E. prekybos BDAR kontrolinis sąrašas: 12 punktų, kuriuos turėtų atitikti kiekviena internetinė parduotuvė
Trumpas, kryptingas kontrolinis sąrašas ES e. prekybos operatoriams. Kiekvienas punktas susietas su konkrečiu BDAR straipsniu arba su ePrivatumo direktyva, ir kiekvieną reguliuotojas galėtų patikrinti jūsų veikiančioje svetainėje jau šiandien.
Lukas Kontur · · 2 min skaitymo
Tai kontrolinis sąrašas Europos Sąjungos e. prekybos operatoriams. Jis nėra Duomenų apsaugos poveikio vertinimo pakaitalas ir nėra pakaitalas Vokietijos Datenschutzbeauftragter arba Prancūzijos Délégué à la Protection des Données konsultacijos. Tai trumpas sąrašas punktų, kurie, iš mūsų patirties skenuojant Europos internetą, yra dokumentuojami pakankamai gerai, kad operatorius galėtų atsakyti į reguliuotojo klausimus apie tai, kaip sistema tvarkė konkrečią užklausą, su laiko žymomis.
Punktai išvardyti frontmatter dalyje ir atvaizduojami kontrolinio sąrašo puslapio šablono. Kiekvienas iš jų yra atskiras, patikrinamas teiginys, ir kiekvienas susietas su GDPR arba ePrivacy Directive. Kur teisinis pagrindas yra subtilesnis — pavyzdžiui, perdavimo mechanizmuose po EU-US Data Privacy Framework įsigaliojimo — tai pažymėjome detalėje.
Du punktai, kurie dažniausiai neišlaikomi, su dideliu atotrūkiu, yra:
- 2 punktas: sekimas prieš sutikimą. Tai tas pats radinys, kurį mūsų skeneris žymi kaip pre_consent_tracking. Techninių detalių rasite sekimo prieš sutikimą žinių straipsnyje.
- 3 punktas: atmetimas neatmeta. Mūsų tyrimas nustatė, kad 80 % atmetimo mygtukų 28 891 ištirtoje svetainėje iš tikrųjų nesustabdė sekimo. Korpuso lygio skaičius yra pagrindinis; sektoriui būdingas e. prekybos svetainių elgesys yra kažkas, ką matuosime atskirai, nes sutikimo dinamika transakcinėse svetainėse skiriasi nuo naujienų ar turinio svetainių.
Norėdami pamatyti gyvą neatitinkamo skenavimo demonstraciją:
Vidutinės rizikos balas šioje skalėje paprastai rodo, kad banerys yra ir atmetimo mygtukas veikia, bet bent vienas sekimo įrankis suveikia prieš sutikimą. Patvirtinkite, kad prieš sutikimo sprendimą nesuveikia jokie neesminiai sekimo įrankiai.
Rekomenduojama šį kontrolinį sąrašą pereiti kas ketvirtį, saugoti rezultatus kaip atskaitomybės įrodymus pagal GDPR Art. 5(2), ir bet kurį punktą, kuris neišlaikė du kartus iš eilės, traktuoti kaip P1 problemą. Daugumos operatorių nepasieks vykdymo įvykis. Tie, kuriuos pasieks, bus patenkinti išlaikę įrašus.
Paskutinį kartą atnaujinta: