Как да създадеш добра политика за поверителност за е-магазина си

Добрата политика за поверителност за твоя електронен магазин показва нивото ти на прозрачност и легалност като бизнес. Също така, информира как обработваш личните данни на потребителите ти.

Политиката за поверителност е официален документ, който описва как компанията ти събира, съхранява, използва и управлява данните на потребителите. Тя помага за изграждането на доверие между теб и посетителите на уебсайта ти, и гарантира, че действаш в съответствие със законите за защита на личните данни.

Тази статия ще ти помогне да научиш повече за същността на политиката за поверителност, какво налага следването на тази политика и как може да я приложиш за твоя онлайн магазин.

Какво е политика за поверителност?

Политиката за поверителност е документ, който служи като основа за взаимоотношенията между търговеца и клиентите по отношение на обработването лични данни. Тя е задължителна за всеки бизнес, събиращ лична информация от своите клиенти, независимо от размера и обхвата на дейността.

В този документ се описва каква информация за потребителите бива събирана, как тя се съхранява и по какъв начин се обработва. Също така, в какви случаи се споделя с трети страни, какви права има всеки потребител и как те могат да бъдат ползвани.

Тази информация е нужна за обработката на онлайн поръчки и помага за идентификация на клиента. Имена, адреси, телефонни номера, електронни пощи, платежни данни и други лични данни могат да бъдат само една част от профила, който се изгражда за всеки потребител, посетил един сайт.

Същността на политиката на поверителност е нищо повече от комуникационно средство за информиране на потребителите, че като администратор на лични данни извършваш своята дейност спрямо наложените правни изисквания на страните, където бизнесът ти е активен. Това е начинът да покажеш на потребителите доколко е важно за теб те да са наясно с това, което правиш с техните данни.

Съответствие със законодателството за защита на данните

Водещо затруднение за много сайтове при изграждането на подходяща политика за поверителност е легалната страна на нещата. Политиката за поверителност трябва да се съобразява със законодателството на страната, в която електронният търговец оперира.

За защитаване данните на потребителите от Европейския съюз и Великобритания това значи и съобразяване с международни стандарти като Общия регламент за защита на данните (GDPR).

Правилната подготовка от правна гледна точка гарантира, че бизнесът извършва своята търговска дейност спрямо закона и защитава правата на своите клиенти. Повечето страни следват международните изисквания относно събирането, обработката и съхранението на лични данни.

Има и държави, които разполагат с допълнителни наредби, уреждащи някои подробности около този въпрос. Във всяка страна е стандартно да има специализирана институция, занимаваща се с регулирането на местните бизнеси и повечето казуси, които може да възникнат.

В България това е Комисията за защита на личните данни. Нейните правомощия са валидни съгласно Закона за защита на личните данни и се отнасят към цялостния надзор за спазването на Регламент (ЕС) 2016/679. Това е регламент, който обхваща Европейския съюз, що става дума за обработване на лични данни и свободното им движение в интернет пространството и извън него.

Съгласно чл. 10, ал. 2 от документа с Правомощия на Комисията, извадка от ЗЗЛД, конкретните правомощия на институцията са:

• Да анализира и осъществява цялостен надзор и осигурява спазването на горепосочения регламент, на други нормативни актове в същата област;

• Да издава подзаконови нормативни актове в областта на защитата на личните данни;

• Да осигурява прилагането на решенията на Европейската комисия и изпълнението на задължителните решения на Европейския комитет – и двете в същата област за защита на личните данни;

• Да участва в международното сътрудничество с други органи и международни организации в областта;

• Да участва в преговорите и сключването на двустранни или многостранни споразумения по въпроси от своята компетентност;

• Да организира, координира и провежда обучение в областта;

• Да издава общи и нормативни административни актове, свързани с правомощията си, в случаите, предвидени по закон.

Комисията също така отговаря за това да изпълнява функциите на централен орган за външно подаване на сигнали в случаи на нарушения.

Информация, която трябва да се включи в политиката за поверителност

Ако искаш политиката ти за поверителност да бъде изчерпателна е необходимо да включиш информация, която засяга всеки аспект от процеса по събиране и обработване на лични данни.

Списъкът с въпроси по-долу ще ти помогне да установиш на какви подробности е нужно да обърнеш внимание за правилното обработване на лични данни.

Нека видим кои са те:

• Защо ти е нужна тази информация: Политиката за поверителност трябва да дава ясни и основателни причини за всеки тип дейност, който засяга съответните данни. Например защо се събира определен вид информация, как се ползва, кой има достъп до нея и т.н. Това важи за всеки вид информация – дори и да има малко уточнение, редно е да бъде ясно упоменато.

• Как ще се погрижиш данните да бъдат защитени: В това число влизат подробностите за методите на съхранение на личните данни, както и мерките за сигурност, които се прилагат за предпазване на информацията от трети лица без оторизиран достъп до клиентската база данни.

• Какви права има потребителят: Този документ е редно да предостави и информация за правата на потребителите по отношение на техните данни като например правото да видят какви техни данни биват събирани, как биват съхранявани, да направят заявка за промяна или изтриване, както и да възразят срещу определени видове обработка.

• Какви технологии за проследяване се използват: Във връзка с това се включва раздел, който очертава дейността на компанията при ползването на бисквитки и други технологии за проследяване. В днешно време се ползват множество инструменти, чрез които е възможно да се събират всякакви потребителски данни.

• Какви са стъпките при неспазване на тези условия: Задължително е да се наблегне на процедурите, които се следват, в случай че бъде нарушена сигурността на данните. Тази част следва да споменава какво всъщност ще се направи от страна на компанията, как и кога клиентите ще бъдат уведомени и в най-добрия случаи – какво ще могат да направят самите те.

• С кого ще бъдат споделяни тези данни и защо: Условията за предаване на лични данни на трети страни винаги трябва да са напълно ясни и да са съгласно законовите норми в съответните страни, в които и от които биват събирани. От особено значение е да се имат предвид страните, в които локалната юрисдикция налага доста по-различни закони за защита на данните.

• Как се борави с данните на различни възрастови групи: Понякога събирането на информация, която идентифицира част от потребителите като непълнолетни, може да изисква допълнителни мерки за обработване на данните. В някои страни съществуват такива наредби, свързани с предпазването на децата в дигиталната среда.

• Какви са възможностите за преносимост на данните: Малка част от потребителите изискват да получат копие от своите данни в структуриран, често използван формат. Това е едно от правата на потребителите, но е важно да е описано в политиката за поверителност на е-магазина ти и как може да се случи този процес.

• Какво става с данните, в случай че има значителни промени в управлението на компанията: Трябва да бъде описано какво ще се случи с всички лични данни от годините, в които компанията е била активна, ако тя се се слее с друга фирма, бъде придобита от по-голяма корпорация или просто фалира.

• Къде може да се подаде жалба: Потребителите могат да упражняват своите права по отношение на лични данни от всякакъв характер – стига да са техните – за периода, в който са ползвали сайта или приложението ти.

В този смисъл, ако някога потребител желае да се свърже с регулаторен орган, за да докладва за нередност от твоя страна, е добре да бъде упоменато каква процедура могат да следват.

Събиране, използване и съхранение на лични данни

Личните данни са информация, която може да се използва за идентификация на индивид или за връзка с него. В контекста на електронната търговия, такава информация са имена, адреси, имейли, телефонни номера, платежни данни и др.

Целта на политиката за поверителност е да обясни как е-магазинът ти борави с тези данни.

Ето какво е редно да имаш предвид като опорни точки, за да направиш това:

• Методи на събиране: Обясни методите, чрез които платформата ти събира лични данни. Това може да са регистрационни формуляри, поръчкови форми, анкети, новинарски бюлетини и т.н.
  
• Цел на събирането: Защо събираш данните, които събираш? Уточни дали са нужни за обработка на поръчка, комуникация с клиента, предоставяне на персонализирани предложения или нещо друго.
  
• Период и място на съхранение: Обясни къде и колко време отнема съхраняването на данни. Например дали са в собствена база данни на сървъра на компанията или при трета страна; колко време се пазят и защо е избран такъв период, като причината тук може да е и поради закон в дадената страна.
  
• Мерки за сигурност: Опиши мерките, които прилагаш, за да гарантираш защитата на личните данни от неприкосновен достъп. Достатъчно е да споменеш видовете защита като например криптиране, двуфакторна автентикация и пр.
  
• Достъп до данните: Поясни кой точно има достъп до данните и при какви условия. Не е нужно да се споменават имена, но поне групи от хора като служители, технически сътрудници с отговорност за обработката на данните и подобни следва да бъдат упоменати.
  
• Права на потребителите: Всеки потребител има правото да знае какви са личните данни, които предоставят, като сърфират из сайта ти и пазаруват от магазина ти. Някои от тях може да предпочитат да не предоставят част от тези данни, от което следва и нуждата от механизъм за промяна или изтриване на личните им данни от твоя страна.
  
• Използване на данните: Това е разделът, където даваш пояснения относно другите начини за употреба на данните като маркетингови кампании, анализ на потребителското поведение или подобрение на продуктите и услугите.
  
• Споделяне на данни: В случай че споделяш личните данни с трети страни, е редно да поясниш как тези данни ще бъдат разпространени и по какъв начин ще се съхраняват.
  
