Európai Unió Marketplace IntegrációEurópai Unió E-Kereskedelmi CsomagokEurópai Unió Vállalati WeboldalEurópai Unió Egyedi SzoftverEurópai Unió CégalapításEurópai Unió Fulfillment KözpontEurópai Unió TermékraktározásEurópai Unió Mobilalkalmazás Fejlesztés
Bejelentkezés
Európa · Cégalapítás

Teljes 2026-os GDPR útmutató: 2016/679 rendelet, TCF v2.2 sütihozzájárulás, DPO-kritériumok, érintetti jogok, 72 órás incidens, 20M€/4% bírság.

🇪🇺 Teljes uniós GDPR-megfelelési útmutató — 2026-os kiadás

GDPR-megfelelés e-kereskedelmi vállalkozásoknak 2026: Teljes útmutató uniós online eladóknak

Nyolc évvel azután, hogy a GDPR 2018. május 25-én hatályba lépett, a 2016/679/EU rendelet továbbra is a világ legszigorúbb és leginkább érvényesített adatvédelmi törvénye — és minden uniós e-kereskedelmi eladó legnagyobb megfelelési tétele. A nemzeti felügyeleti hatóságok 2026-ig összesen több mint 5,5 milliárd euró bírságot szabtak ki, egyes büntetések elérték az 1,2 milliárd eurót is. Ez az útmutató végigvezet azon a tíz dolgon, amit minden uniós online eladónak helyesen kell csinálnia 2026-ban: a TCF v2.2 sütikezelési hozzájárulási keretrendszer, a 13. cikk szerinti megfelelő adatvédelmi tájékoztató, mikor van szükség DPO-ra, a nyolc érintetti jog, a 72 órás incidensbejelentési határidő, a Schrems II utáni általános szerződési feltételek, a küszöbön álló ePrivacy rendelet hatása, akár 20 millió eurós vagy a globális árbevétel 4%-ának megfelelő bírságok, valamint egy 12 pontos GDPR-ellenőrzőlista, amely illeszkedik egy több piactéren jelen lévő katalógus napi működéséhez.

✓ 2016/679-ös rendelet feltérképezve ✓ TCF v2.2 sütikezelési hozzájárulás ✓ Schrems II + 2021-es SCC-k ✓ Nemzeti adatvédelmi hatóságok (CNIL, AEPD, Garante, BfDI)
zunapro.com/panel/eu/gdpr
GDPR Hub Megfelelő
Hatósági lefedettség 30/30 EGT
Nyitott érintetti kérelem
14
↓ 22% havi
Átlagos SLA
6,4 nap
30 napon belül
Sütik
TCF 2.2
✓ aktív
Elmúlt 7 nap · Érintetti kérelmek 42 lezárva↑ 31%
HKSzeCsPSzoMa
Legutóbbi érintetti kérelmek Élő
#DSR-58271 15. cikk — Hozzáférési kérelem (FR) Felülvizsgálat alatt
#DSR-58270 17. cikk — Törlés (DE) Folyamatban
#DSR-58269 20. cikk — Adathordozhatóság (ES) Lezárva
Adatvédelmi szinkron aktív · utolsó audit 2 mp-e · SCC + TIA készen áll
5,5 Mrd €+
Kumulált GDPR-bírságok (2026-ig)
1,2 Mrd €
Legnagyobb egyedi bírság (Meta IE, 2023)
72 óra
Incidensbejelentési határidő (33. cikk)
20 M € / 4%
Max. bírság — 20 millió euró vagy a globális árbevétel 4%-a

Uniós GDPR e-kereskedelemhez 2026 — Gyors áttekintés

Az általános adatvédelmi rendelet, a 2016/679/EU rendelet, 2018. május 25. óta közvetlenül alkalmazandó az EU egészében, és továbbra is a világ legjelentősebb adatvédelmi törvénye. Minden uniós/EGT-beli e-kereskedelmi eladó adatkezelőnek minősül a vásárlók személyes adatai tekintetében: név, cím, fizetési adatok, böngészési előzmények, sütik, IP-címek. A 2026-os prioritások: egy TCF v2.2-kompatibilis sütibanner, egy világos, 13. cikk szerinti adatvédelmi tájékoztató, egy dokumentált 30. cikk szerinti adatkezelési nyilvántartás, gyors érintetti kérelem (DSR) kezelési folyamatok, egy 72 órás incidenskezelési terv, valamint a Schrems II utáni általános szerződési feltételek minden nem megfelelő adattovábbításhoz (különösen a 2023 júliusában elfogadott EU–USA adatvédelmi keretrendszer szerinti USA-ba irányuló továbbításokhoz). A felügyeleti hatóságok — CNIL (Franciaország), AEPD (Spanyolország), Garante (Olaszország), BfDI és a német tartományi hatóságok, AP (Hollandia), NAIH (Magyarország), ICO (Egyesült Királyság, a UK GDPR alapján) — akár 20 millió eurós vagy a globális éves árbevétel 4%-ának megfelelő bírságot is kiszabhatnak, amelyik magasabb.

A 2026-os uniós adatvédelmi táj áttekintése

A GDPR-t a nemzeti adatvédelmi hatóságok (DPA-k) hálózata érvényesíti, uniós szinten az Európai Adatvédelmi Testület (EDPB) koordinálásával. Az alábbi kártyacsomag összefoglalja azt a nyolc hatóságot, amellyel uniós e-kereskedelmi eladóként a legvalószínűbb, hogy kapcsolatba kerül — tartsa kéznél, miközben az egyes részletes szakaszokat olvassa.

EDPB — Európai Adatvédelmi Testület

Alapítva 2018. május 25. · Brüsszel · Kötelező erejű iránymutatásokat, véleményeket ad ki, és koordinálja az egyablakos ügyintézést a hatóságok között

30 hatóságEU/EGT-szintű koordináció

CNIL — Commission Nationale de l'Informatique et des Libertés (Franciaország)

Alapítva 1978-ban · Párizs · Az EU legszigorúbb sütiszabály-érvényesítése; vezető hatóság az adtech és a TCF terén

340 M €+ bírságkumulálva 2026-ig

AEPD — Agencia Española de Protección de Datos (Spanyolország)

Alapítva 1993-ban · Madrid · A legaktívabb nemzeti hatóság bírságok száma szerint; kkv-fókuszú jogérvényesítés

2000+ bírság/évspanyol rangsor #1

Garante — Garante per la Protezione dei Dati Personali (Olaszország)

Alapítva 1997-ben · Róma · Agresszív jogérvényesítés az AI/ChatGPT, a telemarketing és a sütik terén

200 M €+ bírságkumulálva 2026-ig

BfDI + 16 tartományi adatvédelmi hatóság (Németország)

Szövetségi BfDI Bonnban + egy hatóság minden tartományban · Decentralizált; a LfDI BW, a BlnBDI és a HmbBfDI a legaktívabbak

17 hatóságszövetségi és tartományi szinten

ICO — Information Commissioner's Office (Egyesült Királyság)

Wilmslow · A UK GDPR-t (Brexit utáni) és a 2018-as adatvédelmi törvényt érvényesíti · Hatályos megfelelőségi határozat

UK megfelelőségmegújítva 2025–2031

AP — Autoriteit Persoonsgegevens (Hollandia)

Hága · Holland adatvédelmi hatóság · Aktív a sütifalak, az AI-nyilvántartás és a kormányzati adatszivárgások terén

Sütifal-ítélet2019 — mérföldkő

NAIH — Nemzeti Adatvédelmi és Információszabadság Hatóság (Magyarország)

Budapest · Magyar adatvédelmi hatóság · Aktív az arcfelismerés, a CCTV és a HR-adatok terén

4 Mrd Ft+ bírságkumulálva 2026-ig

Készen áll az uniós szintű, GDPR-kompatibilis értékesítésre az első naptól kezdve?

