékesítését végzi az
adatkezelő, akik pedig mellette, a felhatalmazásával az adatait kezelik az
adatfeldolgozók. Ebben a jogviszonyban az
UNAS adatfeldolgozóként szerepel, a webáruház rendszer segítségével lehetőséget biztosít az adatok megadására, azokat feldolgozza és tárolja, az adatokhoz pedig az adatkezelő részére hozzáférést biztosít. Az adatkezelő a webáruházban számtalan olyan funkciót vehet igénybe (jellemzően marketing, logisztikai és ügyviteli funkciók), melyek segítségével személyes adatokat
továbbít harmadik fél részére. Ebben az esetben a harmadik fél is adatfeldolgozója lesz az adatkezelőnek. Mit kell dokumentálni a jogviszonyban? Egyrészt az adatkezelőnek meg kell neveznie az összes adatfeldolgozóját az adatkezelési tájékoztatójában, valamint az adatfeldolgozásra szerződést kell kössön az adatfeldolgozóval. Az adatkezelési tájékoztató tartalmáról a webáruház üzemeltetőnek kell gondoskodni. Az UnasShop szolgáltatás
Általános Szerződési Feltételeit hamarosan módosítani fogjuk, amelyben szerepelni fog
GDPR kompatibilis módon az adatfeldolgozói tevékenység. Ezt a szolgáltatás adminisztrációs felületére belépve tudja megismerni és elfogadni.
Webáruház működésbeli változások
Kijelenthetjük, hogy jelenleg a legtöbb magyar webáruház nem felel meg az
Infotv.-nek sem, amihez képest a
GDPR csak néhány működésbeli változtatást hozott. A legtöbb webáruház készítő cég meg sem említi a cookie kezelést, az egyes hozzájárulásokat vagy épp a profilalkotást. Ezek pedig a legkönnyebben tetten érhető területek, amelyekben működésbeli változtatás szükséges. A
GDPR érinti az összes olyan beviteli pontot, ahol személyes adatokat ad meg a látogató a webáruházban. Ezek lehetnek űrlapok, regisztrációs adatlapok, hírlevélre feliratkozás ablak, kapcsolatfelvétel, stb. Az adatkezelést érintik a webáruházban történő cookie használatok, valamint a vásárló adatai alapján hozott automatikus döntések. Hiába szúr be valaki egy cookie engedélyező sávot, ha az a technikai háttérre nem hat, és hozzájárulástól függetlenül tucatjával érkeznek a cookie-k a vásárló számítógépére. Haszontalan a hozzájárulás checkbox a profilalkotáshoz, ha anélkül is remarketing hirdetések jelennek meg a Facebookon a vásárlónak, vagy személyre szabott hírleveleket kap.
Cookie-k engedélyezése
A
GDPR szerint a cookie-k alkalmasak lehetnek a természetes személyek azonosítására, így kiterjed rájuk a
GDPR hatálya. Nem mindegy azonban, hogy milyen cookie-ról van szó, ha az személyes azonosításra alkalmas a látogatónak szintén hozzájárulását kell adnia. A legtöbb esetben nem elég a "weboldal használatával elfogadom..." típusú alsó sáv, ráadásul a látogatónak utólag is meg kell tudnia változtatni a hozzájárulását. Ezek alapján az eddigi cookie kezelést alapjaiban alakítottuk át. Az adminisztrációs felületen létrehoztunk egy
Adatkezelési beállítások menüt, ahol az adatkezelő a saját gyakorlatának megfelelően állíthatja be a működést. A belső és harmadik fél által (Pl. Google, Facebook, stb.) használt cookie-kat két csoportra osztottuk, működési és marketing jellegű cookie-kra. A működési cookie-k közé kerültek a webáruház alapvető funkcióihoz használatos cookiek, melyek nem alkalmasak személyes azonosításra. A többi pedig szélesebb körű funkciókhoz, nyomonkövetéshez, remarketinghez kell. A látogató számára három féle engedélyező sáv kapcsolható be. Ha csak olyan cookie-kat használ az áruházban, melyek nem alkalmasak személyes azonosításra, elegendő az egyszerű nyugtázó sáv. Marketing jellegű cookie-k engedélyezéséhez két féle sáv alkalmazható. Szövegében hasonló tartalommal bírnak, az egyik verzióban "Engedélyezem/Nem engedélyezem" választással járulhat hozzá a marketing jellegű cookie-k fogadásához a látogató. A másik verzióban egy checkbox segítségével, majd a döntésének mentésével fejezheti ki szándékát. Természetesen, amíg a látogató nem engedélyezte a marketing jellegű cookie-k használatát, addig ezek nincsenek használatban. Az áruház üzemeltető azonban beállíthatja - amennyiben úgy ítéli meg hogy személyes azonosításra nem alkalmas az adott cookie -, hogy az hozzájárulás nélkül is használatban legyen. Ez az eset fordulhat elő pl. Google Analytics használata esetén, ha azt az üzemeltető csak alapvető statisztikai célokra használja, azonban ha a Google Adwords segítségével célközönséget épít az Analytics kódjával az már remarketing tevékenység. A látogató szándékának kifejezése után az engedélyező sáv eltűnik, helyette egy kisebb "Cookie beállítások" fül marad meg az áruház alsó részén ezzel biztosítva, hogy a hozzájárulás később módosítható, megtagadható legyen.
