GDPR adatkezelési tájékoztató

Adatkezelés megkezdéséről tájékoztatni kell az érintettet. Ez nem keverendő össze a vásárlást megelőző előzetes tájékoztatóval és a vásárlási feltételekkel, melyet el kell fogadtatni.
Leginkább akkor jellemző, mikor valaki regisztrációs fiókhoz vagy nem regisztrált vásárláshoz  személyes adatokat ad meg. Ráutaló magatartással cselekszik annak érdekében, hogy adatot adjon meg, olyan módon, hogy azt bármikor visszavonhassa, megváltoztassa vagy törölje.
A GDPR vonatkozó jogszabály 15 cikke rendelkezik az érintettek hozzáférési jogáról.

Kit érint?

Minden olyan weboldalt, aki magánszemélynek értékesít vagy szolgáltatást nyújt. Természetesen érdemes azoknak is megfontolni az elkészítését, akik csak „céges” ügyfeleket szolgálnak ki, mert ha az adatgyűjtés nem védett ebben a tekintetben, akkor betévedhetnek magánszemélyek is az érintettek körébe.

Mit kell jellemzően kifejteni a tájékoztatóban?

Mi az adatkezelés célja?

Leginkább a vásárláshoz kötött regisztrációs fiók kialakítása jövőbeli vásárlások vagy egy „regisztráció nélküli ” elkövetkező vásárlás lebonyolítása érdekében.

(Szerk. megjegyzés: nem létezik regisztráció nélküli vásárlás, mert adatkezeléssel jár. Helyesen inkább regisztrációs fiók nélküli vásárlást kellene használni.)

Adatok kategóriái

  • Jellemzően személyes adatok (név, cím)
  • Fiók vagy vásárló azonosító adatok (email cím, jelszó)
  • Címlisták (számlázáshoz, szállításhoz)
  • Vélemények
  • Viselkedési jellemzők, preferenciák

Címzettek listája

Azon leginkább harmadik fél adatfeldolgozói, akiknek személyes adatokat adunk át. (webhost, szállítók, bankok, pénzügyi szolgáltatók, számlázás, facebook, google, stb)

Személyes adatok tárolásának tervezett időtartama

Itt érdemes mérlegelni az adatbiztonság és a célszerűség szempontjait. Inaktív regisztrációt nem érdemes a végtelenségig kitartani, mert adatkezelőnek kötelezettsége az adatkezelés elveinek is megfelelni, azaz csak pontos adatokat tárolhat. Ha valami rossz vagy kétséges, azt inkább szabályok alapján semmisítsük meg.

Adatincidensek kockázata az idő múlásával nő, amit nem mindig indokolt felvállalni.

A regisztráltakkal történő rendszeres (3 havonta egy levél) kapcsolattartás például lehet egy indokolt magyarázat az adatok megtartására, amiben lehet üzleti ajánlatot is tenni illetve az adatkezelés fenntartásának szükségességét is meg lehet kérdezni.

Tájékoztatás az adathelyesbítésről, törlésről, korlátozásról

Jellemzően a regisztrációs fiókkal rendelkezők részére kialakítva rendelkezésre áll a személyes adatok betekintése és módosítása.

Nem regisztrált vásárlók esetén az adatkezelés jóval macerásabb adminisztrációs tevékenység, mely belső szabályozásokat is követel. Ilyen esetekben a tájékoztatást ki kell terjeszteni a megrendeléseknél elmentett személyes vásárlói adatokra is. Ha valaki betekintést szeretne kapni korábbi rendelésére vonatkozólag, akkor ahhoz külön tokenes link és programmodul vagy elektronikus dokumentum kell.

Nem regisztrált vásárlások esetén a korábbi rendelésekben tárolt személyes adatok kezeléséről és tervezett időtartamáról (lásd előző pont) is rendelkezni kell!

Nem az érintettől kapott személyes adat

Jellemzően a havernak szomszédnak kiküldött csomag, mely a címlistákban megadható.  Lásd 14 cikk 1) c pont!

Cég adatokra ez nem vonatkozik, bár felmerülhet jogalap, hogy milyen minőségben rendel magánszemély cégnek valamit.

Ha jól értelmezzük a jogszabályt, akkor ide kell valami nyilatkozatot is beszerezni.  Megajándékozottakat a csomagban tájékoztatni kell kitől kapták a csomagot és minek alapján küldte a shop, illetve adatkezeléssel szemben mindenféle jog megilleti a címzettet is!

Felügyeleti hatóságok

Név, cím és panasztételi jogok

Automatizált döntéshozatali eljárások

Tekintettel a profilozásokra ennek várható hatásairól és következményeiről leírást kell adni, annak érdekében, hogy az érintett dönteni tudjon.
(facebook, addwords, email stb)

Harmadik féltől származó adatgyűjtés

Jellemzően Facebook, Google és kell egy felhasználói oldal, ahol kikapcsolható a weboldalon a FB pont illetve a Google cookie szolgáltatása.

Források:

https://www.facebook.com/legal/terms/businesstools

GDPR alkalmazása

2018-05-25-től életbe lép az EU egységes adatkezelési szabályozása, mely az EU illetékességi területén működő webshopokat érinti. Néhány pontban összefoglaljuk, milyen fontos kívánalmaknak kell megfelelni ebből a szempontból. A bejegyzést folyamatosan frissítjük.

Természetesen az eredeti GDPR rendelkezés sokkal részletesebb, mint, amit mi itt áttekinthetünk, ezért elengedhetetlen annak részletes tanulmányozása is. Ezen túl a tagállamokban eltérő speciális szabályokat is találhatunk az érvényes nemzeti előírásokban.

GDPR alkalmazása bővebben…