Kösse össze az összes uniós piacteret és ügyfélkapcsolati webáruházát egyetlen Zunapro panellel, amely beépített TCF v2.2 CMP-vel, 30. cikk szerinti nyilvántartással, érintetti kérelem-kezelési folyamattal és minden alfeldolgozóhoz előre aláírt SCC-kkel rendelkezik.

🚀 Uniós integráció indítása

1. GDPR áttekintés — 2016/679/EU rendelet, hatályos 2018 májusától

Mi is valójában a GDPR

Az általános adatvédelmi rendeletet — a 2016/679/EU rendeletet — 2016. április 27-én fogadták el, és 2018. május 25-én vált közvetlenül alkalmazandóvá mind a 27 uniós tagállamban, valamint a három EGT-országban (Norvégia, Izland, Liechtenstein). Mivel rendeletről, nem irányelvről van szó, a GDPR nem igényelt nemzeti átültetést — ugyanazon a napon lépett hatályba Madridban, Párizsban, Berlinben, Rómában, Varsóban és minden más uniós fővárosban. Felváltotta az 1995-ös adatvédelmi irányelvet (95/46/EK), amely 28 széttagolt nemzeti végrehajtást eredményezett.

Az e-kereskedelmi eladók számára a szöveg három szerkezeti döntése számít a legjobban:

  • Tárgyi hatály (2. cikk) — a személyes adatok automatizált eszközökkel történő „kezelésére” vonatkozik, ami lényegében egy modern webalkalmazás minden adatbázis-műveletét lefedi.
  • Területi hatály (3. cikk) — az EU-ban letelepedett adatkezelőkre vonatkozik, függetlenül attól, hogy az adatkezelés hol történik, és az EU-n kívül letelepedett, de EU-beli érintetteknek árukat vagy szolgáltatásokat kínáló, vagy azok viselkedését megfigyelő adatkezelőkre is. Ez az „extraterritoriális hatály”, amely az amerikai, brit, török, svájci és ázsiai eladókat is a hatálya alá vonta.
  • A személyes adat fogalma (4. cikk) — rendkívül tág: bármi, ami „azonosított vagy azonosítható természetes személyre vonatkozik”. IP-címek, sütiazonosítók, eszközazonosítók (fingerprint), sőt egyedi URL-paraméterek is idetartozhatnak.

A hat jogalap (6. cikk)

Minden adatkezelési tevékenységhez legalább egy a hat jogalap közül szükséges:

  1. Hozzájárulás — önkéntes, konkrét, tájékoztatáson alapuló, egyértelmű (4. cikk (11) bekezdés + 7. cikk).
  2. Szerződés — az érintettel kötött szerződés teljesítéséhez szükséges adatkezelés (a rendelés teljesítésének standard jogalapja).
  3. Jogi kötelezettség — pl. áfás számlázás, KYC, adónyilvántartás.
  4. Létfontosságú érdek — ritka a kereskedelmi e-kereskedelemben.
  5. Közfeladat — általában nem releváns a magánkiskereskedelemben.
  6. Jogos érdek — érdekmérlegelési teszt szükséges; csalás-megelőzésre, biztonságra, alapvető analitikára használják.

A 2026-os leggyakoribb megfelelési hiba a jogalapok összekeverése — például „szerződés” alapon marketingemailek küldése (amelyekhez az ePrivacy irányelv alapján hozzájárulás szükséges), vagy „jogos érdek” alapon nyomkövető sütik használata (amelyekhez az ePrivacy irányelv 5. cikkének (3) bekezdése alapján hozzájárulás szükséges).

Különleges adatkategóriák (9. cikk)

Az egészségügyi adatok, biometrikus adatok, etnikai hovatartozás, vallási meggyőződés, szakszervezeti tagság, szexuális irányultság és politikai vélemény különleges adatkategóriának minősül. Ezek kezelése tilos, kivéve, ha a 9. cikk (2) bekezdésének tíz feltétele közül valamelyik teljesül — az e-kereskedelemben leggyakrabban a kifejezett hozzájárulás (pl. egészségügyi információt felfedő táplálékkiegészítő-előfizetések, vagy a preferált méretekből etnikai hovatartozásra következtető divatoldalak).

📋
Hiteles szöveg: A 2016/679/EU rendelet hivatalos, egységes szerkezetbe foglalt szövege az EUR-Lexen érhető el 24 uniós nyelven. A Zunapro a panelben minden megfelelési funkció mellett feltünteti a vonatkozó cikkeket. Lásd az EUR-Lex GDPR egységes szerkezetbe foglalt szövegét a hiteles forrásért.

Miért egyáltalán GDPR-téma a sütik kérdése

A sütiket és hasonló nyomkövető technológiákat nem kizárólag a GDPR, hanem az ePrivacy irányelv (2002/58/EK) 5. cikkének (3) bekezdése szabályozza (a „süti-irányelv”, 2009-ben módosítva). Az irányelv előzetes, tájékozott hozzájárulást ír elő a felhasználó eszközén történő információtároláshoz vagy az ahhoz való hozzáféréshez, kivéve, ha az feltétlenül szükséges a felhasználó által kért szolgáltatás nyújtásához. A GDPR ezután meghatározza, hogy mi minősül érvényes hozzájárulásnak (4. cikk (11) bekezdés és 7. cikk).

A 2026-os e-kereskedelmi eladókra vonatkozó kombinált gyakorlati szabály a következő:

  • Feltétlenül szükséges sütik (kosár, bejelentkezés, CSRF-token, nyelvválasztó, alap terheléselosztás) — nem igényelnek hozzájárulást, de dokumentálni kell őket az adatvédelmi tájékoztatóban.
  • Minden más süti — analitika (GA4, Plausible, alapértelmezett konfigurációjú Matomo), hirdetés (Meta Pixel, Google Ads, TikTok), személyre szabás, A/B tesztelés, fingerprinting — a süti elhelyezése előtti opt-in hozzájárulást igényel.

Az IAB Europe Transparency & Consent Framework (TCF) v2.2 — amelyet 2023. május 16-án adtak ki, és 2023. november 20-tól kötelező — az EU-ban a sütihozzájárulás rögzítésének, jelzésének és tárolásának de facto iparági szabványa. Főbb jellemzői:

  • 11 cél + 3 „speciális cél” + 2 „funkció” + 2 „speciális funkció” — részletes szabályozás az egyszerű „Összes elfogadása” helyett
  • ~700 regisztrált szolgáltató — minden adtech-, analitikai és CDP-partner deklarálja céljait és jogalapjait a TCF globális szolgáltatói listán (GVL)
  • TC String — egy base64-kódolt jelzés, amely a __tcfapi / __tcfapi v2-be van beágyazva, és minden adtech-kéréssel együtt utazik
  • v2.2-es fejlesztések — egyértelműbb 1., 3. és 4. cél, a „jogos érdek” mint hirdetési/mérési célú tartalék jogalap eltávolítása, kötelező visszavonási folyamat

Mit tehet és mit nem tehet a hozzájárulási felület

Az EDPB 05/2020. számú, hozzájárulásról szóló iránymutatása és a CNIL 2020-091. számú iránymutatása egyaránt egyértelmű:

  • Az előre bejelölt jelölőnégyzetek érvénytelenek (Planet49-ügy, EUB C-673/17, 2019. október 1.)
  • A „böngészés folytatása” nem minősül hozzájárulásnak — a kattintás, görgetés vagy az oldalon maradás nem jelent opt-in hozzájárulást
  • Az elutasításnak ugyanolyan egyszerűnek kell lennie, mint az elfogadásnak — az „Összes elfogadása” és az „Összes elutasítása” gomboknak vizuálisan és eljárásjogilag egyenértékűnek kell lenniük (a CNIL 2022 januárjában emiatt kifejezetten 60 millió eurós bírságot szabott ki a Google-ra és 60 millió eurósat a Facebookra)
  • A sütifalak — a hozzáférés hozzájáruláshoz kötése — nagyrészt tiltottak (a holland AP 2019-es iránymutatása, EDPB 05/2020. sz. iránymutatás)
  • Részletesség — célonkénti kapcsolók, nem egyetlen globális kapcsoló
  • A visszavonásnak ugyanolyan egyszerűnek kell lennie, mint a hozzájárulás megadásának (GDPR 7. cikk (3) bekezdés)
🍪

2026-os bevált gyakorlat: egy TCF v2.2-kompatibilis hozzájárulás-kezelő platform (CMP) az első rétegben egyenértékű „Összes elfogadása” / „Összes elutasítása” gombokkal, a második rétegben részletes kapcsolókkal, és a lábléc egy állandó „Sütibeállítások” linkjével. A Zunapro webáruházak ezzel a konfigurációval, beépítve érkeznek. Tekintse meg a Zunapro uniós webáruházakat →

3. Adatvédelmi tájékoztató — a 13. és 14. cikk a gyakorlatban

Miért nem alku tárgya az adatvédelmi tájékoztató

A GDPR 13. és 14. cikke minden adatkezelőtől megköveteli, hogy a személyes adatok gyűjtésének időpontjában (13. cikk), vagy ha az adatokat harmadik féltől szerzik be, egy hónapon belül (14. cikk) adatvédelmi tájékoztatót adjon. E-kereskedelemben ez az az oldal, amelyet jellemzően a lábléc „Adatvédelmi szabályzat”, „Adatvédelmi tájékoztató” vagy „Tájékoztatás a személyes adatok kezeléséről” linkje mutat.

A kötelező tartalmi lista

A 13. cikk legalább a következőket írja elő — jellemzően egy rövid összefoglalóból és egy teljes verzióból álló, rétegzett tájékoztató formájában:

  • Az adatkezelő kiléte és elérhetőségei (és az uniós képviselő, ha a 27. cikk alkalmazandó)
  • A DPO elérhetőségei, amennyiben van kinevezve
  • Az adatkezelés céljai és jogalapja mindegyikhez (6. cikk, illetve különleges adatkategóriák esetén a 9. cikk)
  • A címzettek vagy a címzettek kategóriái — fizetési szolgáltatók, teljesítési partnerek, marketingeszközök, tárhelyszolgáltatók
  • Nemzetközi adattovábbítások — az érintett harmadik országok, megfelelőségi határozatok vagy megfelelő garanciák (SCC-k)
  • Megőrzési időtartamok — vagy a meghatározásukhoz használt szempontok
  • Érintetti jogok — hozzáférés, helyesbítés, törlés, korlátozás, adathordozhatóság, tiltakozás, automatizált döntéshozatal
  • A hozzájárulás bármikori visszavonásának joga (ha a jogalap a hozzájárulás)
  • A felügyeleti hatósághoz fordulás joga
  • Az adatszolgáltatás kötelező jellege-e, és az elmaradás következményei
  • Automatizált döntéshozatal fennállása, ideértve a profilalkotást is, és érdemi információ a logikáról

Gyakori hibák, amelyekért a CNIL és az AEPD bírságol

  • Sablonos tájékoztató, amely nem felel meg a tényleges adatkezelési tevékenységeknek — a felügyeleti hatóságok összevetik azt a 30. cikk szerinti nyilvántartással
  • „Jogos érdek” feltüntetése az érdekmérlegelési teszt bemutatása nélkül
  • Homályos megőrzési időtartamok, például „ameddig szükséges”, konkrét időkeret nélkül
  • Hiányzó vagy elavult nemzetközi adattovábbítási közlemények (különösen a Schrems II utáni USA-ba irányuló továbbítások esetén)
  • Nincs említve a felügyeleti hatósághoz fordulás joga — ez az AEPD-ellenőrzések gyakori megállapítása

4. Adatvédelmi tisztviselő — mikor alkalmazandó a 37. cikk

A három kötelező eset

A 37. cikk (1) bekezdése három esetben írja elő kötelezően DPO kijelölését:

  1. Közhatalmi szerv vagy testület (a bíróságok kivételével)
  2. A fő tevékenységek nagymértékű, rendszeres és szisztematikus megfigyelést igényelnek
  3. A fő tevékenységek nagy mennyiségű különleges adatkategória (9. cikk) vagy büntetőjogi felelősség megállapítására vonatkozó adat (10. cikk) kezeléséből állnak

A „nagymértékű” fogalmát az EDPB WP243 iránymutatása négy szempont alapján határozza meg: az érintettek száma, az adatok mennyisége, az adatkezelés időtartama és földrajzi kiterjedése. Az e-kereskedelemben a viselkedésalapú hirdetést intenzíven használó vállalkozások, a piacterek és a nagy kiskereskedelmi platformok szinte mindig elérik a „rendszeres és szisztematikus, nagymértékű megfigyelés” küszöbét.

A 250 fős mítosz

A gyakran hivatkozott „250 fős” küszöbérték a 30. cikkhez (adatkezelési tevékenységek nyilvántartása) kapcsolódik, nem a DPO kinevezéséhez. A 30. cikk (5) bekezdése mentesíti a 250 főnél kevesebb alkalmazottat foglalkoztató szervezeteket a nyilvántartás vezetése alól — de csak akkor, ha az adatkezelés alkalmi jellegű, nem foglal magában különleges adatkategóriát, és valószínűsíthetően nem jár kockázattal az érintettekre nézve. Bármely aktív e-kereskedelmi eladó esetében a mentesség a gyakorlatban szinte soha nem alkalmazható: több ezer vásárlónak történő rendelésteljesítés definíció szerint nem alkalmi jellegű.

Nemzeti kiegészítések

A tagállamok további DPO-követelményeket írhatnak elő. Németország BDSG törvénye például akkor is DPO-t ír elő, ha 20 vagy több személy vesz részt folyamatosan automatizált adatkezelésben — jóval alacsonyabb, mint a GDPR alapértelmezett küszöbe. Ez az egyik legnagyobb gyakorlati megfelelési különbség a hasonló méretű német, francia és spanyol e-kereskedelmi vállalkozások között.

A DPO függetlensége és feladatai

  • 38. cikk — minden adatvédelmi kérdésbe be kell vonni, erőforrásokat kell biztosítani számára, a felső vezetésnek kell jelentenie, feladatai ellátása miatt nem bocsátható el
  • 39. cikk — tájékoztat és tanácsot ad, figyelemmel kíséri a megfelelést, tanácsot ad az adatvédelmi hatásvizsgálatokkal kapcsolatban, együttműködik a felügyeleti hatósággal, kapcsolattartói pontként szolgál az érintettek számára
  • Összeférhetetlenség — a marketingigazgató vagy az informatikai vezető jellemzően nem lehet DPO (EDPB WP243 iránymutatás; a belga adatvédelmi hatóság 2020-ban 50 000 eurós bírságot szabott ki egy adatkezelőre, amiért a megfelelési, belső ellenőrzési és kockázatkezelési vezetőjét nevezte ki DPO-nak)

💡 DPO szolgáltatásként vagy házon belül?

Sok 50 fő alatti uniós e-kereskedelmi vállalkozás külső DPO-t alkalmaz a függetlenség egyértelműsítése érdekében. A Zunapro panel DPO-elérhetőségi mezőt biztosít, és az érintetti kérelmeket közvetlenül a DPO postafiókjába irányítja.

DPO-útválasztás beállítása →

5. Érintetti jogok — 15–22. cikk

A nyolc jog, sorrendben

A III. fejezet szerinti jogok a GDPR működési gerincét jelentik minden ügyfélkapcsolatú vállalkozás számára:

  • Tájékoztatáshoz való jog (13–14. cikk) — a fenti adatvédelmi tájékoztatóval teljesíthető
  • Hozzáférési jog (15. cikk) — az adatkezelés megerősítése + a személyes adatok másolata + a 13. cikk szerinti metaadatok
  • Helyesbítéshez való jog (16. cikk) — a pontatlan adatok javítása, a hiányos adatok kiegészítése
  • Törléshez / „elfeledtetéshez” való jog (17. cikk) — hat konkrét jogalap (már nem szükséges, hozzájárulás visszavonva, jogellenes adatkezelés stb.); nem abszolút jog
  • Korlátozáshoz való jog (18. cikk) — az adatok „befagyasztása” egy vitás kérdés rendezéséig
  • Adathordozhatósághoz való jog (20. cikk) — a személyes adatok tagolt, széles körben használt, géppel olvasható formátumban történő megkapása, továbbítása másik adatkezelőhöz
  • Tiltakozáshoz való jog (21. cikk) — jogos érdeken vagy közfeladaton alapuló adatkezelés ellen; a közvetlen üzletszerzés esetén abszolút jog
  • A kizárólag automatizált döntéshozatal, ideértve a profilalkotást, alá vetés elleni jog (22. cikk) — szűk kivételek szerződés, jogszabály vagy kifejezett hozzájárulás esetén

Válaszadási határidők és formátum

A 12. cikk határozza meg a működési szabályokat:

  • Egy hónap az alapértelmezett — bonyolult vagy nagyszámú kérelem esetén további két hónappal meghosszabbítható, indokolt tájékoztatás mellett
  • Díjmentes — kivéve a „nyilvánvalóan megalapozatlan vagy túlzott” kérelmeket, ahol ésszerű díj vagy elutasítás megengedett (a bizonyítási teher az adatkezelőt terheli)
  • A kérelemmel azonos formátum — emailben érkezett kérelemre email válasz; adathordozhatóság esetén tagolt, géppel olvasható formátum
  • Személyazonosság-ellenőrzés szükséges, de arányos módon — a túlzottan megterhelő azonosítás-ellenőrzés önmagában is jogsértésnek minősül (CNIL-iránymutatás)

Hogyan operacionalizálják ezt az e-kereskedelmi eladók

  1. Dedikált érintetti kérelem-postafiók (pl. [email protected]), amely a DPO-hoz vagy az adatvédelmi csapathoz van irányítva
  2. Ticketing-munkafolyamat egyhónapos SLA-időzítővel és automatikus eszkalációval 25 napnál
  3. Egységes adattérkép (a 30. cikk szerinti nyilvántartás), amely megmutatja, mely rendszerek mit tárolnak — a Zunapro ezt központosítja a piacterek, webáruházak, CRM- és fizetési adatok esetében
  4. Sablonválaszok, amelyekben a jogszabály által előírt metaadatok előre ki vannak töltve
  5. Minden kérelem és válasz auditnyoma — a felügyeleti hatóságok vizsgálataik során rendszeresen kérik az utolsó 12 hónap érintetti kérelem-naplóit

6. Incidensbejelentés — a 72 órás óra (33–34. cikk)

Mi minősül „személyes adatokkal kapcsolatos incidensnek”

A 4. cikk (12) bekezdése az adatvédelmi incidenst úgy határozza meg, mint „a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi”. Az EDPB 9/2022. sz. iránymutatása szerint három kategória különböztethető meg:

  • Bizalmassági incidens — jogosulatlan közlés vagy hozzáférés (jellemzően hackertámadás / kiszivárgott adatbázis)
  • Integritási incidens — az adatok jogosulatlan megváltoztatása
  • Rendelkezésre állási incidens — a hozzáférés véletlen vagy jogellenes elvesztése vagy az adatok megsemmisülése (jellemzően zsarolóvírus)

A 72 órás hatósági bejelentés

A 33. cikk előírja az illetékes felügyeleti hatóság „indokolatlan késedelem nélküli, és ha lehetséges, a tudomásra jutástól számított 72 órán belüli” értesítését, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. A késedelmes bejelentéseket a késedelem okainak megjelölésével kell kísérni. Az óra akkor kezd ketyegni, amikor az adatkezelő ésszerű bizonyossággal megállapítja, hogy incidens történt — nem az első homályos riasztás pillanatában.

A „magas kockázat” esetén szükséges ügyféltájékoztatás

A 34. cikk párhuzamos kötelezettséget ír elő az érintett személyek „indokolatlan késedelem nélküli” értesítésére, ha az incidens valószínűsíthetően magas kockázattal jár a jogaikra és szabadságaikra nézve. Kivételek: titkosított adatok, utólag alkalmazott mérséklő intézkedések, vagy aránytalan erőfeszítés (ilyenkor nyilvános közlemény is elegendő).

Mi kerül egy incidensbejelentésbe

  • Az incidens jellege, ideértve az érintett kategóriákat és az érintett személyek, illetve rekordok hozzávetőleges számát
  • A DPO elérhetőségei vagy más kapcsolattartási pont
  • Valószínűsíthető következmények
  • Az incidens kezelésére és a káros hatások mérséklésére hozott vagy javasolt intézkedések

Gyakori jogérvényesítési minták

A késői vagy elmaradt bejelentések rendszeresen önmagukban is bírságot vonnak maguk után, függetlenül a mögöttes incidenstől. Példák: a Twitter International (ma X) 2020-ban 450 000 eurós bírságot kapott az ír DPC-től a késői incidensbejelentés miatt; az Uberre 600 000 eurós bírságot szabott ki a holland AP, mert egy 2016-os incidenst nem jelentett be 72 órán belül a GDPR hatálybalépése után. Mindkét esetben a technikai incidens önmagában viszonylag kisebb súlyú volt; az eljárási mulasztás dominálta a bírságot.

⏱️

Gyakorlati tanács: egy dokumentált incidenskezelési protokoll 72 órás órával, kijelölt ügyeletes DPO-val, előre megírt hatósági bejelentési sablonnal és tagállamonként előre feltérképezett hatóságokkal az abszolút minimum. A Zunapro minden bejelentkezési eseményt, adatexportot és adminisztrátori műveletet naplóz, így a 72 órás tényállás órák, nem napok alatt rekonstruálható. Tekintse meg az incidenskezelési eszközöket →

7. Határokon átnyúló adattovábbítás — SCC-k, megfelelőség és a Schrems II

Az alapértelmezett szabály — V. fejezet

A GDPR V. fejezete (44–50. cikk) tiltja a személyes adatok „harmadik országba” (nem uniós/EGT-be) vagy nemzetközi szervezethez történő továbbítását, kivéve, ha a három garancia egyike teljesül:

  1. Megfelelőségi határozat (45. cikk) — a Bizottság hivatalosan megállapította, hogy a harmadik ország „lényegében egyenértékű” védelmi szintet biztosít.
  2. Megfelelő garanciák (46. cikk) — általános szerződési feltételek (SCC-k), kötelező erejű vállalati szabályok (BCR-ek), jóváhagyott magatartási kódexek vagy tanúsítványok.
  3. Konkrét eltérések (49. cikk) — szűk kivételek: kifejezett hozzájárulás, szerződés teljesítése, fontos közérdek, létfontosságú érdekek.

Hatályban lévő megfelelőségi határozatok (2026)

2026-ban teljes vagy részleges megfelelőségi határozat vonatkozik a következőkre: Andorra, Argentína, Kanada (kereskedelmi szervezetek), Feröer-szigetek, Guernsey, Izrael, Man-sziget, Japán, Jersey, Új-Zéland, Koreai Köztársaság (Dél-Korea), Svájc, Egyesült Királyság (2025-ben megújítva, 2031-ig hatályos), Uruguay, valamint a 2023. július 10-én elfogadott EU–USA adatvédelmi keretrendszer (Data Privacy Framework, DPF) alapján a tanúsított amerikai szervezetek.

Schrems II és az SCC-k

2020. július 16-án az Európai Unió Bírósága a Schrems II-ügyben (C-311/18) érvénytelenítette az EU–USA Privacy Shieldet, és kimondta, hogy önmagában az SCC-k nem elegendők, ha a harmadik ország helyi joga (pl. az amerikai FISA 702. szakasza szerinti megfigyelés) ütköző kötelezettségeket teremt. Az adatkezelőknek:

  • A 2021. június 4-i (EU) 2021/914 bizottsági végrehajtási határozattal elfogadott új SCC-ket kell használniuk, amelyek négy modulba szerveződnek (C2C, C2P, P2P, P2C)
  • Adattovábbítási hatásvizsgálatot (TIA) kell végezniük a fogadó ország jogi kereteire vonatkozóan
  • Kiegészítő intézkedéseket kell alkalmazniuk ott, ahol a TIA kockázatot tár fel — jellemzően végpontok közötti titkosítás, álnevesítés vagy szerződéses/szervezeti kontrollok (EDPB 01/2020. sz. ajánlásai)

Az EU–USA adatvédelmi keretrendszer

A 2023-as DPF a Privacy Shieldhez hasonló megfelelőségi mechanizmust vezetett be a tanúsított amerikai címzettek számára. Azok az eladók, akik DPF-tanúsítvánnyal rendelkező amerikai adatfeldolgozóhoz továbbítanak adatokat (a legtöbb nagy hyperscaler — AWS, Google Cloud, Microsoft Azure — tanúsítvánnyal rendelkezik), az adott címzett esetében nem igényelnek SCC-t, de továbbra is dokumentálniuk kell a jogalapot, és figyelemmel kell kísérniük az esetleges újratárgyalást: egy „Schrems III” kihívás már folyamatban van, és újra megnyithatja a kérdést.

Mit jelent ez a gyakorlatban

  • Térképezze fel minden alfeldolgozót és azt az országot, ahol az adatokat ténylegesen kezelik (nem csak a számlázási címet)
  • Írjon alá 2021-es SCC-ket a nem megfelelő címzettekkel, a kapcsolatnak megfelelő modullal
  • Vezessen TIA-t mindegyikhez — a legtöbb CMP és hatóságkezelő eszköz kínál erre sablont
  • Évente vagy a jog/alfeldolgozó változásakor frissítsen

8. A küszöbön álló ePrivacy rendelet — mi változik a sütikre és a marketingre nézve

A jogalkotási háttér

Az ePrivacy rendeletet (ePR) a Bizottság 2017 januárjában javasolta a 2002/58/EK ePrivacy irányelv (a „süti-irányelv”) felváltására. Az irányelvvel ellentétben ez közvetlenül alkalmazandó lenne, nemzeti átültetés nélkül — megoldva a jelenlegi széttagoltságot, amelyben Franciaország (CNIL 2020-091. sz. határozata), Németország (TTDSG/TDDDG), Spanyolország (LSSI-CE), Olaszország (Garante 2021-es sütiirányelvei) és mások eltérően értelmezik ugyanazt az uniós alapszabályt.

Mi tartozik valószínűleg a hatálya alá (2026-os állapot)

  • Sütik és hasonló technológiák — beleértve az ujjlenyomat-készítést (fingerprinting) és az SDK-szintű azonosítókat
  • Elektronikus hírközlési metaadatok — a kommunikáció magánélet-védelmének kiterjesztése a hagyományos távközlési szolgáltatókon túl az OTT üzenetküldő szolgáltatásokra is
  • Közvetlen üzletszerzés — opt-in az elektronikus marketinghez (email, SMS), a meglévő „lágy opt-in” fenntartásával hasonló termékekhez az ügyfélkapcsolaton belül
  • Böngészőszintű hozzájárulási jelzések — a „Ne kövess” / Global Privacy Control típusú jelzések kifejezett elismerése
  • Kéretlen kommunikáció — szigorú opt-in B2C esetén, kevésbé szigorú B2B esetén

Mi nem változik

A GDPR marad az általános jogszabály (lex generalis) a hozzájárulás minőségére nézve (4. cikk (11) bekezdés, 7. cikk). Az ePR a különös jogszabály (lex specialis) arra vonatkozóan, hogy mikor szükséges hozzájárulás az elektronikus hírközléshez és a nyomkövetéshez. Egy ma megtervezett TCF v2.2 CMP-nek jövőállónak kell lennie az ePR-átállásra.

Várható hatás az e-kereskedelemre

  • A nemzeti különbségek (pl. a német távközlési jog árnyalatai) egyetlen uniós szabály felé közelítenek
  • A böngészőszintű „Összes elutasítása” jelzéseket nehezebb lesz figyelmen kívül hagyni — az analitikai és adtech-rendszereknek automatikusan tiszteletben kell tartaniuk azokat
  • A B2B marketingszabályok élesebben eltérhetnek a B2C-től, egyes tagállamok szigorúbb B2C-szabályozást tarthatnak fenn
  • A határokon átnyúló marketingkampányok megfelelőségi ellenőrzése egyetlen forrásból egyszerűbbé válik

9. Bírságok — 20 millió euró vagy a globális árbevétel 4%-a (83. cikk)

A két szint

A 83. cikk két maximális bírságszintet határoz meg:

  • 1. szint — legfeljebb 10 millió euró vagy a globális éves árbevétel 2%-a, amelyik magasabb: az adatkezelői/adatfeldolgozói kötelezettségek megsértése (8., 11., 25–39., 42., 43. cikk)
  • 2. szint — legfeljebb 20 millió euró vagy a globális éves árbevétel 4%-a, amelyik magasabb: az alapelvek (5. cikk), a jogalap (6. cikk), a hozzájárulás feltételei (7. cikk), a különleges adatkategóriák (9. cikk), az érintetti jogok (12–22. cikk) és a nemzetközi adattovábbítás (44–49. cikk) megsértése

Hogyan számítják ki a hatóságok az összeget

Az EDPB kiadta a 04/2022. sz., közigazgatási bírságok kiszámításáról szóló iránymutatását (elfogadva 2023. május 24-én), amely ötlépéses módszertant határoz meg:

  1. Az adatkezelési műveletek azonosítása, és a 83. cikk (3) bekezdésének alkalmazása annak megállapítására, hogy egy vagy több bírság alkalmazandó
  2. A kiindulási összeg meghatározása a jogsértés súlyossága alapján (83. cikk (2) bekezdés a), b), g) pont)
  3. Súlyosító vagy enyhítő körülmények alkalmazása (83. cikk (2) bekezdés c)–k) pont)
  4. Annak biztosítása, hogy a dinamikus felső határt (83. cikk (4)–(6) bekezdés) ne lépjék túl
  5. A hatékonyság, arányosság és visszatartó erő értékelése

A 2026-os bírságkép

A kumulált GDPR-bírságok 2026-ig meghaladják az 5,5 milliárd eurót. A kiemelt büntetések közé tartozik:

  • 1,2 milliárd euró — Meta Platforms Ireland (ír DPC, 2023. május 22.) — jogellenes USA-ba irányuló adattovábbítás
  • 746 millió euró — Amazon Europe Core (luxemburgi CNPD, 2021. július 16.) — adtech-hozzájárulás
  • 405 millió euró — Meta / Instagram (ír DPC, 2022. szeptember 5.) — gyermekek adatai
  • 390 millió euró — Meta / Facebook + Instagram (ír DPC, 2023. január) — hirdetések jogalapja
  • 345 millió euró — TikTok (ír DPC, 2023. szeptember) — gyermekek adatvédelme
  • 290 millió euró — Uber B.V. (holland AP, 2024. augusztus) — sofőradatok az USA-ba
  • 225 millió euró — WhatsApp (ír DPC, 2021. szeptember) — átláthatósági hiányosságok

A kkv-k valósága

A kiemelt bírságok a legnagyobb adatkezelőket célozzák, de az olyan felügyeleti hatóságok, mint az AEPD, évente rendszeresen több száz, 1000–50 000 euró közötti bírságot szabnak ki kkv-kra — tipikus jogsértés a hiányzó adatvédelmi tájékoztató, a be nem jelentett CCTV, a jogellenes sütik és a késői érintetti kérelem-válaszok. Egy 1–10 millió eurós árbevételű uniós online eladó számára a reális kockázat megállapításonként 5000–100 000 euró közötti tartományba esik — jelentős, de túlélhető, amennyiben az alapvető megfelelés adott.

📊 Bírságkockázati előrejelzés a panelben

A Zunapro megfelelési irányítópultja összeveti az Ön adatkezelési tevékenységeit az EDPB bírságszámítási módszertanával, és elsőként jelzi a legmagasabb kockázatú hiányosságokat.

Kockázatértékelés indítása →

10. E-kereskedelmi GDPR-ellenőrzőlista + nemzeti hatóságok

A 12 pontos gyakorlati ellenőrzőlista

  1. Adatkezelő kijelölése, és ha szükséges, DPO kinevezése — a kinevezés és az elérhetőségek nyilvános dokumentálása
  2. A 30. cikk szerinti nyilvántartás vezetése az adatkezelési tevékenységekről, cél, jogalap, címzettek, megőrzés és adattovábbítás szerint indexelve
  3. GDPR-kompatibilis adatvédelmi tájékoztató közzététele a 13–14. cikk alapján — rétegzett, világosan megfogalmazott, a piac nyelvén
  4. TCF v2.2-kompatibilis CMP bevezetése egyenértékű „Összes elfogadása” / „Összes elutasítása” gombokkal és részletes kapcsolókkal
  5. A jogalap dokumentálása minden adatkezelési tevékenységhez — különösen a szerződés, a jogos érdek és a hozzájárulás megkülönböztetése
  6. Adatfeldolgozási megállapodások (28. cikk) aláírása minden adatfeldolgozóval — fizetési szolgáltatók, tárhelyszolgáltatók, teljesítési partnerek, marketingeszközök
  7. Érintetti kérelem-kezelési folyamatok kialakítása — 15–22. cikk, egyhónapos SLA, személyazonosság-ellenőrzés, auditnyom
  8. Megőrzési és törlési ütemtervek meghatározása — rendelési adatok, marketingadatok, naplóadatok, fizetési adatok, mindegyikhez saját órával
  9. 72 órás incidenskezelési terv bevezetése — protokoll, kijelölt DPO, hatósági sablonok, monitorozás
  10. 2021-es SCC-k aláírása + TIA-k lefolytatása minden nem megfelelő adattovábbításhoz; az EU–USA DPF alkalmazása, ahol az adatfeldolgozó tanúsítvánnyal rendelkezik
  11. DPIA-k (35. cikk) lefolytatása magas kockázatú adatkezelésekhez — profilalkotás, nagy mennyiségű különleges adatkategória, szisztematikus megfigyelés
  12. Munkatársak képzése, döntések naplózása, minden dokumentálása — az elszámoltathatóság (5. cikk (2) bekezdés) önmagában is érdemi kötelezettség

Nemzeti felügyeleti hatóságok — kit mikor keressünk

Tagállam Hatóság Székhely Kiemelt jogérvényesítési fókusz 2026-ban
Franciaország CNIL Párizs Sütik, adtech, TCF, nagy bírságok
Spanyolország AEPD Madrid Kkv-jogérvényesítés, CCTV, érintetti kérelmek késése
Olaszország Garante Róma AI/ChatGPT, telemarketing, sütik
Németország — szövetségi BfDI Bonn Szövetségi szervek, távközlés, postai szolgáltatók
Németország — tartományi 16 tartományi hatóság Tartományonként Magánszektor jogérvényesítése (LfDI BW, BlnBDI, HmbBfDI a legaktívabbak)
Hollandia Autoriteit Persoonsgegevens (AP) Hága Sütifalak, AI-nyilvántartás, kormányzati adatszivárgások
Írország Data Protection Commission (DPC) Dublin Nagy technológiai vállalatok vezető hatósága, legnagyobb bírságok
Magyarország NAIH Budapest CCTV, arcfelismerés, HR-adatok
Belgium Gegevensbeschermingsautoriteit (APD/GBA) Brüsszel Adtech, IAB Europe TCF-döntések
Egyesült Királyság ICO (UK GDPR) Wilmslow Adtech, gyermekvédelmi kódex, AI-iránymutatás

A táblázat értelmezése: határokon átnyúló esetekben az „egyablakos ügyintézés” mechanizmus alkalmazandó, és a vezető hatóság az adatkezelő fő telephelye szerinti hatóság. Tisztán belföldi panaszok esetén a helyi hatóság kezeli az ügyet. A Zunapro bérlőnkénti (tenant) vezető hatósági konfigurációt tárol, így az ügyfélpanaszok automatikusan a megfelelő helyre kerülnek.

Hogyan tegye GDPR-készté a Zunapro webáruházát — lépésről lépésre

1. Az adatkezelő és a DPO beállítása

A Zunapro panelben → Beállítások → Adatvédelem menüpontban adja meg a jogi személy adatkezelőt, a bejegyzett székhelyet, az uniós képviselőt (ha Ön az EU-n kívül található), valamint a DPO elérhetőségét. Ezek az adatok töltik fel a 13. cikk szerinti adatvédelmi tájékoztatót, a sütibanner első rétegét és az érintetti kérelem-postafiók konfigurációját.

