Az általános adatvédelmi rendelet (GDPR) és a magyar adatvédelmi jogszabályok (az információs önrendelkezési jogról szóló 2011. évi CXII. törvény) szigorú kötelezettségeket rónak az e-kereskedőkre. A NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) felügyeli a megfelelőséget Magyarországon, és az elmúlt években egyre aktívabban lép fel a jogsértőkkel szemben, különösen az online kereskedelem területén.
Cookie-kezelés és hozzájárulás
A nem feltétlenül szükséges cookie-k (analytics, marketing, remarketing) elhelyezéséhez előzetes, kifejezett hozzájárulás szükséges. A cookie-banner lehetővé kell hogy tegye az egyszerű elfogadást, elutasítást és kategóriánkénti testreszabást. A Google Analytics, Facebook Pixel és egyéb nyomkövető eszközök használata csak hozzájárulás után engedélyezett. A cookie-hozzájárulást dokumentálni kell, és a felhasználónak bármikor lehetőséget kell biztosítani a visszavonásra. A cookie-szabályzatnak részletesen tartalmaznia kell az egyes cookie-k nevét, célját, lejáratát és a szolgáltató adatait.
Adatvédelmi tájékoztató követelményei
A webáruháznak tartalmaznia kell átlátható, közérthető adatvédelmi tájékoztatót magyar nyelven. A tájékoztatónak ki kell terjednie a következőkre: milyen személyes adatokat gyűjt (név, cím, e-mail, telefonszám, fizetési adatok), milyen célból (szerződés teljesítése, marketing, analytics), mi a jogalap (szerződés, hozzájárulás, jogos érdek), kik a címzettek (futárszolgálat, fizetési szolgáltató, könyvelő), mennyi ideig tárolja az adatokat, és milyen jogai vannak az érintetteknek. A tájékoztatónak minden oldalról elérhetőnek kell lennie, jellemzően a láblécben.
Érintetti jogok és adatkezelési nyilvántartás
A vásárlók jogosultak a hozzáférésre, helyesbítésre, törlésre (elfeledtetéshez való jog), adathordozhatóságra, tiltakozásra és az adatkezelés korlátozására. A kérelmeket 30 napon belül kell megválaszolni, indokolt esetben további 60 nappal meghosszabbítható. Adatvédelmi tisztviselő (DPO) kijelölése kötelező, ha az adatkezelő fő tevékenysége nagyszámú érintett rendszeres és szisztematikus megfigyelése. Az adatkezelési tevékenységek nyilvántartását (ROPA) minden e-kereskedőnek vezetnie kell, amely tartalmazza az adatkezelési célokat, jogalapokat, érintetti kategóriákat és az adattovábbításokat.
Szankciók és gyakorlati megfelelőség
A NAIH akár 20 millió euróig vagy az éves globális forgalom 4%-áig terjedő bírságot szabhat ki súlyos jogsértés esetén. A gyakorlatban a magyar bírságok jellemzően 100.000 Ft-tól több millió Ft-ig terjednek, de a NAIH egyre szigorúbb. A leggyakoribb jogsértések: hiányos cookie-kezelés, nem megfelelő adatvédelmi tájékoztató, hozzájárulás nélküli marketing e-mailek és az érintetti jogok figyelmen kívül hagyása. A Zunapro biztosítja a teljes GDPR-megfelelőséget az e-kereskedelmi platformja számára, beleértve a cookie-banner beállítást, az adatvédelmi tájékoztató elkészítését és a NAIH-nak való megfelelést.