Hozzájárulás adatkezeléshez, tájékoztató elfogadása
A
GDPR kompatibilis működés alapja az adatkezelési tájékoztató. A webáruház üzemeltető feladata, hogy a folyamatainak megfelelően elkészítse ezt a tájékoztatót, amiben megfogalmazza, hogy milyen adatokat kér be, azokat mire használja fel, hogyan tárolja és azokat kinek adja át. Az
UnasShop rendszerben természetesen lehetőség van saját adatkezelési tájékoztató feltöltésére, amire a megfelelő hivatkozásokat megtalálja a vásárló a webáruházban, illetve visszaigazoló levelek mellékletébe is automatikusan csatolható. A személyes adatok kezelésére a tájékoztató elfogadásával ad hozzájárulást a látogató. Felülvizsgáltuk a funkciókat és összesen 10 ponton helyeztünk el az adatkezelési tájékoztató elfogadásra alkalmas checkboxot a választható kinézetekben (pl. hírlevél feliratkozás, kapcsolatfelvétel, stb.). A checkbox mellett egy alapszöveg található, mely szabadon átírható a gyakorlatnak megfelelően. Amennyiben a beépített űrlapkezelő segítségével kér be személyes adatot, az űrlap aljára egy kötelezően jelölendő checkboxot kell hozzáadnia a megfelelő szövegezéssel. Ha
egyedi kinézetet használ, vagy külső hírlevélküldő rendszer feliratkozó űrlapját közvetlenül szúrta be a webáruházba, azt ellenőrizni szükséges. Ezekben az esetekben egyedi fejlesztésekre is szükség lehet ahhoz, hogy a webáruház megfeleljen a rendeletnek.
Profilalkotás
Webáruház esetén a profilalkotás egy trendi marketing eszköz, aminek segítségével a vásárlói viselkedés alapján automatikus döntések hozhatók, intelligens, személyre szabott ajánlatok, kedvezmények alakíthatók ki. Napjaink marketingszakemberei el sem tudják képzelni a termékek hirdetését anélkül, hogy valamilyen tényezők alapján célközönséget alkossanak, korábbi tevékenységeket figyelembe véve reklámozzanak. A
GDPR ezzel szemben lehetőséget biztosít a látogatónak arra, hogy a profilalkotást megtagadja. Nyilatkozhat úgy a vásárló, hogy a személyes adatainak felhasználását csak a megrendelés teljesítésére korlátozza. Az adatkezelési beállításoknál elhelyeztük az erre vonatkozó beállításokat. Amennyiben az áruházban történik profilalkotás, az erre vonatkozó hozzájárulás checkboxa itt bekapcsolható. Ezen kívül megadható, hogy mely funkciók legyenek elérhetők hozzájárulás megadása nélkül is.
Az adatok informatikai biztonsága
A
GDPR számos adatbiztonsági előírást tartalmaz, amely miatt mindenképpen szükséges az adattárolási, adatkezelést végző IT rendszerek átvizsgálása. Az
UnasShop rendszerben eddig is magas fokú biztonsággal tároltuk az adatokat. A
GDPR kapcsán felülvizsgáltuk a háttérrendszert adathozzáférési, adatvesztési és minden olyan biztonsági szempontból, ami a személyes adatokat érinti, ezzel kapcsolatban további biztonsági intézkedéseket is bevezettünk. Az adatokat földrajzilag elosztott felhő jellegű hálózaton, redundánsan tároljuk, rendszereink zártak, nem használunk nyílt forráskódú részeket. Alapvető irányelv az adatáramlás biztonságossá tétele, ami miatt érdemes a webáruházaknak
SSL tanúsítványt telepíteni. Az SSL tanúsítvány egyébként is szükséges, mivel a böngészők nem biztonságosnak jelölik az olyan oldalakat, ahol nem biztonságos csatornán történik adatbekérés. Azonban azt is fontos megemlíteni, hogy a webáruház üzemeltetője minden személyes adathoz hozzáfér a szolgáltatás adminisztrációs felületén, onnan adatokat, adatbázisokat menthet le, hozzáféréseket engedélyezhet harmadik fél számára. A hozzáférések kontrollálása, felhasználóinak, jelszavainak biztonságban tartása a kereskedő felelőssége.
Egyéb adatkezelői feladatok röviden
A fenti technikai változások azért szükségesek, hogy a rendszer meg tudjon felelni a
GDPR követelményeinek. Ez azonban csak a egyik része a felkészülésnek, az adatkezelőnek további feladatai vannak. Mivel mindenkinek más a gyakorlata, más a cégen belüli munkamegosztása, érdemes
adatkezelési szakértőt megbízni a folyamatok átvizsgálásával. Valószínűleg szükség lesz adakezelésért felelős személy kijelölésére cégen belül, új adatkezelési tájékoztató megfogalmazására, adatkezelési nyilvántartás vezetésére, esetleg adatvédelmi hatásvizsgálat lefolytatására.
Végszó
A fentiekből tisztán látszik, hogy bár a
GDPR kétségtelenül plusz teendőkkel látja el a webáruház üzemeltetőket, az
UnasShop felhasználóknak nagy előnyük van azzal kapcsolatban, hogy a technikai háttér fejlesztésével nem kell külön foglalkozniuk. Az egyedi fejlesztésű webáruházak csak nagyobb költség mellett tudnak az új rendelet követelményeinek megfelelni, valamint a legtöbb
bérelhető webáruház is csak érintőlegesen foglalkozik a témakörrel.
Az UnasShop rendszer segítségével GDPR kompatibilis módon lehet webáruházat üzemeltetni, de persze önmagában ez nem jelent garanciát. A szükséges funkciók beállításai a mai naptól elérhetőek az adminisztrációs felületen. A rendelet hatályba lépésének napjáig részműködések kisebb mértékben változhatnak. A különböző jogértelmezések miatt vannak még nyitott kérdések, amelyekre a joggyakorlat fogja megadni a választ. Amennyiben szükségesek lesznek változtatások a későbbiekben, azokat természetesen meg fogjuk tenni a visszajelzések alapján.
