Az Ön webshopja készen áll a GDPR-ra?

2018. május 25-től már élesben is alkalmazni kell az Európai Unió általános adatvédelmi rendeletét, a GDPR-t (General Data Protection Regulation). Webáruházzal rendelkező ügyfeleinket segítettük a felkészülésben. Tapasztalataink alapján összegyűjtöttünk néhány főbb fejlesztési feladatot.

GDPR és e-kereskedelem

2016 áprilisában kihirdetett rendeletet péntektől nem csak az európai szervezeteknek, hanem minden olyan vállalatnak, magánszemélynek és civil szervezetnek is alkalmaznia kell, amely EU-s állampolgárok adatait kezeli (rögzíti, tárolja, használja, vagy továbbítja).

Bár a GDPR konkrétan egy helyen, lábjegyzetében említi az „elektronikus kereskedelmet”, az e-kereskedők életét ugyanúgy átalaktja, hatással lesz a felhasználókkal való kapcsolattartásra, az alkalmazott eszközökre. Cégmérettől függetlenül minden webáruháztulajdonosra vonatkozik.

Mit tehet egy webshop, hogy ennek megfeleljen?

A GDPR nem egy részletes technikai dokumentáció, vagy digitális kézikönyv konkrét lépésekkel, inkább állásfoglalás a személyes adatok védelmének mint alapvető jognak a fontosságáról. A kulcsszavak a következőek: a megfelelő tájékoztatás, az átláthatóság és közérthetőség, a felhasználói jogok gyakorlásának biztosítása, a felhasználói hozzájárulás, az adatok kezelésének időtartama, valamint az adatok biztonságos tárolása.

Milyen módosítások merülhetnek fel a gyakorlatban?

Az adatkezelési tájékoztató és az ÁSZF újragondolása

A GDPR legfőbb elve az adattakarékosság. Ennek fényében továbbra is használhatjuk a felhasználok adatait, ha azokat valódi célok és megfelelő jogalap mellett kérjük be. A webáruház adatkezelési tájékoztatóját és ÁSZF-et egészítsük ki többek között a személyes adatok kezelésének céljával és jogalapjával, valamint a webshop vagy harmadik fél jogos érdekeivel. Továbbá tegyük elérhetővé minden olyan helyen, ahol személyes adatot kérünk be a felhasználótól.

Aktív hozzájárulás a felhasználó részéről

Szükséges, hogy a vásárlók aktívan elfogadják pl. a megváltozott ÁSZF-et és a szabályzatok későbbi esetleges változásakor minden vásárló ismételten elfogadja azokat (pl. regisztrációkor, bejelentkezéskor, a rendelés leadásakor).

„A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak” – mondja a rendelet. Nem hozhatunk tehát döntést a felhasználó helyett, szükséges a felhasználó kifejezett hozzájárulása. A szabályzatok pl. megjelenhetnek egy külön popup ablakban és az elfogadás gomb (vagy checkbox) akkor válik aktívvá, ha a látogató a szabályzatok végére ért.

Személyes adatok lekérhetősége és törlése

Fontos, hogy a vásárlói fiókban a regisztrált, bejelentkezett felhasználó lekérhesse a webshop rendszerben róla tárolt adatokat, és kérhesse fiókja teljes, végleges törlését, így a róla tárolt adatok nem állíthatóak vissza. A fiók törléskor a felhasználót tájékoztatni kell, hogy  leadott rendeléseinek mely adatait kerülnek megőrzésre a megfelelő háttérrendszerekben (pl. számlázás) a törvényi kötelezettségeknek megfelelő ideig.

Inaktív felhasználók adatainak törlése

Azok a felhasználói fiókok, amelyeken egy meghatározott ideig nem történik semmilyen aktivitás (a felhasználó nem jelentkezik be a webshopba) kerüljenek törlésre.

Adatelemzés a fióktörlések után

Az esetleges fióktörlések miatt nem árt felkészülni, hogy statisztikai célból anonim módon is gyűjtsön adatokat a webshop. Az anonim adatok önmagukban nem tartalmaznak olyan információt, amely alapján a vásárló bármilyen módon utólag azonosítható lenne.