E-komercijas VDAR kontrolsaraksts: 12 punkti, kuri jāizpilda katram tiešsaistes veikalam
Īss, pārliecināts kontrolsaraksts ES e-komercijas operatoriem. Katrs punkts atsaucas uz konkrētu VDAR pantu vai uz ePrivātuma direktīvu, un katru regulators jau šodien varētu pārbaudīt jūsu darbojošajā vietnē.
Lukas Kontur · · 2 min lasīšanas
Tas ir kontrolsaraksts Eiropas Savienības e-komercijas operatoriem. Tas neaizvieto Datu aizsardzības ietekmes novērtējumu, un tas neaizvieto konsultāciju ar Vācijas Datenschutzbeauftragter vai Francijas Délégué à la Protection des Données. Tas ir īss saraksts ar punktiem, kas, pēc mūsu pieredzes, skenējot Eiropas tīmekli, ir pietiekami labi dokumentēti, lai operators varētu atbildēt uz regulatora jautājumiem par to, kā sistēma apstrādāja konkrētu pieprasījumu, ar laika zīmogiem.
Punkti ir uzskaitīti frontmatter sadaļā un tiek atveidoti ar kontrolsaraksta lapas šablonu. Katrs no tiem ir atsevišķs, pārbaudāms apgalvojums, un katrs atsaucas uz GDPR vai ePrivacy Directive. Kur juridiskais ietvars ir niansētāks — piemēram, par pārsūtīšanas mehānismiem pēc EU-US Data Privacy Framework stāšanās spēkā — mēs to esam atzīmējuši detaļā.
Divi punkti, kas visbiežāk netiek izpildīti ar lielu pārsvaru, ir:
- 2. punkts: izsekošana pirms piekrišanas. Tas ir tas pats atklājums, ko mūsu skeneris apzīmē kā pre_consent_tracking. Tehniskām detaļām skatiet izsekošanas pirms piekrišanas zināšanu rakstu.
- 3. punkts: noraidīšana nenoraida. Mūsu pētījums atklāja, ka 80 % noraidīšanas pogu 28 891 izmērītajās vietnēs faktiski neapturēja izsekošanu. Korpusa līmeņa skaitlis ir galvenais; nozarei specifisku uzvedību e-komercijas vietnēs mēs mērīsim atsevišķi, jo piekrišanas dinamika darījumu lapās atšķiras no ziņu vai satura vietnēm.
Lai redzētu dzīvu neatbilstoša skenējuma demonstrāciju:
Vidēja riska vērtējums šajā skalā parasti norāda, ka banera ir un noraidīšanas poga darbojas, bet vismaz viens izsekotājs aktivizējas pirms piekrišanas. Apstipriniet, ka pirms piekrišanas lēmuma neaktivizējas neviens nebūtisks izsekotājs.
Ieteicamais ritms ir izstaigāt šo kontrolsarakstu reizi ceturksnī, glabāt rezultātus kā pārskatatbildības pierādījumu saskaņā ar GDPR Art. 5(2) un jebkuru punktu, kas neizpildījies divas reizes pēc kārtas, uzskatīt par P1 problēmu. Lielākajai daļai operatoru īstenošanas notikuma nebūs. Tie, kuriem būs, priecāsies, ka saglabāja ierakstus.
Pēdējoreiz atjaunināts: