GDPR a webáruházakban

Miről van szó?

Már csak néhány hét, és 2018. május 25-én életbe lép az új európai általános adatvédelmi rendelet (GDPR – General Data Protection Regulation),  amely változó mértékben az összes olyan vállalkozás adatvédelemre vonatkozó kötelezettségeit szabályozza, amely az Unió területén értékesít szolgáltatást vagy terméket,  és ezzel összefüggésben természetes személyek adatait kezeli, rendszerezi és tárolja.  Az új rendelet több ponton is érinti a webáruházak működését is, ezért fontos tehát, hogy a jogszabály alapkövetelményeivel tisztában legyünk, illetve lássuk, hogy mi az, amin módosítanunk kell esetleg a megfelelőséghez. Természetesen mindezt tesszük úgy, hogy nem vagyunk jogászok, a GDPR pedig egy meglehetősen szerteágazó, sokféleképpen értelmezhető rendelet; tehát tartsuk fenn a kijelentést, hogy a lentiekben leírtak tájékoztató jellegű információk lesznek.

Itthoni helyzet a határidő előtt

Az elmúlt hónapokban nehéz volt úgy eltölteni 10 percet a világhálón, hogy ne jött volna szembe legalább egy hirdetés, e-dm vagy szponzorált cikk ami nem a GDPR-ra való felkészülésről és a mulasztás miatti büntetésekről szól. Tény, hogy az adatok védelme a mai világban, amikor egymást érik az adatszivárgási botrányok,  fontos prioritást kell, hogy élvezzen, és természetesen számon kérhetővé kell hogy váljon; de azok alapján, amit látunk, ez az egész téma kezd elmenni a haszonszerzés irányába, legalábbis a  “fantasztikus, gyors és biztonságos megoldásokat” ajánló tanácsadó-és oktatásszervező cégek oldaláról biztosan.

Ők nagyon ügyesen kihasználják ugyanis az átlag magyar vállalkozás első ijedelmét, amikor értesül a GDPR-ról, és azt sem tudja hova kapjon.  Azt ígérik, hogy minden folyamatot átvizsgálnak lehetetlenül rövid határidők mellett. A vállalkozó meg belemegy, mert sürgeti az idő, és fél. De gyakran, pláne kicsi cégeknél, ahol csak 1-2 alkalmazott és 1 üzlet van, semmi szükség ilyen szintű beavatkozásokra. Elég leülni, és szépen átgondolni, hogy a cégünkben hogyan működnek a dolgok, és azokat optimalizálni GDPR-ra. Semmi nagy varázslat.

Minden cégnek – függetlenül attól, hogy online vagy offline, vannak ügyfelei, melyek között természetes személyek is vannak/lehetnek.  A felkészülés és aztán a szabálykövetés lényege minden esetben az, hogy ezen személyek adatai átláthatóan legyenek felvéve, kezelve és tárolva a vállalkozás rendszereiben.

Mik a legfontosabb lépések?

Végig kell gondolni, hogy ezen személyek adatai hol, melyik ponton  kerülnek be a cég rendszerébe (az email címlistába, a számlázó programba, excel táblázatokba, stb.), milyen változásokon esnek át, milyen esetekben kerülnek át harmadik félhez és ennek megfelelően lehet és kell elkészíteni az adatvédelmi szabályzatot. Át kell nézni, hogy a tárolt adatok biztonságos helyen vannak-e és gondoskodni róla, hogy ez így is maradjon.  Megvizsgálni, hogy a tárolt adatokat  és nyilatkozatokat ki kezeli, hogy visszakereshetőek-e, folyamatleírást készíteni adatvédelmi incidens esetére, és tájékozódni a NAIH-nál, hogy milyen kötelezettségeink vannak a továbbiakra nézve.  Ezt mind meg tudjuk oldani mi magunk is, milliós tanácsadói díjak kifizetése nélkül.

Webáruház üzemeltetők figyelmébe

Azok, akik egy webshopon keresztül bonyolítják üzleti tevékenységüket, nagyon fontos és sarkalatos pontja a felkészülésnek az, hogy áttekintsék, megfelelő keretbe foglalják és szabályozzák a harmadik fél – adatfeldolgozó – részére történő adatátadást. Ilyen harmadik fél lehet a futárcég, a könyvelő vagy a tárhely-szolgáltató is; velük minden esetben szerződni szükséges, mely dokumentumnak tartalmaznia kell az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint a felek kötelezettségeit és jogait. Ezt ideális esetben a velünk szerződő fél Általános Szerződési Feltételei (ÁSZF) szabályozzák. A saját adatfeldolgozóink tevékenységéért felelősséggel tartozunk, ezért lehetőség szerint csak olyan adatfeldolgozók szolgáltatásait vegyük igénybe, akik megfelelő garanciákat tudnak nyújtani a megfelelésre.

Tájékozódási pont az adatvédelmi tájékoztató

Ahogy már fentebb írtuk, a GDPR- megfelelés egyik alapvető követelménye az adatvédelmi tájékozató és az ügyfél akaratát maradéktalanul kiszolgáló adatkezelési nyilatkozat megléte. Előbbibe természetesen bele kell foglalni azt is, hogy a saját cégünkön kívül milyen harmadik felek részére történik adatok kiadása, és hogy azok pontosan hol, hogyan és milyen jogcímen kerülnek továbbításra, kezelésre, eltárolásra.  Az ügyfeleink részére készített adatkezelési nyilatkozatnak pedig a “lehető legnagyobb szabadságot kell adnia a rendelkezésre”, tehát lehetővé kell tennünk számára, hogy adatait törlését könnyedén kezdeményezhesse.

Honnan tudhatjuk biztosan, hogy felkészültünk május 25-re?

Az új adatvédelmi rendelet, bár elméletben nagyon alapos, jól körbeírja a fogalmakat, mégis csak általános megfogalmazásokat tartalmaz a gyakorlati megvalósításról. Nincsenek olyan folyamatleírások, amik tartalmazzák a “tuti receptet” és biztosan megfelelnek az elvárásoknak – inkább csak “elveket” fogalmaz meg, amelyek betartásával  könnyebben elérhető, hogy a természetes személyek nyomon tudják követni és hatásuk legyen arra, hogy az adataikat ki és hogyan kezeli. Nyilván az lenne a jó, ha konkrét esetleírások és megoldási módok lennének felvázolva; DE, tekintettel arra, hogy ez a törvény még csak most fog életbe lépni, és nem lehet tudni, hogy a betartatásáért felelős hatóság hogyan értékeli majd a gyakorlatban egy-egy cég adatvédelmét, még egész egyszerűen lehetetlen teljesen biztosra menni.

Milyen változások történnek a Superwebaruházban a GDPR megfelelőség érdekében?

Május 19-én kikerülő új verziónkban sok újdonság mellett a superwebaruhaz.hu is támogató funkciókat fog bevezetni abból a célból, hogy ezzel is segítse a webáruház-üzemeltetők munkáját:

• Megszűnik a “vendég bejelentkezés” lehetősége. Korábban minden webáruházunkba be lehetett jelentkezni egy más Superwebáruházban létrehozott felhasználónévvel és jelszóval. Ez a bejelentkezési metódus félreértésekre adhat okot, így a jövőben kikerül a rendszerből.
• A felhasználók bejelentkezés után, a regisztrációs adataik megtekintésénél egy gombnyomással kérhetik személyes adataik és regisztrációjuk törlését. Erről a webáruház üzemeltetője emailes értesítést kap. az admin felületen törölhetőek lesznek a felhasználó személyes adatai
• Az admin felületen webáruházunk felhasználóit törölhetjük. Ebben az esetben a személyes adatok és a regisztráció törlődik. A felhasználó által leadott rendelések viszont megmaradnak (csak nem felhasználóhoz kötve), hiszen a számlázáshoz szükséges adatok megőrzésére törvény kötelezi a vállalkozásokat.
• Rendelésnél, regisztrációnál üres jelölőnégyzetet kell a felhasználóknak kipipálniuk, hogy elfogadják adatvédelmi nyilatkozatunkat és az ÁSZF-et.

Összességében elmondhatjuk, hogy fentiek áttekintésével, logikus és minden részletében tisztázott folyamatokkal és megfelelő tájékozódás mellett a legtöbb webáruház nyugodtan várhatja május huszonötödikét. A superwebaruhaz.hu minden technikai támogatást igyekszik megadni ügyfeleinek a megfelelőséggel kapcsolatban, azt pedig majd az első konkrét ügymenetek után fogjuk látni, hogy melyek azok a területek az adatkezelésünkben, amelyekre jobban megéri fókuszálni a továbbiakban.