A vásárlóktól hozzájárulást kell kérni, hogy alkalmazható legyen a szolgáltatás?
Nem, semmilyen hozzájárulást sem kell kérni hozzá, hiszen az adatkezelés jogalapja nem az érintett hozzájárulása.
A GDPR által bevezetett egyik újdonság, hogy már nem csak kettő jogalappal (hozzájárulás/kötelező adatkezelés) lehet személyes adatot kezelni, hanem hat különbözőből válaszhatunk. Ezek az alábbiak:
- az érintett hozzájárulása,
- szerződés megkötése és teljesítése,
- jogi kötelezettség teljesítése,
- létfontosságú érdek,
- közhatalmi jogosítvány gyakorlása,
- az adatkezelő vagy egy harmadik fél jogos érdekének érvényesítése.
Látható, hogy a rendszer már sokkal differenciáltabb, és egyáltalán nem csak az érintett hozzájárulása az, ami alkalmas a jogszerű adatkezelés igazolására (sőt, mondhatni, hogy az a „legproblémásabb” jogalap). Például a rendelés során a vásárló szerződést köt a webshoppal, amelyhez elengedhetetlenül szükséges bizonyos személyes adatok rögzítése (például a számlázáshoz és a szállításhoz szükséges adatok).
A szolgáltatás használata szintén kötődik a felek között létrejövő adásvételi szerződéshez, azonban mivel nem szorosan szükséges a teljesítéshez, ezért véleményünk szerint az adatkezelés jogszerűségét az adatkezelő (webshop üzemeltetőjének) jogos érdeke igazolhatja. E jogalapnál mérlegelni kell, hogy az adatkezelésnek milyen jogszerű indoka lehet, például érdemes utalni arra, hogy egy webáruház üzemeltetése során mekkora plusz költséget jelent az átvételre nem kerülő áruk (dupla) postázása. A másik fontos szempont, hogy azon felhasználók esetében, akik rendszeresen nem veszik át az árukat, sem feltétlenül „tiltja le” a webshop, ez kizárólag az implementációtól függ. A javaslatunk az - és az általunk készített hivatalos plugin is ezt teszi -, hogy az ő esetükben az utánvétes fizetési mód kerüljön letiltásra.
Amennyiben az adatvédelmi dokumentáció elkészítésével kapcsolatban kérdésed lenne, fordulj dr. Krausz Miklóshoz és a VirtualJog csapatához bizalommal.