Vissza
E-kereskedelem

GDPR Felkészülés: Alapvető Információk Összefoglalása Online Bolt Tulajdonosok Számára

Mi az a GDPR (GDPR)?

Az új Adatvédelmi Rendelet felváltja az 1995 óta érvényben lévő jogszabálycsomagot és EU irányelveket. Az irányelvek, amelyek az egyes országok nemzeti jogszabályai felett állnak, és kötelezőek minden adatkezelő számára, aki az EU állampolgárainak adatait kezeli, 2018. május 25-én léptek hatályba.

Az Általános Adatvédelmi Rendelet (GDPR) minden olyan vállalatra vonatkozik, amely ügyféladatbázisokkal rendelkezik és közvetlen marketinget folytat, valamint azokra az entitásokra, amelyek az EU állampolgárainak adatait kezelik vagy kezelik. A rendelet hatálybalépése előtt a vállalatoknak megfelelően fel kell készülniük, ezért kiválasztottuk az online áruház tulajdonosok számára releváns pontokat a rendeletből.

Érdemes hangsúlyozni, hogy a törvények vagy kötelezettségek többsége, mint például az adatkezelők nyilvántartásába való bejegyzés szükségessége, ugyanazon a napon érvényüket vesztik, így a kis- és középvállalkozások Litvániában nem megfelelően készülnek fel ezeknek a törvényeknek a végrehajtására a keringő pletykák és más pontatlan információk miatt. Ennek a bejegyzésnek és leírásnak a célja, hogy megismertesse az e-kereskedelem tulajdonosait a helyes és szükséges gyakorlatokkal, és tömör és konkrét információkat nyújtson.

Miért szükséges felkészülni a GDPR-re?

A jogsértéseket kisebb és nagyobb jogsértésekre osztják. A kisebb jogsértések esetén akár 10,000,000 Euró vagy vállalat esetén akár 2% adminisztratív bírságot szabnak ki. éves forgalom, attól függően, hogy melyik összeg nagyobb. A nagyobb jogsértések esetén dupla bírságot szabnak ki: akár 20,000,000 Euró vagy akár 4%. éves forgalom (ismételten, ez az összeg, amelyik nagyobb).

Kisebb jogsértések:

Az adatalanyok jogainak gyakorlására vonatkozó eljárás megsértése

Az együttműködés elmulasztása a felügyeleti hatósággal

Adatfeldolgozók nem megfelelő bevonása vagy a velük való kapcsolatok nem megfelelő formalizálása

Az adatfeldolgozó által az adatkezelő utasításai nélkül végzett adatfeldolgozás

Az adatbiztonsági megsértésekről való tájékoztatás elmulasztása

Nagyobb jogsértések:

A célkorlátozás elvének megsértése és az összes többi alapelv megsértése (pontosság, tárolási időtartam stb.)

Különleges kategóriák feldolgozása kivétel nélkül

Az adatalanyok jogainak végrehajtása

Illegális adatátvitel harmadik ország adatfogadójának

A mai napig elméleti pletykák vannak arról, hogy a vállalatokat először konzultálják a jogsértések azonosítása után; azonban érdemes megjegyezni, hogy maga a rendelet nem biztosít figyelmeztetéseket, és azonnal előírja az adminisztratív büntetések és szankciók alkalmazását.

Érdekli a PrestaShop integráció? További információt talál, ha erre a linkre kattint.

Főbb fogalmak

Személyes adatok – bármilyen információ, amely egy azonosított vagy azonosítható természetes személyhez kapcsolódik, azaz olyan személyről szóló információ, akinek személyazonossága világos vagy legalább további adatok megszerzésével megállapítható.

Ebben az esetben meg kell jegyezni, hogy az adatvédelem a természetes személyekre vonatkozik, míg az összes új GDPR szabály és törvény nem vonatkozik a jogi személyekre. Azonban egy jogi személy alkalmazottjának e-mail címe, amely tartalmazza a kereszt- és vezetéknevét, már védett a fent említett GDPR törvény által. Például, richard.smaizys@prestarock.com védett információnak minősül, míg az info@prestarock.com nem.

Az e-kereskedelem tulajdonosainak szintén aggódniuk kell olyan részletek miatt, mint a cipőméret vagy ruhaméret, amelyek, ha egy adott egyénhez és annak személyazonosságához kapcsolódnak, már a magáninformációiknak minősülnek, amelyek védettek és szabályozottak. Ugyanez vonatkozik az IP-címekre, keresztnevekre, vezetéknevekre, címadatokra és más nyilvánvaló elemekre.

Egy másik alapvetően érdekes példa: egy telefonszám tárolása egy keresztnévvel és vezetéknévvel együtt egy telefonban, amikor például egy ajánlatot készítenek. Elvileg ez is olyan adat, amelyet a később leírt példák szabályoznak. Lényegében, ha nem folytatják a munkát az ügyféllel (ajánlatot nyújtottak be, de nem nyerték meg), törölniük kell az adatokat. Más szóval, ez a példa azt kívánta megmutatni, hogy elméletileg szabályozott adatok közé tartoznak azok is, amelyeket a mobiltelefon címjegyzékébe írnak be (az ügyfél alkalmazottjának keresztneve, vezetékneve, telefonszáma).

Személyes adatok feldolgozása azt jelenti, hogy ‘bármilyen művelet vagy műveletsorozat, amelyet személyes adatokon végeznek, akár automatizált eszközökkel, akár nem, mint például gyűjtés, rögzítés, szervezés, tárolás, adaptálás vagy módosítás, visszakeresés, konzultáció, használat, továbbítás általi közzététel, terjesztés vagy más módon elérhetővé tétel, igazítás, kombináció, blokkolás, törlés vagy megsemmisítés.’ Érdemes megemlíteni, hogy a ‘feldolgozás’ kifejezés magában foglalja azokat a műveleteket, amelyek során egy adatkezelő személyes adatait egy másik adatkezelő felelősségébe adják át.

Az adatkezelő lényegében az, aki először engedélyt kap az adatok gyűjtésére és feldolgozására, és tárolja azokat.

Az adatfeldolgozó az, aki az adatkezelő engedélyével rendelkezik, és az egyén tájékoztatva van arról, hogy ez a konkrét feldolgozó feldolgozhatja az adatokat, amit a korábban leírt koncepció szerint tesznek.

Egy konkrét e-kereskedelmi esetben az adatkezelő az online áruház tulajdonosa lenne, míg a feldolgozó az a cég, amely a szolgáltatást nyújtja, amely összegyűjti az egyének címeit, majd tárolja, feldolgozza és más módon használja azokat a szolgáltatás teljesítéséhez. Értelmezésünk szerint az adatfeldolgozó közé tartozik a fizikai szerver hostingot biztosító hosting cég, a programozók, akik hozzáférhetnek, kezelhetik, szűrhetik, feldolgozhatják, gyűjthetik és más módon kezelhetik a személyes adatokat stb.

Az adatvédelmi tisztviselő (csak nagyvállalatok esetében releváns fogalom, amelyek sok alkalmazottal rendelkeznek és nagy mennyiségű adatot gyűjtenek) közvetítő a felügyeleti hatóságok és a vállalat humánerőforrás osztályai, részlegei, az adataikat gyűjtő egyének (felhasználók, ügyfelek, partnerek, weboldalak látogatói és a videó megfigyelő kamerák által rögzített információk stb.) között.

Azokban a vállalatokban, amelyek fő tevékenysége az adatfeldolgozás, ahol folyamatos adatfeldolgozási műveleteket végeznek (például egy könyvelő cég) nagy méretük vagy hatásuk miatt, valamint a különleges kategóriájú vállalatokban (egészségügy stb.), az adatvédelmi tisztviselőt a hatóságoknak kell kinevezniük.

Az ilyen tisztviselőnek a vállalatban részt kell vennie minden adatfeldolgozási folyamatban, függetlenül más pozícióktól és alkalmazottaktól, biztosítani kell számára a szükséges erőforrásokat, folyamatosan elérhetőnek kell lennie (különösen jogsértés esetén, hogy elméletileg azonnal vagy 24 órán belül reagálhasson), és gyakorlatilag az adatvédelmi rendelet betartásának koordinátora.

Adatbiztonsági incidens – olyan biztonsági incidens, amely az adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közzétételét vagy hozzáférését eredményezi. Javasoljuk, hogy a vállalatok rendelkezzenek előre meghatározott adatbiztonsági incidens eljárással, amely lehetővé teszi az előforduló kockázat mértékének és kiterjedésének felmérését, mivel ez határozza meg, hogy szükséges-e további tájékoztatni a felügyeleti hatóságokat és az adatalanyt az incidens bekövetkezésétől számított 72 órán belül. Mindenesetre minden vállalatnak nyilvántartást kell vezetnie az adatbiztonsági incidensekről, függetlenül a sebezhetőség méretétől.

A személyes adatok védelmére gyakorolt hatás értékelése (új értékelés, amely csak új rendszerekre vagy folyamatokra vonatkozik, nem alkalmazható meglévő jóváhagyott vállalati vagy működési folyamatokra) – egy olyan folyamat, amelynek célja az egyének jogainak és szabadságainak feldolgozása során felmerülő kockázatok leírása, szükségességének és arányosságának értékelése, valamint a kockázatok kezelése. A megfelelően végrehajtott értékelés segíthet könnyebben bizonyítani az esetét egy incidens vagy a GDPR követelményeinek való megfelelés esetén. Értékelést kell végezni, ha speciális kategóriákat érint (egészségügyi szektor stb.), nagyszabású megfigyelést és adatgyűjtést, nemzeti szinten meghatározott műveleteket, amelyek értékelést igényelnek stb.

A GDPR-ben tárgyalt adatvédelmi elvek

A jogszerűség, tisztesség és átláthatóság elve – az ügyfél tájékoztatva van az összegyűjtött adatokról opt-in alapon, nem pedig opt-out alapon

A célkorlátozás elve – minden adatcsoport vagy személyes adatok feldolgozása egyértelműen meghatározott célt igényel. Az ugyanazon összegyűjtött adatokat nem lehet más célra felhasználni, ha az adatokat feldolgozó egyén nem adott hozzájárulást erre a célra.

Az adatok minimalizálásának elve – a felesleges és nem használt adatokat elméletileg azonnal törölni kell, és nem szabad megőrizni. Egy érdekes példa, amelyet korábban leírtunk: egy telefonszám tárolása egy keresztnévvel és vezetéknévvel együtt egy telefonban, amikor például egy ajánlatot készítenek. Elvileg ez is olyan adat, amelyet a példák szabályoznak és leírnak. Lényegében, ha nem folytatják a munkát az ügyféllel (ajánlatot nyújtottak be, de nem nyerték meg), törölniük kell az adatokat.

A pontosság elve – az adatokat csak azokra a célokra használják, amelyekre engedélyezték a használatukat.

A tárolási korlátozás elve – az adatkezelő egyértelműen meghatározza és tájékoztatja az egyént, hogy mennyi ideig fogja megőrizni az adatokat a rendszereiben, és ezt követően – hogyan és mikor törli azokat.

Az integritás és bizalmasság elve

Az adatfeldolgozás jogalapjai (amikor az adatok feldolgozhatók)

A szerződés teljesítése – ajánlott erre támaszkodni, amikor szükséges az adatok feldolgozása a szerződéses kötelezettségek teljesítéséhez.

Hozzájárulás – ajánlott erre támaszkodni, amikor az adatalany hozzájárult személyes