Kontrolní seznam GDPR pro ecommerce: 12 bodů, které by měl splňovat každý online obchod
Krátký, vyhraněný kontrolní seznam pro provozovatele ecommerce v EU. Každá položka odpovídá konkrétnímu článku GDPR nebo směrnici ePrivacy a každá je něčím, co regulátor může dnes otestovat na vašem živém webu.
Lukas Kontur · · 2 min čtení
Toto je kontrolní seznam pro provozovatele ecommerce v Evropské unii. Není náhradou za posouzení vlivu na ochranu osobních údajů a není náhradou za radu německého Datenschutzbeauftragter nebo francouzského Délégué à la Protection des Données. Je to krátký seznam položek, které, podle naší zkušenosti se skenováním evropského webu, jsou dokumentovány dostatečně dobře, aby provozovatel mohl odpovědět na otázky regulátora o tom, jak systém zpracoval konkrétní požadavek, s časovými razítky.
Položky jsou uvedeny ve frontmatteru a vykresleny šablonou stránky kontrolního seznamu. Každá je samostatným, testovatelným tvrzením a každá odpovídá buď GDPR, nebo ePrivacy Directive. Tam, kde je právní rámec nuancovanější — například u mechanismů přenosu po vstupu EU-US Data Privacy Framework v platnost — jsme to poznamenali v podrobném řádku.
Dvě položky, které selhávají nejčastěji, s velkým náskokem, jsou:
- Položka 2: sledování před souhlasem. To je stejný nález, který náš skener označuje jako pre_consent_tracking. Viz článek znalostí o sledování před souhlasem pro technické detaily.
- Položka 3: odmítnutí neodmítá. Náš výzkum zjistil, že 80 % tlačítek odmítnutí napříč 28 891 měřenými weby ve skutečnosti nezastavilo sledování. Číslo na úrovni korpusu je titulek; specifické sektorové chování na ecommerce webech je něco, co budeme měřit samostatně, protože dynamika souhlasu na transakčních stránkách se liší od zpravodajských nebo obsahových webů.
Pro živou ukázku toho, jak vypadá nevyhovující sken:
Skóre středního rizika na této škále obvykle naznačuje, že banner je přítomen a tlačítko odmítnutí funguje, ale alespoň jeden tracker se spouští před souhlasem. Potvrďte, že žádné nepodstatné trackery se nespouštějí před rozhodnutím o souhlasu.
Doporučená kadence je projít tento kontrolní seznam čtvrtletně, uchovat výsledky jako důkaz odpovědnosti podle GDPR Art. 5(2) a každou položku, která selhala dvakrát po sobě, považovat za problém P1. Většina provozovatelů nezažije vymáhací událost. Ti, kteří ano, budou rádi, že vedli záznamy.
Naposledy aktualizováno: