Az EU új adatvédelmi rendelete (a GDPR) most a legfőbb téma internetes berkekben. Bár a jogszabály már 2016 óta publikus, kiemelt figyelmet (és nagy riadalmat) csak az elmúlt hetekben kapott. Ez valahol teljesen érthető, hiszen az új jogszabály sok helyen szigorított, bizonyos esetekben pontosított az eddigi – leginkább helyi – szabályozáson.
A Webshop Magazin első számában is kiemelten foglalkozunk ezzel a kérdéssel, a terjedelme azonban meghaladja egy-egy szám kereteit, ezért – a téma két szakértőjével egyetértésben – több részre osztottuk szét. A tervek szerint az első rész az általános információkkal foglalkozik, a második részben pedig a GDPR marketingre gyakorolt hatását vizsgáljuk – a webáruházak szemszögéből. A harmadik részben pedig az időközben felmerült további kérdéseket taglalja majd.
GDPR a gyakorlatban
De addig is szeretnék kiemelni néhány fontos részletet, mert az interneten számolatlanul jelennek meg értelmezések, amelyek néha tévútra vezethetik a vállalkozásokat (a következő sorokban a webáruházak szempontjából vizsgálom a kérdéseket).
A GDPR a személyes adatok védelmére jött létre. Mivel ezek az adatok egyre nagyobb értéket képviselnek, ezért szükséges volt a szabályozásra. Ha tehát egy mondatban kellene összefoglalnom, mit kell tennie egy webáruháznak, akkor a mondat a következő lenne:
A felhasználókat előre tájékoztatni kell, hogy a webáruházat működtető milyen célból és milyen személyes adatot rögzít, kivel és miért osztja meg ezeket az adatokat, el kell fogadtatnia a felhasználóval az adatrögzítés tényét, valamint lehetőséget kell adni rá, hogy a felhasználó bármikor megismerhesse a kezelt adatit, és töröltetni tudja adatait a rendszerből.
Persze ha ilyen egyszerű lenne ez az egész, akkor nem jelenne meg szinte minden nap egy-egy újabb elemzés a GDPR értelmezéséről. Ugyanis a fentiek betartásával még közel sem biztos, hogy egy webáruház teljes mértékben eleget tett kötelezettségeinek. Mert nem csak az a kérdés, hogy mit kell tenni, hanem az is, hogy hogyan!
Néhány példa a GDPR gyakorlati használatáról
A hozzájárulást egy ún. checkbox kipipálásával adhatják meg a felhasználók. Ezeknek a checkbox-oknak alapértelmezettként MINDIG ÜRESNEK KELL LENNIE, soha sem lehet előre kipipált állapotban!
Nem lehet mindenféle adatot bekérni a felhasználóktól, kizárolag olyanokat, AMELYEK FELTÉTLENÜL SZÜKSÉGESEK AZ ADOTT CÉL MEGVALÓSÍTÁSÁHOZ! Tehát pl. telefonszámot csak akkor, ha az feltétlenül szükséges (csomagkézbesítéskor), és születési dátumot is csak olyan esetekben, mint pl. ha születésnapjukon fel szeretnénk köszönteni a regisztráltakat (természetesen ez már nem lesz meglepetés nekik, hiszen ezt is le kell majd írni az Adatkezelési nyilatkozatban).
A Cookie-k kezelése is módosul, ami azért jelentős kérdés, mert az utóbbi időkben megjelent online marketing eszközök szinte mindegyike ezeken a Cookie-kon alapul, ráadásul – mivel a felhasználók viselkedését is ezek a Cookie-k rögzítik – az elemzésekre is jelentős hatással lehet: ha a felhasználó nem járul hozzá, az ő tevékenységét a jövőben nem lehet monitorozni, rögzíteni. Így az eddigi, viszonylag nagy pontosságú statisztikák hibalehetősége esetlegesen nőni fog.
Bár ameddig az infotörvényben érvényben marad, addig a NAIH regisztráció is szükséges (elvileg), de ezt várhatóan eltörlik majd. Viszont az adatkezelést végző vállalkozásnak nagyon pontos, és utólag bizonyítható nyilvántartást kell vezetnie az adatkezelésekről, és azok biztonságos tárolását is neki kell biztosítani. Ha bárhol, bárki, bármilyen szabálysértést követ el a személyes adatokkal, akkor első körben az adatkezelőt veszik elő, és neki kell bizonyítania, hogy mindenben szabályosan járt el.
Amennyiben az adatok kezelésébe hiba csúszott, azt haladéktalanul jelezni kell az illetékes hatóságoknak. Ha ez a hiba súlyos, akkor a felhasználókat is tájékoztatni kell
A profilalkotás kérdését is szigorúan szabályozza az új rendelet. Ez ugye az, amikor a felhasználókat tevékenységük alapján különböző csoportokba soroljuk. Nos, ezentúl ezt sem lehet akárhogyan megtenni.
Érdekességek a GDPR-rel kapcsolatban
Jó ha tudod, hogy a GDPR-nek való megfelelésen nem csak Te, de az összes nagyobb olyan cég is dolgozik, amelynek bármilyen eszközét használják. Így a wordpress, a mailchimp, a google, a facebook, és minden olyan szolgáltató, akinek rendszere, alkalmazása, szolgáltatása érintett az adatok kezelésében. Megnyugodhatsz tehát, a kérdés nem az, hogy meg lesz-e oldva, hanem hogy azt Neked hol és hogyan kell beállítani (de valószínűleg erről is részletes tájékoztatást kapsz majd tőlük).
Szintén fontos, hogy az EU-s rendelet egy minden EU tagországra nézve kötelező szabályozás, ugyanakkor azt a tagországok kiegészíthetik, szigoríthatják, pontosíthatják (csak enyhíteni nem enyhíthetik). Tekintettel arra, hogy hamarosan választások lesznek nálunk, az új kormány pedig május végéig biztosan nem fog ezzel foglalkozni, így esélyes, hogy lesznek még kérdőjelek, értelmezési kérdések, amelyeket tisztázni kell majd.
Igen, a bűntetés mértéke is jelentősen változott. Elég szigorú a rendelet (a szöveg 20 millió euró vagy a forgalom 4%-ának megfelelő összeget tartalmaz), egy kisebb hazai webáruházat könnyen csődbe vihet egy esetleges büntetés. Azonban a rendelet a maximális mértéket tartalmazza, a tényleges büntetési tételek majd menet közben derülnek ki – a bírói gyakorlattól függően. Így arra a kérdésre, hogy milyen szabálysértés mekkora büntetést vonhat maga után egy kisebb webáruház esetében, még nem lehet felelősséggel válaszolni.
Most akkor mit is kell tenned, hogy megfelelj az új szabályoknak?
Ha most azonnal meg akarsz felelni, kérd jogász segítségét. Bár valószínűleg ő is gondban lesz a még hiányos értelmezések miatt.
Amit mindenképpen javasolok: vedd számba, hogy milyen adatokat kezelsz vagy fogsz kezelni, ehhez milyen marketing eszközöket használsz (közösségi oldal, google, hírlevélkezelő, stb), és figyeld a híreket, hogy ezen eszközök üzemeltetői milyen intézkedéseket, változtatásokat eszközölnek a GDPR kapcsán.
Érdemes továbbá átgondolni a folyamataidat, hogy a személyes adatokat kivel osztod meg (futárcégek, fizetési megoldásokat biztosító cégek, tárhelyszolgáltató, alvállalkozók, stb), melyikkel pontosan milyen adatot szükséges megosztanod. Így amikor az új adatvédelmi nyilatkozatodat írod, vagy íratod, ezek az információk már birtokodban lesznek.
Nem kell megijedni, a rendelet határidejéig még több mint két hónap van, szóval nem vagy lekésve semmiről. De érdemes résen lenned. Mi, a Webshop ABC (és a hamarosan megjelenő Webshop Magazin) segíteni fogunk ebben.
A minél részletesebb tájékoztatást Te is segítheted kérdéseiddel, amelyeket ha megírsz az info@webshopabc.hu e-mail címre, akkor annak utánajárunk.