Az ekereskedelem egyik legcsábítóbb tulajdonsága, hogy könnyedén tudunk terjeszkedni országhatáron belül és kívül egyaránt, azonban felmerül a kérdés, hogy milyen jogszabályozásnak kell megfelelj, amikor kizárólag hazánkban vagy egyszerre több országban is értékesítesz?
A GDPR azaz, General Data Protection Regulation, a legújabb Európai Uniós szabályozás, amely 2018 májusától lép érvénybe. A Shopify szakértőjét, Vivek Narayanadas adatvédelmi managert, kértük meg, hogy adjon egy rövid interjút arról, hogy mit is jelent számotokra ez az adatkezelési szabályzat változás és hogyan tudtok erre előre készülni.
Mi az a GDPR és kinek is kell ezzel foglalkoznia?
A General Data Protection Regulation – amit mostantól már csak GDPR ként fogunk említeni – nem más, mint az Európai Unió új adatvédelmi törvénye. Onnantól, hogy hatályba lép ez lesz a világ legátfogóbb szabályozása, és minden vállalkozásra (igen még az egészen aprókra) is kihatással lesz.
Akkor is érint engem a GDPR, ha nem az Európai Unioban van a vállalkozásom?
Röviden a válasz igen, érinthet. A GDPR minden vállalatra vonatkozik, aki az EU területén értékesít vagy olyan ügyfél vásárol tőle, aki az EU lakosa és államainak állampolgára. Tehát ha van egy webshopod Pakisztánban és textilt értékesítesz. Vásárlóid között megtalálható valaki, aki az EU-ból rendelt Tőled? Akkor bizony rád is vonatkozik a szabályozás.
GDPR tehát minden céget érint, aki az EU-n belül értékesít vagy vannak ügyfelei az EU-ból és gyűjti azok adatait. Tehát, akinek van EU-s vásárlója tudnia kell a szabályozásról és meg is kell annak felelnie, ezért megpróbálom összefoglalni, hogy mit is kell tenni lehetőleg nem jogi nyelvezettel.
A GDPR több jogot fog adni a fogyasztóidnak/vásárlóidnak a személyes adataik kezelését illetően. Nagyon pontosan definiálja, hogy pontosan mi is a személyes adat fogalma, amit ezen az angol linken el tudsz olvasni.
Oldallátogatóid felé mire kötelez a GDPR?
Fogyasztóidnak jogosultnak kell lenniük arra, hogy bármikor elérjék személyes adataikat, megváltoztassák annak felhasználási engedélyeit, javíthassák azokat, illetve akaratuk szerint bármikor, korlátozás nélkül törölhessék őket. A szabályozás arra is egyértelműen kitér, hogy amikor adatot gyűjtesz, akkor fogyasztóidnak egyértelműen jelezniük kell szándékukat, hogy milyen adatot adnak meg és azt milyen célra engedik, hogy felhasználd. Különösképp igaz ez amikor a vásárlóid adatait nem csupán a rendelések teljesítésére használod (név és szállítási cím), hanem marketing kommunikációs és hirdetési felhasználása is van (email marketing vagy Facebook remarketing).
GDPR téged tesz továbbá felelőssé azért, hogy ezen adatokat megfelelő védelemmel ellátva tárold és kezeld, még akkor is ha egy olyan adatfeldolgozóval dolgozol együtt, mint amilyen a Shopify, vagy a WordPress stb. A te felelősséged az is, hogy ezeket az adatokat elérhessék, megváltoztathassák, törölhessék stb. bárhol, bármikor. Erre egy jó megoldás lehet, ha van vásárlói profil oldala a webshopodnak és oda fejlesztesz egy ilyen lehetőséget, ahol ki be tudják a jogosultságokat pipálni vásárlóid. Ez azért nem ennyire egyszerű fejlesztés, de érdemes elgondolkodni rajta.
Mit jelent a személyes adatvédelmi változás a gyakorlatban?
👌Példa: Valaki ír neked, és arra kér, hogy minden korábbi tranzakciós adatát töröld akár hetekre, hónapokra, évekre visszamenőleg, akkor neked képesnek kell lenned arra, hogy ennek eleget tegyél.
De akkor mikor kell nekem adattárolással kapcsolatosan nyilatkoznom és ügyfeleimnek adatait elérhetővé tennem? Egyáltalán mi az, ami személyes adatnak minősül?
Ha gyűjtesz vagy tárolsz bármilyen olyan adatot, ami kapcsolható egy létező személyhez, email cím, cookie stb., akkor az onnantól személyes adatnak minősül és vonatkoznak rá a fentiek, tehát nyilatkoznod kell.
Részletesebben itt találsz erről egy angol nyelvű leírást, de egy gyors példával megpróbáljuk szemlélteni:
👌Példa: Ha látogatóidnak van lehetőségük webes felületeden saját fiókot létrehozniuk vagy elkéred az email címüket bármilyen okból, akkor az már személyes adatnak minősül. Ha a vásárlás a weboldaladon csak belépéssel lehetséges, kvázi regisztrálni kell, onnantól fogva adatot kezelsz.
De ez még mindig nem elég. A GDPR szabályozásban foglaltak betartásához tekintettel arra, hogy olyan adat, mint a vásárlód/látogatód IP címe is személyes adatnak minősül!
Az új európai jogszabály már életbe lépett
A GDPR 2018. május 25-én lépett hatályba az EU-ban, de mint a fenti példa is mutatja ez inkább világszintű mintsem kizárólag EU. Már nincs időd a rendelkezésnek megfeleltetni a rendszeredet és az adatkezelési szabályzatodat, de ha eddig nem tetted akkor mivel kezdjed?
Íme pár dolog, amit mindenféleképpen végezz el:
- Nézd meg, hogy az adatkezelési szabályzatodat kell-e és ha igen, hogyan kell megváltoztatnod
- Amennyiben használsz külső, független applikációkat (például: Facebook, Instagram vagy akár csak Google Analytics), webshop témát stb., akkor győződj meg arról, hogy ők is megfelelnek-e a GDPR szabályzatnak.
- Győződj meg arról, hogy te meg tudod-e oldani a GDPR által támasztott jogi feltételeket, amennyiben nem, akkor érdemes egy jogásszal vagy adat biztonsági szakértővel egyeztetned. Ezt főleg, akkor ajánljuk, ha ez az első alkalom, hogy neked kellene az adatkezeléshez hozzányúlnod.
- Vizsgáld meg, hogy össze kell-e raknod egy olyan dokumentumot, amely az adatvédelmed hitelességét igazolja.
- Kell-e újra hozzájárulást kérned a fogyasztóidtól adataik használatának érdekében, hogy megfelelj a GDPR által támasztott magasabb elvárásoknak? Sok esetben, majdnem minden esetben, ha van egy feliratkozott ügyfél listád, akkor nekik újra fel kell iratkozniuk elfogadva a GDPR szabályozást.
- Meg tudsz-e felelnii annak a szabályozásnak, hogy ügyfeleid bármikor elérhetik adataikat, azt tudják módosítani, javítani és adott esetben törölni vagy kiexportálni azt?
Ahogy látod ezek inkább kérdések, amelyeket fel kell tegyél magadnak, és csak ezek után jön majd az akcióterv, hogy miként tudod ezt megvalósítani.
Mivel minden vállalkozás más és más ezért elképzelhető, hogy neked még ennél is több kérdést kell feltenned javaslatunk, hogy konzultálj jogászoddal.
És mi van akkor, ha az én vállalkozásom …?
Nos, mi nem vagyunk jogászok így nem tudunk neked a Te üzleteddel kapcsolatosan átfogó felvilágosítást adni. Olvass el minden olyan szakirodalmat a témában ami segítheti felkészülésedet és utána javasoljuk a jogász bevonását, aki valós válaszokat és tanácsokat tud adni neked.
Amit mi tudunk tenni, hogy mutatunk Neked pár oldalt, ahol tudsz informálódni:
- ICO: Guide to data protection (angol nyelv)
- Data Protection Commissioner: GDPR (angol nyelv)
- CNIL: Règlement européen : se préparer en 6 étapes (francia nyelv)
