A vásárlóktól hozzájárulást kell kérni, hogy alkalmazható legyen a szolgáltatás?

Nem, semmilyen hozzájárulást sem kell kérni hozzá, hiszen az adatkezelés jogalapja nem az érintett hozzájárulása.

A GDPR által bevezetett egyik újdonság, hogy már nem csak kettő jogalappal (hozzájárulás/kötelező adatkezelés) lehet személyes adatot kezelni, hanem hat különbözőből válaszhatunk. Ezek az alábbiak:

1. az érintett hozzájárulása,
2. szerződés megkötése és teljesítése,
3. jogi kötelezettség teljesítése,
4. létfontosságú érdek,
5. közhatalmi jogosítvány gyakorlása,
6. az adatkezelő vagy egy harmadik fél jogos érdekének érvényesítése.

Látható, hogy a rendszer már sokkal differenciáltabb, és egyáltalán nem csak az érintett hozzájárulása az, ami alkalmas a jogszerű adatkezelés igazolására (sőt, mondhatni, hogy az a „legproblémásabb” jogalap). Például a rendelés során a vásárló szerződést köt a webshoppal, amelyhez elengedhetetlenül szükséges bizonyos személyes adatok rögzítése (például a számlázáshoz és a szállításhoz szükséges adatok).

A szolgáltatás használata szintén kötődik a felek között létrejövő adásvételi szerződéshez, azonban mivel nem szorosan szükséges a teljesítéshez, ezért véleményünk szerint az adatkezelés jogszerűségét az adatkezelő (webshop üzemeltetőjének) jogos érdeke igazolhatja. E jogalapnál mérlegelni kell, hogy az adatkezelésnek milyen jogszerű indoka lehet, például érdemes utalni arra, hogy egy webáruház üzemeltetése során mekkora plusz költséget jelent az átvételre nem kerülő áruk (dupla) postázása. A másik fontos szempont, hogy azon felhasználók esetében, akik rendszeresen nem veszik át az árukat, sem feltétlenül „tiltja le” a webshop, ez kizárólag az implementációtól függ. A javaslatunk az - és az általunk készített hivatalos plugin is ezt teszi -, hogy az ő esetükben az utánvétes fizetési mód kerüljön letiltásra.

Amennyiben az adatvédelmi dokumentáció elkészítésével kapcsolatban kérdésed lenne, fordulj dr. Krausz Miklóshoz és a VirtualJog csapatához bizalommal.