Minden belső adatkezelési folyamatnál – vásárlói regisztráció, rendeléskezelése, hírlevelél küldés, marketing kampány stb. – át kell gondolni egy weblap üzemeltetőjének, hogy az általa kezelt adatok esetében adatkezelő, vagy adatfeldolgozónak számít?

Egy webáruház üzemeltetője, nem kérdés, minden esetben adatkezelő (a vásárló adatait saját céljaiból kezeli), de amennyiben egy külső szoftver is használja azokat az adatokat, a külső szoftver üzemeltetője adatfeldolgozóvá válik, és azért a webáruház tulajdonosnak ugyanúgy felelősséget kell vállalnia. Ezen felelősség szabályozására kötetik meg az adatkezelő és adatfeldolgozó között lévő szerződés.

Számba kell venni minden külső és belső rendszer által, a vásárlóinktól, partnereinktől bekért adatot, amire nincs szükség azt az adatbázisból el kell távolítani, és a további adatgyűjtést meg kell szüntetni. Minden folyamatnál el kell határolni az adatkezelő és adatfeldolgozó személyét. Adatfeldolgozó (külső partner, külső szoftver) esetében ellenőrizni kell, hogy a vele kötött szerződés megfelelő-e, az adatkezelő rendelkezik-e GDPR megfelelősséggel. Pl. Disqus.

Fontos, az adatok titkosításának kérdése. Tipikusan ilyen a minden webáruháznál használatos, a felhasználó személyes vásárlói fiókjához tartozó jelszó. Nem elég vélelmezni, hogy a webáruház rendszer ezt helyesen kezeli, meg is kell győződni erről. Ugyanígy fontos lehet az adatbázisok átjárhatósága, azaz amennyiben egyes adatokat (pl. hírlevéllisták) elkülönítve tárolunk, az egyik rendszer károsodása ne okozzon adatvesztést, adatsérülést a másik rendszerben.

Saját fejlesztésű webáruház esetén ezekről a kérdésekről a webáruház fejlesztőjét kell nyilatkoztatni. Bérelt áruház esetén pedig annak ÁSZF-je az irányadó.

Az érintettek jogai 

A webáruház vásárlói, akiknek az adatait a webáruházunk kezeli, érintettek. A GDPR különös figyelmet fordít az érintettek jogaira, úgy mint:

  • tájékoztatás a webáruház által végzett adatkezelésről
    • az adatkezelés joga, célja, és szükségessége
    • az adatkezelés időtartama
    • szükség esetén az adatvédelmi tisztségviselő elérhetősége
  • hozzáférési jog: a vásárló kérésére a webáruház köteles kiadni az általa a vásárlóról tárolt, kezelt adatokat
  • helyesbítéshez, törléshez, hordozáshoz való jog: a vásárló kérésére haladéktalanul el kell végezni a személyes adataival kapcsolatban kért módosításokat, beleértve az adatok végleges törlését is.
  • automatizált adatkezelés: a vásárló dönthet arról, ha nem akar részt venni automatizált adatkezelésben (pl. profilozás).

Egy webáruház oldalán eddig is kötelező volt elérhetővé tenni (letölthető formátumban is!) az adatkezelési szabályzatot. Ezt érdemes átnézni, és szükség esetén az új szabályok figyelembe vételével pontosítani, bővíteni.

Alapelvek:

  • csak olyan adatot kérjen a webáruház a vásárlóitól, amire tényleg szüksége van!
  • vezesse végig a működési folyamatainak (rendelés feldolgozása, ügyfélpanaszok kezelése, marketing tevékenységek), nézze meg hol kerülnek az adatok harmadik félnek át. Itt se adjon át többet, mint amennyi feltétlen szükséges!
  • alaposan nézze át a harmadik felekkel (mint adatfeldolgozókkal) kötött szerződéseiket, illetve magát a szerződő partnereket nyilatkoztassa a megfelelőségről!

Egy webáruház működése során elkerülhetetlen, hogy külső partnerek, mint adatfeldolgozók jelenjenek meg az adatkezelési folyamatban. A tipikus, szinte mindenhol előforduló esetek:

  • weboldal üzemeltető partner (vevő adatbázis tárolása, beleértve a biztonsági mentéseket is!)
  • hírlevél küldő rendszer (vásárló személyes adatai, neve, email címe)
  • logisztikai partner, aki az áruk kiszállítását végzi (vevő személyes adatai, neve, címe, elérhetőségei)
  • affiliate partnerek, amennyiben vevő-adatbázis megosztás történik
  • ajánlórendszert üzemeltető külső partner (amennyiben kap konkrét vásárlói adatokat, itt akár a profilozás is felmerülhet)

Incidensek kezelése 

Adatvédelmi incidensnek tekintendő minden olyan eset, amikor az adatkezelő (tehát a webáruház) által kezelt adatok megsemmisülnek, vagy elvesznek, illetéktelenekhez kerülnek.

A legfontosabb az észlelés: a webáruházak esetében megfelelő folyamatleírás kell annak érdekében, hogy az adatbiztonsági ellenőrzések rendszeresen megtörténjenek, hogy egy esetleges hibát azonnal észrevegyenek. Tipikusan érdemes az adatfeldolgozói szerződések áttekintése, hiszen itt egy harmadik félnek ad át a webáruház olyan adatokat, amelyekért felelősséget kell vállalnia.

Forrás: http://www.ecommerce.hu