GDPR-checklista för e-handel: 12 punkter varje webbutik bör klara
En kort, åsiktsbetonad checklista för e-handelsoperatörer i EU. Varje punkt mappas till en specifik GDPR-artikel eller till ePrivacy-direktivet, och varje punkt är något en tillsynsmyndighet skulle kunna testa på din live-webbplats idag.
Lukas Kontur · · 2 min läsning
Detta är en checklista för e-handelsoperatörer i Europeiska unionen. Den ersätter inte en konsekvensbedömning avseende dataskydd och inte heller råd från en tysk Datenschutzbeauftragter eller en fransk Délégué à la Protection des Données. Det är den korta listan över punkter som, enligt vår erfarenhet av att skanna den europeiska webben, är tillräckligt väl dokumenterade för att en operatör ska kunna besvara en tillsynsmyndighets frågor om hur systemet hanterade en specifik begäran, med tidsstämplar.
Punkterna listas i frontmattern och renderas av checklistesidans mall. Var och en är en distinkt, testbar utsaga, och var och en mappar till antingen GDPR eller ePrivacy Directive. Där det rättsliga ramverket är mer nyanserat — exempelvis vid överföringsmekanismer efter att EU-US Data Privacy Framework trädde i kraft — har vi noterat det i detaljraden.
De två punkter som oftast underkänns, med stor marginal, är:
- Punkt 2: spårning före samtycke. Detta är samma iakttagelse som vår skanner märker som pre_consent_tracking. Se kunskapsartikeln om spårning före samtycke för de tekniska detaljerna.
- Punkt 3: avvisning avvisar inte. Vår undersökning fann att 80 % av avvisningsknapparna på 28 891 uppmätta webbplatser inte faktiskt stoppade spårningen. Korpus-siffran är rubriken; sektorsspecifikt beteende på e-handelswebbplatser är något vi kommer att mäta separat, eftersom samtyckesdynamiken på transaktionssidor skiljer sig från nyhets- eller innehållssidor.
För en live-demonstration av hur en icke-konform skanning ser ut:
En medelhög riskpoäng på denna skala indikerar typiskt att bannern finns och att avvisningsknappen fungerar, men att minst en spårare avfyras före samtycke. Bekräfta att inga icke-väsentliga spårare avfyras före samtyckesbeslutet.
Den rekommenderade kadensen är att gå igenom denna checklista kvartalsvis, lagra resultaten som bevis på ansvarsskyldighet enligt GDPR Art. 5(2), och behandla varje punkt som har underkänts två gånger i rad som ett P1-problem. De flesta operatörer kommer inte att råka ut för ett tillsynsärende. De som gör det kommer att vara glada att de förde register.
Senast uppdaterad: