ADATVÉDELEM A WEBSHOP KOSÁRBAN

E dolgozat a Bird & Bird, az Új Jogtár és az Arsboni által meghirdetett 2018. évi Cikkíró Pályázat keretében született.
Szerző: Szalkai András

A GDPR hatása az online vásárlásainkra

Az elmúlt hónapokban és hetekben viharos gyorsasággal söpört végig az interneten az alábbi négy betű: GDPR. Az Általános Adatvédelmi Rendelet nem újdonság, már több mint két éve megszületett a végleges szövege, igaz a szabályozás csak 2018. május 25-óta alkalmazandó kötelezően. A hatálya alá tartozó adatkezelők és adatfeldolgozók közül, beleértve a webshopokat üzemeltető cégeket is, sokan az utolsó pillanatra hagyták a Rendeletnek való megfelelést, a szükséges jogi és informatikai lépések megtételét. Számos szakmai felkészítő napot és képzést tartottak a témában, az adatvédelemmel foglalkozó ügyvédi irodáknak pedig bőven akadt dolguk az elmúlt hónapokban. Az internetes postaládák megteltek olyan levelekkel, melyben a hírlevélre való feliratkozás megerősítését kérik a kedves vásárlótól, a jövőben ugyanis – a korábbi gyakorlattól eltérően – tilos a vásárlás során alkalmazott kapcsolt marketingtevékenység a webshopok részéről. De milyen változásokat jelent a fogyasztókra nézve a GDPR az online vásárlások során? Mennyiben változik meg egy internetes vásárlás? Egyáltalán befolyásolja-e a fogyasztói szokásokat ha egy vállalkozás megfelel a GDPR által támasztott szigorúbb, de mindenképpen szükséges feltételeknek?

A TÉMA AKTUALITÁSA

Napjainkban az online kereskedelmi ágazat rohamos mértékben növekszik, a fogyasztók könnyebben, egyszerűbben és gyorsabban vásárolhatnak az interneten mint a hagyományos vásárlások során. Nincs sorban állás, nincs ügyetlenkedő pénztáros vagy egyéb kellemetlenség. A fogyasztók megfelelő védelme és a fogyasztói bizalom erősítése kiemelt fontosságú az online vásárlások alatt. Az Áltános Adatvédelmi Rendelelet számos új elemet tartalmaz a vállalkozók és fogyasztók közötti kapcsolat szabályozására. Ki gondolná, hogy az online vásárlásunk során mennyi feltételnek kell megfelelnie a webshopot üzemeltető cégnek. Napjainkban amikor az „adat az új olaj”, kiemelt jelentőséggel bír, hogy a vásárlás során megadott személyes adatainkat megfelelően kezeljék. Vásárlóként pedig az egyik legfontosabb jogunk, hogy szabadon dönthessünk arról, hogy megadjuk-e a hozzájárulásunkat az adataink kezeléséhez, elemzéséhez, vásárlói profilalkotáshoz, vagy egy egyszerű hírlevélhez ami bizonyos időközönként a postafiókunkban landol.

FOGALMAK MEGHATÁROZÁSA

Legelőször nem árt tisztázni az alapvető fogalmakat. A jogászi műgondossággal megadott törvényi definíciók helyett egyszerűbben, érthetőbben kívánom röviden kifejteni a Rendelet adta legfontosabb fogalmakat.

Karrier Kávézz velünk!

Alakítsd karriered ingyenes tanácsadásunk során!

1. Adatkezelő és adatfeldolgozó

Adatkezelő olyan természetes vagy jogi személy aki/amely a személyes adatok kezelése során annak céljait és eszközeit önállóan meghatározza, tehát a tevékenysége kifejtése során kezeli a személyes adatokat.
Ezzel ellentétben az adatfeldolgozó olyan természetes vagy jogi személy aki/amely az adatkezelő nevében személyes adatot kezel.

Egy példával megvilágítva, adatkezelőnek minősül egy webshop üzemeltetője akinek az oldalán a megrendeléshez szükséges személyes adatokat a vásárló megadja. A rendelés fizetése azonban rendszerint egy bank személyes felületén történik, így ez a pénzügyi szolgáltatást nyújtó fél – amennyiben a felületén nem kell személyes adatokat megadni, csupán jóváhagyni – adatfeldolgozónak minősül. Azonban ha a vásárlónak a banki felületen kell megadnia a személyes adatait – beleértve a bankkártya adatait is – ez már együttes adatkezelésnek minősülhet. Az adatkezelők és adatfeldolgozók felelőssége eltérő, érdemes tehát odafigyelni, hogy egyes kereskedelmi gyakorlatoknál ki és mikor minősül adatkezelőnek illetve adatfeldolgozónak.

2. Személyes adat

Lényegében bármilyen információ ami alapján a vásárló azonosítható, személyes adatnak minősül, legyen az név, szám, helymeghatározó adat vagy online azonosító amely alkalmas közvetlen vagy közvetett módon a természetes személy azonosítására.

Így személyes adatnak minősülhet egy lábbeli online rendelése esetén a talpunk mérete, egy internetes fiók létrehozásakor a felhasználónevünk vagy egy e-mail fiók regisztrálása során a legmagasabb iskolai végzettségre adott válaszunk is.

A személyes adatok megfelelő tárolásának egyik módja az ún. álnevesítés melynek során a adatkezelők és adatfeldolgozók további azonosításra alkalmatlan módon kezelik a személyes adatokat. Ez az adatok védelmének egyik magas szintű eszköze.

3. Extraterritoriális hatály

A Rendelet egyik legfontosabb eleme a területi hatály kérdése. A Európai Unióban tevékenységi hellyel rendelkező adatkezelőkön és adatfeldolgozókon kívül a Rendelet szabályai vonatkoznak azokra az Európai Unióban tevékenységi hellyel nem rendelkező adatkezelőkre vagy adatfeldolgozókra is, akik az Európai Unióban tartózkodó érintettek személyes adatait kezelik. További feltétel, hogy az adatkezelés vagy az adatfeldolgozás az áruk illetve szolgáltatások – akár ingyenes – nyújtásához kapcsolódjon, vagy az érintettek Európai Unió területén tanúsított viselkedésük megfigyelésekor valósuljon meg.

Egy amerikai cég által üzemeltetett webshop, melynek felületén külön európai vásárlók számára létrehozott fül segíti a fogyasztókat, az ár euróban történő feltüntetése, a szállítási feltételek vagy egyéb információk alapján, kétség kívül a Rendelet hatálya alá tartozik.
Ugyancsak egyszerű eldönteni ezt a kérdést, ha egy kínai vállalkozó honlapja az adott európai ország nyelvén elérhető, illetve a webshop felülete használható.

Nehezebb kérdés viszont annak megállapítása, hogy mikor minősülhet a vásárló az Európai Unió területén tartózkodónak. Szükséges-e a huzamosabb tartózkodás, vagy egy rövid európai út során, az Európából megrendelt, de nem európai uniós államba kézbesített termék vagy szolgáltatás a Rendelet hatálya alá tartozik-e. Ha igen, akkor ennek időbeli korlátja pontosan meghatározható-e, korlátozódhat-e az alkalmazhatóság az európai tartózkodás tartamára.

A WEBSHOPOKAT ÉRINTŐ LÉNYEGES VÁLTOZÁSOK

A webshopok GDPR-nak való megfelelése komoly feladatnak tűnhet, az eddigi vállalkozói gyakorlatot drasztikus átalakításokra készteti.
A jogszerű adatkezelés négy feltételének ( világosan meghatározott cél, megfelelő jogalap, kellő tájékoztatás az érintettek részére, az érintettek jogainak megfelelő biztosítása) való megfelelést jelenti a bevezetőben említett kapcsolt marketingtevékenység, mint kereskedelmi gyakorlat megváltoztatása.

A webshop üzemeltetője nem teheti a regisztráció vagy vásárlás során kötelezővé a hírlevélre történő feliratkozást, a vásárló szabadon dönthet arról, hogy szeretne-e hírlevelet kapni, illetve milyen adatkezelési tevékenységhez járul hozzá. A hírlevélre történő feliratkozásnak minden esetben külön jelölőnégyzetet kell biztosítani, amit a vásárlónak kell kipipálnia, ez nem lehet automatikus. Biztosítani kell továbbá a hírlevélről való leiratkozás lehetőségét, az addig kezelt személyes adatok törlése mellett.

A kötelezően előírt adatvédelmi tájékoztatónak el kell különülnie az ÁSZF-től és jól látható helyen szükséges elhelyezni a weboldalon, valamint egyértelműnek és könnyen érthetőnek kell lennie. A tájékoztatónak tartalmaznia kell az adatkezeléshez kért hozzájárulásokat, mely adatokat kezelnek jogszabály és melyeket jogos érdek alapján. Továbbá tartalmaznia kell az adatkezeléshez kapcsolódó jogok érvényesítésének módját is. A tájékoztató elfogadására külön jelölőnégyzetet kell létrehozni, ez sem lehet automatikus. Fontos, hogy az adatvédelmi feltételek elérhetőek legyenek a vásárlási űrlapról akár egy kapcsolt link vagy letöltési funkció segítségével.

A vásárlás során megadott személyes adatok kezeléséhez külön hozzájárulás szükséges, további hozzájárulás hiányában a vásárlás során megadott adatokat az ügylet lebonyolítása után törölni kell. Az ügylet végét pedig szintén az adatvédelmi tájékoztatóban kell megjelölni, mely általában a termék kézhez vételét, az ingyenes visszaküldési időszak vagy a garanciális időszak végét jelenti.

Mindezek mellett számos egyéb feltételnek kell megfelelniük a webshopot üzemeltető vállalkozásoknak.

Adatkezelési nyilvántartást kell vezetniük a felhasznált személyes adatokról, azok időtartamáról, céljáról, jogalapjáról, ezek törlésének kérelméről.
Különleges adatok kezelése (pl.: faji vagy etnikai származás, politikai vélemény, vallási meggyőződés, szakszervezeti tagság), tömeges adatkezelés vagy tömeges érintettek szisztematikus megfigyelése, profilalkotása esetén illetve magas kockázattal járó adatkezelés, kockázatot jelentő új technológia alkalmazása során kötelező az adatvédelmi hatásvizsgálat elvégzése. Bizonyos esetekben pedig külön adatvédelmi tisztviselő alkalmazását írja elő a Rendelet.

Egy esetleges adatvédelmi jogsértés ún. adatvédelmi incidens esetén az adatkezelőnek késedelem nélkül, legkésőbb 3 nappal a tudomására jutás után meg kell tennie a belejentést a felügyeleti hatóságnak. A bejelentés indokolt esetben, igazolás benyújtása mellett 3 napon túl is megtehető.
Az adatfeldolgozó a tudomásszerzést követően késedelem nélkül köteles bejelenteni az adatvédelmi incidenst az adatkezelőnek.

A bejelentésnek tartalmaznia kell az adatvédelmi incidens jellegét, az adatvédelmi tisztviselő nevét és elérhetőségét, egyéb kapcsolattartásra jogosult személy nevét és elérhetőségét, ismertetni kell az incidensből következtethető tényeket és az adatkezelő által tett vagy tervezett intézkedéseket. Az adatkezelőnek az adatvédelmi incidensekről nyilvántartást kell vezetnie.
A bejelentés mellőzhető ha az adatvédelmi incidens nem jár kockázattal az érintett személy jogaira és szabadságára nézve.

AZ ÁLTALÁNOS ADATVÉDELMI RENDELET SZANKCIÓI

Az előzőekben kifejtett adatvédelmi szempontból fontos szabályok nem lennének kellőképpen biztosítottak, ha nincs meg a megfelelő visszatartó erő. A jogszabály betartása érdekében gigászi méretű adatvédelmi bírságra számíthatnak a nem megfelelően működő webshopokat üzemeltető cégek.
A Rendelet értelmében a maximálisan kiszabható közigazgatási bírság 20 000 000 EUR vagy a teljes évi világpiaci forgalom 4%-a, attól függően, hogy melyik összeg a nagyobb.

Magyarországon a bírság kiszabására a Nemzeti Adatvédelmi és Információszabadság Hatóság jogosult. A NAIH állásfoglalása alapján a vállalkozások egyelőre figyelmeztetésre számíthatnak, ha nem felelnek meg a jogszabályban foglaltaknak, később pedig a jogsértés mértéke, súlya, gyakorisága, az okozott kár és a szándékos vagy gondatlan magatartás fogja meghatározni a bírság összegét.

GDPR AZ ÁTLAGFOGYASZTÓ SZEMÉVEL

Az új, egységesnek mondható szabályozás ígéretes és számos ponton biztosítja a fogyasztók jogainak védelmét, a személyes adataik felhasználásának szigorú feltételei által.

A kérdés, hogy az átlagos fogyasztót mennyiben befolyásolja, hogy egy adott weboldal megfelel-e a Rendeletben foglaltaknak. A jogsértő adatkezelés elfogadására nincs kipipálandó jelölőnégyzet, ezzel a felhasználó csak egy esetleges negatív élmény során találkozik. Mennyire vásárolunk tudatosan az online barangolásaink során? Nem jelent-e csupán még több kipipálandó területet az új szabályozás? Ki az aki elolvassa az adatvédelmi tájékoztatót és az ÁSZF-et online rendeléskor?

Egy biztos, egy internetes termék vagy szolgáltatás nem attól lesz vonzó, ha a webes felület „GDPR kompatibilis”. Az átlagos fogyasztó nem eszerint mérlegel, sokkal fontosabb maga a termék minősége, annak ára és a szállítás feltételei. Persze a garanciális szabályokról való megfelelő tájékoztatás, a kellemetlen marketingtartalmak és kötelező regisztráció által okozott kellemetlenségek csökkenése hozzájárulnak a vásárlói bizalom erősítéséhez, a pozitív fogyasztói élmény növeléséhez. Ha a vásárló elégedett és komfortosan érzi magát az adott webshop felületén, nem fél a személyes adataival való visszaéléstől és felkészültnek érzi a weboldalt egy esetleges kibertámadás vagy adathalászat esetén akkor nem érzi veszélyben magát, boldogan barangol és böngész, használja bankkártyáját, adja meg adatait, csak nehogy elfelejtsen kijelentkezni a felhasználói fiókjából.

A GDPR tehát megadja a jogi védőhálót a vásárlók számára azzal, hogy kötelezi a weboldalt üzemeltető vállalkozásokat a szigorúbb szabályok betartására, Damoklész kardjaként lebegtetve meg a hatalmas összegű adatvédelmi bírságot.
A jövőben viszont az ágazat csak úgy érhet el tartós növekedést, ha a fogyasztókban kialakul a tudatos online vásárlási mechanizmus, ahol a vásárlók nem adják meg felelőtlenül személyes adataikat, nem hisznek el mindent amit az internetes oldalakon olvasnak és tisztában vannak az internetes vásárlás során az őket megillető jogaikkal.

ÖSSZEGZÉS

Véleményem szerint az Általános Adatvédelmi Rendelet nem fogja drasztikusan átalakítani online vásárlási szokásainkat.
Egyszerűbb, jobban átlátható felületek, egy-két plusz jelölőnégyzet, könnyebben elérhető tájékoztatás. Röviden összefoglalva, így fogja érinteni egy átlagos fogyasztó mindennapi online vásárlásait.

Ellenben csökkenés várható a folyamatosan trükköző online webes felületek számát illetően. Az adatainkat hozzájárulásunk nélkül eladó vállalkozások, ha jogellenes tevékenységeikre fény derül hatalmas bírságra számíthatnak.

Összességében a Rendeletnek az ágazatra gyakorolt pozitív hatásai vitathatatlanok, a szabályozás már időszerű volt. Az online szegmens hypersebességű fejlődésére a jognak reagálnia kell. Mennyire lesz időtálló a szabályozás a percenként fejlődő online térben? Ennek megválaszolása még várat magára.

Az IT szektor fejlődése a jog fejlődésére is kihat. Új jogi fogalmak megalkotását teszik szükségessé, a piac pedig az adatvédelmi jogban jártas jogászok munkáját követeli meg. A jövőben sokkal nagyobb hangsúlyt fog kapni személyes adataink védelme mint korábban. Az internetes vásárlásaink során tehát alapvető bevásárlási cikként mindig ott kell(ene) lapulnia kosarunkban a GDPR valamelyik szeletének.

Szalkai András

Források, felhasznált irodalom
1. https://eur-lex.europa.eu/legal-content/HU/TXT/?uri=CELEX%3A32016R0679
2. https://www.naih.hu/
3. https://www.eugdpr.org/
4. https://jogaszvilag.hu/rovatok/szakma/gdpr-adatvedelem-a-jog-tukreben
5. https://jogaszvilag.hu/rovatok/szakma/webshop-ok-es-a-gdpr-teendok-es-buktatok
6. https://www.forbes.com/sites/quora/2018/02/14/what-is-general-data-protection-regulation/#3766594262dd
7. https://www.webaruhazkeszitesarak.hu/hir/gdpr-az-eu-uj-adatvedelmi-rendelete-webaruhazak-szamara
8. https://piacesprofit.hu/kkv_cegblog/gdpr-sok-tennivaloja-lesz-a-webshopoknak/
9. https://www.portfolio.hu/vallalatok/it/eljott-az-uj-vilag-mostantol-kincskent-orzik-az-osszes-adatunkat.286632.html
10. https://www.shoprenter.hu/blog/a-webshopok-es-a-gdpr
11. http://www.ecommerce.hu/gdpr_kisokos.html
12. http://gdpr.blog.hu/2018/05/25/elkezdodott_796

Tetszett a cikk? Szavazz rá a lenti alkalmazásban!

[shortstack smart_url='[shortstack smart_url=’https://1.shortstack.com/pJ14Jh’ responsive=’true’ autoscroll_p=’true’]

***

Ha nem szeretnél lemaradni a további írásainkról, kövesd az Ars Bonit a facebookon.

MEGOSZTÁS