Genel Veri Koruma Tüzüğü (GDPR) ve Macar veri koruma mevzuatı (Bilgi Özerkliği Hakkında 2011. Yıl CXII. Kanun), kişisel verileri işleyen e-ticaret operatörlerine katı yükümlülükler getirmektedir. NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság – Ulusal Veri Koruma ve Bilgi Özgürlüğü Otoritesi) Macaristan'da uyumluluğu denetler ve özellikle veri koruma yükümlülüklerini yerine getirmeyen online perakendecileri ve web mağazalarını hedefleyerek yaptırım eylemlerinde giderek daha aktif hale gelmiştir.
Çerez yönetimi ve onay
Analitik izleyiciler, pazarlama pikselleri ve yeniden pazarlama etiketleri dahil zorunlu olmayan çerezlerin yerleştirilmesinden önce açık onay gereklidir. Çerez onay banner'ı kategoriye göre (gerekli, analitik, pazarlama, tercihler) kabul etme, reddetme veya özelleştirme için net seçenekler sunmalıdır. Google Analytics, Facebook Pixel ve diğer izleme araçları yalnızca kullanıcı onay verdikten sonra etkinleştirilebilir. Çerez onayı uyumluluk kanıtı olarak belgelenmeli ve saklanmalıdır ve kullanıcılara erişilebilir bir mekanizma aracılığıyla onaylarını her zaman geri çekme imkanı sağlanmalıdır.
Gizlilik politikası gereksinimleri
Her web mağazası açık Macarca dilinde kapsamlı, şeffaf bir gizlilik politikası yayınlamalıdır. Politika şunları kapsamalıdır: hangi kişisel verilerin toplandığı (ad, adres, e-posta, telefon, ödeme bilgileri, IP adresi), işleme amaçları (sözleşme ifası, pazarlama, analitik, dolandırıcılık önleme), her işleme faaliyeti için hukuki dayanak (sözleşme ifası, onay, meşru menfaat), veri alıcıları (GLS ve FoxPost gibi kargo hizmetleri, SimplePay ve Barion gibi ödeme sağlayıcıları, muhasebe yazılımı), her kategori için veri saklama süreleri ve veri sahibi haklarının tam açıklaması. Gizlilik politikası web mağazasının her sayfasından erişilebilir olmalıdır.
Veri sahibi hakları ve kayıt tutma
Müşteriler kişisel verilerine erişim, yanlış verilerin düzeltilmesi, silme (unutulma hakkı), makine tarafından okunabilir formatta veri taşınabilirliği, meşru menfaate dayalı işlemeye itiraz ve işlemenin kısıtlanmasını talep etme hakkına sahiptir. Taleplere 30 gün içinde yanıt verilmelidir, karmaşık durumlarda uygun bildirimle ek 60 gün uzatılabilir. Veri Koruma Görevlisi (DPO) atanması, veri sorumlusunun temel faaliyetlerinin büyük ölçekte veri sahiplerinin düzenli ve sistematik izlenmesini içermesi durumunda zorunludur. Her e-ticaret operatörü tüm işleme amaçlarını, hukuki dayanakları, veri kategorilerini ve uluslararası transferleri belgeleyen bir İşleme Faaliyetleri Kaydı (ROPA) tutmalıdır.
Yaptırımlar ve pratik uyumluluk
NAIH ciddi ihlaller için 20 milyon €'ya veya yıllık küresel cironun %4'üne kadar para cezası uygulayabilir. Uygulamada Macar cezaları genellikle 100.000 HUF'tan birkaç milyon HUF'a kadar değişir, ancak NAIH daha sıkı yaptırıma yönelmektedir. En yaygın ihlaller arasında yetersiz çerez onay mekanizmaları, eksik veya olmayan gizlilik politikaları, uygun onay olmadan pazarlama e-postaları gönderme ve veri sahibi erişim taleplerine yasal süre içinde yanıt vermeme yer alır. Zunapro, çerez banner yapılandırması, gizlilik politikası hazırlama, NAIH uyumluluk belgeleri ve düzenleyici değişikliklerin sürekli izlenmesi dahil e-ticaret platformunuz için tam GDPR uyumluluğu sağlar.
