2018. május 25-én lép életbe a 2016. májusában kihirdetett új európai általános adatvédelmi rendelet (GDPR - General Data
Protection Regulation), amely kisebb-nagyobb mértékben az összes olyan vállalkozás adatvédelemre vonatkozó
kötelezettségeit szabályozza, amely az Unió területén értékesít szolgáltatást vagy terméket és természetes személyek
adatait kezeli (kapcsolatban áll magánszemélyekkel). Az új rendelet több ponton is érinti
a webáruházak működését, így megpróbáltam összegyűjteni és rendszerezni azokat az elvi és gyakorlati elvárásokat, amelyeket
az új jogszabály támaszt.
Mielőtt azonban tovább mennénk, pár dologra szeretném felhívni a figyelmet:
- A megállapításokat a rendelet szövege és az interneten fellelhető (a bejegyzés végén részletezett)
források alapján gyűjtöttem össze.
- Szakmámat tekintve programozó vagyok, ezért elképzelhető, hogy a rendelkezéssel kapcsolatban itt-ott valamit nagyon félreértek.
Így a jogszabály gyakorlati alkalmazása előtt mindenképpen ajánlott jogász segítségét és véleményét kikérni.
- A rendelet sok esetben igen általános megfogalmazásokat tartalmaz, amelyek gyakorlati megvalósítására nem ad
semmilyen szakmai (webáruházak esetén elsősorban informatikai) útmutatót. Úgy gondolom, hogy néhány esetben a leírt technikai
viselkedésforma szó szerinti betartása nem, vagy csak igen körülményesen valósítható meg. Több informatikai fórumon
indultak beszélgetések az egyes kérdések gyakorlati megvalósításáról, de ezek jórészt csak találgatások, a jogszabály
ilyen vagy olyan értelmezései. Ahogy a 7blog bejegyzésében
olvasható, "...a GDPR
előírások jogalkalmazói gyakorlata jelenleg még hiányzik, továbbá annak nem minden kérdése teljesen kidolgozott és rögzített".
- Az előző pontból következik, hogy jelenleg nem minden esetben egyértelmű, hogy egy-egy gyakorlati megvalósítást
a rendelkezés betartását ellenőrző hatóság (Magyarországon ez a
NAIH - Nemzeti Adatvédelmi és Információbiztonság Hatóság) mennyire tart majd elfogadhatónak. Az elmúlt
évek tapasztalata és a Viltor rendszerben nyitott áruházak beszámolói alapján elmondható, hogy a hatóság szinte minden áruház
esetén talált valamilyen kisebb javítandó problémát, amelyre felhívta a figyelmet, majd annak javítása után nem rótt ki bírságot.
Ebből számomra két dolog derült ki. Egyrészt szinte soha nincs olyan eset, amikor az ellenőr szubjektív jogszabály értelmezése
ne térne el egy korábbi ellenőrzés eredményétől. Másrészt az ellenőrzések célja - egy alapvetően
jogszabály követő és jóhiszemű webáruház esetén - ténylegesen a szabályok
betartatása és nem az azonnali szankciók alkalmazása volt. A NAIH a GDPR végrehajtása kapcsán
iránymutatásokat publikált, amely tartalmaz egy, az
adatvédelmi bírságról szóló dokumentumot is.
- Ez a bejegyzés folyamatosan bővülhet és módosulhat az újabb hírek vagy értelmezések megjelenése után.
Fontosabb alapfogalmak
A jogszabályban használt alapfogalmak értelmezését a
"4. cikk - Fogalommeghatározások"
rész tartalmazza. Ebből pár fogalmat kiemelnék, amelyek a bejegyzés során gyakrabban említésre kerülnek.
- "személyes adat": a rendelet tulajdonképpen a személyes adatok védelméről, azok felhasználhatóságáról és a személyes adatokhoz
köthető személy jogairól szól. A rendelkezés nem csak az olyan nyilvánvaló adatokat tekinti személyes adatnak, mint a név,
vagy a vallási és világnézeti meggyőződés, hanem olyan technikai információkat is, amelyek segítségével kellően kifinomult
algoritmusok sok mindent kikövetkeztethetnek az adott személyről. Ilyen például az
IP cím, vagy a számítógépre helyezett
süti (cookie) is.
- "adatkezelő": az a személy vagy vállalkozás (vagy közigazgatási szerv ... stb), amely a személyes adatok kezelésének célját
meghatározza. Egy webáruház esetében ez maga a webáruház tulajdonos, hiszen ő határozza meg, hogy a vásárlók személyes
adatait a vásárlás lebonyolításához, marketing anyagok kiküldéséhez kezeli.
- "adatfeldolgozó": az a személy vagy vállalkozás (vagy ...), amely az adatkezelő megbízásából a személyes adatok
fizikai kezelését végzi (esetenként azok céljának ismerete nélkül). A Viltor webáruházak esetén ez a Viltor webáruház rendszer.
Az adatfeldolgozó pl. nem dönthet arról, hogy
mikor törli ki egy vásárló adatait (hiszen ezt maga a webáruház, az adatkezelő határozza meg), de ha az adatkezelő
úgy dönt, hogy töröl, akkor annak fizikai megvalósítását (az adatbázisból való konkrét törlést) elvégzi.
Egy webáruház szempontjából ugyanígy adatfeldolgozónak tekinthető az a vállalkozás is, amelyek részére
a webáruház személyes adatokat ad át valamilyen célból, hiszen ő is "az adatkezelő nevében személyes adatokat kezel".
Például ilyen lehet egy futárcég, amelynek a vásárló nevét és címét tudnia kell a csomag kézbesítéséhez.
Adatkezelési elvek
A jogszabály
"5. cikk - A személyes adatok kezelésére vonatkozó elvek"
részétől foglalkozik az adatkezelés elvi megvalósításával, vagyis azokkal az alapvető és általános viselkedési formulákkal, amelyek
megléte esetén tulajdonképpen automatikusan be is tartjuk a rendelkezést (az más kérdés, hogy ezt ki hogy értelmezi a gyakorlatban).
- A személyes adatokat csak meghatározott célból lehet gyűjteni és csak arra a célra lehet felhasználni. Ez egy
webáruház esetén - úgy gondolom - teljesül, hiszen azért kérjük be a személyes adatokat, hogy azzal a rendelésből eredő
kötelezettségünket el tudjuk végezni (ki tudjuk szállítani a csomagot, el tudjuk készíteni a számlát stb).
- Figyelni kell az "adattakarékosság" elvére is, azaz csak annyi személyes adatot kezelhetünk, amennyit
a cél megkíván. Egy webáruház esetén ez nem csak a GDPR rendelkezése miatt kívánatos, hanem a konverziók növelésének
céljából is. A vásárló cipőméretét nem csak azért nem akarjuk tudni, mert a szabályozás tiltja, hanem azért is, mert minél több
felesleges adatot kérünk, annál nagyobb a valószínűsége a kosárelhagyásnak.
- Nagyobb problémát jelent a "korlátozott tárolhatóság" elvének követése. E szerint a személyes adatok "tárolásának olyan
formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez
szükséges ideig teszi lehetővé". Ennek szó szerinti értelmezése számomra azt jelenti, hogy például egy csomag kiszállítása
után (elértük az adatkezelés célját, a vásárló megkapta a csomagot, mi a pénzt)
a vásárlót ki kell törölni az adatbázisból.
Ennek a lépésnek rengeteg gyakorlati kára lenne (a vásárló
elveszítené a regisztrációját, a rendelést nem lehetne vásárlóhoz kötni, sérülne a statisztika, nem is beszélve egy
esetleges reklamációról).
Ráadásul több olyan jogszabálynak is ellentmond az intézkedés, amely megköveteli az adatok tárolását (pl.
a számlákat 8 évig meg kell őrizni, holott személyes adatokat tartalmazhatnak).
A
7blog állásfoglalása alapján
az adatkezelés jogalapja többféle lehet, így a rendelkezés "a személyes adatok kezelése céljainak eléréséhez
szükséges ideig teszi lehetővé" része tulajdonképpen azt is jelentheti, hogy egy másik cél miatt megőrizhetőek az
adatok. Szintén a 7blog alapján "A törvényi kötelezettség teljesítése miatti adatkezelés olyannyira lényeges egyébként,
hogy a GDPR a törléshez való jog gyakorlását (erről később lesz szó - szerk) nem is teszi lehetővé az érintett számára,
ha az adatkezelés szükséges az adatkezelésre épülő jogi kötelezettség teljesítéséhez".
Ez persze még mindig nem ad egyértelmű választ arra a kérdésre, hogy az adatokat automatikusan törölni kell-e,
vagy például valamilyen módon (praktikusan az adatkezelési szabályzatunkon keresztül) engedélyt kérünk a vásárlótól
az adatok ügyviteli okok miatti megőrzésére.
- Az érintettnek hozzá kell járulnia személyes adatainak kezeléséhez és tárolásához. Ez egy webáruház esetén
jellemzően checkbox (jelölőnégyzet) bepipálásával lehetséges. Itt nagyon fontos, hogy a vásárló ne előre bepipált
négyzettel találkozzon, hanem neki kelljen bepipálnia azt, ezzel tevőlegesen is igazolva, hogy egyetért
a négyzet melletti állítással. Ráadásul a hozzájárulást minden egyes alkalommal meg kell kapnunk, legyen az egy
regisztráció, termék rendelés vagy hírlevélre feliratkozás.
Itt megjegyezném, hogy a konverzió szempontjából nem mindegy, hogy egy vásárlás alkalmával
egy vagy több jelölőnégyzetet kell bepipálnia a vásárlónak, vagyis egyszerre fogadja el az általános
szerződési feltételeket és az adatvédelmi tájékoztató, vagy külön-külön.
- Az adatkezelőnek (webáruháznak) képesnek kell lennie arra, hogy igazolja az érintett (vásárló) hozzájárulását
a személyes adatának kezeléséhez. (Programozástechnikailag könnyen megvalósítható, hogy egy
rendelés csak akkor hajtódjon végre, ha egy jelölőnégyzetet bepipált valaki, de ennek bizonyítása már
nem olyan egyszerű.)
- Az érintett (vásárló) jogosult arra, hogy a személyes adatainak kezeléséhez adott engedélyét később
visszavonja vagy módosítsa. Ehhez egyszerűen kezelhető felületet kell biztosítani számára, valamint az ilyen irányú kérésre
1 hónapon belül reagálni kell.
"(59) Az érintettek e rendeletben biztosított jogainak gyakorlását megkönnyítő intézkedéseket kell biztosítani,
ideértve olyan mechanizmusok biztosítását, amely által többek között az érintettnek lehetősége van díjmentesen
kérelmezni, illetve adott esetben megkapni különösen a személyes adatokhoz való hozzáférést, azok helyesbítését
és törlését, valamint gyakorolja a tiltakozáshoz való jogát. Az adatkezelő ennek megfelelően biztosítja a
kérelmek elektronikus benyújtását lehetővé tevő eszközöket is különösen, ha a személyes adatok kezelése
elektronikus úton történik. Az adatkezelőt kötelezni kell arra, hogy az érintett kérelmére indokolatlan
késedelem nélkül, de legkésőbb egy hónapon belül válaszoljon, és ha az adatkezelő az érintett bármely kérelmének
nem tesz eleget, indokolnia kell azt."
Ilyen indok lehet például egy törlési kérés esetén az, ha egyéb jogszabályi kötelezettség miatt nem tudunk törölni
egy személyes adatot.
Adatkezelő regisztrálása
Ez a jó hír, ugyanis megszűnik a NAIH által vezetett adatvédelmi nyilvántartás, az egyes adatkezeléseket
nem kell bejelenteni, nem szükséges adatkezelési nyilvántartási számot kérni, amelyet
a 2011. évi CXII. az információs önrendelkezési jogról és az információszabadságról szóló törvény írt elő korábban.
Adatvédelmi tájékoztató tartalma
Mivel minden vállalkozás működése más és más, így az adatvédelmi tájékoztató sem lehet egyforma minden cég esetében. Azonban
vannak olyan támpontok, amelyeknek mindenképpen szerepelnie kell a szövegben.
A rendelkezés
12. cikke
említi a vásárló megfelelő tájékozódásához szükséges jogát. Ez alapján az adatvédelmi tájékoztatónak (amelyet az adatkezelés előtt
az érintettnek el kell fogadnia) mindenképpen ki kell térnie a
13. cikkben
(ha a személyes adatokat az érintettől gyűjtik, webáruház esetén ez a jellemző) foglalt információkra.
A tájékoztatónak egyszerűnek, könnyen hozzáférhetőnek és tömörnek kell lennie.
(Ezeken a kritériumokon megint el lehet gondolkodni. A neten sok olyan nagy forgalmú webáruházat, de akár bankot is találni,
amelyek a tájékoztatóba gyakorlatilag bemásolják a teljes jogszabályt, nehogy valami kimaradjon és
büntetés legyen a vége.)
- Az adatkezelő neve és elérhetősége (ezek a webáruház tulajdonos saját adatai).
- Az adatvédelmi tisztviselő elérhetősége, ha van ilyen. Az adatvédelmi tisztviselőről a rendelet
4. szakasza
szól. A szakasz (1) pontja alapján webáruházban adatvédelmi tisztviselőt nem szükséges kinevezni,
de például a
net-jog.hu oldal szerint
"Az Európai Parlament és a Tanács 95/46/EK irányelvének 29-es cikke alapján létrehozott adatvédelmi
munkacsoport az adatvédelmi tisztségviselő intézményével kapcsolatban kiadott iránymutatásában megemlíti
azon cégeket is, amelyek viselkedésalapú reklámokat alkalmaznak. Ma az esetek nagy százalékában ebbe a
körbe esik valamennyi webáruház. Tehát a webáruházak többségének gondoskodnia
kell adatvédelmi tisztviselő kijelöléséről."
- Személyes adatok kezelésének célja. Itt akár érdemes lehet külön bontani az egyes
adatokat és külön célokat meghatározni.
Például a "jelszó" a vásárló biztonságos belépését szolgálja.
A "név" a kapcsolatfelvételhez és a vásárlási folyamat lebonyolításához, számla kiállításához szükséges.
A "szállítási cím" a megvásárolt termékek házhoz szállítását teszi lehetővé.
- Az adatkezelés jogalapja.
- Ez lehet az érintett hozzájárulása, ami a következők alapján történhet:
-
Illetve lehet a szerződés teljesítése is, hiszen egy webáruház esetén elég nehezen teljesíthető
a szerződésben vállalt kötelezettség (a termékek adásvétele) a megrendelő személyes adatainak
ismerete és kezelése nélkül.
- Adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen. Ezek azok a külső
cégek, amelyek valamilyen formában hozzájuthatnak az adatkezelő által kezelt személyes adatokhoz. Ilyenek
a futárcégek, a fizetési szolgáltatók, a számlázó alkalmazások üzemeltetői stb.
- Adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére
kívánja továbbítani a személyes adatokat.
Hogy ez mennyire nem egyértelmű egy kis webáruház számára, arra a PayPal
egy jó példa. Első látásra egy amerikai cégről (California, USA) van szó. Azonban a PayPal rendelkezik luxemburgi
leányvállalattal is (PayPal (Europe) S.à r.l. et Cie, S.C.A.) - nem tudom, hogy ezzel szerződik-e egy magyarországi vállalkozó.
De ami ennél fontosabb, hogy egy fizetési tranzakció során a PayPal - első ránézésre - nem kér a webáruháztól
személyes adatokat, csak egy rendelés azonosítót és az összeget (ugyanis a személyes azonosítás a PayPal oldalán
történik meg). Mégis érdemes elgondolkodni a PayPal szerepeltetésén, mégpedig azért, mert a rendelés azonosító
egy bizonyos rendelést, illetéktelen kezekbe kerülve pedig egy bizonyos megrendelőt is azonosíthat.
- A személyes adatok tárolásának időtartama, az adatok törlésének határideje, vagy az időtartam meghatározásának
szempontjai. Jelenleg ide a "regisztráció törlésének ideje" kifejezést tartom a legjobbnak. Fel kell hívni a
vásárló figyelmét arra is, hogy a számviteli bizonylatok esetében a
2000. évi C. törvény 169. § 8 év megőrzési kötelezettséget ír elő.
- A vásárló kérelmezheti az adatkezelőnél a rá vonatkozó személyes adatokhoz való hozzáférést,
illetve azok
módosítását,
törlését és
felhasználásának korlátozását.
E pontban érdemes megadni a webáruház többféle elérhetőségét (postai cím, e-mail, telefon),
ahol a vásárló a jogával élhet. Fel kell hívni a figyelmet, hogy jogtalan adatkezelés esetén
tiltakozhat.
Ezen kívül joga van az
adathordozhatósághoz
is, ami azt jelenti, hogy a vásárlónak joga van a rá vonatkozó
személyes adatokat valamilyen széles körben elterjedt, géppel olvasható formátumban megkapni.
-
Az érintettnek joga van
automatizált döntéshozatal vagy profilalkotás
esetén azt kérni, hogy
az ő adatai ne vegyenek részt ebben a folyamatban, annak eredménye ne érintse. A profilalkotás
a személyes jellemzők bármilyen automatizált személyes adatok kezelése keretében történő kiértékelése.
Úgy gondolom, hogy egy webáruház esetén ilyen profilalkotásnak minősülhet, ha a rendszer egy adott vásárló vásárlási szokásait
figyelembe véve ajánl neki új termékeket, vagy jelenít meg termékeket kiemelve a többi termék közül.
A Viltor rendszer nem egy vásárló adatai, hanem összesített rendelési adatok alapján ajánl új termékeket, így ez nem
minősül profilalkotásnak.
- A vásárló felügyeleti hatósághoz címzett panaszának benyújtási joga.
-
"Arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses
kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e
a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az
adatszolgáltatás elmaradása."
Webáruházak esetén az adatkezelés szerződéses kötelezettségen alapul (konkrétan az adásvételi szerződésen),
annak abszolút előfeltétele (a vásárló adatait valahogy nyilván kell tartani), az adatszolgáltatás elmaradása
pedig a szerződés létrejöttének meghiúsulásához vezet.
- A Viltor rendszer az elhagyott kosarakról információt gyűjt
és az így meg nem rendelt termékeket e-mail formájában elküldi az azonosítható
(regisztrált és bejelentkezett) vásárlók számára. Mivel ez tulajdonképpen egy viselkedésen alapuló adatkezelés, érdemes megemlíteni a tájékoztatóban.
- A vásárló jogosult tájékoztatást kapni az adatvédelmi
incidensekről,
ha azok valószínűsíthetően
magas kockázattal járnak a jogaira és szabadságaira nézve. (Itt ugye kérdéses, hogy mit hívunk magas kockázatnak?
Ehhez egy - angol nyelvű -
GDPR iránymutatás
"IV. Assessing Risk and High Risk" fejezete adhat támpontot.)
Adatvédelmi incidens akkor következik be, ha
a személyes adatok elvesznek, megsemmisülnek, vagy illetéktelen kezekbe kerülnek. Az adatvédelmi incidenseket
az adatvédelmi hatósághoz is be kell jelenteni 72 órán belül. Amennyiben az adatfeldolgozó (jelen esetben a
Viltor webáruház rendszer) értesül ilyen incidensről, akkor azt köteles jelezni a rendszerben működtetett áruházak
tulajdonosai (adatkezelők) felé.
Nyilvántartási kötelezettség
-
Minden adatkezelő kötelezettsége nyilvántartást vezetni az adatkezelési tevékenységeiről.
Ezt eddig a NAIH tette meg, hiszen ha adatkezeléssel is foglalkozott egy vállalkozás, akkor annak
bejelentési, nyilvántartásba vételi kötelezettsége volt, amely eredményeként adatkezelési nyilvántartási számot kapott.
Az új rendelet fordított logikát alkalmaz. Az eddigi központosított nyilvántartást felváltja az egyes vállalkozásokon belül
vezetett, a későbbi incidens kezeléseket és hatósági ellenőrzéseket támogató egyéni nyilvántartás vezetése.
A rendelet
30. cikke
foglalkozik ezzel a témával. A nyilvántartást - véleményem szerint - nem úgy kell érteni, hogy minden egyes vásárló regisztrációját, adatmódosítását
és vásárlását fel kell jegyezni időrendben. A nyilvántartandó adatok sokkal inkább hasonlítanak az amúgy is kötelező adatvédelmi tájékoztató
pontjaira (adatkezelő neve és elérhetősége, adatkezelés célja, címzettek, adatfeldolgozók felsorolása, személyes
adatok törlésének határideje stb). Figyelni kell rá, hogy a nyilvántartást nem kifejezetten a webáruház szempontjából,
hanem a cég szempontjából kell vezetni. Azaz a cég összes lehetséges partnerét fel kell sorolni, ahová
a személyes adatok eljuthatnak, illetve az összes rendszert, amelyek ilyen adatot kezelhetnek vagy továbbíthatnak.
Úgy gondolom, hogy a nyilvántartásban érdemes feltüntetni a cég belső adatkezelési szabályait is, melyet
a rendelet a
"39. cikk Az adatvédelmi tisztviselő feladatai"
(1)/b pontjában említ: "ellenőrzi ... az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos
belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését". Le kell írni, hogy ki milyen adatokhoz és
milyen mértékben férhet hozzá, valamint milyen feladatokat lát el az adatokkal.
-
Az adatkezelési tevékenységen kívül nyilvántartás vezetendő az adattovábbításokról is, vagyis arról, amikor
a cég egy címzett számára személyes adatokat ad át. Ilyen adattovábbítás lehet például a futárcégek számára
a vásárló adatainak kiadása.
-
Ezeken kívül érdemes minden olyan adatkezelésről nyilvántartást vezetni, amely valamely érintett (vásárló)
adatkezelésre vonatkozó hozzájárulásának változását (pl. feliratkozik hírlevélre), illetve adatainak módosulását
(pl. címének módosulása) eredményezi.
Gyakorlati megvalósítás a Viltor rendszerben
Az új adatvédelmi rendelet magára a Viltor webáruház rendszerre, illetve az abban megnyitott áruházakra is
feladatokat ró. A Vitorban megpróbálom ezeket a feladatokat a legszélesebb körű, a későbbiek során
az esetleges hatósági elvárásoknak megfelelő, bővíthető formában elvégezni.
Tájékoztatási kötelezettség
A tájékoztatási kötelezettséget - ide értve az adatvédelmen kívüli tájékoztatást is - a Viltorban
három dokumentum szolgálja:
- Általános Szerződési Feltételek
- Adatvédelmi tájékoztató
- Vásárlási tudnivalók
Korábban ezeket a funkciókat a Vásárlás/garancia szöveg tartalmán, illetve a PDF formátumban feltölthető ÁSZF
dokumentumon keresztül lehetett elérni, azonban egy
új fogyasztóvédelmi funkció
segítségével ezek a dokumentumok egységesítve lettek és azonos módon működnek. A menüpontok
úgy lettek kialakítva, hogy azok - egy esetleges hatósági igény esetén - új dokumentum típussal könnyen
bővíthetőek legyenek.
Tájékoztatások elfogadása a vásárló részéről
Ez a funkció a tervek szerint a jelenleg is elérhető
Rendelési feltételek
átalakításával, kibővítésével lesz elérhető a jövőben. Meg lehet majd határozni, hogy az egyes kritériumok
milyen szituációkban jelenjenek meg (pl. regisztráció alkalmával, rendelés vagy hírlevél feliratkozás előtt stb) és hogy a vásárlónak
be kell-e pipálnia az elfogadáshoz jelölőnégyzetet. A szövegekbe linkek is elhelyezhetőek lesznek, így az egyes
kritériumokhoz tartozó tájékoztatók könnyen elérhetővé válnak.
Űrlapok
Új kapcsolatfelvételi
űrlapok készülnek, amelyek elküldéséhez el kell fogadni majd az adatvédelmi irányelveket.
Terveim szerint külön űrlap típus készülne a hírlevél feliratkozáshoz, illetve ahhoz,
hogy a vásárló könnyebben gyakorolhassa a személyes adataira vonatkozó módosítási vagy törlési igényét.
A vásárló adathordozhatósághoz való jogának megteremtése
A webáruházakba be lesz építve egy, a regisztrált vásárlók bejelentkezése után megjelenő menüpont, amely exportálja
és PDF formátumban letölthetővé teszi a rendszerben tárolt személyes adataikat.
Adattovábbítási és adatmódosulási nyilvántartás
A Viltor rendszer a következő lépéseket automatikusan naplózza majd és arról
kimutatást tud nyújtani a webáruház részére.
- Vásárló regisztrációja
- Vásárló adatmódosítása
- Vásárló törlése
- Vásárló hírlevélre feliratkozása
- Vásárló hírlevélről történő leiratkozása
- Vásárló adatainak továbbítása harmadik félnek
Sütik kezelése, elfogadása
Véleményem szerint ez az egyik legképlékenyebb területe a rendeletnek.
A gyakorlati megoldáshoz való hozzáállást jól mutatja az a tény is, hogy a cookie szó mindössze egy alkalommal
szerepel a 88 oldalas szövegben. Az interneten fellelhető források alapján a jelenleg alkalmazott módszer nem
lesz megfelelő a GDPR után. Nem elegendő egy olyan megoldást alkalmazni, amely tájékoztatja a látogatót arról, hogy
el kell fogadnia a sütiket a számítógépén az oldal működéséhez, ugyanis módot kell adni arra is,
hogy ő ezt visszautasítsa. Ha szó szerint értelmezzük a szöveget, akkor a weboldalnak a visszautasítás után is
működőképesnek kell maradnia.
Ez az esetek nagy részében olyan mértékű erőfeszítést kíván a weboldalaktól, amelyet nem fognak elvégezni.
A sütik a webes technika egyik alapját jelentik. Tulajdonképpen kis szövegállományokról van szó, melyeket
a weboldal helyez el a számítógép böngészőjében annak azonosításához. Amikor például egy webáruházat felkeresünk (legyen mondjuk a www.jo-aruhaz.hu),
akkor az adott látogatáshoz készül egy ilyen süti. Legyen ennek a sütinek az értéke "123". Amikor végigkattintunk a termékeken
és valamelyik terméket kosárba tesszük, akkor a rendszer ehhez az 123 azonosítóhoz feljegyzi, hogy melyik terméket
tettük a kosárba. Így amikor egy másik terméket nézegetünk, vagy a pénztárba megyünk, akkor is tudni fogja a rendszer,
hogy a mi kosarunkban mi van. Ha bejelentkezünk a webáruházba, akkor az is feljegyzésre kerül az 123 azonosító mellé,
hogy be vagyunk jelentkezve, így a webáruház egy másik lapján már nem kell ismét bejelentkeznünk.
Ezt a típusú sütit ideiglenes sütinek (munkamenet süti) tekinthetjük, mert csak addig "él", ameddig a webáruházban vagyunk.
Egy másik webáruházat (legyen ez a www.klassz-aruhaz.hu) meglátogatva már üres lesz a kosarunk,
illetve a www.jo-aruhaz.hu áruházban is csak addig élnek az eltárolt adatok (csak addig van termékünk a kosárban és
csak addig vagyunk bejelentkezve), ameddig be nem zárjuk a böngészőt.
A sütik esetén a weboldalak meghatározhatják azt, hogy az adott süti meddig éljen. Az ideiglenes sütik - ahogy korábban
látható volt - csak addig élnek, ameddig az adott munkamenet tart. Azonban vannak olyan sütik is, amelyek sokkal tovább
vannak a számítógépen. Ilyen például a Google sütije. Aki használ Gmail levelezőt, az nyilván észrevette (illetve
tulajdonképpen természetesnek tartja), hogy bármikor látogatja meg a levelezőjét, az nem kér bejelentkezést,
rögtön tudja, hogy kinek a leveleit kell megmutatnia. Ez úgy lehetséges, hogy megnézi a számítógépen tárolt
sütit, ez alapján azonosítja a felhasználót, majd megmutatja a leveleit. Ez a megoldás nagyon kényelmes, de egyben
veszélyes is lehet. Ha a Google a sütivel bármikor azonosít minket, akkor azt nem csak a levelező oldalán tudja megtenni,
hanem a keresőjében is. Így például össze tudja kötni a keresőjében történő
kereséseinket a személyünkkel. Azt is tudja majd, hogy az adott keresési eredmények közül mire kattintottunk,
így idővel és kifinomult algoritmusokkal tudni fogja, hogy mi a hobbink, mi a munkánk, vallásosak vagyunk-e,
melyik termékek és szolgáltatások érdekelnek minket.
Ezt hívjuk profilalkotásnak, amikor bizonyos adatokból következtetnek a személyes tulajdonságainkra.
A profilalkotást lehet pozitív céllal is végezni. A Google - remélem - azért gyűjti az adatainkat, hogy jobban személyre szabhassa
a nekünk megjelenített reklámokat (ugyanis ebből él). Ha gumicsizmára kerestünk rá, akkor előbb-utóbb gumicsizma reklámokat fogunk látni.
Ha belegondolunk, ez nem is olyan rossz, hiszen azt mutatja meg a weboldal, amire kíváncsiak vagyunk. Ehhez képest
például a TV reklám vagy az óriásplakát őskövület, hiszen szinte csak olyan reklámot látunk, ami nekünk nem jelent semmit,
mert adott pillanatban az a termék vagy szolgáltatás nem érdekel minket.
Az Uniónak vélhetően nem is az ilyen jellegű süti felhasználással van gondja. Az egész kérdéskörben valószínűleg a
profilalkotás és az ehhez kapcsolódó más módon való felhasználás lehetősége aggasztja őket - nem alaptalanul. Ma már léteznek
olyan algoritmusok, amelyek abból, hogy a Facebookon mit lájkolunk, képesek összeállítani a személyes profilunkat.
És itt nem csak arról van szó, hogy ezt vagy azt a terméket választanánk-e, hanem például
68 Facebook lájk alapján 85% biztonsággal megmondják, hogy melyik politikai párthoz húzunk,
amely adatok gyűjtésével nagyszerűen lehet
befolyásolni akár egy választást is.
Azt hiszem ezután mindenki látja, hogy a profilalkotásnak mekkora kockázata lehet.
A sütik GDPR kompatibilis elfogadásához már most is elérhető több megoldás a neten, amelyeket egyszerűen lehet
telepíteni a weboldalakra.
A Cookiebot megoldása:
A CIVIC megoldása:
A Viltor esetében még kicsit kivárnék, hogy tisztuljon a kép a sütik kezelését illetően. A legjobb átfogó
és ellenőrizhető megoldás persze
az lenne, ha az EU böngésző, vagy akár operációs rendszer szinten követelné meg azt, hogy alapértelmezetten
ne kerüljön süti a számítógépre és maga a program ajánlaná fel, hogy akár egyesével, akár típusonként, de a látogatónak kelljen
elfogadnia a süti használatot. Így, hogy több millió weboldalnak magának kell erről gondoskodnia,
a cél biztosan nem lesz elérve.
Bizonyítási kötelezettség
A webáruháznak bizonyítási kötelezettsége van arra vonatkozólag, hogy a vásárló elfogadta
az adatkezelési tájékoztatót és hozzájárult személyes adatainak kezeléséhez. Ezt a kritériumot
pillanatnyilag log állományok vezetésével szeretném megvalósítani, amely a hatóságok számára
valószínűleg elégséges megoldás lesz.
Külső szolgáltatók kódja
A mai weboldalak többsége már tartalmazza valamilyen külső szolgáltató beépíthető programkódját. Gondoljunk
csak a Google Analytics szolgáltatásra, amellyel a weboldal látogatottságát mérhetjük, vagy az ügyfél chat
programokra. A GDPR szempontjából az a kérdés, hogy ezen megoldások közül melyik gyűjt valamilyen módon
személyes adatot és hogy ezeket az adatokat ki kezeli.
Google Analytics
Véleményem szerint az Analytics esetében a webáruház nem jut hozzá személyes adatokhoz és nem kezel ilyen adatokat,
így az adatkezelés célját sem tudja meghatározni. A Google egy programkód alapján feltérképezi, hogy ki járt
az oldalon és a már korábban megszerzett demográfiai, földrajzi stb. adataival kiegészítve aggregált
statisztikai adatok formájában megjeleníti azt.
Remarketing hirdetési kódok
Ilyen hirdetést láthat az érintett például a Google keresési szolgáltatását vagy Display Hálózatát
használva, illetve a Facebook felületén, ha korábban már meglátogattak egy webhelyet. (A remarketing
működéséről
itt található
több információ, a Facebook remarketingről pedig
itt olvashatunk).
Remarketing esetén - véleményem szerint - az áruház határozza meg az adatok kezelésének célját, így ő tekinthető adatkezelőnek,
a szolgáltatók (Google, Facebook stb.) pedig adatfeldolgozónak. Ezért az adatkezelési tájékoztatóban
fel kell tüntetni a remarketing tevékenység részleteit (később majd látjuk, hogy a Facebook nem így gondolja).
Ennek a gyakorlati kivitelezéséhez a Google
"Mit tartalmazzon a remarketingre vonatkozó adatvédelmi irányelv?"
címmel jól használható segítséget is ad.
A Facebook is indított egy
GDPR-el foglalkozó oldalt,
melyet
Közösségi kalandozások blog boncolgatott.
Érdekes módon itt a Facebook más állásponton van, mint a Google.
"A Facebook adatkezelőként jár el ... olyan adatok kapcsán is,
amelyeket a Facebook akkor kap, amikor különböző webhelyek és alkalmazások a Facebook képpontját
és SDK-ját telepítik. Ilyen esetekben mi (mármint a Facebook - szerk) vagyunk a felelősek az előírások betartásáért,
többek között az értesítés biztosítása és az adatfeldolgozási jogalap kijelölése útján.
Ha a Facebook „adatfájl alapján létrehozott egyéni célközönség” termékét használod ügyfeleid elérésére (vagyis feltötjük a saját,
korábban összegyűjtött személyes adatainkat - szerk), vagy a Facebook mérési és analitikai szolgáltatásait veszed igénybe,
és EU-s felhasználók személyes adatait adod meg számunkra, akkor a Facebook adatfeldolgozóként (itt a magyar
szövegben adatkezelő van írva, az eredeti angolban a logikusabb adatfeldolgozó - szerk) jár el,
és te (vagyis a webáruház - szerk) vagy köteles biztosítani annak megfelelőségét, hogy mi feldolgozzuk
a személyes adatokat abból a célból, hogy szolgáltatásokat biztosítsunk neked.
Források, hasznos linkek
Európai általános adatvédelmi rendelet (GDPR - General Data Protection Regulation)
A Nagy GDPR Kérdezz-felelek
NAIH - Nemzeti Adatvédelmi és Információbiztonság Hatóság
Wikipédia
Net-jog GDPR
Nemzeti jogszabálytár
Thepitch - GDPR tanácsok és megoldások online marketingeseknek
Thepitch - Így nyerte meg Trump a választásokat az online marketing eszközeivel – esettanulmány
Facebook - Mi az Általános adatvédelmi rendelet?
Közösségi kalandozások blog
Google - Mit tartalmazzon a remarketingre vonatkozó adatvédelmi irányelv?
Szintén ebben a dokumentum szakaszban