Lista kontrolna RODO dla e-commerce: 12 punktów, które powinien spełnić każdy sklep online
Krótka, opiniotwórcza lista kontrolna dla operatorów e-commerce w UE. Każdy punkt odpowiada konkretnemu artykułowi RODO lub dyrektywie ePrivacy, a każdy z nich jest czymś, co organ regulacyjny może dziś przetestować na Twojej działającej witrynie.
Lukas Kontur · · 2 min czytania
To jest lista kontrolna dla operatorów e-commerce w Unii Europejskiej. Nie zastępuje oceny skutków dla ochrony danych i nie zastępuje porady niemieckiego Datenschutzbeauftragter ani francuskiego Délégué à la Protection des Données. To krótka lista pozycji, które, z naszego doświadczenia w skanowaniu europejskiego internetu, są udokumentowane na tyle dobrze, że operator może odpowiedzieć na pytania organu regulacyjnego, jak system obsłużył konkretne żądanie, ze znacznikami czasu.
Pozycje są wymienione w nagłówku frontmatter i renderowane przez szablon strony listy kontrolnej. Każda jest oddzielnym, testowalnym stwierdzeniem i każda odpowiada albo GDPR, albo ePrivacy Directive. Tam, gdzie ramy prawne są bardziej zniuansowane — na przykład w przypadku mechanizmów transferu po wejściu w życie EU-US Data Privacy Framework — odnotowaliśmy to w wierszu szczegółowym.
Dwie pozycje, które najczęściej zawodzą, z dużą przewagą, to:
- Pozycja 2: śledzenie przed zgodą. To samo wykrycie, które nasz skaner oznacza jako pre_consent_tracking. Zobacz artykuł wiedzy o śledzeniu przed zgodą po szczegóły techniczne.
- Pozycja 3: odrzucenie nie odrzuca. Nasze badania wykazały, że 80% przycisków odrzucenia w 28 891 zmierzonych witrynach faktycznie nie zatrzymywało śledzenia. Liczba na poziomie korpusu to nagłówek; specyficzne dla sektora zachowanie na witrynach e-commerce to coś, co będziemy mierzyć osobno, ponieważ dynamika zgody na stronach transakcyjnych różni się od witryn z wiadomościami lub treściami.
Aby zobaczyć demonstrację tego, jak wygląda niezgodny skan:
Wynik średniego ryzyka w tej skali zwykle wskazuje, że baner jest obecny i przycisk odrzucenia działa, ale co najmniej jeden tracker uruchamia się przed zgodą. Potwierdź, że żadne niepodstawowe trackery nie uruchamiają się przed decyzją o zgodzie.
Zalecana częstotliwość to przejście tej listy kontrolnej co kwartał, przechowywanie wyników jako dowodu rozliczalności zgodnie z GDPR Art. 5(2) i traktowanie każdej pozycji, która zawiodła dwa razy z rzędu, jako problemu P1. Większość operatorów nie doświadczy zdarzenia egzekucyjnego. Ci, którzy doświadczą, będą zadowoleni, że prowadzili dokumentację.
Ostatnia aktualizacja: