Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Az Általános Adatvédelmi Rendelet (GDPR) 2018. május 25-én kezdődő kötelező alkalmazása jó lehetőség arra, hogy az adatkezelők felmérjék a webshop-ok kapcsán jelentkező adatvédelmi jogi szempontokat, és ha szükséges, felülvizsgálják az eddigiekben követett gyakorlatukat. Ugyanakkor látni kell, hogy a terület több olyan nehézséget és potenciális buktatót tartogat, amelyek első ránézésre nem magától értetődők.
A téma jellegéből fakadóan ez a cikk kizárólag azokkal az esetekkel foglalkozik, amikor magánszemélyek vásárolnak webshop használatával és ennek kapcsán személyes adatok kezelése történik.
Ez azonban rögtön fel is veti az első kérdést, tudniillik, hogy az Általános Adatvédelmi Rendelet (General Data Protection Regulation – azaz: GDPR) hatálya egyáltalán a webshop-ok mely csoportjára terjed ki. Ennek a kérdésnek a megválaszolásához szükséges a kérdéses webshop célközönségének ismerete.
A GDPR területi hatálya kapcsán az egyik szembetűnő sajátosság az extraterritoriális jelleg. Ez a gyakorlatban azt jelenti, hogy a GDPR szabályai nem csak az Európai Unióban (EU) végbemenő adatkezelésekre alkalmazandók, hanem olyan esetekre is, amikor az adatkezelő az EU-ban ugyan nem rendelkezik székhellyel vagy telephellyel, azonban árukat vagy szolgáltatásokat kínál az EU-ban tartózkodó érintettek számára. Minden vásárló ugyanis érintett, így adataik kezelésére a webshop-nak alkalmaznia kell a GDPR szabályrendszerét.
Egy webshop esetében milyen módon állapítható meg, hogy az EU-ban tartózkodó magánszemélyek vajon a célközönségét képezik-e? A kérdés megválaszolása eseti vizsgálatot igényel, amely során több körülményt (pl. a webshop nyelve, megfogalmazása, a termékek jellege, a feltüntetett valuták, stb.) is elemezni kell. Ha a vizsgálat eredménye az, hogy a webshop célközönségének tekinti az EU-ban tartózkodó magánszemélyeket (is), akkor arra a következtetésre juthatunk, hogy a GDPR szabályai számon kérhetők a webshop-on, illetve a mögötte álló adatkezelőn.
Gyakorlati példával élve: a sportrajongók viszonylag gyakran keresnek fel egy, az Amerikai Egyesült Államokban nagy népszerűségnek örvendő és nálunk is egyre népszerűbb sportághoz kapcsolódó weboldalt, ideértve az ahhoz tartozó webshop-ot is. A webshop kialakítása és nyelvezete – különös tekintettel arra, hogy kifejezetten nevesíti az európai rajongókat – arra enged következtetni, hogy az amerikai törzsközönség mellett a webshop potenciális vásárlóként tekint a sportág európai kedvelőire is. Szintén árulkodó jel, hogy a webshop külön „európai” verzióval is rendelkezik, amelyben az árak amerikai dollár helyett angol fontban vannak feltüntetve. Ebben az esetben tehát nagy valószínűséggel állítható, hogy a webshop az EU területén tartózkodó magánszemélyeket is célközönségének tekinti, ennek megfelelően kiterjed rá a GDPR hatálya, még akkor is, ha üzemeltetése teljes egészében az USA-hoz kötődik.
Szintén alapvető kérdés a webshop-okkal kapcsolatos adatkezelések célja. A legfontosabbakra szorítkozva, ezekből jellemzően kétféle jelenik meg: az egyik értelemszerűen a webshop-ban kínált termékek értékesítéséhez kapcsolódó adatkezelési cél, a másik a marketing célzatú adatkezelés (hírlevél küldés, vásárlás utólagos értékelése, fogyasztói kosár kialakítása, profilalkotás stb.).
Az adatkezelések jogszerűségéhez alapvetően négy feltétel teljesítése szükséges: világosan meghatározott cél, megfelelő jogalap, kellően részletes tájékoztatás az érintett magánszemélyek részére és az érintettek jogainak megfelelő biztosítása. A cél kellően pontos meghatározásán túl tehát különös hangsúlyt kell fektetni az adatkezelés jogalapjára annak érdekében, hogy a potenciális ballépéseket elkerüljük. Például, ha a webshop használata az érintett hozzájárulásán alapul (márpedig jellemzően ez a helyzet), akkor a hozzájárulás önkéntességének biztosítása alapvető követelmény. Már a GDPR-t megelőző szabályozás alapján is igaz, de a GDPR kapcsán még fontosabb, hogy a fő szolgáltatás (jelen esetben a webshop igénybevétele) nyújtásának feltétele nem lehet egyéb adatkezelésekhez (jellemzően marketing) történő hozzájárulás. A webshop-ba történő regisztrációkor, illetve rendeléskor az érintett szabadon dönthessen arról, hogy a fő adatkezeléshez történő hozzájárulása mellett kíván-e például hírlevelet is kapni a webshop-tól. Ha adott termék megrendelésére csak olyan módon van lehetősége, ha „beikszeli” a marketing célú adatkezeléshez történő hozzájárulást, úgy sérül az önkéntesség követelménye, hiszen az adatkezelő lényegében kikényszerítette a marketing célú adatkezeléshez történő hozzájárulást.
Az Általános Adatvédelmi Rendelet kötelező alkalmazása jó lehetőség arra, hogy az adatkezelők felmérjék a webshop-ok kapcsán jelentkező adatvédelmi szempontokat, és felülvizsgálják az eddigiekben követett gyakorlatukat
Ugyanakkor a GDPR az adatkezelés lehetséges jogalapjai tekintetében a jelenlegitől részben eltérő szabályokat tartalmaz. Ezért minden esetben vizsgálandó, hogy hozzájárulás helyett nem inkább például a szerződés megkötését és annak előkészítését kell-e adatkezelési jogalapnak tekinteni a webshop esetében. A jogalap pontos meghatározása azért is kulcskérdés, mert egy, a vásárlók számára félrevezető jogalap megjelölése (pl. hozzájárulás kérése, miközben a hozzájárulás nem önkéntes, hiszen nélküle nem vehető igénybe a szolgáltatás) önmagában már jogsértést valósít meg.
Vizsgálni kell továbbá azt is, hogy az adatkezeléssel kapcsolatos tájékoztatást az érintett pontosan mikor és milyen formában kapja meg. E körben érdemes utalni arra, hogy a szükségtelenül hosszú és sok esetben még jogászok által is nehezen értelmezhető tájékoztatók ideje lejárt. Az ilyen jellegű tájékoztatás ugyanis aligha egyeztethető össze a GDPR által megfogalmazott átlátható tájékoztatás és kommunikáció követelményével.
Ügyelni kell továbbá az olyan új elvárásokra is, mint a „privacy by design and default”, azaz „beépített és alapértelmezett adatvédelem”. E szerint az adatkezelő gyakorlata nem merülhet ki abban, hogy formálisan megfelel a GDPR-nek, mert a teljes működését olyan módon kell kialakítania, hogy az adatvédelmi szempontokat már az egyes működési fázisok (pl. belépés a webshop-ba, vásárlás stb.) megtervezésekor figyelembe veszi, és azokat beépíti. Ebből és az elszámoltathatóság alapelvéből is következően nem elégséges egy adatkezelési tájékoztató weblapra történő feltöltésével „letudni” az adatvédelmi megfelelőséget, az adatkezelőnek tudnia kell demonstrálni, hogy a tájékoztatóban foglaltak a gyakorlatában is megvalósulnak.
Ehhez kapcsolódik egy további követelmény: hangsúlyt kell fektetni arra, hogy ha az érintett valamely, az adatkezeléshez kapcsolódó jogát érvényesíteni akarja (pl. tiltakozik az adatkezelés ellen), úgy erre milyen keretek között van lehetősége. Egészen biztos, hogy e körben új mechanizmusok kidolgozására is szükség lesz a webshop részéről, hiszen a GDPR több olyan érintetti jogot is biztosít, amelyet a hatályos adatvédelmi szabályozás még nem tartalmaz. Emellett a fogyasztók adatvédelmi tudatosságának növekedésével érdemes lesz felkészülni az ilyen jellegű igények tömeges kezelésére, főként a jelentős forgalmat lebonyolító webshop-ok esetében.
Számos webshop alkalmaz valamely profilalkotó algoritmust a vásárlói csoportok szegmentálása és ilyen módon célzott marketing megvalósítása érdekében. Ezért különös jelentőséggel bír az automatikus profilalkotásról történő tájékoztatás, valamint az arra való felkészülés. Fontos, hogy az érintett vásárlót nem csupán a profilalkotás tényéről, hanem az alkalmazott módszerről és az érintettre gyakorolt hatásáról is tájékoztatni kell. Bármennyire hatékony eszköz lehet tehát a marketing kezében a profilalkotás, az nem csak előnyökkel, hanem jelentős kötelezettségekkel is párosul.
[htmlbox eu_jog_alkalmazasa]Már-már klasszikus probléma a webshop-ok üzemeltetése kapcsán az adatfeldolgozó igénybevétele. Lényegében minden webshop-ra igaz, hogy valamilyen formában adatfeldolgozót vesz igénybe (tipikusan IT-szolgáltató és/vagy a kiszállítást végző partner). Tekintettel arra, hogy a GDPR az adatkezelő-adatfeldolgozó viszonylatban számos új követelményt tartalmaz, indokolt az adatfeldolgozókkal fennálló szerződések felülvizsgálata. Ebben a körben különös tekintettel kell lenni az adatkezelő utasítási és auditálási jogkörének pontos tisztázására, valamint arra, hogy mi történik az adatokkal az adatfeldolgozási jogviszony végén. Nem mehetünk el szó nélkül amellett sem, hogy az adatfeldolgozó felelősségi köre lényegesen szélesebb lesz a GDPR alapján, mint a jelenlegi szabályozás szerint. Az érintettek ugyanis közvetlenül is érvényesíthetik igényeiket az adatfeldolgozóval szemben. Az adatfeldolgozó ilyen értelemben tehát kilép az adatkezelő árnyékából, azonban az adatfeldolgozó önálló felelőssége nem mentesíti az adatkezelőt a saját felelőssége alól. A legfontosabb e körben az, hogy egy rosszul megírt szerződés esetén mind az adatkezelő, mind az adatfeldolgozó könnyen szembe találhatja magát a felügyeleti hatóság szankcióival, vagy a vásárlói (pl. sérelemdíj iránti) igényekkel.
Az adatfeldolgozói problematikához kapcsolódnak a fizetéssel kapcsolatos kérdések is. Egyes webshop-ok esetében a bankkártyás fizetéseket nem maga a webshop, hanem egy külsős, biztonságos felületet üzemeltető szolgáltató bonyolítja le. Minden esetben vizsgálandó, hogy ilyenkor adatfeldolgozás, esetleg közös adatkezelés valósul-e meg. Mivel egy fizetéshez kapcsolódó adatvédelmi incidensnek az érintettek jogaira és szabadságaira igen nagy hatása lehet (pl. hackertámadás a fizetési felület ellen), a nem kellően körültekintően kialakított adatkezelési feltételek súlyos következményekhez vezethetnek. A GDPR-ben nevesített szankciók, így különösen a 20 millió eurónak, vagy a teljes éves világpiaci forgalom 4 százalékát kitevő összegnek megfelelő bírságmaximum a jogalkotó reményei szerint kellő ösztönzést jelentenek majd.
A szerző adatvédelmi és adatbiztonsági szakjogász
Réti, Antall, Várszegi és Társai Ügyvédi Iroda PwC Legal
http://www.retiantallpartners.hu/
