A GDPR-t számtalan mítosz és hamis információ övezi, ezért megpróbálunk válaszolni azokra a leggyakoribb kérdésekre, amik leginkább érdekelhetik.
A törvényhozók szándéka az volt, hogy nagyobb ellenőrzést adjanak az Európia Unió polgárainak afelett, hogy mi történik az adataikkal. Ezért a GDPR minden vállalatra és hivatalra, valamint olyan egyénre és az online szolgáltatóra is vonatkozik, aki az Európai unió polgárainak személyes adatait gyűjti, vagy feldolgozza. Ideértve azokat az EU területén kívüli társaságokat és intézményeket is, akik az európai piacon tevékenykednek, ez pedig az összes webáruházat felöleli. A jelenlegi állapothoz képest a személyes adatok kezelőinek és feldolgozóinak részletesebb és terjedelmesebb kötelezettség szabályozásáról van szó.
Leginkább a személyes dokumentumok, a papír alapú és elektronikus formátumú dokumentumok védelméről, az épületekhez és irodákhoz való hozzáférés védelmének biztosításáról szól. A személyes adatok és a tevékenységi típusok terjedelmének és kategóriáinak függvényében ezeket a részlegeket érintheti: kereskedelmi, jogi, marketing, IT, személyzeti és bérszámfejtés.
Igen és nem. Bizonyára olvasott már a médiában 20 000 000 EUR összegű, vagy a vállalat teljes évi forgalmának 4%-át kitevő bírságról. Ugyanakkor nem kell félnie attól, hogy csak úgy a semmiből bírságot kapna, mindenféle figyelmeztetés, vagy helyreállítási idő meghagyása nélkül. Még akkor sem kap olyan mértékű bírságot, ami már a felszámoláshoz vezetne, ha esetleg figyelmen kívül hagyná a helyreállítási felszólítást (amit természetesen nem ajánlunk). Amennyiben időben felkészül, és a hiányosság feltárása esetén valódi szándékot mutat a helyreállításra, nincs mitől félnie.
A szükséges dokumentumok és anyagok előkészítésében az általunk készített GDPR - Szükséges intézkedések listája segítséget nyújt önnek. Összefoglalva, a folyamat végén a következőkkel kellene rendelkeznie:
A teljes előkészítő folyamat kiindulásaként rendelkeznie kell egy mappával, ami az előbb felsoroltakat az Adatvédelmi Hivatal részéről történő ellenőrzés esetén bizonyítani tudja.
Nem. Kötelessége az ügyfeleit tájékoztatnia arról, hogy az adatai harmadik félnek kerülnek átadásra. Azonban az üzleti titok megőrzésének keretén belül megtagadhatja annak konkrét közlését, hogy ki a harmadik fél.
Nem. A webáruház ügyfeleinek történő hírlevél küldés a kezelő jogos érdeke. Ezeket az ügyfeleket elég bizonyíthatóan tájékoztatni a célról, a személyes adataik kezelésének törvényes okairól, valamint egyéb GDPR-ban meghatározott tényekről az Általános Szerződési feltételek és az adatvédelmére vonatkozó feltételek megismerésének jelölőnégyzet bejelölésével történő elfogadással. Ugyanakkor minden hírlevélben az egyes tájékoztató szolgáltatást végző vállalatokra vonatkozó törvény szerint az adatkezelő kötelessége az ügyfelet tájékoztatni a leiratkozás lehetőségéről. A jogszabályok nem követelik meg az ügyfél második e-mailes igazolását.
Nem. A webáruház jogos érdekének érvényesítéséről van szó. Fontos szem előtt tartani, hogy az üzleti értesítés címzettjének lehetőséget kell biztosítani az egyszerű leiratkozásra a küldemény fogadásáról.
Attól függ. Konkrétak kell megfogalmaznia, hogy milyen lépéssel történik meg a hozzájárulás, azaz például: „A megrendelés befejezésével hozzájárulását adja ahhoz, hogy ...“ vagy „Az e-mail-cím megadásával hozzájárulását adja ahhoz, hogy ...“ Jó, ha mindig olyan konkrét bejegyzésekre hivatkozik (így ÁSZF és Adatvédelmi szabályzat), ahol ezek a hozzájárulások részletesebben ki vannak bontva.
Amennyiben a vásárló más jogcím alatt kezelt adatokat akar törölni, mint a „hozzájárulás“ (például: bizonylatokat vagy megrendeléseket), úgy jogában áll azt megtagadni tőle. Kihasználhatja jogos igényét/kötelezettségét ezeknek az adatoknak egészen 15 év időtartamban történő megőrzésére, mégpedig a nem szándékosan okozott kár megtérítésére vonatkozó esetlegesen bekövetkező viták okán. Alkalmazottak esetén ez 30 év. Jogában áll közölni, hogy olyan magasabb jogcímmel (úgynevezett jogos igénnyel) rendelkezik, aminek alapján az adatokat gyűjti és megőrzi.
A sütikről (cookies) adott tájékoztatási kötelezettség a terjedelemre és a célra vonatkozik, nem konkrétan a sütikre. A sütik terjedelme alatt a süti elhelyezés fajtái értendők. A tájékoztatási kötelezettség nem a technikai elhelyezésre vonatkozik, a sütik átviteli céljaihoz való hozzáférés nélkülözhetetlen annak a tájékoztató vállalatnak a szolgáltatás nyújtásához, aki szükséges résztvevő vagy felhasználó. Mindenki felhasználónak minősül, aki az elektronikus kommunikáció szolgáltatását igénybe veszi. Ezek nem csak természetes személyek - nem vállalkozók lehetnek.
Célszerű magában a tájékoztató listában elhelyeznie egy aktív hivatkozást arra a bejegyzésre, melyben az ügyfelet tájékoztatja a cookies gyűjtéséről, úgynevezett Adatvédelmi feltételekről (letölthető minta űrlap).
Köteles tájékoztatni a vásárlót arról, hogy úgynevezett süti gyűjtést végez, és ez a szolgáltatás minőségének javítására, személyre szabott kínálathoz, anonim adatgyűjtéshez és analitikus célokra szolgál a prezentációjában. Nem az ön kötelessége tájékoztatást adni arról, hogy milyen konkrét sütiket gyűjt és pontosan milyen célra. Amennyiben ennek ellenére mégis megtenné, úgy itt van azoknak a sütiknek a jegyzéke, amiket ön helyett magában a webáruházban gyűjtünk (azok a további szolgáltatások, melyeket ez után aktivál, nincsenek benne figyelembe véve).
Cookie | Adminisztrációban beállítható | Cél | Minden felhasználóhoz |
---|---|---|---|
CookiesConsent | Nem | Hozzájárulás a sütik használatához - az újabb hozzájárulások esetében használjuk | Igen |
CookiesOK | Nem | Hozzájárulás a sütik használatához - a régebbi típusu hozzájárulások esetében használjuk | Igen |
externalFontsLoaded | Nem | Segíti a betűtípusok beolvasását | Igen |
informationBanner | Igen - külalak beállítása | Információs sáv | Igen |
pcart | Nem | Kosárba helyezés után, a felhasználót a hash köti össze az aktuálisan elmentett kosarával. | Igen |
NOCACHE | Nem | Letiltja az adminisztrátori gyorsítótárat. | Kizárólag bejelentkezett adminhoz |
PHPSESSID | Nem | Látogatói session | Igen |
affiliateUniqueAccessId | Igen - jutalékrendszer | Az affiliate linken keresztüli érkezés után | Nem |
displayDesktop | Nem | A régebbi változatokban a felhasználó érvényesítheti a desktop verziót | Nem |
SRV_ID | Nem | Belső információ a magas hozzáférés biztosításához | Igen |
A szerződés fennállásának időtartama alatt és megszűnését követően akár 15 évnél hosszabb ideig is meg kell őriznie, ami a kárigény érvényesítés elévülésének jogszabályokból adódó jogos időtartama.
Általános és különleges intézkedések léteznek erre. Az általános intézkedések közé tartozik például a zár az irodán és a zárható szekrényen, ahová a papíralapú dokumentumok elhelyezését valóban javasoljuk. Így a vásárlók, beszállítók, szerződések stb. mappáit. Ezeknél elvárás, hogy zárral legyenek biztosítva. Ami a különleges intézkedéseket illeti, ezekhez az épületben elhelyezett riasztók típusai, bejárati ajtó kódjai stb. tartoznak, de ez már a nagyobb adatkezelőkre vonatkozik.
Egyáltalán nem. Azonban fontos, hogy az adatvédelmi szabályzatban feltüntesse azt a tényt, hogy a személyes adatokat harmadik országba, azaz az EU területén kívülre küldi.
Ez a kötelezettség nem a vállalat méretéből, hanem annak a tevékenységéből következik. Azaz olyan vállalatnak kell megbízottal rendelkeznie, aki a személyes adatok rendszeres kezelését nagy terjedelemben végzi. Továbbá olyan vállalatnak, aki érzékeny adatok széleskörű feldolgozását végzi. A harmadik eset pedig az a vállalat, ahol a személyes adatok kezelője közületi szerv. A kisebb webáruházak általában egyik ilyen kategóriában sem tartoznak, így nem kell adatvédelmi megbízottal rendelkeznie, és ez nagyon sok kötelezettséget levesz a válláról.
Elsősorban meg kell nézni a saját jelenlegi adatvédelmi szabályát és ellenőrizni kell, hogy megfelel-e az új GDPR szövegezésének. A hozzájárulással kapcsolatos teendőknél a GDPR nagyobb hangsúlyt helyez a hozzájárulásra, így annak feltétel nélkülinek és világosan megfogalmazottnak kell lennie, ezért valóban felül kell vizsgálni, hogy ez az aktuális formájában teljesül-e. Természetesen ezzel összefügg annak ellenőrzése is, hogy a szabályzatban feltüntetésre került-e az összes olyan jog, amivel az egyes végfelhasználók rendelkeznek.
Igen, az olyan alkalmazotti viszonyoknál, mint az úgynevezett munkaszerződés kiterjesztése, segítséget jelent. Olyan beszállítói kapcsolatok keretén belül is segít, melyeknek a webáruház és a Shoptet közötti adatfeldolgozói szerződés képezi az alapját. A Shoptetnek is titoktartási szerződéssel kell köteleznie az embereit arra, hogy nem adják ki azokat a személyes adatokat, amelyekről a munkájuk teljesítése során tudomást szereznek.
Összeállítottunk egy webáruházakra vonatkozó áttekinthető listát. Ez egy olyan iránytű, amiből megtudhatja, hogy mit kell megtennie és mire kell ügyelnie. Javasoljuk, hogy figyelmesen menjen végig rajta, mert jelentősen megkönnyítheti a munkáját.
A szervezet típusa és mérete, valamint a személyes adatok terjedelme és kategóriái szerint a GDPR-nak való megfelelést házon belül, vagy külső jogi szakértők segítségével is biztosíthatja.