Olvasva a Facebook csoportokat és különböző blogokat, nagyon sok helyen találkozok pánikkal, haraggal a GDPR-ral kapcsolatban, így szeretnék pár fontos, webshopokat (online felületeket) érintő kérdést és teendőt tisztázni. Azt gondolom, hogy user oldalról sem fog mindenki ezzel foglalkozni, hiszen eddig is tojtak rá, hogy mi van az adataikkal és ezután is az lesz a célja, hogy mielőbb megvásárolhassa a terméket vagy használhassa a szolgáltatást, lásd jelenlegi cookie tájékoztató elfogadás.
Pár fontos alapelv
A GDPR egyik betartandó alapelve az adattakarékosság, aminek célja, hogy valóban csak annyi adatot kérjünk be és annyi ideig tároljuk, amíg az valóban szükséges.
Az adatkezelésben nincs akkor változás és továbbra is használhatjuk a felhasználok adatait, de pontosan meg kell határozni a célt és a jogalapot, valamint ezekhez egyértelműbb tájékoztatás kell a user felé és/vagy hozzájárulás a felhasználótól.
Ehhez kapcsolódik, hogy a user számára átláthatóbbá kell tenni az adatkezelést és adattovábbítást, és a jogait könnyebben kell tudnia gyakorolni (hozzáférés, helyesbítés, törlés, korlátozás, hordozhatóság).
Ezek mellett az adatok biztonságos kezelése is előtérbe helyeződött, mivel eddig ez nem volt annyira biztosított, tisztelet a kivételnek.
És mégegy: GDPR is not optional.
Hogyan tud egy webshop első körben megfelelni az új GDPR-nak
Összeszedtem, hogy mik azok a legfontosabb pontok, amik egy ellenőrzés során elsőként kerülnek a figyelembe. Nem nyújt 100%-os védelmet, de nagyban csökkenti a kockázatot. Véleményem szerint, amíg a NAIH se ad minden kérdésre választ és nem jön ki a végleges módosított Info. Törvény, addig nem is lehet teljes megfelelőséget elérni az adatkezelési folyamatokban.
Szóval a teendők:
1. Adatkezelési tájékoztató
Frissítsük az oldalon található adatkezelési tájékoztatót az alábbiak szerint:
- a webshopot üzemeltetőt és elérhetőségeit;
- az adatvédelmi tisztviselő elérhetőségeit, ha van ilyen;
- a személyes adatok tervezett kezelésének célja, az adatkezelés jogalapját, a webshop vagy harmadik fél jogos érdekei;
- a személyes adatok címzettjeit, ha van ilyen;
- adott esetben annak tényét, hogy a webshop harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat
A NAIH Adatvédelmi Nyilvántartási Számot 2018. május 25-től nem fog kiadni, így azt már nem is kell feltüntetni a jövőben.
2. Adatkezelési tájékoztató elérhetősége
Nem csak regisztrációs formon és a láblécben kell elhelyezni mostantól az Adatkezelési tájékoztató linkjét, hanem minden olyan oldalon, ahol személyes adatot kérünk be, vagy adható meg.
Itt egy érdekes problémával is találkozhatunk, hiszen több helyen van úgynevezett megjegyzés mező, pl. rendelés leadása során, ahova szintén bármit beírhat a felhasználó, akár személyes adatokat is. Figyeljünk erre is!
Fontos, hogy ha az adott oldalon van form, akkor nem elég, hogy a láblécben ott van az Adatkezelési tájékoztató linkje, hanem az adott formban is fel kell tüntetni.
3. Regsiztráció során jelölő négyzetek bővítése (adatkezelőnként)
Ez még jelenleg egy homályos pont, mert a rendelet szerint adatkezelőnként és adatkezelési célonként kellene hozzájárulást kérni a felhasználótól a regisztráció során. Jó esetben jelenleg az ÁSZF és az Adatkezelési tájékoztatót kell elfogadni egy checkbox keretében.
A jövőben az alábbi checkobox biztosan kelleni fognak:
- Elolvastam és elfogadom az Általános Szerződési Feltétleket
- Elolvastam és elfogadom az Adatkezelési tájékoztatót
- Hozzájárulok hírlevelek fogadásához (itt több opciói is lehet, lásd következő pont)
4. Hirlevél fel- és leiratkozás
Eddigi gyakorlat szerint volt egy mező, ahova beírhatta a user az email címét és egy gomb, hogy feliratkozik a hírlevelekre.
A jövőben ennek úgy kell kinéznie, hogy:
- van egy mező, ahova beírhatja az email címét
- van egy checkbox: Elolvastam és elfogadom az Adatkezelési tájékoztatót (linknek kell lennie és nem lehet bepipálva)
- hozzájárulás mező: szintén egy vagy több checkbox és nem lehet bepipálva (lásd az opcióknál)
- Feliratkozó gomb
Opciók a hozzárjárulás checkbox esetén:
1. saját hírlevél, saját reklámok küldése
2. eDM (külső ajánlatok partnerektől)
3. hozzájárulok email címem átadására 3dik félnek reklám céljából
A leiratkozásnak ugyanolyan könnyűnek kell lennie, mint a feliratkozásnak, így biztosítani kell az oldalon is és a kiküldött levelekben is. A kiküldött hírlevél láblécében szerepelnie kell az Adatkezelési tájékoztató linkjének és egy leiratkozást segítő linknek/gombnak.
Update:
- ha már egy regisztrált usernek szeretnénk küldeni hírlevelet egy új termékünkről, akkor a jogalap lehet hozzájárulás vagy jogos érdek és mindkét esetben tájékoztatni kell. Első esetben a visszavonásig, második esetben tiltakozásig tárolhatjuk az e-mail címet
- ha egy sima hírlevelet küldünk feliratkozott usernek, akkor jogos érdek a jogalap és tájékoztatás után tiltakozásig tárolhatjuk az e-mail címet
5. Adatbázisok életben tartása és a profilozás
2018. május 25. utána csak olyan személyes adatokat tárolhatunk és használhatunk, amik megfelelnek az új rendeletnek. Így szükséges a régi adatbázisok életben tartása. Ezek esetében a következő képpen kell eljárni: tájékoztatni kell a felhasználót az új célokról, és ez ellen tiltakozhat.
Ha van olyan funkcióink (pl. ajánló rendszer), ahol profilozás történik, akkor ott is a legegyszerűbb megoldás, hogy tájékoztatjuk az ügyfelet, aki ez ellen tiltakozhat. Ilyenkor vagy kikapcsolom az adott szolgáltatás működését vagy megtagadom tőle a regisztráció lehetőségét.
6. Automatikus döntéshozatal
Kevés helyen tárgyalt, de annál fontosabb téma. Ha a weboldalamon pl. a szállítási költség a user címe alapján módosulhat, akkor az automatikus döntéshozatalnak számít és erről tájékoztatnom kell a felhasználót az Adatkezelési tájékoztatóban. Vegyük sorra, hol található ilyen jellegű logika és ezeket írjuk bele a tájékoztatóba.
Célok és jogalapok
A bevezetőben említettem, hogy kicsit kavar van a fejekben és túlzottan félünk a GDPR-tól, pedig sok esetben könnyítést ad. Cserébe csak annyit vár el, hogy az adatokat valódi céloknak és megfelelő jogalap mellett kérjük be, tároljuk.
A GDPR 6. cikke foglalkozik azzal, hogy milyen jogon kérhetünk be és tarolhatunk adatokat.
a, a felhasználó hozzájárult az adatkezeléshez, tehát bepipált egy checkboxot, ahol tájékoztattuk, hogy ott miért és mire kell az adat
b, szerződés teljesítéséhez szükséges az adat, pl. vásárláshoz
c, jogi kötelezettség teszi szükségessé az adatkezelést, pl. számla kiállítása
d, az érintett érdekeinek védelmében (pl. baleset)
e, közérdekű feladat végrehajtásához (pl. önkormányzati adatkezelés)
f, jogos érdek (pl. fraud vizsgálat, IT biztonság)
Egy webshop esteében általában az a, b, c és f jogalapok szoktak szükségesek lenni. Az f, pont az egyik olyan kiskapu, amit elég sok mindenre rá lehet húzni. Nekem, mint webshop pl. jogos érdekem, hogy eladjak és mondjuk ezt egy hírlevélben kiküldött konkrét ajánlattal tudom elérni...
Minden adat kezelés esetén szükséges a felhasználó tájékoztatása vagy hozzájárulása. Hozzájárulás esetén is kötelező tájékoztatni a felhasználót:
- az adatkezelő elérhetőségéről
- az adatkezelés céljáról
- az érintettek és a személyes adatok kategóriáról
- címzettek kategóriáról (adatfeldolgozókról)
- az adattárolás időtartamáról
Lényeges különbség, hogy tájékoztatás esetén csak tiltakozhat a user, hozzájárulás esetén pedig visszavonhatja a hozzájárulását. Itt érdemes figyelni arra, hogyha közös hozzájárulást kérünk több adatkezelési célhoz és az egyikhez visszavonja a hozzájárulást, akkor a többi esteében is törölni kell.
Nagyon fontos és erről is kevés szó hangzik el, hogy IT technikai oldalról ez egy olyan feladatot ró ránk, hogy tudnunk kell az adatbázisban tárolt adatokat cél és jogalap szerint csoportosítani, kezelni, törölni.
Mit is jelent a kifejezett hozzájárulás módja:
- aláírt
- email megerősítés, online form
- lényeg: egy gomb megnyomása mellett van egy második megerősítés
Facebook és Google
Ezt is sokszor félreértelmezik a hirdetések, remarketing esetén. A Facebook az adatkezelő, ha saját adatai alapján targetál
Ha az én adataim alapján, az általam beadott felhasználói adatok alapján targetál, akkor a Facebook az adatfeldolgozó és én vagyok az adatkezelő.
Google dolgozik már rajta, hoyg az Analytics szolgáltatását GDPR kompatibilissé tegye. Új beállítás lesz elérhető oldal property szinten, amivel be lehet állítani, mennyi ideig tárolod 1-1 felhasználó adatait az utolsó aktivitásától számítva (vagy úgy általában).
Szintén hamarosan érkezik a programozott módon elérhető adattörlés, aminél client ID (cookie), user ID (saját weboldalad azonosítója) vagy App ID segítségével lehet törölni 1-1 konkrét felhasználó history-ját Analyticsben.
GDPR szempontból valószínűleg consent nélkül is futtatható lesz az alap GA mérés az ún. Advertising features nélkül, amihez viszont már user consent kell. Ez főleg a demográfiai riportok adatmennyiségére és a remarketing lehetőségekre lesz várhatóan erősen kihatással.
Szállítási cím probléma
A GDPR egyik fontos alapelve az adattakarékosság, tehát csak annyi adatot kérjünk be és tároljunk, amennyi valóban szükséges, és csak addig tárolhatjuk, amíg szükséges. És ez felvet egy olyan problémát, hogy a szállítási címre csak addig van szükségünk, amíg a rendelés kiszállítása megtörtént. Így utána törölni kell ezeket az adatokat. Nem életszerű és mint user roppant bosszantó lenne, ha minden alaklommal újra be kellene írnom a szállítási címemet egy már regisztrált webshopban leadott rendelés esetén.
Remélhetőleg itt még történik egy módosítás, vagy állásfoglalás a NAIH-tól, addig is van rá egy kiskapu...
Az ugye tiszta, hogy futárszolgálat esetén adatfeldolgozásról van szó, nem pedig adatkezelésről, mert a vásárlás teljesítéséhez igénybe kell vennem a futárt!? Mindaddig, amíg a futár cég nem veszi át és használja saját célra az adatokat!
Webshop motorok
Ha valamilyen webshop motort használsz, akkor gondban lehetsz az ügyben, hogy hol tárolódnak az adatok. Ilyen esteben ugye aláírod a Service agrement-et, és tájékoztat arról, hogy hol és hogyan tárolja, kezeli az adatokat. Ezt meg kell tenned a felhasználóid felé is.
Fontos, hogy pl. a Shopify nem adatkezelő (nem hoz döntést), csak tárolja az adatokat. De ez EU-n kívüli adattovábbításnak minősül és kifejezett hozzájárulás nem kell csak tájékoztatás.
IT biztonság és üzemeltetési problémák
Sajnos üzemeltetési szempontból is akadnak nem életszerű megfelelési kötelezettségek. Ilyen a felejtés joga esetén a biztonsági mentésekből is törölni kellene az adatokat, de ez nem életszerű és nem kivitelezhető ésszerű keretek között. Erre is várunk még állásfoglalást.
Ami itt fontos lehet, hogy egyrészt biztosítani kell a megfelelő biztonsági intézkedéseket, az adatok biztonságát, saját szerver esetén a jogosulatlan hozzáférés megakadályozását. Ha keretrendszerrel dolgozunk és különböző verziók vannak, akkor jelezni kell, hogy nem friss a keretrendszer, ami biztosági kockázat. Ilyenkor az ügyfél (tulajdonos) a felelős, hogy a frissítés költségét kifizeti-e vagy vállalja a régebbi rendszer sebezhetőségéből adódó kockázatot, mivel ő az adatkezelő.
Összefoglalva
A lényeg a megfelelő tájékoztatás, a felhasználói jogok gyakorlásának biztosítása, az adatok kezelésének időtartamára vonatkozó előírások betartása és figyeljünk oda, hogy különleges adatokat csak kifejezett hozzájárulás esetén tárolhatunk (9. cikk)
Igyekszem a profilozásról is írni hamarosan egy újabb bejegyzésebn.
Addig is: úgy kezeld mások adatait, ahogy elvárnád, hogy a tiedet kezeljék!