A magyarországi webáruházak többségét a KKV szektor vállalkozásai üzemeltetik. Jövő májusig igen sok dolguk lesz ezeknek a vállalkozásoknak az Európai Unió új Általános Adatvédelmi Rendeletének (GDPR) köszönhetően. A tavalyi évben egy módosítás történt az elektronikus kereskedelmi jogszabályban, ami alapján ezekről a webáruházakról egy feketelista készül.
A GDPR révén új kihívások várhatóak, az adatvédelmi bírság várhatóan 300-szorosára emelkedik majd, továbbá megszűnni látszik az a szabály, ami szerint az első adatvédelmi jogsértés következtében nem bírságolhatók ezen vállalkozások. A Sár és Társai Ügyvédi Iroda partner ügyvédje, dr. Horváth Katalin az e-kereskedelemben várható jogi változásokról adott tájékoztatást.
A webáruház üzemeltetőinek egyik legfontosabb feladata az adatkezelési gyakorlatuk teljeskörű átvizsgálása, módosítások eszközölése. Az EU új adatvédelmi rendelete csökkenteni fogja az online marketing adta lehetőségeket a webáruházak üzemeltetői számára.
Most a legfontosabb feladatok első felét mutatjuk be, amik felett nem hunyhatnak szemet a webáruház üzemeltetői:
- lépés: Adatkezelés minimalizálása, üzleti folyamatok áttekintése
A webáruházak tulajdonosainak fél év áll a rendelkezésükre, hogy az üzleti folyamataik megfeleljenek az új adatkezelési szabályoknak. Ez a folyamat az eddigi üzleti modell és az adatmozgás feltérképezésével kezdődik, azaz, meg kell határozni, hogy milyen személyes adatokat kíván begyűjteni a webáruház, azokat milyen célból gyűjti, hogyan kezeli, illetve továbbítja-e harmadik személy részére.
Az adatoknak beazonosíthatónak kell lenniük, ezeket a látogatók vagy saját maguk adják meg, vagy automatikusan begyűjtött adatok is lehetnek, illetve harmadik személytől is származhatnak. Az új szabály szerint mindenkinek más tartalmú tájékoztatást kell nyújtani attól függően, hogy mit tekintünk az adatok forrásának.
Az adatokat aszerint is szükséges elemezni, hogy egy-egy adatkezelési ponton tényleg annyi és azoknak az adatoknak a kezelésére van szükség, illetve ahol az üzleti cél és folyamat nem követeli meg szükségszerűen a személyes adat kezelését. Ezekben az esetekben adattakarékosság elvéről beszélhetünk, ahol az adatok gyűjtése és tárolása elhagyható.
Érdemes utánajárni annak is, hogy melyek azok az adatok, amelyeknek gyűjtése, kezelése illetve tárolása megoldható álnevesítéssel, titkosítással, anonimizálással vagy olyan eszközzel, intézkedéssel, amellyel biztosítani tudják, ne legyen helyreállítható az adat és az érintett közötti kapcsolat.
- lépés: Az adatkezelési tájékoztató felülvizsgálata és módosítása
Amint a vállalkozó tisztában van adatgyűjtési céljával, az adatok kezelésével, illetve azok továbbításával, akkor elkezdheti felülvizsgálni és adott esetben módosítani is az adatkezelési tájékoztatókat. Fontos, hogy az adatkezelési tájékoztatók igazodjanak az üzleti folyamatokhoz és a rendelet szabályaihoz egyaránt. A korábbi jogszabályi előírások plusz elemekkel bővültek, a tartalma pedig függ attól, hogy honnan származnak az adatok és kik az érintettek.
A vásárlókkal számtalan információt kell közölni a GDPR alapján, éppen ez az oka, hogy módosításra szorul a adatkezelési tájékoztató. Ha a webáruház a gyűjtött személyi preferenciák alapján reklámozná magát online felületeken, akkor a tájékoztatási kötelezettségét ki kell bővítenie.
Két egyforma webáruház nem létezik, ezért az adatkezelési tájékoztatásuk, folyamatuk sem egyezhet meg feltétlenül. Fontos, hogy mindenki a saját tevékenysége, üzlete alapján állapítsa és határozza meg a vásárlásra vonatkozó feltételeit.
- A hozzájárulás kérési folyamat felülvizsgálata és módosítása
Az adatkezelési tájékoztató mellett az EU adatvédelmi rendelete az adatkezeléshez való hozzájárulás módjának felülvizsgálatát illetve módosítását is szükségessé teszi. Az új szabályzat alapján a vásárlók számára biztosítani kell azt, hogy szabadon döntsenek arról, hogy melyik adatkezeléshez járulnak hozzá, illetve melyikhez nem.
Attól függően, hogy mi a célunk az adatokkal, kérni kell majd a felhasználók hozzájárulását az adatkezeléshez, illetve a hírlevél feliratkozáshoz és profilalkotáshoz is. Amennyiben valaki megtagadja a hozzájárulást, abban az esetben sem szabad megtiltani számára a vásárlást. Minimális adatok azonban, mint e-mail cím, szállítási adatok kérhetők a vásárlóktól.
Az adatkezelési célokhoz meg kell majd határozni az adatkezelés jogalapját is. Ez lehet maga a hozzájárulás, de akár előírhatja azt is, hogy hozzájárulás nélkül is lehet vásárolni. A tájékoztatóban szükséges pontos meghatározást adni arról, hogy mihez kér az adatkezelő hozzájárulást, mit kezel jogos érdekek alapján és mit jogszabályi előírás alapján.
A marketing szakemberek nagy feladata az lesz, hogy felhasználóbarát legyen az oldal, a hozzájárulás megadása egyszerű legyen, csökkentsék a lemorzsolódást, szem előtt tartsák az üzleti-, jogi- és marketing szempontokat.