GDPR регламент за елетронен магазин: пълно ръководство

Общият регламент за защита на лични данни (GDPR) цели да даде на физическите лица контрол върху личните си данни, като регулира събирането, съхранението и обработването им от уеб сайтове и електронни магазини.

Всичко за него научи в редовете по-долу.

Какво е GDPR?

Епохата на информационните технологии и електронната търговия налага някои изисквания за защита на личните данни на потребителите, които се изразяват в т.нар. GDPR регламент. 

GDPR (General Data Protection Regulation; от англ. джи-ди-пи-ар или Общ регламент относно защитата на данните, абр. ОРЗД) засяга всички субекти, обработващи данните на европейски граждани или чийто сайт е хостван в границите на Европейския съюз. Целта е контролът върху индивидуалните лични данни да бъде в ръцете на физическите лица, собственици на съответните данни.

Общият регламент за защитата на личните данни е заведен от Европейския парламент и Съвета на Европейския съюз като Регламент (ЕС) 2016/679. Приет през 2016 г., ОРЗД влиза в сила на от 25 май 2018 г., като преди това на негово място е съществувала Директива 95/46/ЕО – регламент относно защитата на личните данни с по-тесен обхват и по-малко задължения към страните, обработващи данните.

Какво са лични данни според дефинициите на регламента?

Според GDPR/ОРЗД личните данните включват всяка информация, свързана с идентифицирано или идентифицируемо физическо лице. 

Текущите регулации изискват информирането на потребителя при посещение на сайта относно видовете лични данни, които биват събирани, и изискването на съгласие чрез ръчно потвърждение от потребителя.

Личните данните са единственият вид информация, засегнат от GDPR. 

Примери са:

• Име;
• Адрес;
• Телефонен номер;
• Електронна поща;
• IP адрес на устройство;
• Последните 4 цифри от кредитната/дебитната карта
• Номер за проследяване на доставка (в повечето случаи те са уникални за всеки клиент) и др.

Съществуват и чувствителни лични данни, чиято обработка се определя от специфични условия:

• Лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения;
  
• Членство в професионална организация;
  
• Генетични и/или биометрични данни, обработвани единствено с цел идентификацията на потребителя като човешко същество;
  
• Данни за здравословно състояние;
  
• Данни за сексуалния живот или сексуалната ориентация.

В днешно време има множество начини, по които се събират лични данни. Идеалният случай е всеки потребител да знае какви са те, преди да дава своето съгласие те да бъдат обработвани. 

Как се управляват лични данни според текущите регулации?

Информация за видовете лични данни, обработвани от всеки сайт, следва да се дава от собственика на сайта веднага щом посетителят влезе в сайта. 

Според регламента трябва да се спазват следните изисквания:

• Изготвяне, внедряване и периодично обновяване (най-добре с помощ на адвокат) на Политика за обработване и защита на личните данни, както и Политика за бисквитки;
  
• Планиране и организиране на уведомление към КЗЛД (Комисия за защита на личните данни) в случай на пробив в системата за лични данни;
  
• Определяне на цели и срок за съхранение на лични данни;
  
• Ясно и цялостно информиране на потребители и клиенти за обхвата от лични данни, обработвани в даден момент, и правата им;
  
• За абониране по имейл да има отметка за потвърждение от потребителя, че желае да получава известия по електронен адрес;
  
• Опция за изтриване на личните данни, намираща се в настройките на профила (най-добър вариант) или чрез свързване с представител на обслужващия клиентите екип на електронния магазин;
  
• За ползвателите на Google Analytics – добавяне в кода на ga (set, anonymizelp, true); за други тракери – съответния еквивалент;
  
• Определяне на длъжностно лице по защита на личните данни (т.нар. администратор на лични данни, извършващ консултативна функция). Това е задължителна стъпка само при публични органи и структури, както и администратори с основна дейност мащабно обработване на лични данни и други видове данни.

Още един значим елемент при регулацията на един сайт е прилагането на принципите за защита на личните данни (структурата по-долу следва тази на ООН):

• Справедливо и законно обработване съобразно съгласието на потребителя, употребата на данните в полза на същия, както и съобразно активните управленски методи на институцията или предприятието или на друга легална основа, определена от същия
  
• Определяне на целите и причината за обработване на данните;
  
• Пропорционалност и нужда – дефиниране на минималния и максималния обхват от нужни данни;
  
• Съхранение на данните само за нужния срок за изпълнение на поставените цели;
  
• Точност – личните данни трябва да бъдат правилни и съобразени с най-новите цели;
  
• Сигурност – внедряване на съответно ниво на организационни, административни, физически и технически предпазни мерки за защита на данните;
  
• Прозрачност и известяване на субектите за обработката на личните им данни, включително как могат да получат достъп до нея, да я променят или да я изтрият.
  
• Прехвърляне – с цел изпълнение на нужните цели при нужда личните данни да се прехвърлят на трети лица, при условие че същият притежава достатъчно високо ниво на защита и сигурност;
  
• Отговорност – предприятието или институцията е нужно да е въвела съответни механизми и видове политика за спазване на тези принципи.

Какво са юридическите документи за GDPR

За всеки електронен магазин е задължително коректната обработка на лични данни да бъде извършена в рамките на използваните електронна система и платформа. Преди всичко е нужно обаче правилното изготвяне на юридически документи.

Основният юридически документ е т.нар. Политика за защита на личните данни, също познат като Политика за поверителност. Това е документ с обяснения във връзка с начина, по който предприятието събира, обработва, съхранява и предоставя лични данни. Такъв тип информация са целите на обработването на данни, правната основа за обработката, сроковете за съхранение на данните, правата на потребителите и мерките за защита на данните. 

Другият юридически документ на GDPR се нарича Политика за бисквитки – документ, чрез който се получава съгласието или несъгласието на потребителя да бъдат обработвани данните на същия според ОРЗД. Има много примери – добри и лоши – за това как се събират съгласията на потребителите из различните сайтове.

Общи условия

Общите условия са набор от правила и условия, уреждащи отношенията между електронния магазина и неговите потребители и клиенти. Най-често общите условия са описани в отделна страница на сайта, която е достъпна от картата на сайта, намираща се на дъното на всяка страница от повечето уебсайтове.

Всеки собственик на сайт е отговорен за издаването на общи условия. Пример за добре описани общи условия са тези на NEXT BASKET, където подробно са разписани всички подробности, свързани с употребата на сайта и услугите, които платформата на NEXT BASKET предлага. 

Кратък списък от точки, които да се следват при създаване на общите условия за твоя електронен магазин, би съдържал:

• Правните данни на електронния магазина;
  
• Дефиниции относно засегнатите страни (напр. Посетителя и Платформата), както и термините, сочещи услуги или други дейности на електронния магазин;
  
• Опис на събираните данни и причината за тази нужда при изпълнение от страна на потребителя на дадени действия в сайта (напр. регистрация, абониране, отписване и пр.);
  
• Допълнителни описания в зависимост от конкретната дейност на магазина относно информацията, която бива събирана и обработвана. Например, NEXT BASKET предлага платформа за електронни магазини, за чието изграждане и поддръжка са нужни определени елементи като продукти, лого, домейни, банкова сметка и пр.

Политика за поверителност

Политиката за защита на личните данни, също позната като Политика за поверителност, е ключов елемент за правилната и законосъобразна обработка на лични данни в рамките на всеки електронен магазин. Като такъв, тя следва да присъства на лесновидимо място в уеб страницата на един електронен магазин, наред с общите условия.

Политиката за поверителност включва отговори на следните въпроси:

• Какви данни се събират и обработват?
• За какъв период от време ще бъдат съхранявани?
• По какъв начин и къде ще се съхраняват?
• Кой ще има достъп до и кой ще е администратор на тези данни?
• Какви права притежават собствениците на тези данни?

Хартата на основните права на ЕС посочва, че гражданите на ЕС имат право на защита на личните данни. В днешно време немалко потребители знаят това, така че е в полза на електронния магазин да следва гореупоменатите правила за регулация и да предостави ясна и разбираема политика за поверителност. 

В някои случаи прозрачността в предоставянето на значима информация като тази може да се свърже с повишаване доверието у посетителя още от влизането в сайта, повишавайки и възможността за продажба.

Политика за бисквитки

При първото посещение на потребител в сайт трябва да бъде задействана Политиката за бисквитки. Често това е под формата на динамичен надпис, който обяснява за събирането на информация и изисква съгласието на потребителя. 

Това, което наричаме “бисквитки” (англ. cookies, ку-кийз), са малки текстови файлове, съдържащи информация относно действията на потребителя, неговите предпочитания или друг вид активност в сайта.

Съхранението на бисквитки е двустранен процес. За собственика на сайта те са в база данни, която се предполага, че е защитена, а за потребителя е на устройството му. И в двата случая те се запазват за определен период.

Бисквитките могат да се делят според вида – постоянни и сесийни – и предназначението си – необходими, маркетингови, статистически и др. 

Постоянните бисквитки се активират при всяко посещение в уебсайта, а сесийните се изтриват след излизане от браузъра. 

Необходимите бисквитки са нужни за безпроблемното навигиране из сайта; маркетинговите помагат за препоръчване на близки до вкуса на потребителя продукти; статистическите позволяват на предприятието да държи отчет относно броя посещения, продължителността на всяко, ползваните услуги, браузъри и IP адреси и др.

Събирането на лични данни от потребителите чрез бисквитки като метод остарява с всеки ден, но от немалко хора то е приемано като неоспорим стандарт и задължително, що става дума за подобряване на потребителското преживяване. 

Сайтове с неясни описания относно своята политика за бисквитки, които молят посетителите си за съгласие и го получават, могат да предизвикват объркане около тази страна на GDPR. От друга страна, колкото по-ясно и разбираемо е описано всичко в динамичната табела, появяваща се при първо посещение, толкова по-възможно е потребителите да чувстват близост и да добият доверие към електронния магазин.

Полезни GDPR функционалности в електронния магазин

Търговците в електронни магазини могат лесно да информират и получат съгласие за събиране на данни от посетителите си, ако разяснят някои функционалности, включително:

• Списък с всички нужни бисквитки и ролята на всяка. Това е лента, в която се съдържат юридически текст, настройки за потребителя, текст за изрично съгласие с правилата за съхранение, поле за съгласие с политиката за поверителност и на последно място задължително активиране на стандартен чекбокс за съгласие.
  
• Полета за съгласие с допълнителни юридически документи. Според потребностите на бизнеса може да има нужда да се добавят полета, които не биха присъствали в повечето сайтове.
  
• Хронология от действия на потребителите, включваща дата и час на приемане на условията; точната страница в уебсайта, където действието е извършено; маркираните кутийки, с които потребителят се е съгласил – с цел документация и при нужда представяне като доказателство пред КЗЛД в случай на възникнали спорове.
  
• Допълнителни табели с информация. Електронните магазини, съхраняващи лични данни по-дълготрайно поради причини като време, нужно за доставка, могат да добавят допълнителна табела, с която информират потребители, желаещи да изтрият данните си, че това би предотвратило поддръжката при проблеми с доставката или гаранцията на продуктите, закупени от техния сайт.