2. A TCF v2.2 CMP aktiválása

  • Aktiválja a hozzájárulás-kezelő platformot a Beállítások → Sütik menüpontban
  • Válassza ki az elrendezést (banner, felugró ablak, sáv), és erősítse meg az egyenértékű „Összes elfogadása” / „Összes elutasítása” kezelést
  • Válassza ki az 1–11. célt a TCF GVL-ből — a Zunapro előre kiválasztja az e-kereskedelmi alapértelmezéseket
  • Erősítse meg az állandó „Sütibeállítások” linket a láblécben

3. A 13. cikk szerinti adatvédelmi tájékoztató generálása

A Zunapro a fenti 1. lépésben megadott adatokból, valamint az Ön által csatlakoztatott integrációkból (fizetési szolgáltatók, marketingeszközök, tárhelyrégió) készít egy többnyelvű tájékoztatót. Tekintse át, szerkessze piaconként a lokalizált verziót, majd tegye közzé.

4. Az érintetti kérelem-kezelési folyamat beállítása

  • Állítsa be az adatvédelmi postafiókot (vagy webűrlap-végpontot)
  • Rendelje hozzá az egyes jogokat (hozzáférés, törlés stb.) az SLA-hoz és az érintett rendszerekhez
  • Aktiválja az auditnaplót

5. Incidensfigyelés + SCC-könyvtár aktiválása

Kapcsolja be a 72 órás incidenskezelési protokollt, és importálja az előre aláírt 2021-es SCC-ket minden, az EU/EGT-n kívül működő alfeldolgozóhoz. A Zunapro éves TIA-frissítési emlékeztetőket küld.

6. Éles indítás

  1. Jelentkezzen be a Zunapróba, és nyissa meg az uniós modult
  2. Aktiválja az Adatvédelmi Központot a Beállításokban
  3. Végezze el a varázslót — adatkezelő, DPO, CMP, adatvédelmi tájékoztató, érintetti kérelmek, incidensterv, SCC-k
  4. Fordítsa le minden piacra, ahol értékesít (a Zunapro sablonokat kínál EN, DE, FR, ES, IT, NL, PL, HU, PT, RO, CS, SK nyelven)
  5. Indítsa el élesben — az első végponttól végpontig tartó folyamat egy webáruház esetében jellemzően 10–15 perc alatt elkészül

Tegyen minden uniós webáruházat GDPR-készté egyetlen panelben

TCF v2.2 CMP · 13. cikk szerinti adatvédelmi tájékoztató · érintetti kérelem-kezelési folyamat · 72 órás incidenskezelés · 2021-es SCC-k + TIA-k · előre feltérképezett hatósági könyvtár a CNIL, AEPD, Garante, BfDI, AP, NAIH és ICO számára. 10 perces integráció, demó nélkül.

Csatlakozás uniós piacterekhez →

Uniós GDPR GYIK 2026

Mi az a GDPR, és mikor lépett hatályba?

A GDPR az általános adatvédelmi rendelet — hivatalos nevén a 2016/679/EU rendelet. 2016. április 27-én fogadták el, és 2018. május 25-én vált közvetlenül alkalmazandóvá mind a 27 uniós tagállamban, mind a három EGT-országban (Norvégia, Izland, Liechtenstein).

Mivel rendeletről, nem irányelvről van szó, minden tagállamban ugyanazon a napon lépett hatályba, nemzeti átültetés nélkül. Felváltotta az 1995-ös adatvédelmi irányelvet (95/46/EK).

Szükségem van GDPR-hozzájárulásra a sütikhez az e-kereskedelmi oldalamon?

Igen, minden nem alapvető süti esetén: analitika, hirdetés, személyre szabás, A/B tesztelés, harmadik féltől származó beágyazások. A feltétlenül szükséges sütik (kosár, bejelentkezési munkamenet, CSRF-token) mentesülnek, de ezeket is dokumentálni kell.

A 2023 novembere óta kötelező IAB Europe TCF v2.2 keretrendszer a hozzájárulás gyűjtésének és jelzésének szabványa. Az előre bejelölt jelölőnégyzetek, az egyenértékű elutasítási lehetőség nélküli sütifalak, valamint a „böngészés folytatása mint hozzájárulás” gyakorlat az EDPB iránymutatásai, valamint a CNIL/AEPD jogérvényesítési döntései alapján kifejezetten tiltottak.

Kötelező-e az adatvédelmi tájékoztató a GDPR szerint?

Igen. A GDPR 13. és 14. cikke minden adatkezelőtől — így minden e-kereskedelmi eladótól — megköveteli egy világos, átlátható adatvédelmi tájékoztató biztosítását. A kötelező tartalom közé tartozik az adatkezelő kiléte, az adatkezelés céljai és jogalapja, a megőrzési időtartamok, a címzettek, a nemzetközi adattovábbítások, az érintetti jogok és a felügyeleti hatósághoz fordulás joga.

A tájékoztatónak közérthető nyelvezetűnek, könnyen elérhetőnek (rendszerint minden oldal láblécéből linkelve) kell lennie, és igazodnia kell a tényleges adatkezelési tevékenységekhez. A 30. cikk szerinti nyilvántartással nem egyező sablonos tájékoztatók gyakori bírságolási ok.

Mikor kell egy e-kereskedelmi vállalkozásnak adatvédelmi tisztviselőt (DPO) kineveznie?

A GDPR 37. cikke akkor ír elő adatvédelmi tisztviselőt, ha (a) az adatkezelést közhatalmi szerv végzi, (b) a fő tevékenységek az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését igénylik, vagy (c) a fő tevékenységek különleges adatkategória vagy büntetőjogi felelősség megállapítására vonatkozó adat nagymértékű kezelését foglalják magukban.

A gyakran hivatkozott 250 fős küszöbérték a 30. cikk szerinti nyilvántartáshoz kapcsolódik, nem a DPO kinevezéséhez. A gyakorlatban a legtöbb piactérnek, nagy kiskereskedőnek és viselkedésalapú hirdetést intenzíven használó e-kereskedelmi vállalkozásnak létszámtól függetlenül szüksége van DPO-ra. A nemzeti szabályok szigorúbbak lehetnek — Németország BDSG törvénye már 20 fős automatizált adatkezelésben részt vevő létszámtól DPO-t ír elő.

Melyek a GDPR szerinti érintetti jogok?

A III. fejezet (15–22. cikk) nyolc jogot biztosít: hozzáférés (15. cikk), helyesbítés (16. cikk), törlés / elfeledtetéshez való jog (17. cikk), korlátozás (18. cikk), adathordozhatóság (20. cikk), tiltakozás (21. cikk), valamint a kizárólag automatizált döntéshozatal — ideértve a profilalkotást is — alá vetés elleni jog (22. cikk), továbbá a tájékoztatáshoz való jog (13–14. cikk).

A 12. cikk határozza meg a működési szabályokat: egy hónapon belüli válaszadás, amely bonyolult vagy nagyszámú kérelem esetén további két hónappal meghosszabbítható, díjmentesen, kivéve, ha a kérelem „nyilvánvalóan megalapozatlan vagy túlzott”.

Mi a 72 órás incidensbejelentési szabály?

A GDPR 33. cikke előírja, hogy az adatkezelők a tudomásukra jutástól számított 72 órán belül értesítsék az illetékes felügyeleti hatóságot egy adatvédelmi incidensről, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Magas kockázat esetén a 34. cikk az érintett személyek indokolatlan késedelem nélküli értesítését is előírja.

A késői vagy elmaradt bejelentések rendszeresen önmagukban is bírságot vonnak maguk után, függetlenül a mögöttes incidenstől — jól ismert példa a Twitter International (450 000 euró, ír DPC, 2020) és az Uber (600 000 euró, holland AP) esete.

Hogyan továbbíthatom az e-kereskedelmi ügyféladatokat az EU-n kívülre a Schrems II után?

