SHARE

Практически съвети и добри практики за уебсайтове съобразно GDPR (Общ регламент относно защитата на данните)

gdpr

Източник: medium.com

За собствениците на уебсайтове въпросът с прилагането на GDPR (Общ регламент относно защитата на данните) и новите правила при защита на личните данни на физически лица в рамките на Европейския съюз е задача с много неизвестни. Вероятно мнозина от собствениците на сайтове не смятат, че трябва да направят големи промени в организацията и структурата на действие на сайтовете си, но истината е друга.

С прилагането на GDPR от 25 май 2018г. и новото национално законодателство за защита на личните данни всички собственици на интернет страници ще трябва да положат усилия, за да спазват изискванията на европейското и национално законодателства. Става дума за почти всякакви сайтове, от малки лични интернет страници и блогове до популярните онлайн магазини и форуми, които биват хоствани в ЕС и/или обслужват потребители – физически лица от страните от Европейския съюз.

Настоящата статия има за цел да покаже на практика по интерактивен начин какви мерки трябва да предприемат собствениците на различни интернет страници съобразно изискванията на GDPR. Статията ще бъде допълвана през определено време, тъй като към момента на написване все още не е внесен за разглеждане в Народното събрание новият закон за защита на личните данни.

NB: Статията не претендира за изчерпателност и е написана на популярен и разбираем език с минимално ползване на юридически термини, тъй като е насочена основно към собствениците на сайтове и онлайн бизнеси. Макар авторът да е правоспособен юрист, статията не представлява правна консултация.

В следващите редове разглеждам някои от най-значимите мерки, които ще трябва да бъдат предприети по отношение на всеки уебсайт и онлайн бизнес, за да спази GDPR регулация.

 

1. Активно даване на съгласие

Най-вероятно подканвате своите посетители да се включат към Вашия бюлетин (newsletter), за да получават периодично информация за новостите около сайта и продуктите вътре. Друга обичайна практика е предложение (popup), което изскача на екрана всеки влязъл в сайта да свали Вашия безплатен наръчник по дадена тема само след като въведе своето име и имейл, където ще получи линк за файла.

Съгласно GDPR всеки такъв формуляр, който се състои от отметки, посредством които се декларира съгласие от страна на потребителя на сайта за обработване на предоставени от него лични данни, следва да включва първоначално празни отметки. С други думи, всяка отметка трябва да бъде по подразбиране празна, което значи, че посетителят трябва изрично да я отметне и по този начин да обяви своето съгласие за обработване на личните му данни. След това, даденото съгласие трябва да бъде записано по подходящ начин, за да може да бъде доказано, че е дадено изрично.

Неправилно:

Съгласен съм личните даннни да бъдат обработени за целите на сайта

Правилно:

Съгласен съм личните даннни да бъдат обработени за целите на сайта

 

2. Всяко съгласие трябва да бъде за конкретна цел

Имайки предвид същите формуляри и отметки, за които споменах в точка 1, много често потребителят е принуден да даде своето съгласие за обработване на личните му данни за няколко цели едновременно чрез една и съща отметка. Това ще трябва да бъде задължително променено от всеки собственик на уебсайт, тъй като не отговаря на GDPR изискванията.

Правилният начин съобразно изискванията на GDPR за получаване съгласието на потребителя в този случай е за всяко изисквано съгласие да бъде предназначена отделна отметка.

Неправилно:

Желаете ли да получавате наши промоционални предложения чрез електронна поща, телефон, СМС и Вайбър съобщения?
Съгласен съм, с нетърпение очаквам Вашите оферти.
Не съм съгласен.

Правилно:

Желаете ли да получавате наши промоционални предложения чрез електронна поща, телефон, СМС и Вайбър съобщения?
Съгласен съм по всички начини.
Съгласен съм само чрез електронна поща.
Съгласен съм само чрез телефона.
Съгласен съм само чрез СМС.
Съгласен съм само чрез Вайбър съобщения.
Не съм съгласен по никакъв начин да бъда безпокоен.

 

3. Самостоятелност на целите

GDPR поставя изискване всеки вид даване на съгласие от потребителя за обработване на негови лични данни да бъде представен отделно, така че да е видимо и ясно за какъв вид обработване на лични данни става дума.

Неправилно:

Желаете ли да получавате промоционални предложения от нас и партьорските ни вериги чрез електронна поща, телефон, СМС и Вайбър съобщения?
Съгласен съм, с нетърпение очаквам оферти.
Не съм съгласен.

Правилно:

Желаете ли да получавате промоционални предложения от нас и магазини “Линдл” чрез електронна поща, телефон, СМС и Вайбър съобщения?
Съгласен съм само за Ваши оферти.
Съгласен съм личните ми данни да бъдат обработвани и от магазини “Линдл”.
Съгласен съм само чрез електронна поща.
Съгласен съм само чрез телефона.
Съгласен съм само чрез СМС.
Съгласен съм само чрез Вайбър съобщения.
Не съм съгласен по никакъв начин да бъда безпокоен, нито личните ми данни да бъдат обработвани от трети страни.

 

4. Възможност за лесно оттегляне на даденото съгласие

В случай, че сме спазили изискванията на GDPR за получаване на съгласието на нашите потребители да обработваме техни лични данни за определени от нас цели, следва да предоставим и възможност на потребителите по също толкова лесен, безпрепятствен и бърз начин да оттеглят своето съгласие за всеки отделен вид обработване на лични данни спрямо всяка отделна определена от нас цел. Това означава, че първоначалното дадено изрично съгласние на потребителя е съхранено по подходящ начин към неговия профил/сесия/друг начин и по всяко време потребителят има достъп до даденото съгласие с възможност лесно и бързо да го оттегли.

Неправилно:

Съгласили сте се да получавате информация от нашия уебсайт по следните канали на комуникация – Email, SMS, Viber, Phone. Желате ли да направите промяна:
Искам да получавам информация по всички канали.
Не искам да получавам повече никаква информация.

Правилно:

Съгласили сте се да получавате информация от нашия уебсайт по следните канали на комуникация. Желате ли да направите промяна:
Email
SMS
Viber
Whatsapp
Phone
Mail
Не искам да получавам повече никаква информация.

Това се отнася и за окончателно изключване от бюлетина или всякакви други начини за периодична комуникация с посетителя извън рамките на уебсайта.

Правилно:

Настройки за получаване на нашия бюлетин:
Искам да получавам бюлетина всеки ден.
Искам да получавам бюлетина веднъж на две седмици.
Искам да получавам бюлетина веднъж на един месец.
Искам да получавам бюлетина веднъж на шест месеца.
Не искам да получавам повече никаква информация.

 

5. Информация за трети страни партньори на уебсайта

Много често сайтовете използват услугите на трети страни (доставчици), които предоставят различни уеб продукти и решения за анализ на посетителите и тяхното поведение. Такива са Google Webmaster tools, Google Analytics, heatmap tools, различни WordPress plugins и други. Огромната част от тези уеб продукти събират информация от самите потребители, за която дори повечето собственици на сайта не са наясно. Предполагаме, че по-големите и известни уеб и софтуерни продукти ще бъдат отговорни и ще се съобразят с новите правила на GDPR. Реалистично погледнато, няма как да сме напълно сигурни за всички тях, доколко отговарят на изискванията на GDPR. Поради тази причина следва да информираме потребителите, че е възможно някои техни лични данни да бъдат обработвани от други администратори на лични данни като Google, Facebook, Twitter. Най-често става дума само за IP адрес, но той също по принцип попада в обсега на личните данни. Едно добро решение, което ще докаже усилие за привеждане в пълна съвместимост с изискванията на GDPR е да декларираме пред потребителите кои уеб и софтуерните програми са интегрирани в сайта и кои от тях биха могли да обработват лични данни на потребителите.

Например:

За да функционира правилно нашият уебсайт и за да подобряваме постоянно качеството на предлаганите продукти, ние използваме следните програми и уеб решения, които биха могли да получат достъп до Вашия IP адрес и анализират Вашето поведение при престоя на уебстраницата без това да Ви идентифицира като физическо лице: Google Analytics, различни Wordspress plugins, Google Webmaster tools, Hotjar heatmap, Facebook, Twitter, Google plus. В случай, че не сте съгласни с тези условия, няма как да използвате нашия сайт пълноценно и не би следвало да го използвате занапред.

 

6. Политика за защита на личните данни

В повечето сайтове има раздел „Политика за поверителност“или „Защита на личните данни“ и др. Независимо от наименованието, след като започне да се прилага GDPR ще трябва да настъпят сериозни промени в съдържанието на споменатия раздел/страница съгласно новите положения в GDPR. В случай, че Вашият уебсайт въобще не разполага с такава информация, повече от задължително е да предприемете незабавни мерки за промяна на ситуацията.

Ще трябва да бъде включена подробна информация, която е изброена в чл.13 от GDPR, за да бъдат точно и ясно информирани потребителите за следното:

  • данните, които идентифицират администратора и координатите за връзка с него и, когато е приложимо, тези на представителя на администратора;
  • координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;
  • целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;
  • когато обработването се извършва въз основа на член 6, параграф 1, буква е), законните интереси, преследвани от администратора или от трета страна;
  • получателите или категориите получатели на личните данни, ако има такива;
  • срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;
  • съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или право да се направи възражение срещу обработването, както и правото на преносимост на данните;
  • когато обработването се основава на член 6, параграф 1, буква а) или член 9, параграф 2, буква а), съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;
  • правото на жалба до надзорен орган;
  • дали предоставянето на лични данни е задължително или договорно изискване, или изискване, необходимо за сключването на договор, както и дали субектът на данните е длъжен да предостави личните данни и евентуалните последствия, ако тези данни не бъдат предоставени;
  • съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

Следва и да уведомите потребителите на сайта за правата им съгласно чл. 15 – чл. 22 GDPR и по какъв начин могат да упражнят всяко едно от тях.

Добра практика е да създадете отделен email към сайта, който да бъде използван специално за комуникация свързана със защита на личните данни.

Например: privacy@yourwebsite.com

 

7. Събиране на лични данни при регистрация

Когато някой потребител предприеме действия по създаването на профил в сайт, почти винаги се налага да предостави лични данни като имена, телефонен номер, e-mail, адрес. Ще трябва да предоставим по лесно забележим и разпознаваем начин връзка/линк към страницата с информация по точка 6.

Съгласно новите правила на GDPR трябва да преразгледаме какви лични данни събираме от потребителите и дали и кои от тези лични данни са дейстивително необходими за нашите цели и за обслужване на потребителя.

Например:

Правя си профил в сайт за покупка на дрехи втора употреба и има задължително за попълване поле „ЕГН“.  В този случай едва ли може да бъде посочена смислена причина, която да налага въвеждането на ЕГН при регистрация в сайт за покупка на дрехи втора употреба. Полето следва да бъде премахнато от регистрационната форма на сайта.

Пояснение: Ако е необходимо ЕГН за съставяне на фактура на физическо лице, то е по-добре тази лична данна да бъде предоставена направо при процеса на съставяне на фактура, а не предварително. Така ще си спестим обработката на множество ЕГН-та без обоснована цел в по-голяма част от случаите.

 

8. Събиране на лични данни при извършване на покупка

Когато става дума за онлайн магазини, потребителят обикновено предоставя повече лични данни с цел обслужване на поръчката и доставка. Тоест, потребителят предоставя поне две имена, телефонен номер, адрес за доставка, e-mail. Тук също ще трябва да предоставим по лесно забележим и разпознаваем начин връзка/линк към страницата с информация по точка 6.

Първо, следва да се направи оглед и анализ на събираните лични данни доколко и кои от тях са нужни за обработката на поръчката. Много от онлайн магазините използват интергирани решения като Woocommerce и други, което технически ограничава възможностите собственика на сайта да контролира какви лични данни могат да бъдат изисквани от потребителите. В такъв случай, едно добро решение е да се свържем с доставичка на приложението, плъгина и др. и да изискаме информация дали и доколко можем да направим промени по формуляра за поръчки. Друг е въпросът, че създателите на тези решения за онлайн магазини следва да пригодят своите продукти съобразно изискванията на GDPR.

Вторият етап от процедурата е поръчката да бъде доставена до потребителя. Това най-често става като онлайн магазинът предостави личните данни на потребителя на спедитора, за да извърши доставката. В тези случай ще трябва да предоставим предварителна информация на потребителя, че неговите лични данни ще бъдат споделени с конкретен спедитор с цел доставка на поръчката и да искаме неговото изрично съгласие за това.

Правилно:

За извършване на поръчката и доставката й следва да получим Вашето изрично съгласие относно:
Съгласен съм личните ми данни да бъдат обработени от сайта с цел изпълнение на направената поръчка.
Съгласен съм личните ми данни да бъдат получени и обработени от Куриерска фирма “Бърз път” за доставка на поръчката.
Запознат съм и съм съгласен с Политиката за поверителност на уебсайта.

 

9. Бисквитки

Задължително е да въведем по подходящ начин (popup window, WordPress bar, etc.) динамичен надпис, с който да информираме по ясен начин и на разбираем език всеки потребител за използването на „бисквитки“ в сайта.

На видно място в сайта следва да има връзка/линк към подробна информация, която по лесен начин за разбиране да обяснява какво са бисквитките, за какво служат, какви и по какъв начин обработват лични данни на потребителите. Потребителят следва да има възможност да изрази изрично съгласие, но и да може да се откаже (изрично или не). В случай на отказ, потребителят следва да има ограничено действие в рамките на сайта, което на практика означава да не може да го използва въобще и да го напусне незабавно.

Добър пример:

https://passport.netinfo.bg/nipass/index.php?cmd=termscookie

 

10. SSL

Тъй като GDPR отделя специално внимание на криптирането на данни и начините за техническа защита на обработваните лични данни, когато става дума за уебсайтове, един от най-удачните начини е протоколът SSL. В зависимост от посещаемостта на сайта, събираните лични данни и неговата тематика ще може да се определи доколко е належащо да бъде добавен SSL сертификат към сайта.

Разбира се, винаги е добре сайтът да разполага със SSL сертификат, който да вдъхне допълнително доверие в посетителите на сайта. Това се отнася най-вече за онлайн магазини, форуми, големи онлайн портали, сайтове за запознанства и други.

 

11. Уведомяване на потребителите за новите промени във връзка със защита на личните данни

При положение, че сме предприели действия за въвеждане на GDPR в нашия уебсайт, то следва да подготвим подходящ GDPR бюлетин (newsletter) или друго средство за известяване на редовните посетители, относно информацията в точка 6.

На второ място, задължително е да известим всички настоящи получатели на бюлетина, за които няма информация за декларирано съгласие,че следва да декларират изрично своето желание да получават бюлетин занапред, както и да им предоставим възможност да се откажат от тази възможност.

В случай, че някои от досегашните получатели в подходящ срок не декларират изрично своето съгласие да продължат да получават бюлетина, то трябва да се приеме, че въпросните лица трябва да бъдат изключени от бюлетина. Това няма да се отнася, ако имаме бюлетин, който се изпраща на фирми и корпоративни клиенти чрез тяхна корпоративна електронна поща.

Добра идея е да сложите отметка дали лицето, което иска да получава бюлетина е физическо или фирма. Така ще си спестите време и усилия впоследствие да отбирате абонатите физически лица в базата данни. Пояснение: ако абонатът въведе email адрес като ivan.ivanov@company.com, то това също се брои за лични данна, за разлика от info@company.com.

Желая да получавам бюлетина като физическо лице на личен email адрес.
Желая да получавам бюлетина като дружество на корпоративен email адрес.

Последно обновяване: 20.05.2018


В скоро време ще бъдат добавени още точки с мерки за съответствие с GDPR и българското законодателство за защита на личните данни.

Очаквам Вашите коментари, предложения, въпроси, забележки, критики и мнения чрез формата за коментари по-долу или на email: info[@]damyan.tv

  • 286
  •  
  •  
  •  
  •  
Categories: Blog

Damyan

Damyan Todorov successfully completed LLM Law & Technology at Tilburg University after previosly obtained a “Master of Laws” degree from the University of Sofia ‘St. Kliment Ohridski’.

17 Comments

Добромир · 04/05/2018 at 08:45

Страхотна статия, благодаря за качественото синтезирано съдържание! Ще следя за обновяване, въпреки че това покрива до голяма степен въпросите ми.

    Damyan · 04/05/2018 at 14:05

    Благодаря за оценката! В скоро време ще има допълнителна информация.

Николай Рибаров · 08/05/2018 at 20:41

В т.7 ЕГН е необходимо при издаване на фактура за покупката.

    Damyan · 09/05/2018 at 17:50

    Много добро включване 🙂 Наистина при съставянето на фактура на физическо лице се изисква вписване на ЕГН на купувача съгласно ДОПК. Въпросът е обаче дали е нужно всеки регистриран потребител да предоставя своето ЕГН отначало или само тези, които правят покупка. Ще използвам коментара ти за бъдещетото обновяване на статията. Благодаря!

Румен · 09/05/2018 at 13:01

Много добро обобщение и препоръки относно съществени практически аспекти. Благодаря, ще следя по-нататъшното развитие с интерес.

    Damyan · 09/05/2018 at 17:47

    Благодаря за оценката! Предстои интересно обновяване на информацията.

Християн · 10/05/2018 at 06:51

Страхотна статия, която ми помогна да разбера какво трябва да направя във връзка с новите условия за защита на личните данни. Въпросът ми е как мога да разбера какви бисквитки използва моя сайт, за да мога да ги опиша в страницата “политика за бисквитките”? Благодаря!

    Damyan · 10/05/2018 at 16:17

    Благодаря за включването и оценката. Ето ти един примерен инструмент, който засича какви cookies използва твоя сайт: https://www.cookiebot.com/en/
    Сигурно има и други, но аз имам опит с него 🙂

Полина · 14/05/2018 at 17:07

Благодаря и аз!

Деница · 23/05/2018 at 11:49

Моного полезна информация. Благодаря ви!

    Damyan · 23/05/2018 at 14:47

    Радвам се, че Ви е полезна 🙂

Rumen · 23/05/2018 at 15:16

Ако уебсайта няма нито нюзлетър, няма профили, няма нищо, което да обработва чрез форми и прочие технически средства, какво е нужно да се сложи като ифнромация, като общо взето само бисквитките се ползват?

    Damyan · 24/05/2018 at 07:52

    Както го описваш случая, звучи като да трябва само информация за бисквитките и една Privacy policy.

George · 24/05/2018 at 20:49

Поздравления Дамян и благодаря за споделената информация!
Ако може кратък коментар/съвет от твоя страна относно контактните форми. Според прочетеното всяка контактна форма за обратна връзка (например запитване за продукт през форма от интернет магазин) трябва да има празен чек бокс, с който потребителя да дава съгласието си, че иска да получи отговор на неговия е-мейл адрес. Последните няколко дни разглеждам страници, които твърдят, че вече са готови за GDPR, но на контактните им форми няма нищо подобно.
Дали аз бъркам нещо, ако може за твоето компетентно разяснение по тозъ въпрос?

Благодаря предварително!

    Damyan · 27/05/2018 at 15:35

    Здравей, благодаря за включването. Няма как да няма такъв чекбокс, защото няма никакво друго основание за обработване на личните данни в съобщението освен съгласие. Затова и на моята контактна форма също има такъв чекбокс 🙂

Тодорова · 28/05/2018 at 12:09

Здравейте, а какви са изискванията за лични данни които са получени при поръчка по телефона?

    Damyan · 28/05/2018 at 13:35

    Здравейте, благодаря за коментара. Имате предвид при разговор по телефона или през Viber/Messenger?

Leave a Reply

Your email address will not be published. Required fields are marked *