Webshop GDPR témakörben összeszedtük a legfontosabb tudnivalókat, amelyek alapján a webshopok tulajdonosai, illetve webshop felépítése előtt állók már előzetesen is tudnak tájékozódni a webshop GDPR szabályozás legfontosabb szabályairól, a személyes adatok védelmének alapvető feltételeiről. A GDPR hatálybalépése óta milyen szabályoknak kell megfelelni webshop adatkezelés szempontjából?
GDPR és egyéb szabályok
Az Info. törvény rendelkezéseit úgy kell alkalmazni, hogy a GDPR szabályai élveznek elsőbbséget ellentmondás esetén. Az adatvédelmi rendelet általánosabb szabályait hosszú távon a jogalkotás és a joggyakorlat fogja kitölteni és finomítani részletszabályokkal. Lényeges jogszabály-módosítások történtek az Info. törvényben, és a az ágazati jogszabályokban is. A webáruházak szempontjából különösen jelentősek alábbi törvények.
- Az elektronikus kereskedelemről szóló törvény (2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről).
- A Reklám-törvény (2008. évi XLVIII. törvény a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól).
Minden webshopra vonatkoznak ezek a szabályok? A GDPR minden olyan webáruházra vonatkozik, amelyek az Európai Unió területére végez tevékenységet, függetlenül attól, hogy a működtető cég az Unió területén rendelkezik-e székhellyel. Az Info. tv. a magyar webáruházakon kívül vonatkozik azokra a külföldi webáruházakra is, amelyek esetében (1) a honlap/webshop szövege magyar nyelvű. (2) A webshop tevékenysége főként vagy teljes mértékben a magyarországi felhasználókra irányul. (3) Az adatkezelőnek van magyarországi képviselője. (4) A webshop magyarországi domain néven van bejegyezve.
Megfelelő tájékoztatáson alapuló hozzájárulás
Webshopok esetén kiemelt jelentősége van a tájékoztatásnak. Nem csak abból a szempontból fontos a tájékoztatás, hogy hogyan történik a megrendelés, a kiszállítás és a számlázás. Abból a szempontból is fontos, hogy az érintett (akinek a személyes adatait kezelik, mint a név, cím, e-mail elérhetőség és telefonszám általában) mely adatait, milyen célból, mennyi ideig kezeli a webáruház üzemeltetője. Illetve az is lényeges, hogy az adatok mely személynek (személyeknek) kerülhetnek továbbításra. Az adatokat csak a szükséges mértékben és a szükségei ideig lehet jogszerűen kezelni.
Hozzájáruláson alapuló adatkezelés esetén az adatkezelést megelőzően kell megfelelő, közérthető tájékoztatást adni. Az érintett félreérthetetlen hozzájárulása fogadható csak el a Hatóság gyakorlata alapján.
Fontos kiemelni, hogy az adatkezeléshez való általános hozzájárulás NEM elegendő a hírlevél küldéséhez. Ehhez külön erre a célra vonatkozó hozzájárulást kell kérni az érintettől. Ugyanez vonatkozik a honlap hatékonyságának növelése céljából használt Cookie-kra (sütikre), viselkedés alapú marketing esetén. Az érintettek hozzájárulása alapján kezelt személyes adatai nem kapcsolhatók össze az érintett azonosító adataival. Az érintett hozzájárulása nélkül nem adhatók át harmadik személyeknek ezek a személyes adatok.
Törölni kell a szolgáltatás nyújtásához nélkülözhetetlen adatokat, ha a szerződés mégsem jön létre, illetve az megszűnik, továbbá a számlázást követően. Ez alól kivétel a kötelező jogszabályi előírás. Például a számviteli törvény szerint a számlákra vonatkozó megőrzési kötelezettség. Törölni kell továbbá a szolgáltatás nyújtásához nem nélkülözhetetlen (pl. marketing célból felvett) adatokat (adattakarékosság).
Az adatfeldolgozó szerepe
Webshop esetében ki lehet adatfeldolgozó? Adatfeldolgozó lehet a webáruház működését támogató diszpécserszolgálat. Szintén adatfeldolgozó a webáruház informatikai hátterét biztosító tárhely-szolgáltató. Adatfeldolgozó a futárszolgálat is, amely az adatkezelőtől (a webáruház üzemeltetőjétől) megkapja az áru kézbesítéséhez szükséges személyes adatokat (érintett neve, címe, telefonszáma), és ennek felhasználásával kiszállítja a terméket.
Célhoz kötött adatkezelés
A célhoz kötöttség elvévek betartása érdekében már az adatkezelés megkezdése előtt (a rendszer megtervezésekor) az adatkezelőnek fel kell mérnie, hogy milyen személyes adatokat, milyen célból és mennyi ideig fog kezelni. Online regisztráció esetén például csak a regisztrációhoz szükséges adatokat lehet kezelni, mint a felhasználónév, e-mail cím és a jelszó. Minden további begyűjtött személyes adat esetében szükséges egy jogszerű további adatkezelési cél meghatározása. A webáruházban történő vásárláshoz az adattakarékosság elve alapján elegendő a nevet, elérhetőségi adatokat, szállítási és számlázási adatokat kezelni. A futárszolgálat feleslegesen kezeli pl. készpénzes utánvétel esetén az érintett bankszámla adatait.