A Schrems II ítélet után (EUB C-311/18, 2020. július 16.) a Privacy Shield érvénytelenné vált. A harmadik országba történő adattovábbításhoz most vagy (i) bizottsági megfelelőségi határozat szükséges — amely jelenleg kiterjed az Egyesült Királyságra, Svájcra, Japánra, Dél-Koreára, Kanadára (kereskedelmi célra), Izraelre és másokra, valamint a 2023 júliusában elfogadott EU–USA adatvédelmi keretrendszerre —, vagy (ii) a 2021-es általános szerződési feltételek, adattovábbítási hatásvizsgálattal és kiegészítő technikai intézkedésekkel együtt.

A végpontok közötti titkosítás, az álnevesítés, valamint a szerződéses/szervezeti intézkedések a leggyakoribb kiegészítő garanciák (EDPB 01/2020. sz. ajánlásai).

Hogyan változtatja meg az ePrivacy rendelet a sütikre vonatkozó szabályokat?

Az ePrivacy rendelet, amely a 2002/2009-es ePrivacy irányelvet (2002/58/EK irányelv, a „süti-irányelv”) hivatott felváltani, 2017 óta van tárgyalás alatt. Elfogadása után rendeleti szinten harmonizálja majd a süti-, elektronikus marketing- és metaadat-szabályokat az EU-ban, felváltva a jelenlegi, nemzeti törvényekből álló szétaprózott rendszert.

A 2026-os várakozások szerint a végleges elfogadás az új bizottsági ciklusban történik meg. Addig a nemzeti ePrivacy törvények (Franciaország LCEN / CNIL 2020-091. sz. határozata, Németország TTDSG/TDDDG, Spanyolország LSSI-CE, Olaszország Garante 2021-es sütiirányelvei) a GDPR mellett továbbra is hatályban maradnak. Egy TCF v2.2 CMP előre kompatibilis az ePR tervezetével.

Mekkorák a GDPR-bírságok, és ki szabja ki őket?

A GDPR 83. cikke két szintet határoz meg: legfeljebb 10 millió euró vagy a globális éves árbevétel 2%-a (amelyik magasabb) az adminisztratív jogsértésekért, és legfeljebb 20 millió euró vagy a globális éves árbevétel 4%-a a fő elvek, a jogalap, az érintetti jogok és a nemzetközi adattovábbítás megsértéséért.

A bírságokat a nemzeti felügyeleti hatóságok szabják ki — a CNIL (Franciaország), az AEPD (Spanyolország), a Garante (Olaszország), a BfDI és a 16 tartományi hatóság (Németország), az AP (Hollandia), a NAIH (Magyarország), az ICO (Egyesült Királyság, a UK GDPR alapján), valamint az ír DPC (a legtöbb nagy technológiai vállalati ügy vezető hatósága). A mai napig a legnagyobb egyedi bírság 1,2 milliárd euró a Meta Platforms Ireland ellen (ír DPC, 2023 május).

Hogyan néz ki egy minimális GDPR-ellenőrzőlista egy uniós e-kereskedelmi eladó számára?

Tizenkét alapelem: (1) adatkezelő kijelölése, és ahol szükséges, DPO kinevezése; (2) a 30. cikk szerinti adatkezelési nyilvántartás vezetése; (3) GDPR-kompatibilis adatvédelmi tájékoztató közzététele; (4) TCF v2.2 sütikezelési hozzájárulás bevezetése; (5) jogalap dokumentálása adatkezelési tevékenységenként; (6) adatfeldolgozási megállapodások aláírása minden adatfeldolgozóval; (7) érintetti kérelmek kezelési folyamatának kialakítása SLA-kkal; (8) megőrzési és törlési ütemtervek meghatározása; (9) 72 órás incidenskezelési terv bevezetése; (10) 2021-es SCC-k + TIA-k bevezetése a nem megfelelő adattovábbításokhoz; (11) DPIA-k lefolytatása magas kockázatú adatkezeléseknél; (12) munkatársak képzése és minden dokumentálása.

Vonatkozik-e a GDPR az EU-n kívüli eladókra, akik az EU-ba szállítanak?

Igen. A GDPR 3. cikkének (2) bekezdése extraterritoriális hatályú: minden EU-n kívüli adatkezelőre vagy adatfeldolgozóra, amely árukat vagy szolgáltatásokat kínál EU/EGT-beli érintetteknek, vagy megfigyeli a viselkedésüket, a GDPR vonatkozik.

Az EU-n kívüli eladóknak a legtöbb esetben uniós képviselőt kell kijelölniük a 27. cikk alapján — egy EU-ban letelepedett természetes vagy jogi személyt, aki a felügyeleti hatóságok és az érintettek kapcsolattartójaként jár el. A török, brit, amerikai és ázsiai, az EU-ba határon átnyúlóan értékesítő e-kereskedelmi vállalkozásoknak tehát mindegyiknek szüksége van GDPR-megfelelésre, és jellemzően 27. cikk szerinti képviselőre is.

Mi a különbség az adatkezelő és az adatfeldolgozó között?

Az adatkezelő határozza meg az adatkezelés céljait és eszközeit — jellemzően maga az e-kereskedelmi eladó. Az adatfeldolgozó az adatkezelő nevében, dokumentált utasítások alapján kezeli a személyes adatokat — jellemzően fizetési szolgáltatók, teljesítési partnerek, marketingeszközök, tárhelyszolgáltatók.

A 28. cikk írásos adatfeldolgozási megállapodást (DPA) ír elő közöttük, amely kiterjed a tárgyra, időtartamra, jellegre, célra, adatkategóriákra, valamint az adatkezelő és adatfeldolgozó kötelezettségeire (beleértve az alfeldolgozók engedélyezését, az adatkezelő felé történő incidensbejelentést, a szolgáltatás végén az adatok törlését/visszaszolgáltatását).

Mennyi idő alatt tehető GDPR-kompatibilissé egy Zunapro webáruház?

A technikai réteg esetében körülbelül 10 perc. A Zunapro GDPR-kész webáruházakat kínál TCF v2.2-kompatibilis hozzájárulás-kezelő platformmal, 12 uniós nyelven elérhető, 13. cikk szerinti adatvédelmi tájékoztató-sablonokkal, érintetti kérelem-kezelési munkafolyamatokkal, testre szabható megőrzési szabályokkal, automatizált incidensbejelentési eszközökkel és előre aláírt 2021-es SCC-kkel az alfeldolgozók számára.

A fennmaradó munka inkább szabályzati, mint kódolási jellegű: a jogalapok dokumentálása adatkezelési tevékenységenként, a 30. cikk szerinti nyilvántartás feltöltése és a felügyeleti hatósági kapcsolattartási adatok összehangolása. A legtöbb eladó egy délután alatt elvégzi az első teljes kört, majd onnantól finomítja.

Indítsa el uniós e-kereskedelmi rendszerét — dobozból is GDPR-kompatibilisen

2016/679/EU rendelet · TCF v2.2 sütikezelési hozzájárulás · 13. cikk szerinti adatvédelmi tájékoztató · 8 érintetti jog · 72 órás incidenskezelés · 2021-es SCC-k + TIA-k · előre feltérképezett hatósági könyvtár a CNIL, AEPD, Garante, BfDI, AP, NAIH és ICO számára. Egyetlen panel, minden uniós webáruház, minden piactér.

🇪🇺 Indulás uniós szinten →
Megosztás:

Segítségre van szüksége?

Kapcsolódó szolgáltatás: Cégalapítás

Lépjen kapcsolatba

Ingyenes konzultáció az e-kereskedelmi projektjéhez.

WhatsApp-on írni