• Промени в политиката: Предостави информация и за случаите, в които може да се наложи да се направи промяна в политиката за поверителност. Най-често тези промени са по усмотрение на администратора на лични данни. За потребителите важното е да бъдат информирани, когато това се случи.
  

При въпроси или опасения относно личните им данни потребителите е редно да имат пряка връзка с администратора на данните. Тук следва да споменеш къде и как може да бъде осъществено това.

Отговорност за защита на личните данни на клиентите

Длъжностното лице по защита на данните е всеки служител на администратор на лични данни или външно за организацията физическо лице, изпълняващо функциите на консултант в тази област.

Твоите служители и сътрудници са еднакво отговорни за спазването на регулациите, колкото и ти за предаването на тази информация и обучаването на екипа как да работи, за да не прави неосъзнати грешки, докато комуникира с клиентите.

Нека видим кой администратор на лични данни е задължен да има такова лице:

• Администратори, чиято дейност изисква поради своите естество, обхват и цели редовно и систематично мащабно наблюдение на субектите на данни (потребителите).

• Администратори, чиято основна дейност засяга мащабното обработване на специални категории данни и на лични данни, свързани с присъди и нарушения.

• Публични органи или структури с изключение на съдилища, изпълняващи съдебните си функции.

Длъжностното лице по защита на личните данни се налага да притежава задълбочени експертни познания в областта на законодателството и актуалните практики за защита на данните. Поради тази причина обикновено се наема човек, чиято единствена роля е да отговаря за тази част от фирмената политика. 

Същият човек притежава експертиза и по други правни въпроси, което му позволява да бъде отговорното лице и за други аспекти на политиката на компанията.

Изпълнението на тези длъжности най-често се осъществява въз основа на сключен договор, тъй като администраторите нямат задължения да назначават специално такъв служител, а само да определят лицето. Условията за определяне или евентуалното назначаване на такова лице са изцяло според преценката на администратора.

Пълният списък от отговорности включва:

• Определяне администратора на лични данни;
• Определяне длъжностното лице по защита на данните;
• Обучение на персонала;
• Създаване на вътрешни процедури и политики;
• Опис на техническите и организационни мерки за защита на данните;
• Определяне процедурите за реагиране при евентуални нарушения;
• Информиране на националните и международни регулаторни органи;
• Определяне на безопасни мерки при работа с други компании и организации в случай на прехвърляне на данни.

В ролята на администратор на лични данни ще попаднеш на немалко възможности, където ще се налага да поемаш отговорност покрай боравенето с лични данни – особено ако работиш на международен пазар.

Обработка на плащанията и финансовата информация

За един функционален онлайн магазин плащанията и финансовата информация са основни компоненти на покупко-продажбения процес, поради което и се изискват строги мерки за поверителност и сигурност.

Политиката за поверителност следва да отразява ключовите аспекти, които се вземат предвид при подготовка на магазина:

• Сигурност на плащанията: Опиши мерките, които прилагаш за гарантиране сигурността на плащанията, като например SSL сертификати, PCI DSS и т.н.
  
• Платформи за обработка на плащания: Представи платформите, с които работиш, както и методите за разплащания и техните стандарти за сигурност.
  
• Интеграция с други системи: Обясни как твоята система за обработка на плащания се интегрира с други системи, в случай че те може да засягат функционалността при обработване на плащанията.
  
• Мониторинг и откриване на измами: Говори за механизмите, които спомагат за проследяване на потребителската информация, засичане на подозрителни транзакции и предотвратяване на финансови измами.
  
• Уведомления за транзакции: Изясни как уведомяваш клиентите за извършени транзакции и каква информация предоставяш в документите, удостоверяващи успешна или неуспешна транзакция.
  
• Връщане и възстановяване на средства: При отказ от покупка средствата на потребителя могат да бъдат върнати при определени условия, които е редно да уточниш, ако съществуват ситуации, когато възстановяването на сумата не е възможно поради една или друга причина.
  
• Интерфейс и потребителско изживяване: Дай подробности относно това как потребителският интерфейс функционира по време на плащанията и какво могат да очакват потребителите, за да бъде тяхното преживяване възможно най-добро
  
• Отказ от отговорност: Невинаги компанията носи отговорност за неправилни или неоторизирани транзакции, затова е редно да бъдат уточнени и основанията, на които единственото отговорно лице е потребителят.

В допълнение на тези точки могат да се добавят и други, които да засягат части и стъпки от отделни процеси, където плащанията и финансовата информация могат да бъдат от значение.

Предаване на данни на трети страни и защита на информацията

За да гарантираш сигурността на личните данни във всяка една ситуация, е важно да имаш надеждни протоколи за достъп до системата и базата данни, които да предвиждат споделянето на тази информация с трети лица.

Като за начало, започни с идентифицирането на лицата извън компанията, с които ще споделяш частично или цялостно информацията на своите потребители. Причините за това споделяне също е редно да бъдат споменати, за да бъде ясен мотивът зад действията ти.

Когато изброяваш компаниите, с които работиш, можеш да споделиш целите им имена или само техния вид. За потребителите в ЕС и Великобритания се спазват указанията според GDPR, които налагат да се упоменат и условията за обработка, съхранение и използване на данните на всички трети страни.

Ако не ги намираш в условията за ползване в сайта на съответната фирма, най-добре е да се свържеш с нея директно, за да получиш нужната информация. Щом разполагаш със споразумението, можеш да го включиш в своята собствена документация.

Политика за бисквитките и управление на онлайн проследяване

Политиката за поверителност включва в себе си всички други политики, тъй като ги описва. Към тях приспадат и политиката за бисквитките, както и другите методи за проследяване на потребителите онлайн.

Най-напред обясни какво представляват бисквитките и защо се използват на уебсайта. Всеки потребител е редно да знае как може да дава съгласието си, да променя настройките и да премахва съгласието си за ползването на бисквитки.

Ако имаш рекламни партньорства, които използват бисквитки за целева реклама, те също трябва да са описани. Такива включват всякакви съглашения с организации, изискващи частично или цялостно споделяне на информация.

При наличие на други технологии за проследяване е редно и те да се разгледат подробно, доколкото се отнасят към личните данни на потребителите. Дори и да засягат само един елемент, който бива проследяван, той следва да бъде споменат.

Процедури за уведомяване и съгласие на клиентите

Важен компонент от политиката за поверителност са процедурите за известяване на потребителите и клиентите. Без това, дори и да получиш съгласието им, то няма да е на базата на информираност, което не би позволило то да се зачете като такова.

За уведомяване и сдобиване със съгласието на клиентите трябва да знаеш следното:

• Методи за уведомяване: Направи опис на всички методи, които ползваш за известяване на клиентите за своята политика за поверителност, включително при първоначално посещение, при регистрация, при актуализации на политиката и т.н.
  
• Съгласие за обработка на данни: Обясни колко е важно съгласието на клиентите и как то може да бъде получено чрез действие или по подразбиране с посещение на сайта.
  
• Опции за отказ: Дай ясни инструкции за това как клиентите могат да оттеглят своето съгласие за всеки вид данни, които биват събирани.
  
• Възрастови ограничения: Укажи как се третира събирането на съгласия от хора на определена възраст, когато такава бъде посочена от потребителя, в съответствие със законодателството за защита на деца в интернет.
  
• Международни клиенти: Опиши и по какъв начин се взима съгласието на потребителите по света, имайки предвид регионалните регулации.
  
• Езикови версии: Ако сайтът ти е на няколко езика, обясни и наличието на тази политика за поверителност на различни езици, като предварително се погрижи тя да бъде в актуалния си вариант на всеки един от тях.
  
• Интерактивни елементи: Разясни употребата на интерактивни елементи като изскачащи прозорци или кутийки за отбелязване, за да е ясно как ще бъдат визуализирани съответните параграфи, изискващи съгласие.

Ако разчиташ на допълнителни начини за уведомление и събиране на съгласия, опиши и тях, за да бъде пълен и този раздел.

Прилагане и актуализация на политиката за поверителност

Когато политиката ти за поверителност е готова, остава да я приложиш и да я поддържаш актуална.

Необходимо е да вземеш предвид следните неща:

• Редовни прегледи на закона: Длъжностното лице по защита на данните е най-подходящият човек за това да се следят най-новите наредби и законови норми, които може да засягат политиката за поверителност. Периодична консултация – например на няколко месеца – с юристи или други специалисти по темата също може да е от полза.
  
• Актуализации при промени: Понякога промяната в процедурите, инструментите или бизнес сътрудниците може да наложи нуждата от събиране или използване на лични данни, различни от тези, описани до момента. Тогава е и времето политиката ти за поверителност да бъде актуализирана, за да отразява тези промени.
  
• Архив на версиите: Съхранявай архив на предишните версии на политиката за поверителност, за да могат да бъдат лесно проследими направените промени.
  
• Защита на авторски права: Увери се, че този документ не засяга чужди авторски права, когато говори за определени институции, организации или личности.

Всичко това е пряко свързано с това как да поддържаш високо ниво на прозрачност относно начина, по който управляваш своя бизнес. Когато приложиш този принцип в политиката за поверителност, тя ще отразява тази ценност и ще показва на потребителите, че твоят е-магазин е надежден.