Контролен списък GDPR за електронна търговия: 12 точки, които всеки онлайн магазин трябва да премине
Кратък, мнения изразяващ контролен списък за оператори на електронна търговия в ЕС. Всяка точка препраща към конкретен член на ОРЗД или към ePrivacy Directive, и всяка е нещо, което регулатор би могъл да тества на вашия активен сайт днес.
Lukas Kontur · · 2 мин. четене
Това е контролен списък за оператори на електронна търговия в Европейския съюз. Не е заместител на Оценка на въздействието върху защитата на данните и не е заместител на съвет от германски Datenschutzbeauftragter или френски Délégué à la Protection des Données. Това е краткият списък от точки, които, по нашия опит при сканиране на европейския уебпространство, са документирани достатъчно добре, че оператор може да отговори на въпросите на регулатор за това как системата е обработила конкретна заявка, с времеви маркировки.
Точките са изброени в frontmatter и се рендират от шаблона на страницата за контролен списък. Всяка е дискретно, тестируемо твърдение, и всяка препраща към GDPR или към ePrivacy Directive. Където правната рамка е по-нюансирана — например, относно механизмите за трансфер след като EU-US Data Privacy Framework влезе в сила — отбелязали сме това в реда с подробности.
Двете точки, които се провалят най-често, със значителна разлика, са:
- Точка 2: проследяване преди съгласие. Това е същата констатация, която нашият скенер маркира като pre_consent_tracking. Вижте статията за проследяване преди съгласие за техническите детайли.
- Точка 3: отказът не отказва. Нашето изследване установи, че 80% от бутоните за отказ в 28 891 измерени сайта всъщност не спират проследяването. Числото на ниво корпус е заглавието; специфичното за сектора поведение на сайтовете за електронна търговия е нещо, което ще измерваме отделно, тъй като динамиките на съгласие на транзакционни страници се различават от новинарските или съдържателните сайтове.
За живо демонстриране на това как изглежда несъответстващо сканиране:
Среден риск на тази скала обикновено показва, че банерът присъства и бутонът за отказ работи, но поне един тракер се задейства преди съгласие. Потвърдете, че никакви несъществени тракери не се задействат преди решението за съгласие.
Препоръчителната честота е да преминавате през този контролен списък тримесечно, да съхранявате резултатите като доказателство за отчетност съгласно GDPR Art. 5(2), и да третирате всяка точка, която се е провалила два пъти подред, като P1 проблем. Повечето оператори няма да имат събитие на правоприлагане. Тези, които имат, ще се радват, че са поддържали записите.
Последно обновяване: