Viltor webáruház blog

Gondolatok a webáruházak világából

GDPR európai adatvédelmi rendelet

GDPR adatvédelmi rendelet

2018. május 25-én lép életbe a 2016. májusában kihirdetett új európai általános adatvédelmi rendelet (GDPR - General Data Protection Regulation), amely kisebb-nagyobb mértékben az összes olyan vállalkozás adatvédelemre vonatkozó kötelezettségeit szabályozza, amely az Unió területén értékesít szolgáltatást vagy terméket és természetes személyek adatait kezeli (kapcsolatban áll magánszemélyekkel). Az új rendelet több ponton is érinti a webáruházak működését, így megpróbáltam összegyűjteni és rendszerezni azokat az elvi és gyakorlati elvárásokat, amelyeket az új jogszabály támaszt.

Mielőtt azonban tovább mennénk, pár dologra szeretném felhívni a figyelmet:

  • A megállapításokat a rendelet szövege és az interneten fellelhető (a bejegyzés végén részletezett) források alapján gyűjtöttem össze.
  • Szakmámat tekintve programozó vagyok, ezért elképzelhető, hogy a rendelkezéssel kapcsolatban itt-ott valamit nagyon félreértek. Így a jogszabály gyakorlati alkalmazása előtt mindenképpen ajánlott jogász segítségét és véleményét kikérni.
  • A rendelet sok esetben igen általános megfogalmazásokat tartalmaz, amelyek gyakorlati megvalósítására nem ad semmilyen szakmai (webáruházak esetén elsősorban informatikai) útmutatót. Úgy gondolom, hogy néhány esetben a leírt technikai viselkedésforma szó szerinti betartása nem, vagy csak igen körülményesen valósítható meg. Több informatikai fórumon indultak beszélgetések az egyes kérdések gyakorlati megvalósításáról, de ezek jórészt csak találgatások, a jogszabály ilyen vagy olyan értelmezései. Ahogy a 7blog bejegyzésében olvasható, "...a GDPR előírások jogalkalmazói gyakorlata jelenleg még hiányzik, továbbá annak nem minden kérdése teljesen kidolgozott és rögzített".
  • Az előző pontból következik, hogy jelenleg nem minden esetben egyértelmű, hogy egy-egy gyakorlati megvalósítást a rendelkezés betartását ellenőrző hatóság (Magyarországon ez a NAIH - Nemzeti Adatvédelmi és Információbiztonság Hatóság) mennyire tart majd elfogadhatónak. Az elmúlt évek tapasztalata és a Viltor rendszerben nyitott áruházak beszámolói alapján elmondható, hogy a hatóság szinte minden áruház esetén talált valamilyen kisebb javítandó problémát, amelyre felhívta a figyelmet, majd annak javítása után nem rótt ki bírságot. Ebből számomra két dolog derült ki. Egyrészt szinte soha nincs olyan eset, amikor az ellenőr szubjektív jogszabály értelmezése ne térne el egy korábbi ellenőrzés eredményétől. Másrészt az ellenőrzések célja - egy alapvetően jogszabály követő és jóhiszemű webáruház esetén - ténylegesen a szabályok betartatása és nem az azonnali szankciók alkalmazása volt. A NAIH a GDPR végrehajtása kapcsán iránymutatásokat publikált, amely tartalmaz egy, az adatvédelmi bírságról szóló dokumentumot is.
  • Ez a bejegyzés folyamatosan bővülhet és módosulhat az újabb hírek vagy értelmezések megjelenése után.

Fontosabb alapfogalmak

A jogszabályban használt alapfogalmak értelmezését a "4. cikk - Fogalommeghatározások" rész tartalmazza. Ebből pár fogalmat kiemelnék, amelyek a bejegyzés során gyakrabban említésre kerülnek.

  • "személyes adat": a rendelet tulajdonképpen a személyes adatok védelméről, azok felhasználhatóságáról és a személyes adatokhoz köthető személy jogairól szól. A rendelkezés nem csak az olyan nyilvánvaló adatokat tekinti személyes adatnak, mint a név, vagy a vallási és világnézeti meggyőződés, hanem olyan technikai információkat is, amelyek segítségével kellően kifinomult algoritmusok sok mindent kikövetkeztethetnek az adott személyről. Ilyen például az IP cím, vagy a számítógépre helyezett süti (cookie) is.
  • "adatkezelő": az a személy vagy vállalkozás (vagy közigazgatási szerv ... stb), amely a személyes adatok kezelésének célját meghatározza. Egy webáruház esetében ez maga a webáruház tulajdonos, hiszen ő határozza meg, hogy a vásárlók személyes adatait a vásárlás lebonyolításához, marketing anyagok kiküldéséhez kezeli.
  • "adatfeldolgozó": az a személy vagy vállalkozás (vagy ...), amely az adatkezelő megbízásából a személyes adatok fizikai kezelését végzi (esetenként azok céljának ismerete nélkül). A Viltor webáruházak esetén ez a Viltor webáruház rendszer. Az adatfeldolgozó pl. nem dönthet arról, hogy mikor törli ki egy vásárló adatait (hiszen ezt maga a webáruház, az adatkezelő határozza meg), de ha az adatkezelő úgy dönt, hogy töröl, akkor annak fizikai megvalósítását (az adatbázisból való konkrét törlést) elvégzi.
    Egy webáruház szempontjából ugyanígy adatfeldolgozónak tekinthető az a vállalkozás is, amelyek részére a webáruház személyes adatokat ad át valamilyen célból, hiszen ő is "az adatkezelő nevében személyes adatokat kezel". Például ilyen lehet egy futárcég, amelynek a vásárló nevét és címét tudnia kell a csomag kézbesítéséhez.

Adatkezelési elvek

A jogszabály "5. cikk - A személyes adatok kezelésére vonatkozó elvek" részétől foglalkozik az adatkezelés elvi megvalósításával, vagyis azokkal az alapvető és általános viselkedési formulákkal, amelyek megléte esetén tulajdonképpen automatikusan be is tartjuk a rendelkezést (az más kérdés, hogy ezt ki hogy értelmezi a gyakorlatban).

  • A személyes adatokat csak meghatározott célból lehet gyűjteni és csak arra a célra lehet felhasználni. Ez egy webáruház esetén - úgy gondolom - teljesül, hiszen azért kérjük be a személyes adatokat, hogy azzal a rendelésből eredő kötelezettségünket el tudjuk végezni (ki tudjuk szállítani a csomagot, el tudjuk készíteni a számlát stb).
  • Figyelni kell az "adattakarékosság" elvére is, azaz csak annyi személyes adatot kezelhetünk, amennyit a cél megkíván. Egy webáruház esetén ez nem csak a GDPR rendelkezése miatt kívánatos, hanem a konverziók növelésének céljából is. A vásárló cipőméretét nem csak azért nem akarjuk tudni, mert a szabályozás tiltja, hanem azért is, mert minél több felesleges adatot kérünk, annál nagyobb a valószínűsége a kosárelhagyásnak.
  • Nagyobb problémát jelent a "korlátozott tárolhatóság" elvének követése. E szerint a személyes adatok "tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé". Ennek szó szerinti értelmezése számomra azt jelenti, hogy például egy csomag kiszállítása után (elértük az adatkezelés célját, a vásárló megkapta a csomagot, mi a pénzt) a vásárlót ki kell törölni az adatbázisból.
    Ennek a lépésnek rengeteg gyakorlati kára lenne (a vásárló elveszítené a regisztrációját, a rendelést nem lehetne vásárlóhoz kötni, sérülne a statisztika, nem is beszélve egy esetleges reklamációról). Ráadásul több olyan jogszabálynak is ellentmond az intézkedés, amely megköveteli az adatok tárolását (pl. a számlákat 8 évig meg kell őrizni, holott személyes adatokat tartalmazhatnak).
    A 7blog állásfoglalása alapján az adatkezelés jogalapja többféle lehet, így a rendelkezés "a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé" része tulajdonképpen azt is jelentheti, hogy egy másik cél miatt megőrizhetőek az adatok. Szintén a 7blog alapján "A törvényi kötelezettség teljesítése miatti adatkezelés olyannyira lényeges egyébként, hogy a GDPR a törléshez való jog gyakorlását (erről később lesz szó - szerk) nem is teszi lehetővé az érintett számára, ha az adatkezelés szükséges az adatkezelésre épülő jogi kötelezettség teljesítéséhez". Ez persze még mindig nem ad egyértelmű választ arra a kérdésre, hogy az adatokat automatikusan törölni kell-e, vagy például valamilyen módon (praktikusan az adatkezelési szabályzatunkon keresztül) engedélyt kérünk a vásárlótól az adatok ügyviteli okok miatti megőrzésére.
  • Az érintettnek hozzá kell járulnia személyes adatainak kezeléséhez és tárolásához. Ez egy webáruház esetén jellemzően checkbox (jelölőnégyzet) bepipálásával lehetséges. Itt nagyon fontos, hogy a vásárló ne előre bepipált négyzettel találkozzon, hanem neki kelljen bepipálnia azt, ezzel tevőlegesen is igazolva, hogy egyetért a négyzet melletti állítással. Ráadásul a hozzájárulást minden egyes alkalommal meg kell kapnunk, legyen az egy regisztráció, termék rendelés vagy hírlevélre feliratkozás.
    Itt megjegyezném, hogy a konverzió szempontjából nem mindegy, hogy egy vásárlás alkalmával egy vagy több jelölőnégyzetet kell bepipálnia a vásárlónak, vagyis egyszerre fogadja el az általános szerződési feltételeket és az adatvédelmi tájékoztató, vagy külön-külön.
  • Az adatkezelőnek (webáruháznak) képesnek kell lennie arra, hogy igazolja az érintett (vásárló) hozzájárulását a személyes adatának kezeléséhez. (Programozástechnikailag könnyen megvalósítható, hogy egy rendelés csak akkor hajtódjon végre, ha egy jelölőnégyzetet bepipált valaki, de ennek bizonyítása már nem olyan egyszerű.)
  • Az érintett (vásárló) jogosult arra, hogy a személyes adatainak kezeléséhez adott engedélyét később visszavonja vagy módosítsa. Ehhez egyszerűen kezelhető felületet kell biztosítani számára, valamint az ilyen irányú kérésre 1 hónapon belül reagálni kell.
    "(59) Az érintettek e rendeletben biztosított jogainak gyakorlását megkönnyítő intézkedéseket kell biztosítani, ideértve olyan mechanizmusok biztosítását, amely által többek között az érintettnek lehetősége van díjmentesen kérelmezni, illetve adott esetben megkapni különösen a személyes adatokhoz való hozzáférést, azok helyesbítését és törlését, valamint gyakorolja a tiltakozáshoz való jogát. Az adatkezelő ennek megfelelően biztosítja a kérelmek elektronikus benyújtását lehetővé tevő eszközöket is különösen, ha a személyes adatok kezelése elektronikus úton történik. Az adatkezelőt kötelezni kell arra, hogy az érintett kérelmére indokolatlan késedelem nélkül, de legkésőbb egy hónapon belül válaszoljon, és ha az adatkezelő az érintett bármely kérelmének nem tesz eleget, indokolnia kell azt." Ilyen indok lehet például egy törlési kérés esetén az, ha egyéb jogszabályi kötelezettség miatt nem tudunk törölni egy személyes adatot.

Adatkezelő regisztrálása

Ez a jó hír, ugyanis megszűnik a NAIH által vezetett adatvédelmi nyilvántartás, az egyes adatkezeléseket nem kell bejelenteni, nem szükséges adatkezelési nyilvántartási számot kérni, amelyet a 2011. évi CXII. az információs önrendelkezési jogról és az információszabadságról szóló törvény írt elő korábban.

Adatvédelmi tájékoztató tartalma

Mivel minden vállalkozás működése más és más, így az adatvédelmi tájékoztató sem lehet egyforma minden cég esetében. Azonban vannak olyan támpontok, amelyeknek mindenképpen szerepelnie kell a szövegben. A rendelkezés 12. cikke említi a vásárló megfelelő tájékozódásához szükséges jogát. Ez alapján az adatvédelmi tájékoztatónak (amelyet az adatkezelés előtt az érintettnek el kell fogadnia) mindenképpen ki kell térnie a 13. cikkben (ha a személyes adatokat az érintettől gyűjtik, webáruház esetén ez a jellemző) foglalt információkra. A tájékoztatónak egyszerűnek, könnyen hozzáférhetőnek és tömörnek kell lennie. (Ezeken a kritériumokon megint el lehet gondolkodni. A neten sok olyan nagy forgalmú webáruházat, de akár bankot is találni, amelyek a tájékoztatóba gyakorlatilag bemásolják a teljes jogszabályt, nehogy valami kimaradjon és büntetés legyen a vége.)

  • Az adatkezelő neve és elérhetősége (ezek a webáruház tulajdonos saját adatai).
  • Az adatvédelmi tisztviselő elérhetősége, ha van ilyen. Az adatvédelmi tisztviselőről a rendelet 4. szakasza szól. A szakasz (1) pontja alapján webáruházban adatvédelmi tisztviselőt nem szükséges kinevezni, de például a net-jog.hu oldal szerint
    "Az Európai Parlament és a Tanács 95/46/EK irányelvének 29-es cikke alapján létrehozott adatvédelmi munkacsoport az adatvédelmi tisztségviselő intézményével kapcsolatban kiadott iránymutatásában megemlíti azon cégeket is, amelyek viselkedésalapú reklámokat alkalmaznak. Ma az esetek nagy százalékában ebbe a körbe esik valamennyi webáruház. Tehát a webáruházak többségének gondoskodnia kell adatvédelmi tisztviselő kijelöléséről."
  • Személyes adatok kezelésének célja. Itt akár érdemes lehet külön bontani az egyes adatokat és külön célokat meghatározni.
    Például a "jelszó" a vásárló biztonságos belépését szolgálja.
    A "név" a kapcsolatfelvételhez és a vásárlási folyamat lebonyolításához, számla kiállításához szükséges.
    A "szállítási cím" a megvásárolt termékek házhoz szállítását teszi lehetővé.
  • Az adatkezelés jogalapja.
    • Ez lehet az érintett hozzájárulása, ami a következők alapján történhet:
    • Illetve lehet a szerződés teljesítése is, hiszen egy webáruház esetén elég nehezen teljesíthető a szerződésben vállalt kötelezettség (a termékek adásvétele) a megrendelő személyes adatainak ismerete és kezelése nélkül.
  • Adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen. Ezek azok a külső cégek, amelyek valamilyen formában hozzájuthatnak az adatkezelő által kezelt személyes adatokhoz. Ilyenek a futárcégek, a fizetési szolgáltatók, a számlázó alkalmazások üzemeltetői stb.
  • Adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat.
    Hogy ez mennyire nem egyértelmű egy kis webáruház számára, arra a PayPal egy jó példa. Első látásra egy amerikai cégről (California, USA) van szó. Azonban a PayPal rendelkezik luxemburgi leányvállalattal is (PayPal (Europe) S.à r.l. et Cie, S.C.A.) - nem tudom, hogy ezzel szerződik-e egy magyarországi vállalkozó. De ami ennél fontosabb, hogy egy fizetési tranzakció során a PayPal - első ránézésre - nem kér a webáruháztól személyes adatokat, csak egy rendelés azonosítót és az összeget (ugyanis a személyes azonosítás a PayPal oldalán történik meg). Mégis érdemes elgondolkodni a PayPal szerepeltetésén, mégpedig azért, mert a rendelés azonosító egy bizonyos rendelést, illetéktelen kezekbe kerülve pedig egy bizonyos megrendelőt is azonosíthat.
  • A személyes adatok tárolásának időtartama, az adatok törlésének határideje, vagy az időtartam meghatározásának szempontjai. Jelenleg ide a "regisztráció törlésének ideje" kifejezést tartom a legjobbnak. Fel kell hívni a vásárló figyelmét arra is, hogy a számviteli bizonylatok esetében a 2000. évi C. törvény 169. § 8 év megőrzési kötelezettséget ír elő.
  • A vásárló kérelmezheti az adatkezelőnél a rá vonatkozó személyes adatokhoz való hozzáférést, illetve azok módosítását, törlését és felhasználásának korlátozását. E pontban érdemes megadni a webáruház többféle elérhetőségét (postai cím, e-mail, telefon), ahol a vásárló a jogával élhet. Fel kell hívni a figyelmet, hogy jogtalan adatkezelés esetén tiltakozhat. Ezen kívül joga van az adathordozhatósághoz is, ami azt jelenti, hogy a vásárlónak joga van a rá vonatkozó személyes adatokat valamilyen széles körben elterjedt, géppel olvasható formátumban megkapni.
  • Az érintettnek joga van automatizált döntéshozatal vagy profilalkotás esetén azt kérni, hogy az ő adatai ne vegyenek részt ebben a folyamatban, annak eredménye ne érintse. A profilalkotás a személyes jellemzők bármilyen automatizált személyes adatok kezelése keretében történő kiértékelése. Úgy gondolom, hogy egy webáruház esetén ilyen profilalkotásnak minősülhet, ha a rendszer egy adott vásárló vásárlási szokásait figyelembe véve ajánl neki új termékeket, vagy jelenít meg termékeket kiemelve a többi termék közül. A Viltor rendszer nem egy vásárló adatai, hanem összesített rendelési adatok alapján ajánl új termékeket, így ez nem minősül profilalkotásnak.
  • A vásárló felügyeleti hatósághoz címzett panaszának benyújtási joga.
  • "Arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása."
    Webáruházak esetén az adatkezelés szerződéses kötelezettségen alapul (konkrétan az adásvételi szerződésen), annak abszolút előfeltétele (a vásárló adatait valahogy nyilván kell tartani), az adatszolgáltatás elmaradása pedig a szerződés létrejöttének meghiúsulásához vezet.
  • A Viltor rendszer az elhagyott kosarakról információt gyűjt és az így meg nem rendelt termékeket e-mail formájában elküldi az azonosítható (regisztrált és bejelentkezett) vásárlók számára. Mivel ez tulajdonképpen egy viselkedésen alapuló adatkezelés, érdemes megemlíteni a tájékoztatóban.
  • A vásárló jogosult tájékoztatást kapni az adatvédelmi incidensekről, ha azok valószínűsíthetően magas kockázattal járnak a jogaira és szabadságaira nézve. (Itt ugye kérdéses, hogy mit hívunk magas kockázatnak? Ehhez egy - angol nyelvű - GDPR iránymutatás "IV. Assessing Risk and High Risk" fejezete adhat támpontot.) Adatvédelmi incidens akkor következik be, ha a személyes adatok elvesznek, megsemmisülnek, vagy illetéktelen kezekbe kerülnek. Az adatvédelmi incidenseket az adatvédelmi hatósághoz is be kell jelenteni 72 órán belül. Amennyiben az adatfeldolgozó (jelen esetben a Viltor webáruház rendszer) értesül ilyen incidensről, akkor azt köteles jelezni a rendszerben működtetett áruházak tulajdonosai (adatkezelők) felé.

Nyilvántartási kötelezettség

  • Minden adatkezelő kötelezettsége nyilvántartást vezetni az adatkezelési tevékenységeiről. Ezt eddig a NAIH tette meg, hiszen ha adatkezeléssel is foglalkozott egy vállalkozás, akkor annak bejelentési, nyilvántartásba vételi kötelezettsége volt, amely eredményeként adatkezelési nyilvántartási számot kapott. Az új rendelet fordított logikát alkalmaz. Az eddigi központosított nyilvántartást felváltja az egyes vállalkozásokon belül vezetett, a későbbi incidens kezeléseket és hatósági ellenőrzéseket támogató egyéni nyilvántartás vezetése.

    A rendelet 30. cikke foglalkozik ezzel a témával. A nyilvántartást - véleményem szerint - nem úgy kell érteni, hogy minden egyes vásárló regisztrációját, adatmódosítását és vásárlását fel kell jegyezni időrendben. A nyilvántartandó adatok sokkal inkább hasonlítanak az amúgy is kötelező adatvédelmi tájékoztató pontjaira (adatkezelő neve és elérhetősége, adatkezelés célja, címzettek, adatfeldolgozók felsorolása, személyes adatok törlésének határideje stb). Figyelni kell rá, hogy a nyilvántartást nem kifejezetten a webáruház szempontjából, hanem a cég szempontjából kell vezetni. Azaz a cég összes lehetséges partnerét fel kell sorolni, ahová a személyes adatok eljuthatnak, illetve az összes rendszert, amelyek ilyen adatot kezelhetnek vagy továbbíthatnak.

    Úgy gondolom, hogy a nyilvántartásban érdemes feltüntetni a cég belső adatkezelési szabályait is, melyet a rendelet a "39. cikk Az adatvédelmi tisztviselő feladatai" (1)/b pontjában említ: "ellenőrzi ... az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését". Le kell írni, hogy ki milyen adatokhoz és milyen mértékben férhet hozzá, valamint milyen feladatokat lát el az adatokkal.

  • Az adatkezelési tevékenységen kívül nyilvántartás vezetendő az adattovábbításokról is, vagyis arról, amikor a cég egy címzett számára személyes adatokat ad át. Ilyen adattovábbítás lehet például a futárcégek számára a vásárló adatainak kiadása.
  • Ezeken kívül érdemes minden olyan adatkezelésről nyilvántartást vezetni, amely valamely érintett (vásárló) adatkezelésre vonatkozó hozzájárulásának változását (pl. feliratkozik hírlevélre), illetve adatainak módosulását (pl. címének módosulása) eredményezi.

Gyakorlati megvalósítás a Viltor rendszerben

Az új adatvédelmi rendelet magára a Viltor webáruház rendszerre, illetve az abban megnyitott áruházakra is feladatokat ró. A Vitorban megpróbálom ezeket a feladatokat a legszélesebb körű, a későbbiek során az esetleges hatósági elvárásoknak megfelelő, bővíthető formában elvégezni.

Tájékoztatási kötelezettség

A tájékoztatási kötelezettséget - ide értve az adatvédelmen kívüli tájékoztatást is - a Viltorban három dokumentum szolgálja:

  • Általános Szerződési Feltételek
  • Adatvédelmi tájékoztató
  • Vásárlási tudnivalók

Korábban ezeket a funkciókat a Vásárlás/garancia szöveg tartalmán, illetve a PDF formátumban feltölthető ÁSZF dokumentumon keresztül lehetett elérni, azonban egy új fogyasztóvédelmi funkció segítségével ezek a dokumentumok egységesítve lettek és azonos módon működnek. A menüpontok úgy lettek kialakítva, hogy azok - egy esetleges hatósági igény esetén - új dokumentum típussal könnyen bővíthetőek legyenek.

Tájékoztatások elfogadása a vásárló részéről

Ez a funkció a tervek szerint a jelenleg is elérhető Rendelési feltételek átalakításával, kibővítésével lesz elérhető a jövőben. Meg lehet majd határozni, hogy az egyes kritériumok milyen szituációkban jelenjenek meg (pl. regisztráció alkalmával, rendelés vagy hírlevél feliratkozás előtt stb) és hogy a vásárlónak be kell-e pipálnia az elfogadáshoz jelölőnégyzetet. A szövegekbe linkek is elhelyezhetőek lesznek, így az egyes kritériumokhoz tartozó tájékoztatók könnyen elérhetővé válnak.

Űrlapok

Új kapcsolatfelvételi űrlapok készülnek, amelyek elküldéséhez el kell fogadni majd az adatvédelmi irányelveket. Terveim szerint külön űrlap típus készülne a hírlevél feliratkozáshoz, illetve ahhoz, hogy a vásárló könnyebben gyakorolhassa a személyes adataira vonatkozó módosítási vagy törlési igényét.

A vásárló adathordozhatósághoz való jogának megteremtése

A webáruházakba be lesz építve egy, a regisztrált vásárlók bejelentkezése után megjelenő menüpont, amely exportálja és PDF formátumban letölthetővé teszi a rendszerben tárolt személyes adataikat.

Adattovábbítási és adatmódosulási nyilvántartás

A Viltor rendszer a következő lépéseket automatikusan naplózza majd és arról kimutatást tud nyújtani a webáruház részére.

  • Vásárló regisztrációja
  • Vásárló adatmódosítása
  • Vásárló törlése
  • Vásárló hírlevélre feliratkozása
  • Vásárló hírlevélről történő leiratkozása
  • Vásárló adatainak továbbítása harmadik félnek

Sütik kezelése, elfogadása

Véleményem szerint ez az egyik legképlékenyebb területe a rendeletnek. A gyakorlati megoldáshoz való hozzáállást jól mutatja az a tény is, hogy a cookie szó mindössze egy alkalommal szerepel a 88 oldalas szövegben. Az interneten fellelhető források alapján a jelenleg alkalmazott módszer nem lesz megfelelő a GDPR után. Nem elegendő egy olyan megoldást alkalmazni, amely tájékoztatja a látogatót arról, hogy el kell fogadnia a sütiket a számítógépén az oldal működéséhez, ugyanis módot kell adni arra is, hogy ő ezt visszautasítsa. Ha szó szerint értelmezzük a szöveget, akkor a weboldalnak a visszautasítás után is működőképesnek kell maradnia.

Ez az esetek nagy részében olyan mértékű erőfeszítést kíván a weboldalaktól, amelyet nem fognak elvégezni.

A sütik a webes technika egyik alapját jelentik. Tulajdonképpen kis szövegállományokról van szó, melyeket a weboldal helyez el a számítógép böngészőjében annak azonosításához. Amikor például egy webáruházat felkeresünk (legyen mondjuk a www.jo-aruhaz.hu), akkor az adott látogatáshoz készül egy ilyen süti. Legyen ennek a sütinek az értéke "123". Amikor végigkattintunk a termékeken és valamelyik terméket kosárba tesszük, akkor a rendszer ehhez az 123 azonosítóhoz feljegyzi, hogy melyik terméket tettük a kosárba. Így amikor egy másik terméket nézegetünk, vagy a pénztárba megyünk, akkor is tudni fogja a rendszer, hogy a mi kosarunkban mi van. Ha bejelentkezünk a webáruházba, akkor az is feljegyzésre kerül az 123 azonosító mellé, hogy be vagyunk jelentkezve, így a webáruház egy másik lapján már nem kell ismét bejelentkeznünk.

Ezt a típusú sütit ideiglenes sütinek (munkamenet süti) tekinthetjük, mert csak addig "él", ameddig a webáruházban vagyunk. Egy másik webáruházat (legyen ez a www.klassz-aruhaz.hu) meglátogatva már üres lesz a kosarunk, illetve a www.jo-aruhaz.hu áruházban is csak addig élnek az eltárolt adatok (csak addig van termékünk a kosárban és csak addig vagyunk bejelentkezve), ameddig be nem zárjuk a böngészőt.

A sütik esetén a weboldalak meghatározhatják azt, hogy az adott süti meddig éljen. Az ideiglenes sütik - ahogy korábban látható volt - csak addig élnek, ameddig az adott munkamenet tart. Azonban vannak olyan sütik is, amelyek sokkal tovább vannak a számítógépen. Ilyen például a Google sütije. Aki használ Gmail levelezőt, az nyilván észrevette (illetve tulajdonképpen természetesnek tartja), hogy bármikor látogatja meg a levelezőjét, az nem kér bejelentkezést, rögtön tudja, hogy kinek a leveleit kell megmutatnia. Ez úgy lehetséges, hogy megnézi a számítógépen tárolt sütit, ez alapján azonosítja a felhasználót, majd megmutatja a leveleit. Ez a megoldás nagyon kényelmes, de egyben veszélyes is lehet. Ha a Google a sütivel bármikor azonosít minket, akkor azt nem csak a levelező oldalán tudja megtenni, hanem a keresőjében is. Így például össze tudja kötni a keresőjében történő kereséseinket a személyünkkel. Azt is tudja majd, hogy az adott keresési eredmények közül mire kattintottunk, így idővel és kifinomult algoritmusokkal tudni fogja, hogy mi a hobbink, mi a munkánk, vallásosak vagyunk-e, melyik termékek és szolgáltatások érdekelnek minket. Ezt hívjuk profilalkotásnak, amikor bizonyos adatokból következtetnek a személyes tulajdonságainkra.

A profilalkotást lehet pozitív céllal is végezni. A Google - remélem - azért gyűjti az adatainkat, hogy jobban személyre szabhassa a nekünk megjelenített reklámokat (ugyanis ebből él). Ha gumicsizmára kerestünk rá, akkor előbb-utóbb gumicsizma reklámokat fogunk látni. Ha belegondolunk, ez nem is olyan rossz, hiszen azt mutatja meg a weboldal, amire kíváncsiak vagyunk. Ehhez képest például a TV reklám vagy az óriásplakát őskövület, hiszen szinte csak olyan reklámot látunk, ami nekünk nem jelent semmit, mert adott pillanatban az a termék vagy szolgáltatás nem érdekel minket.

Az Uniónak vélhetően nem is az ilyen jellegű süti felhasználással van gondja. Az egész kérdéskörben valószínűleg a profilalkotás és az ehhez kapcsolódó más módon való felhasználás lehetősége aggasztja őket - nem alaptalanul. Ma már léteznek olyan algoritmusok, amelyek abból, hogy a Facebookon mit lájkolunk, képesek összeállítani a személyes profilunkat. És itt nem csak arról van szó, hogy ezt vagy azt a terméket választanánk-e, hanem például 68 Facebook lájk alapján 85% biztonsággal megmondják, hogy melyik politikai párthoz húzunk, amely adatok gyűjtésével nagyszerűen lehet befolyásolni akár egy választást is. Azt hiszem ezután mindenki látja, hogy a profilalkotásnak mekkora kockázata lehet.

A sütik GDPR kompatibilis elfogadásához már most is elérhető több megoldás a neten, amelyeket egyszerűen lehet telepíteni a weboldalakra.

A Cookiebot megoldása:

GDPR Cookiebot megoldása

A CIVIC megoldása:

GDPR CIVIC megoldása

A Viltor esetében még kicsit kivárnék, hogy tisztuljon a kép a sütik kezelését illetően. A legjobb átfogó és ellenőrizhető megoldás persze az lenne, ha az EU böngésző, vagy akár operációs rendszer szinten követelné meg azt, hogy alapértelmezetten ne kerüljön süti a számítógépre és maga a program ajánlaná fel, hogy akár egyesével, akár típusonként, de a látogatónak kelljen elfogadnia a süti használatot. Így, hogy több millió weboldalnak magának kell erről gondoskodnia, a cél biztosan nem lesz elérve.

Bizonyítási kötelezettség

A webáruháznak bizonyítási kötelezettsége van arra vonatkozólag, hogy a vásárló elfogadta az adatkezelési tájékoztatót és hozzájárult személyes adatainak kezeléséhez. Ezt a kritériumot pillanatnyilag log állományok vezetésével szeretném megvalósítani, amely a hatóságok számára valószínűleg elégséges megoldás lesz.

Külső szolgáltatók kódja

A mai weboldalak többsége már tartalmazza valamilyen külső szolgáltató beépíthető programkódját. Gondoljunk csak a Google Analytics szolgáltatásra, amellyel a weboldal látogatottságát mérhetjük, vagy az ügyfél chat programokra. A GDPR szempontjából az a kérdés, hogy ezen megoldások közül melyik gyűjt valamilyen módon személyes adatot és hogy ezeket az adatokat ki kezeli.

Google Analytics

Véleményem szerint az Analytics esetében a webáruház nem jut hozzá személyes adatokhoz és nem kezel ilyen adatokat, így az adatkezelés célját sem tudja meghatározni. A Google egy programkód alapján feltérképezi, hogy ki járt az oldalon és a már korábban megszerzett demográfiai, földrajzi stb. adataival kiegészítve aggregált statisztikai adatok formájában megjeleníti azt.

Remarketing hirdetési kódok

Ilyen hirdetést láthat az érintett például a Google keresési szolgáltatását vagy Display Hálózatát használva, illetve a Facebook felületén, ha korábban már meglátogattak egy webhelyet. (A remarketing működéséről itt található több információ, a Facebook remarketingről pedig itt olvashatunk).

Remarketing esetén - véleményem szerint - az áruház határozza meg az adatok kezelésének célját, így ő tekinthető adatkezelőnek, a szolgáltatók (Google, Facebook stb.) pedig adatfeldolgozónak. Ezért az adatkezelési tájékoztatóban fel kell tüntetni a remarketing tevékenység részleteit (később majd látjuk, hogy a Facebook nem így gondolja).

Ennek a gyakorlati kivitelezéséhez a Google "Mit tartalmazzon a remarketingre vonatkozó adatvédelmi irányelv?" címmel jól használható segítséget is ad.

A Facebook is indított egy GDPR-el foglalkozó oldalt, melyet Közösségi kalandozások blog boncolgatott. Érdekes módon itt a Facebook más állásponton van, mint a Google.
"A Facebook adatkezelőként jár el ... olyan adatok kapcsán is, amelyeket a Facebook akkor kap, amikor különböző webhelyek és alkalmazások a Facebook képpontját és SDK-ját telepítik. Ilyen esetekben mi (mármint a Facebook - szerk) vagyunk a felelősek az előírások betartásáért, többek között az értesítés biztosítása és az adatfeldolgozási jogalap kijelölése útján. Ha a Facebook „adatfájl alapján létrehozott egyéni célközönség” termékét használod ügyfeleid elérésére (vagyis feltötjük a saját, korábban összegyűjtött személyes adatainkat - szerk), vagy a Facebook mérési és analitikai szolgáltatásait veszed igénybe, és EU-s felhasználók személyes adatait adod meg számunkra, akkor a Facebook adatfeldolgozóként (itt a magyar szövegben adatkezelő van írva, az eredeti angolban a logikusabb adatfeldolgozó - szerk) jár el, és te (vagyis a webáruház - szerk) vagy köteles biztosítani annak megfelelőségét, hogy mi feldolgozzuk a személyes adatokat abból a célból, hogy szolgáltatásokat biztosítsunk neked.

Források, hasznos linkek

Európai általános adatvédelmi rendelet (GDPR - General Data Protection Regulation)
A Nagy GDPR Kérdezz-felelek
NAIH - Nemzeti Adatvédelmi és Információbiztonság Hatóság
Wikipédia
Net-jog GDPR
Nemzeti jogszabálytár
Thepitch - GDPR tanácsok és megoldások online marketingeseknek
Thepitch - Így nyerte meg Trump a választásokat az online marketing eszközeivel – esettanulmány
Facebook - Mi az Általános adatvédelmi rendelet?
Közösségi kalandozások blog
Google - Mit tartalmazzon a remarketingre vonatkozó adatvédelmi irányelv?

Próbálja ki ingyen a Viltor webáruház szolgáltatást!

A rendszer kipróbálása csak egy gyors regisztrációhoz kötött, ahol megadhatja új webáruháza nevét, majd azonnal birtokba veheti és 20 napig tesztelheti azt! Nincs kezdeti költség, nincs kockázat!