Komoly kihívás lesz a webáruházaknak a május 25-től alkalmazandó Általános adatvédelmi rendelet (GDPR) rendelkezéseinek való megfelelés, főleg azzal a ténnyel, hogy közel 300-szorosára növekszik ezután a kiszabható maximális adatvédelmi bírság tétele. 9 pontban foglaltuk össze a webshopok tennivalóit, fő feladatait a GDPR-ral kapcsolatban. 2. rész
5. ADATFELDOLGOZÓI SZERZŐDÉSEK KÖTÉSE
Ha eddig nem, most itt az ideje, hogy szerződésben szabályozza a webáruház a vele kapcsolatban álló adatfeldolgozók (tárhely-szolgáltató, futár, könyvelő stb.) adatvédelemmel kapcsolatos feladatait. Az adatfeldolgozói szerződésnek tartalmaznia kell az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint a felek kötelezettségeit és jogait.
A webáruház az adatfeldolgozó tevékenységéért felelősséggel tartozik: ha az adatkezelést a webshop nevében más végzi, a webshop kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés a rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
6. NYILVÁNTARTÁS VEZETÉSE
A rendelet értelmében az adatkezelő és adatfeldolgozó és – ha van ilyen – a webshop/adatfeldolgozó képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. A nyilvántartás-vezetési kötelezettségek nem vonatkoznak a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve,
• ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár,
• ha az adatkezelés nem alkalmi jellegű, vagy
• ha az adatkezelés kiterjed a személyes adatok különleges kategóriáinak vagy büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére.
Egy webshop esetén nem alkalmi jellegű az adatkezelés, így kötelező lesz minden webáruház számára jövőben nyilvántartást vezetni, a rendeletben meghatározott adatokkal, felépítéssel.
7. ADATBIZTONSÁG
A GDPR előírja, hogy a webshopnak és az adatfeldolgozónak is – a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével – megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. Ennek megfelelően szükséges a webáruházak informatikai, adatbiztonsági rendszerének felülvizsgálata, és annak folyamatos fejlesztése.
8. GYORS INTÉZKEDÉS
A webshopnak indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül kell tájékoztatnia az érintettet a jogai érvényesítésével kapcsolatos intézkedésekről.
Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható.
Ha a webshop nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be az adatvédelmi hatóságnál, és élhet bírósági jogorvoslati jogával.
9. ADATKEZELÉS A WEBSHOPOT ÜZEMELTETŐ CÉGEN BELÜL
Megfelelve a beépített adatvédelem (privacy by design) követelményének, nem csak formálisan, hanem belső folyamataikban is meg kell felelniük a webshopoknak a GDPR előírásainak. Ennek keretében szükséges a belső adatvédelmi szabályzatok elkészítése. Szükséges rögzíteni az egyes rendszerekhez, nyilvántartásokhoz való jogosultságok, feladatok kezelését, az adatbiztonsági követelményeket, illetve az ennek való megfelelést, továbbá az adatvédelmi incidensek kezelésének szabályait, folyamatát.