E-kaubanduse GDPR-i kontrollnimekiri: 12 punkti, mida iga e-pood peaks läbima
Lühike, arvamust avaldav kontrollnimekiri EL-i e-kaubanduse operaatoritele. Iga punkt viitab konkreetsele GDPR-i artiklile või ePrivaatsuse direktiivile ja iga neist on midagi, mida järelevalveasutus võiks teie live-saidil täna testida.
Lukas Kontur · · 1 min lugemist
See on kontrollnimekiri Euroopa Liidus tegutsevatele e-kaubanduse operaatoritele. See ei asenda andmekaitsealast mõjuhinnangut ja see ei asenda Saksa Datenschutzbeauftragter-i ega Prantsuse Délégué à la Protection des Données nõuannet. See on lühike nimekiri punktidest, mis meie kogemuse põhjal Euroopa veebi skannimisel on piisavalt hästi dokumenteeritud, et operaator saaks vastata järelevalveasutuse küsimustele selle kohta, kuidas süsteem konkreetset päringut käsitles, koos ajatemplitega.
Punktid on loetletud frontmatteris ja kontrollnimekirja lehe mall renderdab need. Iga neist on eraldiseisev, testitav väide ja iga neist viitab kas GDPR-ile või ePrivacy Directive-ile. Seal, kus õiguslik raamistik on nüansirikkam — näiteks edastusmehhanismide osas pärast seda, kui EU-US Data Privacy Framework jõustus — oleme seda üksikasjade real märkinud.
Kaks punkti, mis kõige sagedamini ebaõnnestuvad, selge marginaaliga, on:
- Punkt 2: nõusolekueelne jälgimine. See on sama tuvastus, mille meie skanner märgistab nimega pre_consent_tracking. Tehnilisteks üksikasjadeks vaata nõusolekueelse jälgimise teabeartiklit.
- Punkt 3: keeldumine ei keeldu. Meie uuringu andmetel 80% keeldumisnuppudest 28 891 mõõdetud saidil ei peatanud tegelikult jälgimist. Korpuse tasandi arv on pealkiri; sektoripõhist käitumist e-kaubanduse saitidel mõõdame eraldi, sest nõusolekudünaamika tehingulehtedel erineb uudiste- või sisulehtedest.
Live-demonstratsiooniks sellest, milline nõudeid mittetäitev skann välja näeb:
Keskmise riski hinne sel skaalal tavaliselt näitab, et banner on olemas ja keeldumisnupp töötab, aga vähemalt üks jälgija käivitub enne nõusolekut. Kinnita, et ükski mitteoluline jälgija ei käivitu enne nõusolekuotsust.
Soovitatav kadents on käia see kontrollnimekiri läbi kvartalis, säilitada tulemused tõendina vastutusest vastavalt GDPR Art. 5(2)-le ja käsitleda iga punkti, mis on kaks korda järjest ebaõnnestunud, P1-probleemina. Enamikul operaatoritest täitetegevuse sündmust ei tule. Need, kellele tuleb, on rõõmsad, et hoidsid kirjeid.
Viimati uuendatud: