A webshopok és a GDPR - Jogi útmutató

A webshopok és a GDPR - Jogi útmutató

gdpr-730_copy.png

Nagy valószínűséggel már minden érintett hallott a május 25-től alkalmazandó általános adatvédelmi rendeletről (GDPR).

A ShopRenter is gőzerővel készült a változásokra, hogy minél inkább megkönnyítsük webáruházainknak a GDPR-nak való megfelelést.

Ennek egyik lépéseként a következőkben Dr. Krausz Miklós ügyvéd, infokommunikációs szakjogász segítségével 9 pontban foglaltuk össze a webshopok tennivalóit, fő feladatait a GDPR-ral kapcsolatban.

Az egyes fejezetek végén pedig kiemeljük, hogy az adott pont milyen teendővel jár.

1. Adatvédelmi tisztviselő kinevezése

A GDPR szerint a webshop és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor a webshop vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé.

Mivel ma a webáruházak nagy százaléka használ viselkedésalapú reklámokat (intelligens termékajánlást, remarketing hirdetéseket stb.), így a webshopok többségének gondoskodnia kell adatvédelmi tisztviselő kijelöléséről.

Az adatvédelmi tisztviselő lehet az adott webshopot üzemeltető cég alkalmazottja, vagy az adatfeldolgozó munkavállalója, továbbá a feladatot el lehet látni szolgáltatási szerződés keretében is, pl. megbízni ügyvédet, adatvédelmi szakértőt.

Az adatvédelmi tisztviselő – többek között – tájékoztat és szakmai tanácsot ad a webshop, továbbá az adatkezelést végző alkalmazottak részére a kötelezettségeikkel kapcsolatban, ellenőrzi az adatvédelmi rendelkezéseknek, továbbá a webshop vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is.

Tennivaló:

A gyakorlatban ez annyit jelent, hogy legyen egy kijelölt emberünk a cégen belül vagy kívül, aki ellenőrzi a GDPR-ban foglaltak betartását, és koordinálja, hogy ki milyen adatokhoz fér hozzá, milyen célból. A tisztviselőnek nem kell felsőfokú végzettséggel rendelkeznie, de szakértői szintű szakmai ismeretekkel kell rendelkeznie az adatvédelem jogi és gyakorlati előírásairól.

Itt felmerülhet a kérdés, hogy akkor neki mindenhez hozzá kell férnie? Nem feltétlenül, az adatvédelmi tisztviselő csak a jogosultságokat osztogatja.

2. Adatvédelmi incidens kezelése

Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményez.

Az adatvédelmi incidenst a webshopnak indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, be kell jelentenie az adatvédelmi hatóságnak (egy erre szolgáló ún. adatvédelmi incidens jegyzőkönyv minta segítségével, melynek tartalmát pontosan meghatározza a GDPR), kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a webshop indokolatlan késedelem nélkül tájékoztatja a vásárlókat az adatvédelmi incidensről (erre is ki kell dolgoznia a webáruháznak a megfelelő nyilatkozatot).

Tennivaló:

Amennyiben Ön jelenleg ShopRenter Gold csomagban van vagy 2018. január 1. után vásárolta meg a Webáruház Jogi Csomagunkat, úgy kérem jelezze igényét ügyfélszolgálatunkon, és emailben elküldjük a frissített adatkezelési tájékoztató sablont és útmutatót.

3. Bizonyítási teher

Május 25-étől, amennyiben az adatkezelés az érintett hozzájárulásán alapul, a webshopnak kell tudni bizonyítania, hogy az adatkezelési művelethez az érintett, a vásárló hozzájárult. Garanciákkal szükséges biztosítani azt, hogy az érintett tisztában legyen azzal a ténnyel, hogy hozzájárulását adta, valamint azzal, hogy ezt milyen mértékben tette.

A webshop előre megfogalmazott hozzájárulási nyilatkozatról kell, hogy gondoskodjon, amelyet érthető és könnyen hozzáférhető formában kell a felhasználók rendelkezésére bocsátani. A nyilatkozat nyelvezetének világosnak és egyszerűnek kell lennie, és nem tartalmazhat tisztességtelen feltételeket. Ahhoz, hogy a hozzájárulás tájékoztatáson alapulónak minősüljön, az érintettnek legalább tisztában kell lennie a webshopot üzemeltető kilétével és a személyes adatok kezelésének céljával.

A hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel (külön hozzájárulás a regisztrációhoz, külön a hírlevél-küldéshez, külön a profilalkotáshoz), és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna.

Tennivaló:

A feliratkozási és regisztrációs űrlapoknál szükséges elhelyeznünk a hozzájáruló nyilatkozatokat egy üres checkbox kíséretében. Ezek a ShopRenterben beállíthatók, Önnek a szükséges nyilatkozatok elkészítéséről kell gondoskodnia, amelyhez ajánlott jogi szakértő segítségét kérni.

4. Adatkezelési tájékoztatók frissítése

Valamennyi webshopnak frissítenie kell (vagy akár újat készíteni) az adatkezelési tájékoztatóját. Az adatkezelésről szóló tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtani, elkülönítve az ÁSZF-től! Az információkat írásban (akár elektronikusan) kell megadni.

Az adatkezelési tájékoztatónak tartalmaznia kell az alábbiakat:

  • a webshopot üzemeltetőt és elérhetőségeit;
  • az adatvédelmi tisztviselő elérhetőségeit, ha van ilyen;
  • a személyes adatok tervezett kezelésének célja, az adatkezelés jogalapját, a webshop vagy harmadik fél jogos érdekei;
  • a személyes adatok címzettjeit, ha van ilyen;
  • adott esetben annak tényét, hogy a webshop harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat (…)

 Az adatkezelési szabályzatnak nevezett dokumentumok elkészítését nem írja elő a GDPR.

Tennivaló:

A frissítéshez szintén érdemes ügyvéd vagy jogi szakértő segítségét kérni.

Amennyiben Ön korábban a Gold csomag keretében megkapta a Webáruház Jogi Csomagunkat vagy 2018. január 1. után vásárolta meg azt, úgy kérem jelezze igényét ügyfélszolgálatunkon, és emailben elküldjük a frissített adatkezelési tájékoztató sablont és útmutatót.

5. Adatfeldolgozói szerződések kötése

Ha eddig nem, most itt az ideje, hogy szerződésben szabályozza a webáruház a vele kapcsolatban álló adatfeldolgozók (tárhely-szolgáltató, futár, könyvelő stb.) adatvédelemmel kapcsolatos feladatait. Az adatfeldolgozói szerződésnek tartalmaznia kell az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint a felek kötelezettségeit és jogait.

A webáruház az adatfeldolgozó tevékenységéért felelősséggel tartozik: ha az adatkezelést a webshop nevében más végzi, a webshop kizárólag olyan adatfeldolgozókat vehet igénybe, akik megfelelő garanciákat nyújtanak az adatkezelés e rendelet követelményeinek való megfelelésére és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

Tennivaló:

Amennyiben azt tapasztalja, hogy valamelyik szolgáltatója nem felel meg a GDPR-nak, érdemes ezt jeleznie feléjük.

A ShopRenter garantálja, hogy a május 25-én életbe lépett ÁSZF-ünk mindenben megfelel a GDPR-nak, és az adatkezelést az abban foglaltak szerint valósítjuk meg, így Ön nyugodtan aludhat.

6. Nyilvántartás vezetése

A rendelet értelmében az adatkezelő és adatfeldolgozó és – ha van ilyen – a webshop/adatfeldolgozó képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. A nyilvántartás-vezetési kötelezettségek nem vonatkoznak a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve,

  • ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár,
  • ha az adatkezelés nem alkalmi jellegű, vagy
  • ha az adatkezelés kiterjed a személyes adatok különleges kategóriáinak vagy büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére.

Egy webshop esetén nem alkalmi jellegű az adatkezelés, így kötelező lesz minden webáruház számára jövőben nyilvántartást vezetni, a rendeletben meghatározott adatokkal, felépítéssel.

Tennivaló:

A formai követelmények tekintetében kérjük ki jogi szakértő segítségét, majd utána vezessünk egy nyilvántartást arról, hogy a cégen belül ki milyen személyes adatokhoz fér hozzá, és milyen célból teszi ezt.

7. Adatbiztonság

A GDPR előírja, hogy a webshopnak és az adatfeldolgozónak is – a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével – megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja.

Ennek megfelelően szükséges a webáruházak informatikai, adatbiztonsági rendszerének felülvizsgálata, és annak folyamatos fejlesztése.

Ahogy eddig is, ezután is kiemelt figyelmet szentelünk ügyfeleink és a ShopRenteres webáruházak vásárlóinak adatainak biztonságára, így ügyfeleinknek továbbra is garantáljuk az adatbiztonságot. 

8. Gyors intézkedés

Ha például valaki az adatai törlését kéri, akkor a webshopnak indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül kell tájékoztatnia az érintettet a jogai érvényesítésével kapcsolatos intézkedésekről.

Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható.

Ha a webshop nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be az adatvédelmi hatóságnál, és élhet bírósági jogorvoslati jogával.

Tennivaló:

Ha a konkrét példát nézzük, akkor a ShopRenterben elérhetővé vált annak lehetősége, hogy a vásárlók egy gombnyomással kérhetik az adataik törlését, és azt a webáruház üzemeltetője szintén egy gombnyomással jóvá is hagyhatja majd.

9. Adatkezelés a webshopot üzemeltető cégen belül

Megfelelve a beépített adatvédelem (privacy by design) követelményének, nem csak formálisan, hanem belső folyamataikban is meg kell felelniük a webshopoknak a GDPR előírásainak. Ennek keretében szükséges a belső adatvédelmi szabályzatok elkészítése.

Tennivaló:

Szükséges rögzíteni az egyes rendszerekhez, nyilvántartásokhoz való jogosultságok, feladatok kezelését, az adatbiztonsági követelményeket, illetve az ennek való megfelelést, továbbá az adatvédelmi incidensek kezelésének szabályait, folyamatát.

A formai követelmények terén szintén érdemes kikérnünk egy jogi szakértő segítségét.

+1 További hasznos oldalak GDPR témában

 

Szerző: Dr. Krausz Miklós ügyvéd, infokommunikációs szakjogász
Dr. Krausz Miklós a net-jog.hu alapítója, ügyvédje számos weboldal – köztük webshopok, hotelek, éttermek, internetes rádiók – jogi szabályozásáért felelős (adatvédelmi tájékoztatók, belső adatvédelmi szabályzatok, felhasználási feltételek). Publikációiban szívesen foglalkozik a szerzői jog, az adatvédelmi jog, és a médiajog kérdéseivel, kedvenc jogterületei közé tartozik továbbá a közérdekű adatok nyilvánossága. A Net-jog Magyarország legismertebb internetjoggal foglalkozó blogja, ahol a hasznos írások mellett számos egyéb jogi szolgáltatás is igénybe vehető – köszönhetően a Net-jog ügyvédi irodáinak.