A GDPR-nak való megfelelés 2018 májusa óta rettegett velejárója a vállalkozásoknak
Ez különösen az online térben működő webáruházakra igaz. Egy megfelelő GDPR stratégia viszont sok fejfájástól óvhat meg bennünket. A felhasználó oldaláról adatai védelmét jelenti, azonban a webshopok, online (és offline) vállalkozások üzemeltetőit komoly kihívások elé állította.
- Egy Facebook képen kiskorú megjelenítése az arcának kitakarása nélkül.
- Megfelelő technikai háttér nélkül egy honlapon keresztül sérülékeny személyes adatokhoz való hozzáférés.
- Egészségügyi adatokat is tartalmazó online rendszer sérülékenysége.
– Hogy csak néhány példát említsek azokból az esetekből, mikor a NAIH százezres vagy esetenként több millió forintos bírságot szabott ki.
Az idei évben számtalan offline vállalkozás költözött az online térbe, ami új kihívások elé állítja őket. A figyelmet és körültekintést semmi nem pótolja, de most összegyűjtöttük azokat a jogi szabályozásokat, melyek mindannyiukra vonatkoznak.
Személyes adatok és a GDPR
A GDPR elsődleges célja a személyes adatok védelme, mely így értelemszerűen csak természetes személyekre vonatkozik, egy cégnek nincsenek személyes adatai.
A személyes adat pedig mindaz, amivel azonosítható a magánszemély, tehát a neve, címe, bármilyen olyan száma, ami a személyazonossága igazolását teszi lehetővé, az egészségügyi, szociális vagy kulturális állapotára vonatkozó adat vagy helymeghatározás.
Ezeket az adatokat az adatkezelőnek nemcsak az előírásoknak megfelelően kell kezelnie, hanem igazolnia is kell mindezt.
A webshop kezelője ebben a kontextusban adatkezelő, akinek felelőssége kiterjed a vele szerződéses viszonyban lévő adatfeldolgozókra is. Vagyis a hírlevélküldő, tárhelyszolgáltató, csomagszállító és egyéb cégekre. A náluk lévő technikai vagy jogi hiányosságokért éppúgy felel az online vállalkozás vezetője, ezért fontos olyan partnerek, szolgáltatók választása, akik stabil, megbízható adatvédelmi háttérrel rendelkeznek. Az adatkezelő – vagyis az online vállalkozás – nevében kezeli ugyanis a személyes adatokat az adatfeldolgozó.
A webshop az adatfeldolgozókért való jogi felelősségvállalás mellett köteles tájékoztatni is a felhasználóit egy adatkezelési szerződésben arról, hogyan kezeli az adataikat. Ennek tartalmaznia kell:
- a kezelt adatok típusát,
- a felhasználás módját,
- és hogy mely adatfeldolgozóknak továbbítja őket.
- Tartalmaznia kell a jogalapot, ami alapján kezeli az adatokat,
- az adatkezelés időtartamát,
- illetve tisztáznia kell azon személyek körét, akik bármilyen módon hozzáférnek az adatokhoz. Ebbe beletartozik az adatvédelmi tisztségviselő is, ha a webáruház rendelkezik ilyennel.
Fontos emellett a felhasználó jogainak, és a jogorvoslati lehetőségeinek feltüntetése, mindezekhez pedig a felhasználónak a jóváhagyását kell adnia.
Lehetőséget kell adni az adatok törlésére is, ha a felhasználó ezt kéri.
Adatvédelmi incidensnek nevezzük azokat az eseteket, ahol sérül az integritás, a titoktartás vagy a hozzáférhetőség, mely 72 órán belül bejelentésre szorul az adatkezelő részéről.
Adatkezelés a webáruházakban
A webáruházak esetében két esetben történik adatkezelés, mely számtalan helyzet jogi és technikai tervezésére kötelezi a webshop üzemeltetőjét, a vállalkozás tulajdonosát. Az egyik a szerződéskötés, a másik a marketing tevékenység, melynek folyamatait jogi és technikai oldalról egyaránt a GDPR-nak megfelelően kell megtervezni.
A két legfontosabb területnek – a jognak és a technikai háttérnek a feladata, hogy kéz a kézben segítsék az online vállalkozások üzemeltetőit a GDPR-nak megfelelő háttér kialakításában, melyben most már az elmúlt két év gyakorlata is támpontokkal szolgál a szakértők számára.
Webáruházára szabott jogi háttérre van szüksége a GDPR megfeleléshez? Vegye fel velem a kapcsolatot!