Verkkokaupan GDPR-tarkistuslista: 12 kohtaa, jotka jokaisen verkkokaupan pitäisi läpäistä
Lyhyt, kantaaottava tarkistuslista EU:ssa toimiville verkkokauppiaille. Jokainen kohta kytkeytyy tiettyyn GDPR-artiklaan tai ePrivacy-direktiiviin, ja jokainen niistä on jotain, jota valvoja voisi testata live-sivustollasi tänään.
Lukas Kontur · · 1 min lukuaika
Tämä on tarkistuslista Euroopan unionissa toimiville verkkokauppiaille. Se ei korvaa tietosuojaa koskevaa vaikutustenarviointia eikä saksalaisen Datenschutzbeauftragterin tai ranskalaisen Délégué à la Protection des Donnéesn neuvontaa. Se on lyhyt lista kohtia, jotka kokemuksemme mukaan eurooppalaisen verkon skannauksissa on dokumentoitu riittävän hyvin, jotta operaattori voi vastata valvojan kysymyksiin siitä, miten järjestelmä käsitteli tiettyä pyyntöä, aikaleimojen kanssa.
Kohdat on lueteltu frontmatterissa, ja tarkistuslistasivun malli renderöi ne. Jokainen niistä on erillinen, testattavissa oleva väite, ja jokainen liittyy joko GDPR:ään tai ePrivacy Directive -direktiiviin. Siellä, missä oikeudellinen kehys on vivahteikkaampi — esimerkiksi siirtomekanismeissa sen jälkeen, kun EU-US Data Privacy Framework tuli voimaan — olemme huomauttaneet sen yksityiskohtarivillä.
Kaksi kohtaa, jotka epäonnistuvat useimmin, selvällä marginaalilla, ovat:
- Kohta 2: seuranta ennen suostumusta. Tämä on sama havainto, jonka skannerimme merkitsee nimellä pre_consent_tracking. Katso suostumusta edeltävän seurannan tietoartikkeli teknisiä yksityiskohtia varten.
- Kohta 3: hylkäys ei hylkää. Tutkimuksemme osoitti, että 80 % hylkäyspainikkeista 28 891 mitatulla sivustolla ei tosiasiassa pysäyttänyt seurantaa. Korpustason luku on otsikko; alakohtaista käyttäytymistä verkkokauppasivustoilla mittaamme erikseen, koska suostumusdynamiikka tapahtumasivuilla eroaa uutis- tai sisältösivuista.
Live-demonstraatio siitä, miltä ei-vaatimustenmukainen skannaus näyttää:
Keskitason riskipistemäärä tällä asteikolla tyypillisesti osoittaa, että banneri on läsnä ja hylkäyspainike toimii, mutta vähintään yksi seurain laukeaa ennen suostumusta. Vahvista, ettei yksikään ei-välttämätön seurain laukea ennen suostumuspäätöstä.
Suositeltu kadenssi on käydä tämä tarkistuslista läpi neljännesvuosittain, säilyttää tulokset näyttönä vastuullisuudesta GDPR Art. 5(2):n nojalla ja käsitellä kaikkia kohtia, jotka ovat epäonnistuneet kaksi kertaa peräkkäin, P1-ongelmina. Useimmille operaattoreille ei tule valvontatapahtumaa. Ne, joille tulee, ovat iloisia, että pitivät kirjaa.
Viimeksi päivitetty: