GDPR, felkészülés a ShopnGo-val

Várható olvasási idő 9 perc. Ebben a posztban egy bemutatjuk, hogy s ShopnGo webáruházak esetében milyen fejlesztések történtek, hogy megfeleljen a rendszer a GDPR-nak.

(Fontos: A cikk nem dolgozza fel a teljes GDPR-rendelethez kapcsolódó feladatokat, csak néhány olyan megoldást tartalmaz, amivel a ShopnGo webáruház esetén foglalkozott cégünk. A IT-megoldások GDPR-rendelethez való igazításában Dr. Juhász Péter ügyvéd segít nekünk. http://jmsiroda.hu/)

A GDPR minden cég esetén szóbajön, ahol személyes adatokat kezelnek. 

A ShopnGo webáruház üzemeltetők esetében is igaz, hogy a webáruházakon keresztül személyes adatokat kezelnek. Ahhoz, hogy a partnereink adatkezelési folyamatai meg tudjanak felelni a rendeletnek, a GDPR-hoz kapcsolódó fejlesztéseket hajtunk végre a rendszeren.

De mi is az a GDPR: A GDPR röviden és tömören az Európai Unió által elfogadott, a személyes adatok kezeléséről, védelméről és az ilyen adatok szabad áramlásáról szóló rendelete, más néven általános adatvédelmi rendelet (General Data Protection Regulation). 

A rendelet a természetes személyek személyes adatainak védelméhez való jogát szabályozza. Azt, hogy ki, mikor és milyen adatokat tárol a természetes személyekről és azokat az adatokat mire használja fel és kinek adja át. 

Feladatok cégünkben, és ShopnGo webáruházunkban, hogy megfeleljünk a GDPR-rendeletnek: 

Fontos, hogy megismerjük a rendeletet, és az abban leírtaknak megfelelően alakítsuk ki a cégünk adatkezelési folyamatait. 

Első lépésként fel kell mérnünk, cégünk hol kezel személyes adatokat és azokat mire használja. A rendeletnek megfelelően meg kell határozni az adatkezelések célját és jogalapjait.

(Láthatjuk, hogy ez egy átfogó feladat, mely kialakításához mindenképpen javasoljuk, hogy vegyünk igénybe a témára szakosodott szakembert.)

Egy cég teljes adatkezelési folyamatának csak egy részét teszi ki a webáruház adatkezelése. A cikk további részében erről szeretnék beszélni. Leírjuk, hogy a ShopnGo webáruház esetén, hogyan értelmeztük a rendeletet, és milyen fejlesztéseket végeztünk annak érdekében, hogy a GDPR-nak megfelelő legyen a működése.

Fontos látni, hogy a ShopnGo-felhasználók ezeket a fejlesztéseket plusz beruházás nélkül megkapják a szolgáltatás részeként, ezzel levesszük a vállukról a GDPR-hoz kapcsolódó IT-beruházási többletköltségeket.

Az érintettek jogai egy webáruház esetén:

(Fontos: a cikkben nem dolgozzuk fel az összes jogalapot, csak, amik a webáruházas értékesítést közvetlenül érintik. Ettől még a webáruház-üzemeltetők adatkezelései eltérőek lehetnek. 
A cikkben leírjuk milyen megoldásokat készítünk a ShopnGo-s ügyfelek részére, de szem előtt kell tartanunk, hogy ebben az esetben a ShopnGo rendszere egy eszköz, amiben lehetőséget biztosítunk arra, hogy a belső adatkezelési szabályzatunkban szabályozott folyamatokhoz tudjuk igazítani a webáruház működését.)

Nézzük, milyen jogai vannak a webáruházba látogatott felhasználóknak: 

  1. Az átlátható tájékoztatás joga:
    Röviden, a felhasználóknak joguk van ahhoz, hogy tudjanak róla, milyen adatokat kezelünk rólunk és mit csinálunk az adataikkal.  A személyes adatok kezelése egy webáruház/weboldal esetén már akkor szóba jöhet, ha az érintett meglátogatja az oldalunkat. Ilyen esetben a webes motorok úgynevezett sütiket (angol nevén: cookie) használnak, amiken keresztül személyes adatokat tárolhatnak le. Ilyen lehet egy egyedi azonosító, egy e-mail-cím, egy IP-cím, egy név stb.

    Fontos, hogy mielőtt ezeket az adatokat elkérjük és letároljuk, tájékoztassuk a felhasználót, és, ha hozzájárulás jogalapon kezeljük az adatokat, akkor biztosítsunk lehetőséget arra, hogy hozzájárulhasson az adatainak a kezeléséhez. Fontos, hogy nem minden személyes adat esetén van szükség a hozzájárulására. Ezt a saját adatkezelési folyamatainkban kell szabályozni, és ahhoz alakítani a ShopnGo rendszerében a beállításokat.

    • Sütikhez kapcsolódó személyes adatok kezelése a ShopnGo webáruházakban: A ShopnGo rendszerében létrehoztunk egy adatkezelési célokat menedzselő felületet. 
      Lehetőséget biztosítunk arra, hogy a rendszerbe integrált, sütik segítségével személyes adatokat gyűjtő scripteket egyesével be tudjuk állítani annak megfelelően, hogy melyik kezel személyes adatokat és melyik nem. Ilyen lehet például a Google Analytics (GA) scriptje vagy a Facebook pixel scriptje.
      Ha az előző lépést megtettük, a következő lépésként azt is beállíthatjuk, hogy mihez szeretnénk hozzájárulást kérni, és milyen esetben van csak tájékoztatási kötelezettségünk.

      Ez a látogató számára a webáruház publikus felületén úgy fog megvalósulni, hogy amint az oldalra érkezik, megjelenik egy sáv, amiben tájékoztatjuk, hogy milyen személyes adatokat kezelő sütiket használunk, és mihez kérjük a hozzájárulását. A rendelet előírja, hogy amilyen könnyedén hozzájárulását megadta egy felhasználó, olyan könnyedén a hozzájárulást vissza is lehessen vonni. Ezért egy kis ikon megjelenik minden oldalon, amire ha rákattint a felhasználó, egyszerűen kezelheti a mentett adatvédelmi beállításait.

      Fontos: Abban az esetben, ha a Google Analyticset használjuk statisztikai adatgyűjtésre, és azt úgy állítottuk be, hogy személyes adatokat is kezeljen, akkor a felhasználó hozzájárulását kell kérnünk a használatához. Ilyen esetekben törekedtünk arra, hogy a lehető legkevesebb adatot veszítsük el, ezért amint a látogatónk a hozzájárulását adja, elküldjük az adatokat az oldal megtekintéséről már az aktuális oldalon, nem pedig csak a következő oldaltól kezdve. Ez a látogatók által a legelső oldal megtekintése során leadott hozzájárulás esetén különösen hasznos, hisz így nem veszítjük el azt az információt, hogy honnan érkezett hozzánk.

    • Regisztrációhoz kapcsolódó személyes adatok kezelése a ShopnGo webáruházakban: A következő lehetőség, ahol a ShopnGo rendszerében személyes adatokat kezelhetünk az a regisztráció során megadott ügyféladatok. A regisztráció végén lehetőséget biztosítunk egy checkbox segítségével, hogy a felhasználó hozzájárulhasson az adott regisztrációhoz kapcsolódó adatkezelési szabályzathoz. Azt, hogy a regisztrációval milyen adatkezelési cél valósul meg és milyen jogalapon, azt a webáruház üzemeltetőjének kell meghatároznia.
       
    • Vásárláshoz kapcsolódó személyes adatok kezelése a ShopnGo webáruházakban: A vásárlás során ahhoz, hogy az ügylet létrejöjjön, személyes adatokat kell kezelnünk. Legyen az a vásárló e-mail-címe, szállítási adatai vagy egyéb megjegyzések, melyek személyes információt tartalmazhatnak. A vásárlás során egy szerződéses jogviszony jön létre, ezért szükség van arra, hogy a vásárló tájékozódni tudjon a szerződés részleteiről, és lehetősége legyen (megkötni a szerződést) elfogadni azt. Ezen felül lehetőséget kell biztosítanunk, hogy tájékozódni tudjon a személyes adatai kezeléséről, és hozzájárulhasson ahhoz.

      Így a vásárlás véglegesítése előtt az adatkezelés kapcsán általában 2 db checkbox segítségével, kettő nyilatkozatot kérünk a felhasználótól. Az első checkbox elfogadásával elismeri, hogy elolvasta az adatvédelmi tájékoztatónkat és hozzájárul a szerződéshez, valamint az adatai kezeléséhez. A második checkboxszal pedig egyértelmű hozzájárulását adja egyéb adatkezelésekhez, pl: hírlevelet további remarketing célú profilalkotáshoz vagy, hogy marketing tartalmú megkeresést küldjünk a részére. Ezeket a hozzájárulásokat letároljuk, így egy esetleges incidens esetén bizonyítani tudjuk a hatóságok részére a hozzájárulás meglétét. 
       
    • Üzentküldő űrlapon keresztül bekért személyes adatok kezelése: A ShopnGo rendszerében lehetőség van bármelyik cikk típusú tartalomba bekapcsolni egy üzenetküldő űrlapot. Ezt az űrlapot széles körben felhasználhatjuk, kapcsolattartásra, ajánlatkérésre stb. Mivel itt is személyes adatokat kérünk be (név, e-mail-cím, telefonszám), így a rendelet értelmében szükség van arra, hogy a felhasználó elolvashassa az adatkezelési nyilatkozatot és hozzájárulhasson adatai kezeléséhez. Ezért az üzenetküldő űrlap végére beépítettünk egy checkboxot, ahol egyértelműen hozzá tud járulni az adatai kezeléséhez. 
       
    • Egyéb személyesadat-gyűjtő megoldások: A ShopnGo rendszerébe használhatunk egyéb olyan megoldásokat, mint például külső harmadik fél által készített űrlapokat, amik kezelhetnek személyes adatokat. Ezekben az esetekben, a ShopnGo rendszerén kívül, az integrált rendszereken keresztül kell megoldani a tájékoztatást és hozzájárulást.
       
  2. Hozzáférés joga:
    Amennyiben a felhasználó a róla tárolt adatairól szeretne tájékoztatást kapni, két lehetőség adódik. A regisztrált felhasználó a fiókjában elérheti az adatait. Abban az esetben, ha regisztráció nélkül vásárolt, egy azonosítás után manuálisan az adminisztrációs felületen ki tudjuk keresni a rendeléseit és a hozzá kapcsolódó adatait, melyről aztán információkat tudunk neki adni. 

     
  3. Személyes adatok elfeledtetése, törlése a ShopnGo webáruház esetén: 
    Abban az esetben, ha a felhasználó el szeretné feledtetni a róla tárolt személyes adatokat, erre a ShopnGo esetében a következő lehetőségek vannak:
     
    • Sütik esetén: A süti által kezelt személyes adatokat, ahogy a cikk elején is írtam, könnyedén visszavonhatja a felhasználó. Az weboldal/webáruház jobb alsó sarkában található adatkezelési süti ikonra kattintva eljut az adatkezelési oldalra, ahol adatkezelési célonként egy-egy kattintással visszavonhatja a hozzájárulását, így a rendszer ezután a visszavont témában nem gyűjt róla adatokat.
       
    • Regisztráció esetén: A saját fiókjába belépve törheti azt, ezzel minden adatot törlünk róla, ami a fiókjához kapcsolódott. Fontos megjegyeznünk, hogy a rendeléseihez kapcsolódó adatokat a szerződésben foglalt ideig törvényi előírás szerint meg kell őriznünk, így azokat csak a szerződésben megadott határidő után tudjuk manuális módon törölni. De ezeket mind a belső adatkezelési szabályzatunkban foglaltak alapján kell megvalósítanunk. 
       
    • Leadott rendelés esetén: A fentebb leírtak vonatkoznak erre az esetre is. Itt a törvényi előírásban megadott ideig szükség van az adatok megőrzésére, így azok törlése csak a határidő lejárta után történik meg.
       
    • Űrlapon leadott adatok esetén: Az űrlapokon bekért adatokat nem tároljuk a webáruház rendszerében, csak e-mail-üzenetben továbbítjuk a rendszerben megadott címre. Így azok törlését a levelezőrendszerben kell megoldani. 

Minden egyes adatkezelés során meg kell határoznunk az adatkezelés időtartamát. Fontos, hogy a meghatározott időtartam lejárta után az adatokat töröljük a rendszerekből. Érdemes erre minden hónapban egy időpontot meghatározni, amikor is belépünk a rendszereinkbe, ahol személyes adatokat kezelünk, például a webáruház adminisztrációs felületébe, és egy dátum szűrés után kitöröljük azokat az adatokat, amiknek a kezelési ideje már lejárt.

Hogyan tudod kezelni a GDPR-hoz kapcsolódó dokumentumokat?

A webáruház adminisztrációs felületén lehetőséget biztosítunk arra, hogy mind az általános szerződési feltételeket, mind az adatkezelési nyilatkozatot fel lehessen tölteni. Ezt megtehetjük szöveges formátumban egy szerkesztő segítségével.

(Fontos: mivel a GDPR elég rugalmasan határozza meg ez elvárásait, valamint Magyarországon még joggyakorlat csak 2018.05.25. után lesz a témában, így a cikkben összeírt megoldások a Webmotion Kft. olvasata a rendelet kapcsán. A fentebb leírt információkért felelősséget nem vállalunk és nem használható fel ellenük.)