ugrás a tartalomhoz

A GDPR hogyan áll a fekete listákhoz?

inf3rno · Dec. 31. (H), 18.45
Felmerült egy topicban, hogy mit csináljon a webshop gazdája, ha szivatják az ügyfelek, és pl rendelnek 3 videokártyát, aztán visszaküldik mindet elállással miután kitesztelték. Sok helyen egy idő után ilyenkor fekete listára teszik az illetőt. Ameddig eljutottam ezzel kapcsolatban, hogy valószínűleg a "jogos érdek" a jogalap ilyenkor az adatgyűjtésre, és elég jelenteni, nem kell külön engedélyt kérni rá, illetve nem muszáj törölni sem senkit a fekete listáról, ha kéri akkor sem. Azt írták máshol, hogy a jogszabályok előírják ennél a jogalapnál, hogy csinálni kell egy érdekmérlegelési tesztet. Ez a gyakorlatban hogyan néz ki? Csináltatok már ilyet?
 
1

Szia! Szerintem ez azért

tisch.david · Jan. 2. (Sze), 11.22
Szia!

Szerintem ez azért problémás, mert a jogszabály az indoklás nélkül való elállás jogának biztosításával erre a magatartásra (mármint, hogy rendelsz, aztán visszaküldöd és kéred a pénzed vissza) kifejezetten feljogosít.

Én olyan megoldást láttam erre, hogy az a vevő, aki bizonyos feltételeknek nem felel meg, csak személyes áruátvételi módot választhat, ami után viszont már nem illeti meg az elállás joga, hiszen fizetés és áruátvétel előtt volt lehetősége a terméket személyesen is megvizsgálnia.

Meg lehetne azt is csinálni, hogy olyan fekete listát vezetnek, ami mondjuk kizárólag a tiltott login neveket tartalmazza. Ez - meglátásom szerint - nem személyes adat, hiszen önállóan alkalmatlan a természetes személy személy beazonosítására. Viszont egy új regisztrációval ez simán kijátszható. (Ez persze az e-mail cím alapú tiltásra is igaz.)

Szóval szerintem itt nem a GDPR a szűk keresztmetszet, hanem a 45/2014. (II. 26.) Korm. rendelet, ami a távollévők között és az üzlethelyiségen kívül kötött fogyasztói szerződés esetében a az elállási jogot szabályozza.

Üdv:

Dávid
2

Nyilván a törvényi kiskapuval

inf3rno · Jan. 2. (Sze), 11.38
Nyilván a törvényi kiskapuval van a gond. Érdemes lenne az egész törvényt átnézni, hátha van valami módosítás, kitétel, stb. az ilyen jellegű tevékenységre. A cégnek egyébként érdeke, hogy védje magát az ilyen egyénektől, de kérdés, hogy jogos vagy jogtalan érdek e ez. Igazából ha nem károsítod meg vele komolyabban az illetőt, akkor akár még jogos érdek is lehet. Szakjogász kéne, hogy tisztázza, és még az is elképzelhető, hogy két jogász két különböző dolgot mondana.

Legtisztább az lenne, ha a NAIH-tól kérnék állásfoglalást. Ők csak tudják, hogy miért büntetnek...

Egyébként amit írtál, hogy csak személyes átvétel lehetséges, az ugyanúgy fekete lista az én szememben, maximum burkolt. De ha nincs dokumentálva és a felhasználó törlésénél is megjegyzi a rendszer, akkor azért büntethetnek.
3

A személyes átvételnek semmi

mind1 valami név · Jan. 2. (Sze), 11.49
A személyes átvételnek semmi köze az elállási joghoz.
Ha neten rendeled, akkor az átvétel módjától függetlenül, "távol lévők közti szerződéskötésnek" számít.
Forrás a néhai fogyasztóvédelem.
4

Ebben igazad van, szerintem ő

inf3rno · Jan. 2. (Sze), 12.18
Ebben igazad van, szerintem ő is úgy értette, hogy személyesen tudnak csak vásárolni, vagy passz. Egyébként tökmindegy, mert úgyis szívóznak veled a boltok, és a fogyasztóvédelem kb asszisztál hozzá. Én pl egy garanciát nem tudok érvényesíteni most az Alzánál, mert már 3 hete várok, hogy küldjék a beígért futárt. Irtam nekik közben, azóta is válaszolnak. Körülbelül ennyit ér itthon ma a garancia. A többi boltnál sem jobb a helyzet, ritka a kivétel.
9

Nem problémás

Pepita · Jan. 3. (Cs), 10.54
Az egyik oldal a vevő elállási joga (ebben igazad van), de kifelejtetted az eladó "elállási jogát", vagyis árusítóként a webshop / létező bolt üzemeltetőjének is joga van ahhoz, hogy a problémás vevőt ne szolgálja ki többet, ha nem akarja. Mindössze ezt közölnie kell a vevővel. Lehet, hogy panaszkönyv lesz belőle, de sebaj, bele kell írni a miértet is.

szerintem itt nem a GDPR a szűk keresztmetszet
De, az. Inf3rno kérdése épp arra irányul, hogy a netes vevő távoltartásához szükséges adatokat gyűjtheti / tárolhatja - e büntetlenül.

SZERK.: a személyes átvétel nem feltétlenül jó megoldás, l. lentebb.
16

De, az. Inf3rno kérdése épp

inf3rno · Jan. 3. (Cs), 21.33
De, az. Inf3rno kérdése épp arra irányul, hogy a netes vevő távoltartásához szükséges adatokat gyűjtheti / tárolhatja - e büntetlenül.


+1, pont emiatt tettem fel a kérdést, hogy az ilyen jellegű adat tárolás jogos érdeknek minősül e vagy jogtalannak.
15

visszaélés

vbence · Jan. 3. (Cs), 16.33
a jogszabály az indoklás nélkül való elállás jogának biztosításával erre a magatartásra (mármint, hogy rendelsz, aztán visszaküldöd és kéred a pénzed vissza) kifejezetten feljogosít.

Ez még nem azt jelenti, hogy bármilyen magatartást lehet ezzel fedezni. A PTKban lézetik olyan kitétel, hogy jog visszaélés szerű használata, ami pontosan a fentihez hasonló esetekre gondol.
5

Egyébként érdekes a fekete

inf3rno · Jan. 2. (Sze), 12.31
Egyébként érdekes a fekete listákkal kapcsolatban ez is: http://www.usmessageboard.com/threads/ddr-2-0-persecution-of-female-actress-silvana-heissenberg-due-to-her-criticizing-of-merkel.650854/. A nőt kitiltották a facebook-ról is most már, illetve régebben az összes német TV csatornáról, mert osztja Merkelt. Vajon az ilyen fekete listázás hogyan állja meg a helyét ebben az ügyben?
6

1. Én úgy tudom, hogy

tisch.david · Jan. 2. (Sze), 13.56
1. Én úgy tudom, hogy vásárlás esetén a szerződés kötés az az aktus, amikor Te kifizeted a terméket a boltban és beteszed az árucikket a szatyorba. Ez az aktus - távoli szerződő felek esetén - a vevő védelmében van biztosítva azáltal, hogy - miután fizikailag is találkoztál a termékkel - még dönthetsz úgy, hogy mégse kéred, hiszen csak akkor tudsz igazán meggyőződni annak minden tulajdonságáról. (Az eladó védelmében pedig ki van kötve, hogy olyan dolgok, amik egyediek vagy kizárólag a vevő kérésére jönnek létre, azokról nem lehet lemondani.)

Ebből következik, hogy ha a fizetés és az áru átvétele személyesen, a boltban történik, akkor az egy hagyományos vásárlást jelent, ott, helyben valósul meg a szerződés kötés, az internetes "megrendelés" csak egy igénybejelentés, mintha felhívnád a boltot, hogy majd beugrom a termékért, készítsék elő nekem.

2. Én úgy írnám meg a webáruházat, hogy pl. visszaküldött csomag esetén (amit remélhetőleg jeleznek az eredeti megrendelésnél) a következő vásárlásnál csak személyes átvétel és fizetés legyen választható. Ez egy implicit fekete lista, nem igényel külön nyilvántartást. Persze ha az illető törölteti az adatait, akkor erről a "listáról" is lekerül, de nem hiszem, hogy ezt végig zongorázná. Sokkal egyszerűbb máshol próbálkoznia. Meg egyébként más néven és más e-mail címmel amúgy is játszadozhat tovább, szóval 100%-os védelem nincs.

Nem lennék meglepve, ha a GDPR valamiféle, inf3rno által is említett "jogos érdek"-re hivatkozva engedné egyébként permanens fekete lista vezetését, de bennem nem maradt meg ilyen a törvényt átolvasva.

Üdv:

Dávid
7

Bocs, elég ramatyul vagyok,

mind1 valami név · Jan. 2. (Sze), 14.19
Bocs, elég ramatyul vagyok, nincs erőm utánanézni, hogy ez mennyire hiteles: http://www.forumkontroll.hu/szemelyes-atvetel-eseten-buktuk-a-14-napos-elallasi-jogot/
8

A jogos érdeknek pont az a

inf3rno · Jan. 2. (Sze), 14.29
A jogos érdeknek pont az a lényege, hogy nincs ilyen törvény, tehát neked kell bizonyítanod vagy megindokolnod, hogy ez miért jogos. Aztán a NAIH ellenőrzi, és vagy figyelmeztet, hogy ezt így nem szabad, vagy jóváhagyja. Nekem legalábbis az jött le, hogy ez így működik. Most nincs nagyon időm levelet írni nekik, de később megteszem kíváncsiságból.
10

Boltban

Pepita · Jan. 3. (Cs), 11.22
1.
vásárlás esetén a szerződés kötés az az aktus, amikor Te kifizeted a terméket a boltban és beteszed az árucikket a szatyorba
Szatyor nem kell (mosógép esetén bajos lenne :-D), viszont ez csak a boltban igaz.
Weben a megrendelés elküldése a szerződéskötés - amennyiben az ÁSZF másként nem rendelkezik -, ami egyúttal átvételre és kifizetésre kötelezi a vevőt és szállításra az eladót. Innentől / emiatt nem állja meg a helyét a "hagyományos vásárlást jelent", viszont mivel biztosítva van a vásárló számára a termék megtekintése, jó ÁSZF-fel szabályozni lehet, hogy személyes átvételnél nincs további visszaküldős elállás.

2.
következő vásárlásnál csak személyes átvétel és fizetés legyen választható
Kb ugyanazt próbálod elérni, mint Inf3rno, csak másképp. Lényegtelen, hogy a vásárlást akarod - e tiltani, vagy korlátozni az átvételi módot, a lényeg a hogyan.
És pont az volt a lényeg, hogy ne töröltethesse.. :)

Nem lennék meglepve, ha a GDPR ... , de bennem nem maradt meg ilyen a törvényt átolvasva.

- A GDPR rendelet, nem törvény, nem összekeverendő az infótörvénnyel.
- Külön rész tartalmazza, hogy mik lehetnek jogos érdekek és milyen adatok kezelésére (itt fontos megjegyezni, hogy nem csak az adat gyűjtése és tárolása adatkezelés, hanem annak bármilyen megjelenítése is!).
- Leírja azt is, hogy a rendellenes használat megakadályozását célzó adatkezelésről csak annyit kell userrel közölni, hogy ilyen is van az oldalon / webshopban, és azt nem töröltetheti. Viszont csak és kizárólag olyan adat kerülhet ide, ami valóban egyértelműen ezt a célt szolgálja és csak olyan useré, akiről már bebizonyosodott, hogy nem kívánatos vevő! Tehát nem kérheted be pl a telószámát regeléskor azért, mert ha letiltod, akkor majd ezt is fel szeretnéd használni, de az email címét nyugodtan tárolhatod azért, hogy azzal már ne tudjon többet regelni.
- Fentihez tartozik még az is (ezt is leírja a GDPR), hogy minden kezelt / tárolt adat csak a szükséges mértékben legyen plain/text, amit lehet, titkosítani kell. Itt pl a tiltott email címet simán lehet egy nem visszafejthető hash-ként tárolni, ezzel lehet tiltani a vásárlást / újbóli regisztrációt, de nem lehet emailt küldeni neki.
12

https://net-jog.hu/2014/10/19

mind1 valami név · Jan. 3. (Cs), 11.33
https://net-jog.hu/2014/10/19/felperces-elallasi-jog-szemelyes-atvetel-eseten/

Itt is azt állítják, hogy a személyes átvétel nem befolyásolja az elállási jogot.
Egy kerülőutat tudok elképzelni: a weben csak lefoglalhatod, nem megrendeled. Akkor talán...
13

Fekete lista

Pepita · Jan. 3. (Cs), 11.43
A kérdés a fekete lista volt, nem az, hogy mi a "bünti". :)
14

Én csak az elállási jogot

mind1 valami név · Jan. 3. (Cs), 11.56
Én csak az elállási jogot "védem", az él ha a neten rendelsz, függetlenül a fizetés és az átvétel módjától.
24

2. Én úgy írnám meg a

Poetro · Jan. 11. (P), 21.50
2. Én úgy írnám meg a webáruházat, hogy pl. visszaküldött csomag esetén (amit remélhetőleg jeleznek az eredeti megrendelésnél) a következő vásárlásnál csak személyes átvétel és fizetés legyen választható

Ez igencsak vicces lenne mondjunk egy Amazon vagy hasonló nagyobb kaliberű cégnél ahol egyáltalán nincs is lehetőség személyes átvételre. Egyébként én már elég sok terméket küldtem vissza változó okok miatt, és egyik cég sem reklamálhat, ha rossz a termék. Mármint nem úgy rossz, hogy nem működik, hanem nem ilyen minőségű, méretű, tapintású stb. termékre gondoltam. És mivel online rendelés esetén nincs lehetőség ezek megismerésére ezért amelyik boltnak nem jó, ha a vásárló visszaküldi a terméket, az ne áruljon online.
25

Hát jó, de pl egy számítógép

inf3rno · Jan. 12. (Szo), 14.39
Hát jó, de pl egy számítógép alkatrésznél nem igazán érv, hogy rossz a tapintása vagy ilyesmi. Talán egyedül eddig azért küldtem (volna) vissza, mert magas profilú memória nem ment be a hűtő alá, de arra is rájöttem még mielőtt kiszállították volna.
26

Akkor szerencséd volt. Nekem

mind1 valami név · Jan. 12. (Szo), 14.51
Akkor szerencséd volt. Nekem már kellett visszavinnem VGA-t egy próba után, mert kiderült, hogy hiába a millió teszt, az én vasamon egyetlen játék sem lett gyorsabb tőle.
De volt, hogy laptopot is visszaküldtem, mert nem lehetett rá linuxot telepíteni, számomra ismeretlen okból. stb.
11

Nem kell jelenteni

Pepita · Jan. 3. (Cs), 11.24
Amennyiben a jogalap "jogos üzleti érdek" (itt a jelzőt kihagytad), vagyis van jogalap, akkor semmit nem kell jelenteni, mert nem történt semmi különleges adatvédelmi esemény.
Jelenteni az olyanokat kell, ami pl a tárolt személyes adatokhoz való nem szabályos hozzáférést célozza (vagyis támadás, kiszivárgás, adatlopás, stb).
érdekmérlegelési teszt
Ezt nem tudom mi, még sose hallottam.
Mindenesetre a webshop gazdája ugyanannyira jogosult megválogatni az ügyfeleit és távoltartani azokat, akik szándékosan vagy szándék nélkül, de több kárt okoznak, mint hasznot.
Annyi a lényeg, hogy ÁSZF-ben részletesen benne kell lennie a az összes vásárlási feltételnek, pl annak is, hogy egységnyi idő alatt több a visszaküldött áru értéke a ténylegesen vásároltnál (vagy egy részénél), akkor x ideig nem tud a user több rendelést leadni, újat regisztrálni, stb.

Ami le van írva az üzletszabályzatban, az ahhoz szükséges adatokat gyűjtheted és tárolhatod, megfelelő adatvédelmi tájékoztatás mellett.

SZERK.:
Én egyébként nemes egyszerűséggel titkosítva tárolnék minden olyan személyes adatot, ami a tiltáshoz szükséges, és máris megfeleltem GDPR szempontból.
17

Amit én eddig olvastam róla,

inf3rno · Jan. 3. (Cs), 21.39
Amit én eddig olvastam róla, nem elég pusztán ennyi. Mármint jó ha titkosítva tárolod, de dokumentálni kell, hogy mit tárolsz titkosítva (ami GDPR szempontjából releváns), milyen célból tárolod és hogy erre mi a jogalapod. Ha a jogalap a jogos üzleti érdek, akkor arra kell ez az érdekmérlegelési teszt, hogy a te üzleti érdeked vajon feljebbvaló e a felhasználó személyiségi jogainál vagy mi a szösznél. Viszont ennek a részleteit én sem tudom, google-el rá tudsz keresni, hogy ez hogyan néz ki a gyakorlatban. Elvileg ha valami hatóság ellenőriz nálad, és nincs ilyen irat, akkor első körben figyelmeztetnek, második körben büntetnek, de ha nagyon súlyosak a hiányosságok, akkor lehet, hogy már elsőre is.
18

Persze hogy dokumentálni kell

Pepita · Jan. 7. (H), 08.45
Írtam is (mondjuk elég nehéz erre egy kommentben jól válaszolni):
az ahhoz szükséges adatokat gyűjtheted és tárolhatod, megfelelő adatvédelmi tájékoztatás mellett

Itt a megfelelő az, amiben benne van az adat neve, minősége, tárolás indoka és ideje, ki férhet hozzá, mikor, hogyan töröltethető (vagy miért nem). (És simán lehet, hogy most is kihagytam 1-2 dolgot belőle, ehhez jogász kell, nem fejből felsorolni korán reggel. :) )
Ez az érdekmérlegelős buli még mindig kínai számomra, hogyan lehet összemérni a kettőt, ha egyik sem számszerűsíthető?
Itt szerintem tévedés van, annál is inkább, mert a user személyiségi jogait semmilyen üzleti érdekből nem sértheted meg. Szerintem ezt valaki túllihegte, aki nagyon szeretne úgy tűnni, mintha csak ő értene hozzá. :-D
Elvileg ha valami hatóság ellenőriz nálad, és nincs ilyen irat, akkor első körben figyelmeztetnek, második körben büntetnek, de ha nagyon súlyosak a hiányosságok, akkor lehet, hogy már elsőre is.
Ez kb így van, annyit tennék hozzá, hogy a NAIH - nak egyáltalán nem célja a magyar KKV-k ellehetetlenítése, szóval tényleg elég nagy csúnyaság kell ahhoz, hogy rögtön büntessenek.
Összességében szerintem ha adatvédelmi nyilatkozatban leírod, hogy miket tárolsz titkosítva, ember számára olvashatatlan módon visszaélések megelőzése céljából, akkor még figyelmeztetést se kapsz érte. Anyagi felelősséget nem vállalok érte, de szerintem ennyi elég.
19

Itt szerintem tévedés van,

inf3rno · Jan. 7. (H), 11.35
Itt szerintem tévedés van, annál is inkább, mert a user személyiségi jogait semmilyen üzleti érdekből nem sértheted meg. Szerintem ezt valaki túllihegte, aki nagyon szeretne úgy tűnni, mintha csak ő értene hozzá.


Olvass el néhány példát, aztán megérted. Ilyenek vannak pl, hogy felszerelnek kamerákat a céghez, mert lopások történtek. Ezzel sértik az ott dolgozók képmáshoz való jogát, de a cégnek jogos érdeke, hogy az ott dolgozók ne lopják szét az árut és a gépeket, ezért megcsinálhatják. A mérlegelésben még az szokott benne lenni, hogy elgondolkodnak rajta, hogy hogyan lehet megoldani a problémát a magánszféra minimális megsértésével. Pl nem az üzembe meg a klotyóba teszik a kamerát, hanem a bejáratokhoz.
20

Ez jó példa,

Pepita · Jan. 7. (H), 12.15
de tudtommal a GDPR-ban semmi ilyen nincs, lévén csakis személyes adatokkal foglalkozik. Ha összefutok ehhez jobban értő (jogász-) kollégával, azért rákérdezek, hogy konkrétan GDPR-ban van-e ilyen. Lényeges különbség, hogy nem törvény, hanem rendelet, tehát nem is fog pontosan úgy "működni", mint egy törvény.
21

Egy fénykép vagy video

inf3rno · Jan. 7. (H), 15.23
Egy fénykép vagy video felvétel rólad is személyes adatnak minősül.
22

Mitől minősülne?

Pepita · Jan. 7. (H), 16.49
Személyes adat az, amivel a konkrét személy bárki által beazonosítható.
A fénykép / videó azért nem személyes adat, mert csak az tud vele beazonosítani, aki ismer. Mindenki más számára legalább minta kép kell, amin már azonosítva vagyok.
Látsz egy vadidegen szakállas fasziról egy képet / videót, gőzöd sincs, hogy kicsoda.
Mivel már találkoztunk, ha én vagyok a képen / videón, akkor Te tudod, hogy ki az, de a Gipsz Jakab nem tudja.
Más miatt kell kitakarni (nem hozzájáruló) arcokat a fotókon, azért, mert hozzájárulás nélkül személyiségi jogait sérti a közlés. De ettől még nem lett a kép személyes adat..
Máskülönben egy fotó, amin 15 ember felismerhető, az ugyan melyiküknek a személyes adata? ;)
Csak mert a személyes adatom az hozzám és csak hozzám kapcsolódó adat...
23

Személyes adat az, amivel a

inf3rno · Jan. 7. (H), 17.18
Személyes adat az, amivel a konkrét személy bárki által beazonosítható

Csak mert a személyes adatom az hozzám és csak hozzám kapcsolódó adat.


Ezeket honnan szeded? Van rá bármi referencia? Nézz már egy kicsit utána, mert egyáltalán nem így van. A fénykép is személyes adat és ha többen vannak rajta, akkor több embernek a személyes adata. Ez már jóval a GDPR előtt is így volt, pl: link