2018.04.17
Szerző: dr. Juhász Botond
Összefoglalás a GDPR-rőlKözeledik a GDPR határidő: 2018. május 25-től kötelezően alkalmazandó lesz, és ez minden adatkezelési gyakorlat felülvizsgálatát és szükség esetén a korrekcióját igényli. Felkértük szakértőnket dr. Juhász Botondot, a Fogyasztó Barát ÁSZF modul üzemeltetőjét, a Jutasa Kft. tulajdonos ügyvezetőjét, hogy foglalja össze a legfontosabb tudnivalókat a GDPR kapcsán.

A GDPR és az UNAS rendszere

Az UNAS felkészült az átállásra: a vonatkozó előírásoknak a rendszer megfelel, és a hónapok óta zajló előkészületeknek köszönhetően 2018. május 25-től GDPR kompatibilis módon működik majd. Ugyanakkor tudnia kell, hogy önmagában az, hogy az Ön által használt rendszer megfelel az előírásoknak nem jelenti azt, hogy Ön hátradőlhet, mert Önnek kell majd a tényleges adatkezelési lépéseket megtennie.

Mi is az a GDPR?

A GDPR az Európai Unió általános adatvédelmi rendelete, amit minden tagállamban egységesen kötelező alkalmazni 2018 május 25-től. Ez a rendelet szabályozza az érintettek jogait, az adatkezelők és az adatfeldolgozók kötelezettségeit, az eljáró hatóságok hatásköreit, stb. Ne tévessze meg a „rendelet” elnevezés, mivel uniós rendeletről van szó, ezért a tagállamokban „megelőzi” a törvényeket, azaz közvetlenül alkalmazandó. A magyar Infotv. tehát nem lehet ellentétes a GDPR szövegével, jelenleg is folyik annak módosítása annak érdekében, hogy a rendelettel összhangba kerüljenek a szabályai. Az Infotv. május 25. után is hatályban marad, de az elsődleges szabály, amit egy webshopnak mint adatkezelőnek figyelembe kell vennie, a GDPR lesz.

A GDPR a természetes személyek (érintettek) személyes adatait védi

A GDPR a természetes személyeknek a személyes adatok védelméhez való jogát védi, a „személyes adat” is csak természetes személy vonatkozásában értelmezhető, egy cégnek nincsen sem személyes adata, sem a személyes adatokkal kapcsolatos jogai.

Kinek kell betartani a GDPR-t?

Mindenkinek, aki személyes adatot kezel. Ez alól vannak kivételek, például ha az adatkezelést természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik, akkor rájuk nem vonatkozik a rendelet. Személyes vagy otthoni tevékenységnek minősül például a levelezés, a címtárolás, valamint az említett személyes és otthoni tevékenységek keretében végzett, közösségi hálózatokon történő kapcsolattartás és online tevékenységek. Egy webshop által végzett adatkezelésre azonban természetesen vonatkozik a GDPR.

Mi minősül személyes adatnak?

Minden olyan információ, ami alapján az érintett természetes személyt akár közvetett módon azonosítani lehet! A GDPR definíciója szerint személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

Jogi és informatikai előírások

A GDPR egyik fő elve az elszámoltathatóság és a bizonyíthatóság. Ez azt jelenti, hogy Önnek adatkezelőként nem elég a szabályoknak megfelelni, hanem azt igazolnia is kell tudni. Másrészt nem hivatkozhat arra, hogy a szabályoknak való megfelelés nem az Ön, hanem pl. a tárhelyszolgáltató, számlázó program szolgáltató, hírlevélküldő program szolgáltató stb. dolga, hanem bizony ezeknek az adatfeldolgozóknak a tevékenységéért Ön adatkezelőként felel (ez eddig is így volt). Ebből viszont következik az, hogy Önnek nem elég pusztán az adatkezelési tájékoztatóját a GDPR-ral összhangba hozni, hanem figyelnie kell arra is, hogy a tényleges informatikai és egyéb szervezeti műveletek is a GDPR-nak megfelelően történjenek.

Ki az adatkezelő egy webáruház alapvető tevékenységei során?

A webáruházat üzemeltető cég vagy egyéni vállalkozó, azaz az a természetes vagy jogi személy, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.

Ki az adatfeldolgozó egy webáruház tevékenységei során?

Egy webáruház esetén adatfeldolgozó mindenki, aki a webáruház által kezelt adatokat az adatkezelő utasítása alapján szintén kezeli, így például a tárhelyszolgáltató (mert ott tárolják a személyes adatokat), a futárszolgálat (mert megkapja az érintett nevét, címét), a hírlevélküldő szoftvert üzemeltető cég (mert hozzáfér az érintettek e-mail címéhez, stb.). A GDPR szerint adatfeldolgozó az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.

A webshopok kötelezettségei a GDPR kapcsán

A webáruház köteles előzetesen tájékoztatást nyújtani az adatkezeléseikről, tehát köteles adatkezelési tájékoztató közzétenni. Az érintett kérésére köteles tájékoztatást adni arról, hogy van-e folyamatban az érintettre vonatkozó adatkezelés, ha igen, akkor mi az adatkezelések célja, mik a kezelt adatok kategóriái, kik az esetleges címzettek. Ha az érintett él a törléshez vagy elfeledtetéshez való jogával, akkor a webshop köteles ezt teljesíteni. Ha adatvédelmi incidens történt, akkor a webáruház ezt a tudomására jutást követő 72 órán belül be kell jelentse a felügyeleti hatósághoz, az adatvédelmi incidensekről pedig nyilvántartást vezetni köteles. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatni köteles az érintettet az adatvédelmi incidensről. Úgyszintén köteles minden webáruház a nem alkalmi jellegű adatkezeléseiről nyilvántartást vezetni.

Miért kell megváltoztatni az adatkezelési tájékoztatót?

Az Infotv. is meghatározza, hogy milyen tartalommal kell előzetesen tájékoztatni az érintettet az adatkezelés megkezdése előtt. Egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról és arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak eddig is ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. A GDPR különösen az érintettek jogai kapcsán hoz változást: megjelent az elfeledtetéshez és az adathordozhatósághoz való jog is, ezekről is tájékoztatni kell az érintetteket. Amennyiben adatvédelmi tisztviselő is közreműködik, az ő nevét és elérhetőségét is fel kell tüntetni.

Konkrét példa - hírlevélküldés

Amennyiben valaki feliratkozik az Ön webshopjában a hírlevélre, akkor annak technikai és jogi feltételeit biztosítani kell:
  • Szükség van egy olyan adatkezelési tájékoztatóra, ami a GDPR-nak megfelelő tartalommal tájékoztatja az érintettet az adatkezelés céljáról, jogalapjáról, időtartamáról, a kezelt személyes adatok köréről, és az érintett jogairól. Ennek elkészítése vagy elkészíttetése az Ön feladata.
  • Magán a honlapon ezt a tájékoztatót meg kell jeleníteni, és még a hírlevél feliratkozás előtt igazolhatóan el kell fogadtatni az érintettel. Ezt egy az adatkezelési tájékoztatóra mutató linkkel és egy előre nem bepipált check box-szal tudja megtenni. Az UNAS felelőssége e tekintetben az, hogy Ön ezt a check box-ot a weboldalán meg tudja jeleníteni, az adatkezelési tájékoztatót tudja linkelni, az Ön felelőssége pedig az, hogy legyen ilyen tájékoztatója, és linkelje is azt.
  • A későbbiekben ha a vásárló leiratkozik a hírlevélről, akkor Önnek őt a hírlevél listáról törölnie kell, és igazolnia kell tudni, hogy ezt megtette. Ennek módja az UNAS rendszerében szintén adott, hiszen a feliratkozók listája szerkeszthető, és több formátumban lekérhető.

Mik a teendők?

A felkészülés több, egymásra épülő folyamatot feltételez az alábbi lépésekkel:
  • Fel kell mérni az adatkezelési eseteket.
  • Nyilvántartásba kell venni ezeket az adatkezelési eseteket.
  • Meg kell határozni, hogy a GDPR alapján mit és hogyan kell módosítani az adatkezelésen (folyamatában és a weboldalon).
  • Meg kell alkotni a szükséges belső és külső szabályokat.
  • Ha szükséges, akkor ki kell nevezni az adatvédelmi tisztviselőt.
  • Be kell vezetni az új adatkezelési folyamatot.
  • Fenn kell tartani a GDPR-nak megfelelő gyakorlatot.

Az adatkezelési esetek felmérése

Alapvetően ezek a „beviteli pontok” jönnek szóba:
  • működési és/vagy marketing sütik telepítése (IP-cím megjegyzése) az oldal látogatásakor
  • regisztráció, megrendelés, hírlevél feliratkozás
  • kapcsolatfelvétel (akár űrlapon, akár e-mailben), bármely marketing popup, ahol személyes adatot gyűjtünk (pl. e-mail címért kupon felajánlása, stb.)
  • nyereményjáték
  • garanciális panaszok, fogyasztóvédelmi panaszok kezelése
Természetesen a fentieken túl több adatkezelési cél előfordulhat, de a fentiek jellemzően lefedik egy webshop működését. Ezeken az adatkezelési eseteken kell végig menni, és azokat nyilvántartásba venni, illetve az adatkezelési tájékoztatóban meghatározni az alábbiak szerint: jogalap, cél, időtartam, kezelt adatok köre.

Milyen adatkezeléseket végez egy webáruház a megadott adatokkal?

Az adatkezeléseket alapvetően két csoportba oszthatjuk:
  • a szerződéskötés és a szerződés teljesítése céljából végzett adatkezelés: a kapcsolatfelvétel, megrendelés, számlázás, szállítás stb. céljából végzett adatkezelések
  • marketing célú – hozzájáruláson alapuló - adatkezelés: ide tartozik a hírlevél küldés, remarketing, nyereményjáték céljából történő adatkezelés.

Mi lesz az adatkezelés jogalapja egy webshop esetében?

Fontos változás a GDPR-ben, hogy megváltoznak az adatkezelés jogalapjai. Egy webshop tipikusan az érintett hozzájárulása alapján kezelt eddig adatokat, ez részben módosul, mivel a szerződés teljesítésével kapcsolatos adatkezelés külön jogalap lett. Ha tehát az érintett a szerződésben részes fél, akkor a szerződés teljesítéséhez szükséges adatkezelés (pl.: teljesítés, szállítás) ezen jogalap alapján kezelhető. A direkt marketing célú adatkezelés továbbra is az érintett hozzájárulásán fog alapulni, és jelentős marad továbbra is a jogi előírások alapján kezelt adatok köre (pl.: a fogyasztóvédelmi panaszok kezelése, garanciális panaszok kezelése, számlázás).

NAIH regisztráció, adatvédelmi nyilvántartás

A NAIH adatvédelmi nyilvántartás átalakul, a jelenlegi regisztráció meg fog szűnni, és a GDPR alapján az adtakezelőknek maguknak kell nyilvántartást vezetniük az adatkezeléseikről. Ez alól a 250 főnél kevesebb személyt foglalkoztató vállalkozás alapvetően kivételt képez mégis azzal, hogy ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár, ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes adatok különleges kategóriáinak vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére. Mivel egy webáruházban az adatkezelések döntő többsége nem alkalmi jellegű, ezért az adatkezelési nyilvántartást minden webshopot üzemeltető adatkezelőnek vezetnie kell majd.

Google és Facebook remarketing

A remarketing megítélése jelenleg még nem egyértelmű, nehéz eldönteni, hogy a weboldal üzemeltető, vagy a Google lesz-e az adatok kezelője. Egyelőre azt jelenthetjük ki biztosan, hogy amennyiben az érintett azonosításra alkalmatlan módon cookie adatokat kezel egy webshop üzemeltető, akkor nem valósul meg személyes adat kezelés. Ha már a cookie adatokkal az érintett azonosítható is, akkor a remarketing tevékenység is adatkezelés lesz és szükséges a jelenlegi gyakorlat szerinti cookie ablak fenntartása.

Mi a profilalkotás?

Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen alapuló döntés hatálya (ideértve a profilalkotást is), amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené. Profilalkotás a GDPR alapján a természetes személyekre vonatkozó személyes jellemzők bármilyen automatizált személyes adatok kezelése keretében történő kiértékelése, ha az érintettre nézve joghatással jár vagy őt hasonlóan jelentős mértékben érinti. A profilalkotás egy webshopnál két módon is megvalósulhat, egyrészt a vásárlói profilban található adatokkal, másrészt a cookie-k által gyűjtött adatokkal. Ha ezekre az adatokra automatizált módon adatkezelést építünk, akkor meg kell felelni a GDPR külön követelményeinek, és biztosítani kell az érintett számára, hogy a profilalkotás és a rá épülő automatikus döntéshozatal ellen tiltakozni tudjon. Ha például a webshop vásárlói profil adataiban található korábbi vásárlások alapján automatikusan kedvezményt biztosítok a meghatározott összeg felett vásárló személyeknek, akkor az már profilalkotáson alapuló automatikus döntéshozatal lesz. Ugyanígy profilalkotás lehet, ha a cookie adatok alapján automatikusan olyan termékről kínál a Google ajánlatot, mint amit korábban a vásárló már keresett az interneten, de ez esetben kérdéses, hogy ki alakítja ki a profilt és hogy mindez az érintettre nézve joghatással jár-e vagy őt hasonlóan jelentős mértékben érinti-e. Ezekre a kérdésekre a választ a joggyakorlat fogja megadni.

Az érintettek jogai

A GDPR különösen az érintettek jogai kapcsán hoz változást: megjelent az elfeledtetéshez és az adathordozhatósághoz való jog is, ezekről is tájékoztatni kell az érintetteket. A tájékoztatóban új elemként kell feltüntetni azt, hogy az adat közlése feltétele-e a szerződéskötésnek, profilalkotás tényéről szóló tájékoztatást és hogy a hozzájárulást bármikor vissza lehet vonni. A GDPR előírásai szerint az alábbi jogok illetik meg az érintettet:
  • a hozzájárulás visszavonásának joga
  • személyes adatokhoz és az adatkezeléssel kapcsolatos információkhoz való hozzáférés
  • helyesbítéshez való jog
  • adatkezelés korlátozása
  • törléshez való jog
  • tiltakozáshoz való jog
  • hordozhatósághoz való jog

Büntetések?

Ezen a területen tapasztalható a legnagyobb zavar és bizonytalanság. Péterfalvi Attila, a NAIH elnöke ebben a tekintetben megnyugtató választ adott: „Nem akarunk milliárdos büntetéseket kiszabni, sem cégeket csődbe vinni, ezért nem fenyegetésként mondom, de ellenőrizni fogjuk, hogy rendben megy-e az adatok kezelése.”

Hasznos linkek

Végszó

A jelen írás egyes részei a Webshop Magazinban megjelent, Dr. Németh Ádám infokommunikációs szakjogásszal közösen jegyzett cikkből származnak. Az írás szerzője Dr. Juhász Botond, a Fogyasztó Barát ÁSZF modult üzemeltető Jutasa Kft. tulajdonos ügyvezetője. Az UnasShop rendszer technikai hátterének változásairól, a szükséges beállításokról külön hírben tájékoztatjuk az ügyfeleinket.