Λίστα ελέγχου ΓΚΠΔ για ecommerce: 12 σημεία που κάθε ηλεκτρονικό κατάστημα πρέπει να περνά
Μια σύντομη, στοχευμένη λίστα ελέγχου για φορείς ecommerce στην ΕΕ. Κάθε σημείο αντιστοιχεί σε συγκεκριμένο άρθρο του ΓΚΠΔ ή στην οδηγία ePrivacy, και κάθε ένα είναι κάτι που μια αρχή θα μπορούσε να ελέγξει στον live ιστότοπό σας σήμερα.
Lukas Kontur · · 2 λεπτά ανάγνωσης
Αυτή είναι μια λίστα ελέγχου για φορείς ecommerce στην Ευρωπαϊκή Ένωση. Δεν υποκαθιστά μια εκτίμηση αντικτύπου στην προστασία δεδομένων ούτε τη συμβουλή ενός γερμανού Datenschutzbeauftragter ή ενός γάλλου Délégué à la Protection des Données. Είναι η σύντομη λίστα σημείων που, βάσει της εμπειρίας μας στη σάρωση του ευρωπαϊκού ιστού, είναι τεκμηριωμένα αρκετά ώστε ένας φορέας να μπορεί να απαντήσει στις ερωτήσεις μιας αρχής σχετικά με το πώς χειρίστηκε το σύστημα ένα συγκεκριμένο αίτημα, με timestamps.
Τα σημεία παρατίθενται στο frontmatter και αποδίδονται από το template της σελίδας checklist. Κάθε ένα είναι μια διακριτή, ελέγξιμη δήλωση, και κάθε ένα αντιστοιχεί είτε στον GDPR είτε στην ePrivacy Directive. Όπου το νομικό πλαίσιο είναι πιο διαφοροποιημένο — για παράδειγμα, στους μηχανισμούς διαβίβασης μετά την έναρξη ισχύος του EU-US Data Privacy Framework — το έχουμε σημειώσει στη γραμμή λεπτομέρειας.
Τα δύο σημεία που αποτυγχάνουν συχνότερα, με μεγάλη διαφορά, είναι:
- Σημείο 2: παρακολούθηση πριν από τη συγκατάθεση. Αυτό είναι το ίδιο εύρημα που ο σαρωτής μας χαρακτηρίζει ως pre_consent_tracking. Δείτε το άρθρο γνώσης για την παρακολούθηση πριν τη συγκατάθεση για τις τεχνικές λεπτομέρειες.
- Σημείο 3: η απόρριψη δεν απορρίπτει. Η έρευνά μας βρήκε ότι το 80% των κουμπιών απόρριψης σε 28.891 μετρημένους ιστότοπους δεν σταμάτησαν πραγματικά την παρακολούθηση. Ο αριθμός σε επίπεδο corpus είναι ο τίτλος· η συμπεριφορά ανά τομέα σε ιστότοπους ecommerce είναι κάτι που θα μετρήσουμε ξεχωριστά, καθώς η δυναμική της συγκατάθεσης σε σελίδες συναλλαγών διαφέρει από εκείνη σε ειδησεογραφικούς ή ενημερωτικούς ιστότοπους.
Για μια ζωντανή επίδειξη του πώς μοιάζει μια μη συμμορφούμενη σάρωση:
Ένα risk score μεσαίου επιπέδου σε αυτή την κλίμακα συνήθως δείχνει ότι το banner υπάρχει και το κουμπί απόρριψης λειτουργεί, αλλά τουλάχιστον ένας ιχνηλάτης ενεργοποιείται πριν τη συγκατάθεση. Επιβεβαιώστε ότι κανείς μη απαραίτητος ιχνηλάτης δεν ενεργοποιείται πριν από την απόφαση συγκατάθεσης.
Η προτεινόμενη συχνότητα είναι να διατρέχετε αυτή τη λίστα ελέγχου τριμηνιαίως, να αποθηκεύετε τα αποτελέσματα ως στοιχείο λογοδοσίας βάσει GDPR Art. 5(2) και να αντιμετωπίζετε κάθε σημείο που απέτυχε δύο φορές στη σειρά ως ζήτημα P1. Οι περισσότεροι φορείς δεν θα βιώσουν γεγονός επιβολής. Όσοι το βιώσουν, θα χαρούν που κράτησαν αρχεία.
Τελευταία ενημέρωση: