Практически съвети и добри практики за уебсайтове съобразно GDPR (Общ регламент относно защитата на данните)
Източник: medium.com
За собствениците на уебсайтове въпросът с прилагането на GDPR (Общ регламент относно защитата на данните) и новите правила при защита на личните данни на физически лица в рамките на Европейския съюз е задача с много неизвестни. Вероятно мнозина от собственици на сайтове не смятат, че трябва да направят големи промени в организацията и структурата на действие на сайтовете си, но истината е друга.
С прилагането на GDPR от 25 май 2018г. и новото национално законодателство за защита на личните данни всички собственици на интернет страници ще трябва да положат усилия, за да спазват изискванията на европейското и национално законодателство. Става дума за почти всякакви сайтове, от малки лични интернет страници и блогове до популярните онлайн магазини и форуми, които биват хоствани в България и/или обслужват потребители – физически лица от страните от Европейския съюз.
Настоящата статия има за цел да покаже на практика по интерактивен начин какви мерки трябва да предприемат собствениците на различни интернет страници съобразно изискванията на GDPR. Статията ще бъде допълвана през определено време, тъй като към момента на написване все още не е внесен за разглеждане в Народното събрание новият закон за защита на личните данни.
NB: Статията не претендира за изчерпателност и е написана на популярен и разбираем език с минимално ползване на юридически термини, тъй като статията е насочена основно към собствениците на сайтове и онлайн бизнеси. Макар авторът да е правоспособен юрист, статията не представлява правна консултация.
В следващите редове разглеждам някои от най-значимите мерки, които ще трябва да бъдат предприети по отношение на всеки уебсайт и онлайн бизнес, за да спази GDPR регулация.
1. Активно даване на съгласие
Най-вероятно подканвате своите посетители да се включат към Вашия бюлетин (newsletter), за да получават периодично информация за новостите около сайта и продуктите вътре. Друга обичайна практика е предложение (popup), което изскача на екрана всеки влязъл в сайта да свали Вашия безплатен наръчник по дадена тема само след като въведе своето име и имейл, където ще получи линк за файла.
Съгласно GDPR всеки такъв формуляр, който се състои от отметки, посредством които се декларира съгласие от страна на потребителя на сайта за обработване на предоставени от него лични данни, следва да включва първоначално празни отметки. С други думи, всяка отметка трябва да бъде по подразбиране празна, което значи, че посетителят трябва изрично да я отметне и по този начин да обяви своето съгласие за обработване на личните му данни. След това, даденото съгласие трябва да бъде записано по подходящ начин, за да може да бъде доказано, че е дадено изрично.
Неправилно:
Съгласен съм личните даннни да бъдат обработени за целите на сайта
Правилно:
Съгласен съм личните даннни да бъдат обработени за целите на сайта
2. Всяко съгласие трябва да бъде за конкретна цел
Имайки предвид същите формуляри и отметки, за които споменах в точка 1, много често потребителят е принуден да даде своето съгласие за обработване на личните му данни за няколко цели едновременно чрез една и съща отметка. Това ще трябва да бъде задължително променено от всеки собственик на уебсайт, тъй като не отговаря на GDPR изискванията.
Правилният начин съобразно изискванията на GDPR за получаване съгласието на потребителя в този случай е за всяко изисквано съгласие да бъде предназначена отделна отметка.
Неправилно:
Желаете ли да получавате наши промоционални предложения чрез електронна поща, телефон, СМС и Вайбър съобщения?
Съгласен съм, с нетърпение очаквам Вашите оферти.
Не съм съгласен.
Правилно:
Желаете ли да получавате наши промоционални предложения чрез електронна поща, телефон, СМС и Вайбър съобщения?
Съгласен съм по всички начини.
Съгласен съм само чрез електронна поща.
Съгласен съм само чрез телефона.
Съгласен съм само чрез СМС.
Съгласен съм само чрез Вайбър съобщения.
Не съм съгласен по никакъв начин да бъда безпокоен.
3. Самостоятелност на целите
GDPR поставя изискване всеки вид даване на съгласие от потребителя за обработване на негови лични данни да бъде представен отделно, така че да е видимо и ясно за какъв вид обработване на лични данни става дума.
Неправилно:
Желаете ли да получавате промоционални предложения от нас и партьорските ни вериги чрез електронна поща, телефон, СМС и Вайбър съобщения?
Съгласен съм, с нетърпение очаквам оферти.
Не съм съгласен.
Правилно:
Желаете ли да получавате промоционални предложения от нас и магазини “Линдл” чрез електронна поща, телефон, СМС и Вайбър съобщения?
Съгласен съм само за Ваши оферти.
Съгласен съм личните ми данни да бъдат обработвани и от магазини “Линдл”.
Съгласен съм само чрез електронна поща.
Съгласен съм само чрез телефона.
Съгласен съм само чрез СМС.
Съгласен съм само чрез Вайбър съобщения.
Не съм съгласен по никакъв начин да бъда безпокоен, нито личните ми данни да бъдат обработвани от трети страни.
4. Възможност за лесно оттегляне на даденото съгласие
В случай, че сме спазили изискванията на GDPR за получаване на съгласието на нашите потребители да обработваме техни лични данни за определени от нас цели, следва да предоставим и възможност на потребителите по също толкова лесен, безпрепятствен и бърз начин да оттеглят своето съгласие за всеки отделен вид обработване на лични данни спрямо всяка отделна определена от нас цел. Това означава, че първоначалното дадено изрично съгласние на потребителя е съхранено по подходящ начин към неговия профил/сесия/друг начин и по всяко време потребителят има достъп до даденото съгласие с възможност лесно и бързо да го оттегли.
Неправилно:
Съгласили сте се да получавате информация от нашия уебсайт по следните канали на комуникация – Email, SMS, Viber, Phone. Желате ли да направите промяна:
Искам да получавам информация по всички канали.
Не искам да получавам повече никаква информация.
Правилно:
Съгласили сте се да получавате информация от нашия уебсайт по следните канали на комуникация. Желате ли да направите промяна:
Email
SMS
Viber
Whatsapp
Phone
Mail
Не искам да получавам повече никаква информация.
Това се отнася и за окончателно изключване от бюлетина или всякакви други начини за периодична комуникация с посетителя извън рамките на уебсайта.
Правилно:
Настройки за получаване на нашия бюлетин:
Искам да получавам бюлетина всеки ден.
Искам да получавам бюлетина веднъж на две седмици.
Искам да получавам бюлетина веднъж на един месец.
Искам да получавам бюлетина веднъж на шест месеца.
Не искам да получавам повече никаква информация.
5. Информация за трети страни партньори на уебсайта
Много често сайтовете използват услугите на трети страни (доставчици), които предоставят различни уеб продукти и решения за анализ на посетителите и тяхното поведение. Такива са Google Webmaster tools, Google Analytics, heatmap tools, различни WordPress plugins и други. Огромната част от тези уеб продукти събират информация от самите потребители, за която дори повечето собственици на сайта не са наясно. Предполагаме, че по-големите и известни уеб и софтуерни продукти ще бъдат отговорни и ще се съобразят с новите правила на GDPR. Реалистично погледнато, няма как да сме напълно сигурни за всички тях, доколко отговарят на изискванията на GDPR. Поради тази причина следва да информираме потребителите, че е възможно някои техни лични данни да бъдат обработвани от други администратори на лични данни като Google, Facebook, Twitter. Най-често става дума само за IP адрес, но той също по принцип попада в обсега на личните данни. Едно добро решение, което ще докаже усилие за привеждане в пълна съвместимост с изискванията на GDPR е да декларираме пред потребителите кои уеб и софтуерните програми са интегрирани в сайта и кои от тях биха могли да обработват лични данни на потребителите.
Например:
За да функционира правилно нашият уебсайт и за да подобряваме постоянно качеството на предлаганите продукти, ние използваме следните програми и уеб решения, които биха могли да получат достъп до Вашия IP адрес и анализират Вашето поведение при престоя на уебстраницата без това да Ви идентифицира като физическо лице: Google Analytics, различни Wordspress plugins, Google Webmaster tools, Hotjar heatmap, Facebook, Twitter, Google plus. В случай, че не сте съгласни с тези условия, няма как да използвате нашия сайт пълноценно и не би следвало да го използвате занапред.
6. Политика за защита на личните данни
В повечето сайтове има раздел „Политика за поверителност“или „Защита на личните данни“ и др. Независимо от наименованието, след като започне да се прилага GDPR ще трябва да настъпят сериозни промени в съдържанието на споменатия раздел/страница съгласно новите положения в GDPR. В случай, че Вашият уебсайт въобще не разполага с такава информация, повече от задължително е да предприемете незабавни мерки за промяна на ситуацията.
Ще трябва да бъде включена подробна информация, която е изброена в чл.13 от GDPR, за да бъдат точно и ясно информирани потребителите за следното:
данните, които идентифицират администратора и координатите за връзка с него и, когато е приложимо, тези на представителя на администратора;
координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;
целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;
когато обработването се извършва въз основа на член 6, параграф 1, буква е), законните интереси, преследвани от администратора или от трета страна;
получателите или категориите получатели на личните данни, ако има такива;
срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;
съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или право да се направи възражение срещу обработването, както и правото на преносимост на данните;
когато обработването се основава на член 6, параграф 1, буква а) или член 9, параграф 2, буква а), съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;
правото на жалба до надзорен орган;
дали предоставянето на лични данни е задължително или договорно изискване, или изискване, необходимо за сключването на договор, както и дали субектът на данните е длъжен да предостави личните данни и евентуалните последствия, ако тези данни не бъдат предоставени;
съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.
Следва и да уведомите потребителите на сайта за правата им съгласно чл. 15 – чл. 22 GDPR и по какъв начин могат да упражнят всяко едно от тях.
Добра практика е да създадете отделен email към сайта, който да бъде използван специално за комуникация свързана със защита на личните данни.
Например: [email protected]
7. Събиране на лични данни при регистрация
Когато някой потребител предприеме действия по създаването на профил в сайт, почти винаги се налага да предостави лични данни като имена, телефонен номер, e-mail, адрес. Ще трябва да предоставим по лесно забележим и разпознаваем начин връзка/линк към страницата с информация по точка 6.
Съгласно новите правила на GDPR трябва да преразгледаме какви лични данни събираме от потребителите и дали и кои от тези лични данни са дейстивително необходими за нашите цели и за обслужване на потребителя.
Например:
Правя си профил в сайт за покупка на дрехи втора употреба и има задължително за попълване поле „ЕГН“. В този случай едва ли може да бъде посочена смислена причина, която да налага въвеждането на ЕГН при регистрация в сайт за покупка на дрехи втора употреба. Полето следва да бъде премахнато от регистрационната форма на сайта.
8. Събиране на лични данни при извършване на покупка
Когато става дума за онлайн магазини, потребителят обикновено предоставя повече лични данни с цел обслужване на поръчката и доставка. Тоест, потребителят предоставя поне две имена, телефонен номер, адрес за доставка, e-mail. Тук също ще трябва да предоставим по лесно забележим и разпознаваем начин връзка/линк към страницата с информация по точка 6.
Първо, следва да се направи оглед и анализ на събираните лични данни доколко и кои от тях са нужни за обработката на поръчката. Много от онлайн магазините използват интергирани решения като Woocommerce и други, което технически ограничава възможностите собственика на сайта да контролира какви лични данни могат да бъдат изисквани от потребителите. В такъв случай, едно добро решение е да се свържем с доставичка на приложението, плъгина и др. и да изискаме информация дали и доколко можем да направим промени по формуляра за поръчки. Друг е въпросът, че създателите на тези решения за онлайн магазини следва да пригодят своите продукти съобразно изискванията на GDPR.
Вторият етап от процедурата е поръчката да бъде доставена до потребителя. Това най-често става като онлайн магазинът предостави личните данни на потребителя на спедитора, за да извърши доставката. В тези случай ще трябва да предоставим предварителна информация на потребителя, че неговите лични данни ще бъдат споделени с конкретен спедитор с цел доставка на поръчката и да искаме неговото изрично съгласие за това.
Правилно:
За извършване на поръчката и доставката й следва да получим Вашето изрично съгласие относно:
Съгласен съм личните ми данни да бъдат обработени от сайта с цел изпълнение на направената поръчка.
Съгласен съм личните ми данни да бъдат получени и обработени от Куриерска фирма “Бърз път” за доставка на поръчката.
Запознат съм и съм съгласен с Политиката за поверителност на уебсайта.
9. Бисквитки
Задължително е да въведем по подходящ начин (popup window, WordPress bar, etc.) динамичен надпис, с който да информираме по ясен начин и на разбираем език всеки потребител за използването на „бисквитки“ в сайта.
На видно място в сайта следва да има връзка/линк към подробна информация, която по лесен начин за разбиране да обяснява какво са бисквитките, за какво служат, какви и по какъв начин обработват лични данни на потребителите. Потребителят следва да има възможност да изрази изрично съгласие, но и да може да се откаже (изрично или не). В случай на отказ, потребителят следва да има ограничено действие в рамките на сайта, което на практика означава да не може да го използва въобще и да го напусне незабавно.
Добър пример:
https://passport.netinfo.bg/nipass/index.php?cmd=termscookie
10. SSL
Тъй като GDPR отделя специално внимание на криптирането на данни и начините за техническа защита на обработваните лични данни, когато става дума за уебсайтове, един от най-удачните начини е протоколът SSL. В зависимост от посещаемостта на сайта, събираните лични данни и неговата тематика ще може да се определи доколко е належащо да бъде добавен SSL сертификат към сайта.
Разбира се, винаги е добре сайтът да разполага със SSL сертификат, който да вдъхне допълнително доверие в посетителите на сайта. Това се отнася най-вече за онлайн магазини, форуми, големи онлайн портали, сайтове за запознанства и други.
11. Уведомяване на потребителите за новите промени във връзка със защита на личните данни
При положение, че сме предприели действия за въвеждане на GDPR в нашия уебсайт, то следва да подготвим подходящ GDPR бюлетин (newsletter) или друго средство за известяване на редовните посетители, относно информацията в точка 6.
На второ място, задължително е да известим всички настоящи получатели на бюлетина, за които няма информация за декларирано съгласие,че следва да декларират изрично своето желание да получават бюлетин занапред, както и да им предоставим възможност да се откажат от тази възможност.
В случай, че някои от досегашните получатели в подходящ срок не декларират изрично своето съгласие да продължат да получават бюлетина, то трябва да се приеме, че въпросните лица трябва да бъдат изключени от бюлетина. Това няма да се отнася, ако имаме бюлетин, който се изпраща на фирми и корпоративни клиенти чрез тяхна корпоративна електронна поща.
Добра идея е да сложите отметка дали лицето, което иска да получава бюлетина е физическо или фирма. Така ще си спестите време и усилия впоследствие да отбирате абонатите физически лица в базата данни. Пояснение: ако абонатът въведе email адрес като [email protected], то това също се брои за лични данна, за разлика от [email protected].
Желая да получавам бюлетина като физическо лице на личен email адрес.
Желая да получавам бюлетина като дружество на корпоративен email адрес.
Последно обновяване: 30.04.2018
В скоро време ще бъдат добавени още точки с мерки за съответствие с GDPR и българското законодателство за защита на личните данни.
Очаквам Вашите коментари, предложения, въпроси, забележки, критики и мнения чрез формата за коментари по-долу или на email: info[@]damyan.tv
