Как да пригодя сайта си спрямо изискванията на GDPR

Практически съвети за уебсайтове и GDPR за онлайн магазини съобразно GDPR (Регламент (ЕС) 2016/679)

Последно обновяване: 13.03.2021

За собствениците на интернет страници въпросът с прилагането на GDPR (Регламент (ЕС) 2016/679/ Общ регламент относно защитата на данните) и новите правила при защита на личните данни на физически лица в рамките на Европейския съюз е задача с много неизвестни. Вероятно мнозина от собствениците на сайтове не смятат, че трябва да направят големи промени в организацията и структурата на действие на сайтовете си, но истината е друга.

С прилагането на GDPR от 25 май 2018г. и новото национално законодателство за защита на личните данни всички собственици на интернет страници ще трябва да положат усилия, за да спазват изискванията на европейското и национално законодателства. Става дума за почти всякакви сайтове, от малки лични интернет страници и блогове до популярните онлайн магазини и форуми, които биват хоствани в ЕС и/или обслужват потребители – физически лица от страните от Европейския съюз.

Настоящата статия има за цел да покаже на практика по интерактивен начин какви мерки трябва да предприемат собствениците на различни интернет страници съобразно изискванията на GDPR. Статията е GDPR ръководство за уебсайтове и ще бъде допълвана през определено време, тъй като към момента на написване все още не е внесен за разглеждане в Народното събрание новият закон за защита на личните данни.

NB: Статията не претендира за изчерпателност и е написана на популярен и разбираем език с минимално ползване на юридически термини, тъй като е насочена основно към собствениците на сайтове и онлайн бизнеси. Макар авторът да е правоспособен юрист, статията не представлява правна консултация.

В следващите редове разглеждам някои от най-значимите мерки, които ще трябва да бъдат предприети по отношение на всеки уебсайт и онлайн бизнес, за да спази GDPR изисквания.

1. Активно даване на съгласие

Най-вероятно подканвате своите посетители да се включат към Вашия бюлетин (newsletter), за да получават периодично информация за новостите около сайта и продуктите вътре. Друга обичайна практика е предложение (popup), което изскача на екрана всеки влязъл в сайта да свали Вашия безплатен наръчник по дадена тема само след като въведе своето име и имейл, където ще получи линк за файла.

Съгласно Регламент (ЕС) 2016/679 всеки такъв формуляр, който се състои от отметки, посредством които се декларира съгласие от страна на потребителя на сайта за обработване на предоставени от него лични данни, следва да включва първоначално празни отметки. С други думи, всяка отметка трябва да бъде по подразбиране празна, което значи, че посетителят трябва изрично да я отметне и по този начин да обяви своето съгласие за обработване на личните му данни. След това, даденото съгласие трябва да бъде записано по подходящ начин, за да може да бъде доказано, че е дадено изрично.

Неправилно:

Съгласен съм личните даннни да бъдат обработени за целите на сайта

Правилно:

Съгласен съм личните даннни да бъдат обработени за целите на сайта

2. Всяко съгласие трябва да бъде за конкретна цел

Имайки предвид същите формуляри и отметки, за които споменах в точка 1, много често потребителят е принуден да даде своето съгласие за обработване на личните му данни за няколко цели едновременно чрез една и съща отметка. Това ще трябва да бъде задължително променено от всеки собственик на уебсайт, тъй като не отговаря на GDPR изискванията.

Правилният начин съобразно изискванията на GDPR за получаване съгласието на потребителя в този случай е за всяко изисквано съгласие да бъде предназначена отделна отметка.

Неправилно:

Желаете ли да получавате наши промоционални предложения чрез електронна поща, телефон, СМС и Вайбър съобщения?
Съгласен съм, с нетърпение очаквам Вашите оферти.
Не съм съгласен.

Правилно:

Желаете ли да получавате наши промоционални предложения чрез електронна поща, телефон, СМС и Вайбър съобщения?
Съгласен съм по всички начини.
Съгласен съм само чрез електронна поща.
Съгласен съм само чрез телефона.
Съгласен съм само чрез СМС.
Съгласен съм само чрез Вайбър съобщения.
Не съм съгласен по никакъв начин да бъда безпокоен.

3. Самостоятелност на целите

GDPR поставя изискване всеки вид даване на съгласие от потребителя за обработване на негови лични данни да бъде представен отделно, така че да е видимо и ясно за какъв вид обработване на лични данни става дума.

Неправилно:

Желаете ли да получавате промоционални предложения от нас и партьорските ни вериги чрез електронна поща, телефон, СМС и Вайбър съобщения?
Съгласен съм, с нетърпение очаквам оферти.
Не съм съгласен.

Правилно:

Желаете ли да получавате промоционални предложения от нас и магазини “Линдл” чрез електронна поща, телефон, СМС и Вайбър съобщения?
Съгласен съм само за Ваши оферти.
Съгласен съм личните ми данни да бъдат обработвани и от магазини “Линдл”.
Съгласен съм само чрез електронна поща.
Съгласен съм само чрез телефона.
Съгласен съм само чрез СМС.
Съгласен съм само чрез Вайбър съобщения.
Не съм съгласен по никакъв начин да бъда безпокоен, нито личните ми данни да бъдат обработвани от трети страни.

4. Възможност за лесно оттегляне на даденото съгласие

В случай, че сме спазили изискванията на GDPR за получаване на съгласието на нашите потребители да обработваме техни лични данни за определени от нас цели, следва да предоставим и възможност на потребителите по също толкова лесен, безпрепятствен и бърз начин да оттеглят своето съгласие за всеки отделен вид обработване на лични данни спрямо всяка отделна определена от нас цел. Това означава, че първоначалното дадено изрично съгласние на потребителя е съхранено по подходящ начин към неговия профил/сесия/друг начин и по всяко време потребителят има достъп до даденото съгласие с възможност лесно и бързо да го оттегли.

Неправилно:

Съгласили сте се да получавате информация от нашия уебсайт по следните канали на комуникация – Email, SMS, Viber, Phone. Желате ли да направите промяна:
Искам да получавам информация по всички канали.
Не искам да получавам повече никаква информация.

Правилно:

Съгласили сте се да получавате информация от нашия уебсайт по следните канали на комуникация. Желате ли да направите промяна:
Email
SMS
Viber
Whatsapp
Phone
Mail
Не искам да получавам повече никаква информация.

Това се отнася и за окончателно изключване от бюлетина или всякакви други начини за периодична комуникация с посетителя извън рамките на уебсайта.

Правилно:

Настройки за получаване на нашия бюлетин:
Искам да получавам бюлетина всеки ден.
Искам да получавам бюлетина веднъж на две седмици.
Искам да получавам бюлетина веднъж на един месец.
Искам да получавам бюлетина веднъж на шест месеца.
Не искам да получавам повече никаква информация.

5. Информация за трети страни партньори на уебсайта

Много често сайтовете използват услугите на трети страни (доставчици), които предоставят различни уеб продукти и решения за анализ на посетителите и тяхното поведение. Такива са Google Webmaster tools, Google Analytics, heatmap tools, различни WordPress plugins и други. Огромната част от тези уеб продукти събират информация от самите потребители, за която дори повечето собственици на сайта не са наясно. Предполагаме, че по-големите и известни уеб и софтуерни продукти ще бъдат отговорни и ще се съобразят с новите правила на GDPR. Реалистично погледнато, няма как да сме напълно сигурни за всички тях, доколко отговарят на изискванията на GDPR. Поради тази причина следва да информираме потребителите, че е възможно някои техни лични данни да бъдат обработвани от други администратори на лични данни като Google, Facebook, Twitter. Най-често става дума само за IP адрес, но той също по принцип попада в обсега на личните данни. Едно добро решение, което ще докаже усилие за привеждане в пълна съвместимост с изискванията на GDPR е да декларираме пред потребителите кои уеб и софтуерните програми са интегрирани в сайта и кои от тях биха могли да обработват лични данни на потребителите.

Важно: Поради анулирането на валидността на Privacy Shield и правната несигурност относно трансферите на лични данни между САЩ и Европейския съюз препоръчително е да не бъдат използвани услугите на Google Adsense, Google Webmaster tools и други аналогични услуги.

Например:

За да функционира правилно нашият уебсайт и за да подобряваме постоянно качеството на предлаганите продукти, ние използваме следните програми и уеб решения, които биха могли да получат достъп до Вашия IP адрес и анализират Вашето поведение при престоя на уебстраницата без това да Ви идентифицира като физическо лице: Google Analytics, различни Wordspress plugins, Google Webmaster tools, Hotjar heatmap, Facebook, Twitter, Google plus. В случай, че не сте съгласни с тези условия, няма как да използвате нашия сайт пълноценно и не би следвало да го използвате занапред.

6. Политика за защита на личните данни

В повечето сайтове има раздел „Политика за поверителност“или „Защита на личните данни“ и др. Независимо от наименованието, след като започне да се прилага GDPR ще трябва да настъпят сериозни промени в съдържанието на споменатия раздел/страница съгласно новите положения в Регламент (ЕС) 2016/679. В случай, че Вашият уебсайт въобще не разполага с такава информация, повече от задължително е да предприемете незабавни мерки за промяна на ситуацията и да създадете Политика за защита на личните данни (Privacy policy).

Ще трябва да бъде включена подробна информация, която е изброена в чл.13 от GDPR, за да бъдат точно и ясно информирани потребителите за следното:

• данните, които идентифицират администратора и координатите за връзка с него и, когато е приложимо, тези на представителя на администратора;
• координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;
• целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;
• когато обработването се извършва въз основа на член 6, параграф 1, буква е), законните интереси, преследвани от администратора или от трета страна;
• получателите или категориите получатели на личните данни, ако има такива;
• срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;
• съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или право да се направи възражение срещу обработването, както и правото на преносимост на данните;
• когато обработването се основава на член 6, параграф 1, буква а) или член 9, параграф 2, буква а), съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;
• правото на жалба до надзорен орган;
• дали предоставянето на лични данни е задължително или договорно изискване, или изискване, необходимо за сключването на договор, както и дали субектът на данните е длъжен да предостави личните данни и евентуалните последствия, ако тези данни не бъдат предоставени;
• съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

Следва и да уведомите потребителите на сайта за правата им съгласно чл. 15 – чл. 22 GDPR и по какъв начин могат да упражнят всяко едно от тях.

Следва да поставите отметка за запознатост с политиката за защита на личните данни на онлайн магазина/сайта на всяко едно място, където се попълват лични данни на потребителя. За онлайн магазините това са регистрация на профил, попълване на данни при поръчка на продукта, редактирането на информацията в потребителския профил, контактна форма и други.

Добра практика е да създадете отделен email към сайта, който да бъде използван специално за комуникация свързана със защита на личните данни.

Например: privacy@yourwebsite.com

7. Събиране на лични данни при регистрация

Когато някой потребител предприеме действия по създаването на профил в уебсайт, почти винаги се налага да предостави лични данни като имена, телефонен номер, e-mail, адрес. Ще трябва да предоставим по лесно забележим и разпознаваем начин връзка/линк към страницата с информация по точка 6, тоест Политика за защита на личните данни.

Съгласно новите GDPR изисквания трябва да преразгледаме какви лични данни събираме от потребителите и дали и кои от тези лични данни са дейстивително необходими за нашите цели и за обслужване на потребителя.

Например:

Правя си профил в сайт за покупка на дрехи втора употреба и има задължително за попълване поле „ЕГН“.  В този случай едва ли може да бъде посочена смислена причина, която да налага въвеждането на ЕГН при регистрация в сайт за покупка на дрехи втора употреба. Полето следва да бъде премахнато от регистрационната форма на сайта.

Пояснение: Ако е необходимо ЕГН за съставяне на фактура на физическо лице, то е по-добре тази лична данна да бъде предоставена направо при процеса на съставяне на фактура, а не предварително. Така ще си спестим обработката на множество ЕГН-та без обоснована цел в по-голяма част от случаите.

8. Събиране на лични данни при извършване на покупка

Когато става дума за GDPR и онлайн магазини, потребителят обикновено предоставя повече лични данни с цел обслужване на поръчката и доставка. Тоест, потребителят предоставя поне две имена, телефонен номер, адрес за доставка, e-mail. Тук също ще трябва да предоставим по лесно забележим и разпознаваем начин връзка/линк към Политика за защита на личните данни (виж точка 6).

Първо, следва да се направи оглед и анализ на събираните лични данни доколко и кои от тях са нужни за обработката на поръчката. Много от онлайн магазините използват интергирани решения като Woocommerce и други, което технически ограничава възможностите собственика на сайта да контролира какви лични данни могат да бъдат изисквани от потребителите. В такъв случай, едно добро решение е да се свържем с доставичка на приложението, плъгина и др. и да изискаме информация дали и доколко можем да направим промени по формуляра за поръчки. Друг е въпросът, че създателите на тези GDPR за онлайн магазини следва да пригодят своите продукти съобразно GDPR изискванията.

Вторият етап от процедурата е поръчката да бъде доставена до потребителя. Това най-често става като онлайн магазинът предостави личните данни на потребителя на спедитора, за да извърши доставката. В тези случай ще трябва да предоставим предварителна информация на потребителя, че неговите лични данни ще бъдат споделени с конкретен спедитор с цел доставка на поръчката и да искаме неговото изрично съгласие за това.

Тъй като покупката на стока през Интернет е предмет на Договор за продажба от разстояние, то в случая подходящото основание за обработка на личните данни е изпълнение на договор. С други думи, не е необходимо да се иска съгласието на потребителя при извършване на покупка на продукта, тъй като събираните лични данни са необходими за изпълнението на договор. Поради това, първата опция с отметка по-долу (оцветена в червено) е ненужна и няма да представлява нарушение на GDPR, ако липсва в процеса на онлайн пазаруване.

Правилно:

За извършване на поръчката и доставката й следва да получим Вашето изрично съгласие относно:
Съгласен съм личните ми данни да бъдат обработени от сайта с цел изпълнение на направената поръчка.
Съгласен съм личните ми данни да бъдат получени и обработени от Куриерска фирма “Бърз път” за доставка на поръчката.
Запознат съм и съм съгласен с Политиката за поверителност на уебсайта.

9. Бисквитки (cookies) и политика за бисквитки

Задължително е да въведем по подходящ начин (popup window, WordPress bar, etc.) динамичен надпис, с който да информираме по ясен начин и на разбираем език всеки потребител за използването на „бисквитки“ в сайта. Посетителите следва да могат да изберат дали да бъдат съхранени бисквитки на техния браузър, какви бисквитки или само т.н “необходими” такива.

Необходимите (функционални) бисквитки са такива, без които уебсайтът няма да функционира нормално. Поради тази причина, те не могат да бъдат отхвърлени от посетителите и са задължителни.

От друга страна, в днешно време уебсайтовете използват множество и различни маркетингови и статистически бисквитки. Без тях уебсайтът ще си функционира нормално, но те са от значение за финансовата поддъжка на уебсайта и анализ на посещенията. С оглед на това, тези бисквитки могат да бъдат отхвърляни от посетителя. Всички други бисквитки, които не са необходими (функционални), следва да могат да бъдат отказани ефективно от посетителите.

За ефективно управление на бисквитките (cookie consent management) може да използвате различни системи. Този уебсайт използва Cookiebot и е изключително удобен и го препоръчвам.

Важно е да се отбележи, че при настройването на бисквитките по подразбиране (by default) всички бисквитки освен необходимите е задължително да не бъдат отметнати. Потребителят задължително трябва сам да избере всички други бисквитки освен необходимите. Необходимите са винаги активни, поради своята важност за уебсайта.

На видно място в сайта (например footer) следва да има връзка/линк към подробна информация, която по лесен начин за разбиране да обяснява какво са бисквитките, за какво служат, какви и по какъв начин обработват лични данни на потребителите. Това представлява така наречената “Политика за бисквитки” или Cookies policy.

Добър пример:

https://passport.netinfo.bg/nipass/index.php?cmd=termscookie

10. SSL сертификат (https://)

Тъй като GDPR отделя специално внимание на криптирането на данни и начините за техническа защита на обработваните лични данни, когато става дума за уебсайтове, един от най-удачните начини е протоколът SSL. В зависимост от посещаемостта на сайта, събираните лични данни и неговата тематика ще може да се определи доколко е належащо да бъде добавен SSL сертификат към сайта.

Разбира се, винаги е добре сайтът да разполага със SSL сертификат, който да вдъхне допълнително доверие в посетителите на сайта. Това се отнася най-вече за онлайн магазини, форуми, големи онлайн портали, сайтове за запознанства и други. Благодарение на SSL сертификатът при използване на уебсайта трансферът на данни между уебсайта и потребителя се осъществява чрез защитен (криптиран) канал от край до край (https://).

11. Уведомяване на потребителите за новите промени във връзка със защита на личните данни

При положение, че сме предприели действия за въвеждане на GDPR в нашия уебсайт, то следва да подготвим подходящ GDPR бюлетин (newsletter) или друго средство за известяване на редовните посетители, относно информацията в точка 6.

На второ място, задължително е да известим всички настоящи получатели на бюлетина, за които няма информация за декларирано съгласие,че следва да декларират изрично своето желание да получават бюлетин занапред, както и да им предоставим възможност да се откажат от тази възможност.

В случай, че някои от досегашните получатели в подходящ срок не декларират изрично своето съгласие да продължат да получават бюлетина, то трябва да се приеме, че въпросните лица трябва да бъдат изключени от бюлетина. Това няма да се отнася, ако имаме бюлетин, който се изпраща на фирми и корпоративни клиенти чрез тяхна корпоративна електронна поща.

Добра идея е да сложите отметка дали лицето, което иска да получава бюлетина е физическо или фирма. Така ще си спестите време и усилия впоследствие да отбирате абонатите физически лица в базата данни.
Пояснение: ако абонатът въведе email адрес като ivan.ivanov@company.com, то това също се брои за лични данна, за разлика от info@company.com.

Желая да получавам бюлетина като физическо лице на личен email адрес.
Желая да получавам бюлетина като дружество на корпоративен email адрес.

Очаквам Вашите коментари, предложения, въпроси, забележки, критики и мнения чрез формата за коментари по-долу или на email: info[@]damyan.tv