Az Európai Unió új adatvédelmi szabályozása, a GDPR 2018. május 25-én lép életbe és új szintre emeli a személyes adatok védelmét. Ennek megfelelően módosítottuk rendszerünket, ami mostantól kezdve teljes egészében kompatibilis a GDPR-rel. A GDPR szabályozása nem ad részletes útmutatót ahhoz, hogy pontosan hogyan, hol és milyen formában kell megvalósítani az adatvédelmet. Cégünk úgy döntött, hogy rendszerünk a szabályozásban előírt minimum követelményeket fogja teljesíteni, amivel a lehető legkevesebb terhelést okozzuk ügyfeleinknek, ugyanakkor teljesítünk minden jogi előírást. Ennek következtében nem implementáltunk olyan elemeket a rendszerbe, amik megléte nem kötelező. Az ilyen elemek növelnék az adminisztrációt és csökkentenék a webáruházak sikerességét. (Ilyen például a “double opt-in”, azaz a kétszer megerősített feliratkozás, aminek során a hírlevél-fogadás jóváhagyása után még egy külön megerősítő e-mailt is jóvá kellene hagynia a feliratkozóknak.)

GDPR 5 lépésben:

(1) Minden olyan partnerrel, akihez eljutnak a vásárlók és felhasználók adatai (könyvelő, kiszállító cégek, stb.), kötni kell egy adatfeldolgozási megállapodást. A megkötés jelen esetben annyit jelent, hogy létre kell hozni és el kell menteni az adott partnertől származó megállapodást. Ezeket a dokumentumokat általában a partnerek szokták előkészíteni és megírni. A Bohemiasoft adatfeldolgozási megállapodása az alábbi dokumentum 3. és 4. oldalán található: Adatfeldolgozási megállapodás. Az alábbi bejegyzésben látható egy lista, ahol megtalálható a szolgáltatásunkhoz kapcsolódó legtöbb partner adatvédelmi dokumentuma: Partnerek adatkezelési dokumentumai. A dokumentumokat le kell tölteni és biztos helyre kell menteni.

(2) Fel kell készíteni a webáruházat az adatvédelemre egy adatvédelmi tájékoztató segítségével. Az egyszerűség kedvéért készítettünk egy minta dokumentumot, amit személyre szabva egyszerűen létrehozható az adatvédelmi tájékoztató: Adatvédelmi tájékoztató minta. A dokumentumban meg kell adni a webshop, mint adatkezelő adatait, elérhetőségeit, az adatok feldolgozásának célját, valamint a személyes adatok további kedvezményezettjeit. (Például a könyvelő cég nevét, kiszállító cégek nevét, stb.) A korábban leírtaknak megfelelően ezektől a partnerektől be kell kérni az adatfeldolgozási megállapodást is. Érdemes figyelni rá, hogy az adatfeldolgozók nem lehetnek EU-n kívüli székhelyűek.

(3) Szokott hírlevelet küldeni az ügyfeleinek? Vizsgálja meg, hogy hogyan szerezte meg a feliratkozók hozzájárulását (minden feliratkozó önként hozzájárult-e a hírlevelek kiküldéséhez), és ha nem, akkor kérjen újra hozzájárulást! A hírlevelekben (az eddigieknek megfelelően)  kötelező megjeleníteni a leiratkozási lehetőséget.

(4) Ha a személyes adatokat papír formátumban is tárolja, akkor biztonságba kell helyeznie ezeket az adatokat. (Például zárható szekrényben kell őket tárolni.) Emellett az adatok (online) tárolására szolgáló számítógépet is védeni kell az illetéktelen hozzáféréstől. Ellenőrizze, hogy mely munkavállalók milyen személyes adatokhoz férnek hozzá a cégen belül, és minimalizálja az adatokhoz való hozzáférést! Vizsgálja meg, hogy milyen módon és feltételekkel férnek hozzá az ügyfelek és a munkavállalók a személyes adatokhoz, és csökkentse az adatvesztés és az adatokkal való visszaélés kockázatát!

(5) Végezzen el minden szükséges beállítást a webáruházban! Nézze át a GDPR-hez kacsolódó új menüket, és készüljön fel rá, hogy a jövőben új típusú kérések érkezhetnek a felhasználóktól az adataikhoz kapcsolódóan! (A felhasználók élhetnek törlési jogukkal, az információhoz való jogukkal és az adatok átruházásához kapcsolódó jogukkal.)

A GDPR-hez kapcsolódó beállítások a webáruházban

Az Alkalmazások menüben megjelent egy új almenü GDPR névvel, amely több alkategóriát tartalmaz. Haladjunk végig az egyes almenükön, és nézzük meg, hol milyen beállítások elvégzése szükséges! Az aktiválás előtt az alábbi két almenü látható:

Aktiválás után további almenük jelennek meg a menüben:

GDPR / Beállítások

Az egyes elemek jelentése a következő:

GDPR aktiválása – A GDPR-hez kapcsolódó összes beállítást bekapcsolja az adminisztrációs felületen belül és a webshopban. Az opció csak akkor aktiválható, ha feltöltöttük a felhasználási és üzleti feltételeket, valamint a személyes adatok védelméhez kapcsolódó dokumentumot a GDPR -> Dokumentumok menüben. Mindkét dokumentumot “aktív” típusúra kell állítani. A GDPR aktiválása után az ÁSZF-hez tartozó korábbi beállítások törlésre kerülnek a rendszerből.

A hírlevélhez kapcsolódó személyes adatok érvényessége években – Az adatok érvényességi idejéhez az alapértelmezett 3 évet javasoljuk, de ettől eltérő beállítás is használható. Az itt megadott idő leteltét követően a rendszer automatikusan törölni fogja a felhasználó adatait a marketing célokra való felhasználás köréből. Azokra a személyes adatokra, amik a megrendelés leadása által kerültek be a rendszerbe, a törlés nem vonatkozik jogos érdek miatt. (Ilyen például panaszkezelés, rendőrségi ügyek kezelése, stb.)

A megrendelés feladásakor rögzítésre kerülő adatok feldolgozásának és kezelésének típusai – Érdemes kiemelt figyelmet fordítani erre a beállításra. 8 különböző opció közül lehet választani:

(a) “A megrendelés feladása során engedély kérése a személyes adatok feldolgozásához”: A megrendelőlapon egyetlen jelölőnégyzet fog megjelenni, amit a megrendelés feladásához kötelező kipipálni. A pipálással a vásárló elfogadja a felhasználási és üzleti feltételeket, valamint a személyes adatok kezelésének irányelveit. A funkció használata esetén lehet ugyan hírlevelet küldeni, de csak a megrendeléshez kapcsolódó témakörben. A jelölőnégyzet így fog kinézni a megrendelőlapon.

(b)  “A megrendelés feladása során külön engedély kérése a hírlevelek küldéséhez“: A megrendelőlapon két jelölőnégyzet fog megjelenni, amik közül az elsőt kötelező kipipálni a megrendelés feladásához. Az első jelölőnégyzet a felhasználási és üzleti feltételek, valamint a személyes adatok kezelésének elfogadásához, a második jelölőnégyzet pedig a hírlevél-feliratkozáshoz kapcsolódik. (Ha mindkét jelölőnégyzetet kipipálta a vásárló, akkor az első funkcióval ellentétben ebben az esetben bármilyen témakörben küldhetünk üzenetet a vásárlónak, illetve a vásárlók mellett a regisztrált felhasználóknak is küldhető hírlevél.) A jelölőnégyzetek így fognak kinézni a megrendelőlapon.

(c)  “A megrendelés feladása során a személyes adatokhoz és a hírlevélküldéshez kapcsolódó engedélykérés mellett külön engedély kérése az Árukereső Megbízható Bolt Programjához kapcsolódó kérdőív kiküldéséhez“: Az első két jelölőnégyzet mellett meg fog jelenni egy harmadik jelölőnégyzet a megrendelőlapon. A jelölőnégyzet kipipálása esetén a vásárló elfogadja, hogy az Árukereső.hu elégedettségi kérdőívet küldjön ki neki a Megbízható Bolt Programhoz kapcsolódóan. A jelölőnégyzetek így fognak kinézni a megrendelőlapon.

(d) “A megrendelés feladása során a személyes adatokhoz és a hírlevélküldéshez kapcsolódó engedélykérés mellett külön elutasító jelölőnégyzet megjelenítése az Árukereső Megbízható Bolt Programjához kapcsolódó kérdőív kiküldéséhez“: A (c) opcióhoz hasonló, azzal a különbséggel, hogy az Árukereső Megbízható Bolt Programjához kapcsolódó jelölőnégyzet kipipálásával a vásárló elutasítja az elégedettségi kérdőív fogadását. (Itt tehát egy olyan harmadik jelölőnégyzetet jelenítünk meg, ami az elutasításhoz kapcsolódik.) A jelölőnégyzetek így fognak kinézni a megrendelőlapon.

(e) “A megrendelés feladása során a személyes adatokhoz kapcsolódó engedélykérés mellett külön engedély kérése az Árukereső Megbízható Bolt Programjához kapcsolódó kérdőív kiküldéséhez”: A (c) opcióval egyezik meg, azzal a különbséggel hogy itt nem jelenik meg a hírlevél-feliratkozáshoz tartozó jelölőnégyzet. A jelölőnégyzetek így fognak kinézni a megrendelőlapon.

(f) “A megrendelés feladása során a személyes adatokhoz kapcsolódó engedélykérés mellett külön elutasító jelölőnégyzet megjelenítése az Árukereső Megbízható Bolt Programjához kapcsolódó kérdőív kiküldéséhez”: A (d) opcióval egyezik meg, azzal a különbséggel hogy itt nem jelenik meg a hírlevél-feliratkozáshoz tartozó jelölőnégyzet. A jelölőnégyzetek így fognak kinézni a megrendelőlapon.

Két további opcióval kibővítve június 29-én:

(g) “A megrendelés feladása során külön elutasító jelölőnégyzet megjelenítése a hírlevelek és az elégedettségi kérdőív kiküldéséhez“: Ebben az esetben két jelölőnégyzet fog megjelenni a kosárban. Az első jelölőnégyzet a személyes adatok feldolgozásához kapcsolódik, ezt kötelező elfogadni. A második jelölőnégyzetet csak akkor kell kipipálni, ha a vásárló nem kíván hírleveleket kapni. Ha a vásárló nem pipálja ki az opciót, akkor az első jelölőnégyzet kipipálásával egyben a hírlevelek fogadásához is hozzájárul. (Ekkor a hírlevelek kiküldésének alapja a jogos érdek lesz.) A jelölőnégyzetek így fognak kinézni a megrendelőlapon.

(h) “A megrendelés feladását követően egy gomb megjelenítése a visszaigazolásról szóló e-mailben, amire kattintva leiratkozhat a hírlevelekről a vásárló“: Ez az opció tűnik a legoptimálisabb megoldásnak, mivel ekkor csak egy jelölőnégyzet fog megjelenni a kosárban a vásárlónak. (Ez a személyes adatok feldolgozásához kapcsolódik, és kötelező elfogadni.) A jelölőnégyzet így fog kinézni a megrendelőlapon.
A megrendelés feladását követően a rendszer által kiküldött visszaigazoló üzenetben meg fog jelenni egy link, amire kattintva a vásárló továbbléphet a webshopba a leiratkozáshoz. Az e-mailben szereplő linkre kattintva a vásárló át lesz irányítva a webáruházba, ahol a linkre való újbóli kattintással jóváhagyhatja a hírlevélről való leiratkozást. A webshopban történő kattintás után fog megtörténni a hírlevélről való leiratkozás, amiről a rendszer értesítő üzenetet is megjelenít. A linkek így fognak megjelenni az e-mailben és a webshopban.
Ha a vásárló később újra próbálkozik a leiratkozással, akkor a rendszer egy értesítő üzenetet fog megjeleníteni számára arról, hogy a leiratkozás már megtörtént. Ha a MailChimp hírlevél-rendszere össze lett kapcsolva a webshoppal, akkor a leiratkozással a MailChimp-es hírlevelekről is le fog iratkozni a vásárló.

Az adattárolás célja – A GDPR előírásai alapján minden adatot valamilyen cél érdekében kell tárolnunk. A rendszerben alapértelmezetten 4 cél található, de lehetőség van további célok hozzáadására is a + ikonra való kattintással.

A megrendelés során beérkező adatok tárolásának célja – A megrendelés során beérkező adatokat értelemszerűen a megrendelések teljesítéséhez szeretnénk felhasználni, tehát válasszuk a listáról a Megrendelés opciót!

A felhasználói regisztráció során beérkező adatok tárolásának célja – A regisztráció során beérkező adatokat valószínűleg marketing célokra fogjuk felhasználni, így a Marketing opció választása javasolt.

A hírlevélre való feliratkozás során beérkező adatok tárolásának célja – A hírlevél-feliratkozás során beérkező adatokat értelemszerűen hírlevelek kiküldésére szeretnénk használni, tehát a Hírlevél opció választása javasolt.

Más – Az egyéb módon beérkező adatokat valószínűleg ahhoz a tevékenységhez használjuk fel, ami miatt bekértük őket, így itt érdemes a Jogos érdek opciót választani.

GDPR / Dokumentumok

Ebben a menüben két dokumentum feltöltése kötelező: fel kell töltenünk a felhasználási és üzleti feltételeket, illetve a személyes adatok védelméhez kapcsolódó dokumentumot. Enélkül nem lehetséges a GDPR aktiválása a webshopban. Új dokumentum hozzáadásához kattintsunk az “Új dokumentum” gombra! A megjelenő oldalon először ki kell választanunk a dokumentum típusát: a felhasználási és üzleti feltételek feltöltésekor válasszuk a Felhasználási és üzleti feltételek opciót, az adatvédelmi tájékoztató feltöltésekor válasszuk a Személyes adatok opciót!

Minden dokumentumtípusból összesen egy dokumentum lehet aktív. Ha az adott típusból (pl. felhasználási és üzleti feltételekből) korábban már feltöltöttünk egy változatot, amit aktívként állítottunk be, és most feltöltünk egy új változatot, és itt szintén kipipáljuk az Aktív opciót, akkor mentés után ez az új dokumentum lesz az aktív változat, és a korábbi változat inaktívvá válik.

A dokumentumok feltöltéséhez ki kell töltenünk a “Rövid verzió”-hoz tartozó mezőt. Addig nem fogja engedni a rendszer a feltöltést, amíg meg nem adunk egy rövid leírást a dokumentumokhoz kapcsolódóan. A személyes adatok védelméhez kapcsolódó dokumentum esetén megtalálunk egy minta szöveget a “Minta tartalom – Személyes adatok” linkre kattintva. Az itt megadott szöveg meg fog jelenni a webáruházban a személyes adatok kezeléséhez kapcsolódó jelölőnégyzetnél. Ha feltöltjük a dokumentum újabb verzióját, akkor az nem írja felül a régi változatot, tehát a korábbi dokumentum nem fog törlődni. Ennek oka, hogy minden felhasználóra azok az adatvédelmi irányelvek és adatfeldolgozási szabályok érvényesek, amik az ő regisztrációjakor/megrendelésekor érvényesek/aktívak voltak. Így nyomon követhető marad, hogy mely felhasználóra mely szabályok érvényesek.

GDPR / Személyes adatok

A menübe való első belépéskor létre kell hoznunk egy adatbázist, amiben a felhasználók személyes adatai kerülnek tárolásra.

Az első oszlopban látható, hogy a GDPR –> Beállítások menüben hány évet adtunk meg az adatok megőrzéséhez. Az adatgyűjtés időpontja kezdetének megadásakor kétféle opció közül választhatunk:

• Az elem valódi létrehozási dátuma: Az adott elem létrehozási időpontjaként az a dátum lesz beállítva, amikor az adat rögzítésre került a rendszerben (pl. a megrendelés beérkezésének dátuma).
• A GDPR adatbázis létrehozási dátuma: Az elemek létrehozási időpontjaként az a dátum lesz beállítva, amikor az adat rögzítésre került a GDPR adatbázisban. (Ha az adatbázist ma hozzuk létre, akkor a korábban beérkezett adatok esetén ez a mai napot jelenti.)

Az opció döntő szerepet játszik abban, hogy mikor kerülnek törlésre az adatok. Az érvényességi időszak az itt beállított dátumtól kezdődően lesz kalkulálva, az időszak lejártát követően az adatok törlődni fognak (ha egyéb előírás ezt nem akadályozza).

Az adatbázis létrehozása után az alábbi módon fog mutatni a menü:

A menüben megjelenik az összes olyan személyes adat, ami a webshopban rögzítésre került (akár a megrendelések során, akár a felhasználói regisztráció alkalmával). A szűrési opciók segítségével rákereshetünk egy adott felhasználóra (név vagy e-mail cím alapján), szűrhetünk a létrehozási dátum alapján, valamint az adatok keletkezésének forrása alapján.

A listában látható az összes személyes adat (név, e-mail cím, cím, telefonszám), az adatok forrása, az adattárolás célja, a rögzítés és a lejárat dátuma, az IP cím, valamint az adatfeldolgozási dokumentum azon verziójának a száma, amely érvényes (aktív) volt az adott adat létrehozási időpontjában. Emellett a ceruza ikonra kattintva módosítani tudjuk az adott felhasználóhoz kapcsolódó adattárolási célt.

GDPR / Információhoz való jog

Szolgáltatóként Ön köteles a felhasználó kifejezett kérése esetén rendelkezésre bocsátani a felhasználóhoz kapcsolódó összes személyes adatot. Ezek a gyakorlatban regisztráció és a megrendelés során megadott és rögzített adatokat jelentik. Az adatokat a kérés beérkezésétől számított maximum 30 napon belül rendelkezésre kell bocsátani. Az adatok formátuma nincs előre meghatározva. Ebben a menüben egyszerűen lekérdezhetők az adatok. Először adjuk meg a felhasználó e-mail címét a felső mezőben:

Ezután meg fog jelenni a listában az adott felhasználóról tárolt összes adat, beleértve a megrendelések adatait. A lekérdezett adatokból PDF fájlt lehet generálni az “Exportálás PDF-be” gombra kattintva. A lekérdezett fájlt ezután e-mailben tudjuk kiküldeni a felhasználónak.

GDPR / Információ hordozhatósága

A felhasználó kérheti azt, hogy az adatai át legyenek hordozva egy másik adatkezelőhöz. Ehhez szükség van arra, hogy az adatok kinyerhetők legyenek egy másik fél által is olvasható formátumban. A menüben található funkciók működésüket tekintve megegyeznek az Információhoz való jog menüben található funkciókkal, azzal a különbséggel, hogy itt a fájl nem PDF, hanem CSV formátumban jön létre. Illetve a másik menüvel ellentétben itt 2 fájl jön létre: egy a személyes adatokról, egy pedig a megrendelés adatairól. A létrejövő CSV fájlokban szereplő adatok beolvashatók más rendszerek által is.

GDPR / Törléshez való jog

Szolgáltatóként Ön köteles a felhasználó kifejezett kérése esetén törölni a felhasználó összes olyan személyes adatát, aminek kezelését a felhasználó korábban jóváhagyta. Ez a kötelezettség azonban nem vonatkozik azokra az adatokra, amiket törvényi előírás miatt (garancia, számlázás, archiválás stb. céljából) hosszabb ideig meg kell őrizni . A megőrzési kötelezettség a megrendeléshez kapcsolódó adatokra vonatkozik. A megrendelési adatok nem törölhetők, törlési kísérlet esetén a rendszer értesít minket erről. A rendőrség például 10 évvel később is igényelhet tőlünk az egyes megrendelésekhez kapcsolódó adatokat, emiatt ezek az adatok még külön kérés esetén sem törölhetők a rendszerből. A felhasználói regisztráció során megadott adatokat azonban nem kötelező megőrizni, tehát külön kérés esetén ezek törölhetők, pontosabban törlendők. Az Adatok törlése gombra kattintva a felhasználói regisztráció során megadott adatok véglegesen törölve lesznek a rendszerből.