Tisztességtelen adatkezelés például, ha a webáruházban regisztrálók a vásárlást követően hírlevelet kapnak anélkül, hogy a hírlevél-szolgáltatásra feliratkoztak volna. A hírlevélre történő feliratkozásnál külön pl. checkbox kipipálására vagy linkre kattintásra van szükség annak jogszerűségéhez. Ezen felül ajánlott olyan informatikai megoldásokat használni, amelyek a hozzájárulásokat hosszú ideig képesek eltárolni. Ez ezért fontos, hogy egy esetleges hatósági ellenőrzés során a bizonyítható legyen a hozzájárulások megtörténte.
A GDPR rendelkezései alapján az adatkezelő felel az érintett személyes adatainak pontosságáért, naprakészségéért. Ezért érdemes az adatkezelés tájékoztatóban felhívni az érintettek figyelmét, hogy az adatok naprakészségében működjenek együtt. Az adatkezelők ugyanis nem tudhatnak arról, ha az érintett például elköltözött, és az eredeti regisztrációjához képest megváltozott a kézbesítési címe. Ilyenkor ugyanis vitás lehet, hogy ki viseli a téves postázás költségeit. Erre az esetre javasolt egy olyan rendelési felület kialakítása, ahol minden vásárlás előtt kitölti a rendszer az adatokat, de ki kell pipálnia az érintettnek, hogy az adatai helyesek, ha nem azok, akkor pedig javítani tudja azokat.
Hírlevél feliratkozás önkéntessége
Az adatok kezeléséhez való hozzájárulás érvényességi feltétele az önkéntesség, ha az érintettnek valódi választási lehetősége van. Nem minősül önkéntesnek a hozzájárulás, ha az adatkezelés létrejöttét egy szolgáltatás igénybevételétől teszik függővé. Például, ha a webáruházban történő vásárláshoz az érintett egyúttal elfogadja azt is, hogy ezentúl hírlevelet kap, ekkor nem áll fenn valódi választási lehetőség. A hozzájárulás érvényességének további feltétele, hogy a hozzájárulásnak tevőleges magatartásban kell megnyilvánulnia. Jó példa erre egy checkbox érintett általi kipipálása. Az előre kipipálva/bejelölve nem lehet, ezt a Hatóság jogszerű eljárásnak nem fogadja el. Ugyanúgy, egy megerősítő e-mailben elhelyezett linkre való kattintás is megfelelő, hiszen ez az érintettet egy aktív, tevőleges magatartásra készteti. A checkbox-nál javasolt belinkelni az adatvédelmi tájékoztatót, hogy az érintett a hozzájárulás megadásánál elolvashassa, és ennek tudatában hozza meg döntését arról, hogy az adatkezeléshez hozzájárul-e. Az érintett hozzájárulása kizárólag azokat az adatkezelés célokat érinti, amelyekről őt tájékoztatták.
Tájékoztatási kötelezettség
Az érintett tájékoztatást kérhet a személyes adatai kezeléséről, azok köréről. Kérheti személyes adatai helyesbítését, törlését, korlátozhatja az adatkezelést. Hogyan kell megadni a tájékoztatást az érintettnek? Konkréten meg kell jelölni a kezelt adatok körét és az adatkezelés célt, valamint hogy a vállalkozás milyen alapon kezelt a személyes adatokat. Például: „Önnel összefüggésben az XY nevet és az xy@email.hu címet kezeljük. Személyes adatait a 2016. március 1-jei regisztrációja alapján marketing célból hozzájárulása visszavonásáig kezeljük.” A hozzájárulás visszavonásának lehetőségét ugyanolyan egyszerűvé kell tenni a honlapon, mint amilyen a hozzájárulás megadása volt, pl. ezen az email címen leiratkozhat. A leiratkozást követően a leiratkozó személyes adatai hírlevél céljára a továbbiakban nem kezelhetők.
Jelen tájékoztatás nem teljes körű.
Hogyan tudunk segíteni az Ön cégének az adatvédelmi szabályok betartásában?
- Adatvédelmi tanácsadással, előadások tartásával már működő vagy induló vállalkozások (Kft.-k, Részvénytársaságok, Bt-k, Kkt.-k), egyéni vállalkozók, nonprofit szervezetek és más adatkezelők részére. Adatvédelmi jogi audit során.
- Adatvédelmi szabályzatok, tájékoztatók elkészítésével és a jogszabályoknak megfelelő módosításával, illetve felülvizsgálatával, mind a munkavállalók, mind az adatkezeléssel érintett egyéb természetes személyek adatai vonatkozásában.
- Adatvédelmi dokumentáció elkészítésével, tanácsadással, valamint NAIH állásfoglalások iránti kérelem előerjesztésében is segítséget nyújtunk.
Amennyiben kérdése van, készséggel állunk rendelkezésére elérhetőségeinken.
A webshop jogi témában érdekes lehet még az alábbi rövid összefoglaló is: https://drpojjak.com/webshop-jog/
Frissítve: 2023.11.07.