GDPR-tjekliste for e-handel: 12 punkter, enhver onlinebutik bør bestå
En kort, opinioneret tjekliste for e-handelsoperatører i EU. Hvert punkt knytter sig til en konkret GDPR-artikel eller til ePrivacy-direktivet, og hvert punkt er noget, en tilsynsmyndighed kunne teste på dit live-websted i dag.
Lukas Kontur · · 2 min læsning
Dette er en tjekliste for e-handelsoperatører i Den Europæiske Union. Den er ikke en erstatning for en konsekvensanalyse vedrørende databeskyttelse, og den er ikke en erstatning for rådgivning fra en tysk Datenschutzbeauftragter eller en fransk Délégué à la Protection des Données. Det er den korte liste over punkter, der efter vores erfaring fra scanning af det europæiske web er dokumenteret godt nok til, at en operatør kan besvare en tilsynsmyndigheds spørgsmål om, hvordan systemet håndterede en specifik anmodning, med tidsstempler.
Punkterne er angivet i frontmatter og gengives af tjekliste-sideskabelonen. Hvert punkt er en diskret, testbar påstand, og hvert punkt knytter sig til enten GDPR eller ePrivacy Directive. Hvor den juridiske ramme er mere nuanceret — for eksempel om overførselsmekanismer, efter EU-US Data Privacy Framework trådte i kraft — har vi noteret det i detaljelinjen.
De to punkter, der oftest fejler, med stor margen, er:
- Punkt 2: sporing før samtykke. Dette er det samme fund, vores scanner mærker som pre_consent_tracking. Se vidensartiklen om sporing før samtykke for de tekniske detaljer.
- Punkt 3: afvis afviser ikke. Vores undersøgelse fandt, at 80 % af afvis-knapperne på 28.891 målte websteder ikke faktisk stoppede sporingen. Korpus-tallet er overskriften; sektorspecifik adfærd på e-handelssider er noget, vi vil måle separat, da samtykkedynamikken på transaktionssider adskiller sig fra nyheds- eller indholdssider.
For en livedemonstration af, hvordan en ikke-overensstemmende scanning ser ud:
En mellemrisikoscore på denne skala indikerer typisk, at banneret er til stede, og afvis-knappen virker, men mindst én sporer affyrer før samtykke. Bekræft, at ingen ikke-essentielle sporere affyrer før samtykkebeslutningen.
Den anbefalede kadence er at gennemgå denne tjekliste kvartalsvis, opbevare resultaterne som dokumentation for ansvarlighed efter GDPR Art. 5(2) og behandle ethvert punkt, der er fejlet to gange i træk, som et P1-issue. De fleste operatører vil ikke opleve en håndhævelsessag. De, der gør, vil være glade for at have ført optegnelserne.
Senest opdateret: