GDPR/ОРЗД за уеб сайтове и онлайн бизнеси – ръководство и практически стъпки/съвети

Декларация за отказ от отговорност: Настоящите съвети не представляват правен съвет. Ползвайте индивидуална консултация с адвокат от София или България, ако имате някакви съмнения относно GDPR.

Какво е GDPR?

Общ регламент за защита на личните данни (ОРЗД или понякога срещано ОРЗЛД, на английски език: GDPR – General Data Protection Regulation) е регулация/закон на Европейския съюз (ЕС), който е в сила на 25 май 2018г.

GDPR законът е дълъг около 88 страници в PDF формат, с не особено голям шрифт! Дори професионалистите (юристи и адвокати) може да са спестили четенето на част от тези страници. Можете да прегледате едновременно Английския текст и българския превод оттук:
eur-lex.europa.eu (EN/BG)

Оттук можете да прегледате текста в подреден вид – съдържание по раздели и точки, за да прочетете каквото ви интересува: https://gdpr-info.eu/

Регулацията/регламента е закон, който важи за всички [компании и фирми], които обработват данни на европейски граждани, така че се разпростира извън Европа.

Повече за това какво е GDPR с визуално представяне: ОРЗД на български език (ec.europa.eu), GDPR на английски език (ec.europa.eu)

Цели на GDPR! Защо се въвеждат регулации?

Целта на GDPR е да защити личните данни, като част от личната информация, която идентифицира потребителя (т.нар. Personally Identifying Information – PII) и да накара бизнеса да се придържа към високи стандарти и сигурни технологии, когато става дума за това как се събират, съхраняват и използват тези данни.

Прозрачни политики:

• ясна информация за събирането на лични данни
• уточняване на целите за обработка на лични данни
• дефиниране на правилата за запазване и изтриване на лични данни

Контрол и известяване:

• получаване на подходящо съгласие за обработка на данни
• използване на подходяща защита за съхранението на личните данни
• уведомяване на властите за нарушения във връзка с лични данни
• съхраняване на записи с подробна обработка на данните

Развитието на ИТ технологиите и интернет като мрежа, заедно с популярността на социалните мрежи, предоставя голяма възможност за кражба, съхранение и обработка на лични данни (ЛД). За да отговори на притесненията на обществото, ЕС предприе безпрецедентни мерки с въвеждането на актуалния GDPR регламент, в опит да защити личните данни на хората.

Контролът над всичко това е труден, дори невъзможен, но който бъде хванат да нарушава правилата – ще бъде наказван строго, за назидание на останалите.

Въпреки всичко, ще има много на брой търговци с лични данни, но правилата ще направят техните данни по-трудно използваеми или продаваеми (или поне не толкова лесно, както досега), тъй като обработката и употребата на лични данни, трябва да е става само след изрично съгласие на притежателя (подателя) на тези данни и това трябва да се докаже от администратора на личните данни.

Все още не е определена стратегията за онлайн идентификация, която се прави с електронен подпис – тя е специално за идентифициране като определено лице, докато настоящия закон/регламент е за защита на лични данни при съхранение и обработка.

Принципи на правилата за защита за лични данни

Основен принцип на правилата за защита за лични данни е това, че администраторът на лични данни (този, който ги събира и обработва), има задължението да защитава поверените му лични данни и носи отговорност за тях! В това влиза:

• ЛД да бъдат обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);
• ЛД да бъдат събирани за конкретни, изрично указани цели и да се обработват за тези цели;
• ЛД да бъдат ограничени до необходимото във връзка с целите („свеждане на данните до минимум“);
• ЛД да бъдат поддържани в актуален вид („точност“);
• ЛД да бъдат съхранявани във форма, която да позволява идентифицирането на субекта на данните за период спрямо целите; личните данни могат да се съхраняват за по-дълги срокове, но проверете подробно при какви изисквания („ограничение на съхранението“);
• ЛД да бъдат обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане – чрез технически или организационни мерки („цялостност и поверителност“);

Администраторът на ЛД носи отговорност и трябва да е в състояние да докаже спазването на горните задължения („отчетност“).

Обработката на лични данни за деца е при специални условия. При специални условия са и данните за етнически произход, политически и религиозни убеждения и др.

Какво означава лични данни (ЛД)? Кои данни са защитени като част от „лични данни“?

Личните данни не са дефинирани като списък. Вместо това е указано следното определение:

„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
Личните данни включват: име, имейли, физически адрес, IP адрес, здравна информация, доходи и т.н.

За да не обработвате лични данни, определението за анонимизация, наречено „псевдонимизация“, е следното:

„Псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;

Повече за това какво са лични данни: https://www.itgovernance.eu/blog/en/the-gdpr-what-exactly-is-personal-data

Кой регулира GDPR?

В България това е „Комисия за защита на личните данни“ – cpdp.bg (Commission for Personal Data Protection – Republic of Bulgaria)

Какви са правата на гражданите (т.е. субектите на данните)?

Т.нар. граждани/клиенти/потребители се реферират като „субекти на данните“ („data subject“) в регламента. Правата са разписани като принципи на регламента и като права на субектите:

• Прозрачна информация, комуникация и условия/начини за упражняването на правата на субекта на данни
• Информация и условия/начини за достъп до лични данни
• Прозрачна информация, предоставяна при събиране на лични данни от субекта на данните
• Право на достъп до данните от страна на субекта на данните
• Право на коригиране
• Право на изтриване (право „да бъдеш забравен“)
• Право на ограничаване на обработването
• Задължение за уведомяване при коригиране или изтриване на лични данни или ограничаване на обработването
• Право на преносимост на данните
• Право на възражение и автоматизирано вземане на индивидуални решения
• Право на възражение
• Автоматизирано вземане на индивидуални решения, включително профилиране
• Ограничения

Лицата имат право:

• на достъп до личните си данни
• да поправят грешки в личните си данни
• да изтриват личните си данни
• научат за предмета на обработка на личните им данни
• да изтеглят личните си данни

Още разяснения за правата:

• Достъп до данните: Субектите на данните (потребителите) трябва да имат достъп до данните си. Личните данни следва да се възприемат като “дадени на заем”. Имаме право да ги ползваме и обработваме в определени граници, докато потребителят ни е дал своето съгласие.
• Изтриване на данните: Всеки субект на данни (потребител) има “правото да бъде забравен”. При поискване администраторът на лични данни е длъжен да изтрие данните за съответното лице.
• Профилиране: Регламентът въвежда ограничения относно автоматизираното обработване на лични данни. Потребителят има право да бъде информиран дали се извършва напълно автоматизирано профилиране въз основа на личните му данни и съответно да поиска спиране на такова профилиране.

Повече информация за правата на ФЛ съгласно GDPR.

Право на Достъп – Ако съхранявате/обработвате/притежавате лични данни – трябва да можете да предоставите безплатно копие на тези данни. Лицата имат право да научат какви данни съхранявате и обработвате. Остава въпроса – какъв срок имате за предоставяне на данните?

Правото на Заличаване / Право да бъде(ш) Забравен – Субектите на данните имат право да поискат изтриване на всички техни данни. Вашите системи трябва да направят изтриването, но ако споделяте лични данни и към външни доставчици като ERP системи, Email marketing софтуер и др. – трябва да достъпвате базите данни при тях (обикновено през API) и да подадете заявка за изтриване. Вие сте администратора на ЛД и вие заявявате изтриване на ЛД към всички обработващи тези данни (3-ти лица и фирми).

Право на Преносимост на данни – лицата могат да сменят доставчиците си, при което могат да изискват данните им да бъдат прехвърлени при друг доставчик.

Право на Уведомяване (Уведомления за изтичане/кражба на личните данни (напр. при кражба, хакване и др.) – в срок до 72 часа трябва да бъде уведомена КЗЛД, а ако последиците могат да са опасни (напр. изтичане на банкови данни) – трябва да се уведомят и субектите на ЛД, за да предприемат мерки за защита от неправомерно използване на откраднатите лични данни.

Роли – Администратор (съхранява и контролира) и Обработващ лични данни

В „раздел 4 на регламента“ са указани задълженията на администратор/контрольор на ЛД и на обработващ на ЛД (лични данни). Спазвайки указаните принципи и подсигурявайки си нужния процес за защита на личните данни, можете да достигнете пълна съвместимост с GDPR регламента.

Задължения на администраторите на ЛД

• Използване на разбираем език: Всеки администратор трябва ясно и разбираемо да посочи целите, за които се събират данните, начините на обработка и съхранение, както и да даде достъп до промяна или изтриване на тези данни.
• Съгласие за обработване на личните данни: Наличието на съгласие е едно от най-често срещаните основания, въз основата на които се обработват личните данни. Доказването на това съгласие е от огромно значение. ВАЖНО! Мълчаливото съгласие, предварително маркираните отметки и липсата на изрично действие за даване на съгласие се приемат от Комисията за защита на личните данни като нарушение. Като администратор на лични данни трябва да можеш да докажеш, че лицето изрично е дало съгласието си за обработка на личните му данни.
• Предоставяне на данните на 3-ти лица: Предоставянето на данни на 3-ти лица в много случаи е неизбежно и затова е изключително важно да се направи подходящ анализ на категориите 3-ти лица, които имат достъп до личните данни и да се въведат правила и процедури относно предоставянето на личните данни.

Още информация за задълженията на администраторите.

Изисквания към организациите

За да спазите всички изисквания на Регламента, трябва да подготвите твоя бизнес:

• От правна страна – обновяване на всички необходими документи в твоя бизнес: общи условия, договори, декларации и др. За всеки конкретен случай е необходимо да се направи индивидуален анализ на конкретните обстоятелства.
• От техническа страна – трябва да се подготви фактическото спазване на предвиденото в изготвените правни документи. Това, например, може да бъде специална уеб страница за управление на лични данни, отметки за съгласие и не-съгласие на определени места и други.

Защитата на личните данни е процес, а не е еднократна задача. За да обработвате правомерно личните данни, е необходимо:

• да изградите/осигурите ясна и защитена система/процес за обработка на личните данни
• да приемете вътрешните актове във фирмата, които регламентират обработката и съхранението на данните
• периодично да ревизирате въведената система
• да познавате развитието на технологията и подходящите нива на защита на личните данни

Длъжностно лице по личните данни (Data Protection Officer – DPO)

Длъжностно лице по личните данни е служител на администратор на лични данни или външно лице контрактор. Отговорностите на това лице са консултативни в областта на защитата на личните данни, надзор по спазването на регламента и повишаването на осведомеността и обучението на персонала. Длъжностното лице по защита на данните трябва да премине през обучение относно защитата на личните данни.

За малки и средно големи фирми обикновено не се налага да назначавате Длъжностно лице по личните данни (DPO), но всеки случай е индивидуален – направете правна консултация, ако имате съмнения.

Задължително се определя Длъжностно лице по защита на данните при обработване на лични данни на над 10 000 физически лица, системно и мащабно наблюдение на субектите на данните или мащабно обработване на специални (чувствителни) лични данни.

Още за длъжностно лице по личните данни (Data Protection Officer – DPO).

Контрол и глоби

Какво става ако не спазите изискванията? Какви са глобите? В какви срокове се налагат? Как да се предпазите от големите глоби по GDPR?…

Много въпроси, но нека оставим настрана глобите и да погледнем какъв е реда (етапите) при установяване на несъвместимост с GDPR регламента:

• Предупреждение
• Порицание
• Прекратяване на обработването на данни
• Глоба – до 20 млн. EUR или 4% от общия годишен оборот

Забележете, че вие ще имате поне 2 етапа, в които ще трябва да предприемете конкретни действия. Това означава, че глоби ще се налагат само на най-значимите нарушения, при които не се предприема действие на установените нарушения или вие нарочно нарушавате правилата (обикновено тайно, но винаги може да стане публично достояние), с цел да постигнете финансови или други ползи.

Затова глобите са толкова големи, а те всъщност са малки… за нарочно нарушение би следвало да има огромни глоби и наказателна отговорност.

Програмиране на системи за управление на лични данни по GDPR

Програмиране на системи за управление на лични данни по GDPR е сложен процес, който започва с проектиране и планиране на структурата и защитата на личните данни и едва тогава се пристъпва към самото програмиране.

За да се предпазите от глоби, използваните от вас системи за управление на лични данни (които представляват системи за управление на информация), трябва да са съвместими с GDPR и да има прозрачен и проверяем процес на обработката на личните данни. Когато не правите нищо незаконно – вашата система трябва да е перфектна в обработката, следенето и изтриването на лични данни.

Още при проектирането и изработката на системите (Уеб сайт, CRM, ERP, CMS и др.) трябва да защитават лични данни, като ги съхраняват по подходящ начин (напр. криптиран/модифициран вид), според указаните от вас цели. Целта е дори откраднати, данните да не могат да се използват за идентифициране на субекта на данните, с което самата кражба се обезмисля (не нанася вреди).

Разбира се, позволяването на кражба на лични данни от която и да е информационна система, изобщо не трябва да се допуска. За целта има екип за поддръжка на уеб сайтове и информационни системи, които избират и прилагат подходящи мерки за защита, предотвратяващи хакване и кражба на данни! Просто евентуалното криптиране на данните е второ ниво на защита – в краен случай.

За разработчиците на софтуер и за собствениците, които поръчват такъв софтуер, е важно да знаят какви функции трябва да има цялата ERP/CRM/CMS/Wordpress система: GDPR – A practical guide for Developers.

Как да спазите закона? Практически съвети, идеи и препоръки.

• Информиране – Представете се. Защо искате данните (цели)? Кой ги получава и кой ги обработва? Колко дълго ще се съхраняват?
• Съгласие – едно от правните основания за обработка на лични данни, но има и други правни основания, при които няма нужда от съгласие!
• Достъп и преносимост – данните могат да бъдат изисквани (експортирани) и трансферирани към друг доставчик (преносимост)
• Предупреждения – Ако има риск за данните – информирайте КЗЛД и/или хората.
• Изтриване на данни – Правото „да бъдат забравени“. Изтрийте техните лични данни, ако ви помолят, но само ако това не застрашава свободата на словото или способността за извършване на изследвания.
• Профилиране – Ако използвате профилиране, за да обработвате заявления за правно обвързващи споразумения, като заеми, трябва:
  – да информирате вашите клиенти;
  – да се уверите, че процесът се проверява от лице, а не от машина, ако заявлението бъде отхвърлено;
  – предложете на заявителя правото да оспори решението.
• Маркетинг – Предоставете на хората правото да не участват в директен маркетинг, при който се използват техни данни.
• Защита на чувствителни данни – Използвайте допълнителни гаранции за информацията относно здравето, расата, сексуалната ориентация, религията и политическите убеждения.
• Данни на деца – Събирате данни от деца на възраст под 16 години? Съгласно ОРЗД трябва да получите съгласието на родителите. Всяка държава-членка на ЕС, може обаче да намали този праг до възраст между 13 и 16 години, така че проверете възрастовата граница.
• Предаване на данни извън ЕС – Сключете правни договорености, когато предавате данни на държави, които не са одобрени от органите на ЕС

Обработвате данни за друго дружество? – Уверете се, че имате договор, в който са описани отговорностите на всяка страна.

Проверете дали се нуждаете от служител по защита на данните (DPO – Data Privacy Officer) – Не винаги е задължително – зависи от вида и количеството на данните, които събирате, дали обработването е вашата основна стопанска дейност и дали го правите в голям мащаб.
Ако сте публична компания или обработвате голямо количество лична информация, тогава трябва да назначите „служител по защита на данните“. Не се изисква за малките фирми. Консултирайте се с юрист, ако имате съмнения или нужда от правна консултация.

Водене на регистър

Малките (и средни) фирми трябва да водят регистър само, ако обработването на данни е:

• Редовно
• Заплаха за правата и свободите на хората
• Включва чувствителни данни или съдебни досиета

Регистрите следва да съдържат:

• Име и данни за връзка с предприятието
• Причини за обработването на данните
• Описание на категориите субекти на данни и лични данни
• Категориите организации, които получават данните
• Предаване на данни на друга държава или организация
• Срок за отстраняване на данните, ако е възможно
• Описание на използваните мерки за сигурност при обработването, ако е възможно

Предвидете оценки на въздействието. Оценки на въздействието може да се изискват за високо-рисково обработване:

• Нови технологии
• Автоматично системно обработване и оценка на лична информация
• Мащабно наблюдение на обществено достъпна зона (напр. системи за видеонаблюдение)
• Мащабно обработване на чувствителни данни, като биометрични данни

Конкретни примерни практически стъпки, за да изпълните регламента

Определете какви лични данни да събирате и през какви канали

Например имате фирмен/бизнес уеб сайт, чиято цел е да привлича клиенти. Когато това е онлайн магазин – в него най-вероятно трябва да се въвеждат лични данни, напр. за доставка на стоки. Когато обаче това е чисто информативен бизнес уеб сайт на фирмата, то вие не събирате лични данни. Така нямате нужда от специални правила за защита на лични данни, защото просто решавате, че нямате нужда да събрате такива данни.

Не събирайте ЛД, ако не се нуждаете от тях – толкова е просто!

Ще събирате лични данни, напр. за имейл бюлетин – решете къде ще съхранявате личните данни

Ако ще имате форма за записване за имейл бюлетин, то вие имате поне 2 варианта:

• Вие да съхранявате и обработвате данните – при вас; на ваши/наети сървъри; на система, поддръжана от вас или външен програмист…
• Да организирате прехвърляне на отговорността на 3-ти лица (доставчици на услуги и партньори), където ще се записват и обработват личните данни. Така спестявате инвестиции в система за управление на информацията или поне я отлагате за по-благоприятен период.

Напр. за имейл бюлетин/нюзлетър се събират „Имейл“, евентуално „Имена“ и „IP адрес“. Ако ги прехвърлите към доставчик на имейл маркетинг услуги и имате договор с него, то вие няма да съхранявате данните при вас и така ги защитавате. Въпреки това вие оставате отговорен да следите, че вашият доставчик ги защитава според GDPR.

Напр. за разплащания, може да се използва „merchant“ акаунт за получаване на плащания, така че когато получавате плащания, вие да нямате данните на плащащия (номер на карта, имена и др.). (Напр. ePay.bg, PayPal, braintree merchant и др.)

При получаване на плащания по банка или друг начин, можете да имате достъп до „Банкова сметка“, „номер на международна/национална кредитна/дебитна банкова карта“ и „Имена“. Или напр. за PayPal или друг акаунт – достъп до Username или Имейл). Обаче вие не съхранявате тези данни при вас – съответната банка/PayPal ги съхраняват в тяхната система.

„Политика за защита на лични данни“ (Privacy Policy) – прозрачни процеси за осигуряване правата на потребителите

Страницата за „Политика за защита на лични данни“ (Privacy Policy) дава информация за това какви лични данни се събират/съхраняват/обработват, как се работи с тях (обработват) и как те са защитени. Трябва да са ясно разписани процеси, публикувани в сайта и достъпни за настоящи и бъдещи клиенти.

Често страницата е озаглавена по друг начин, напр.: Условия за Поверителност, Политика за съхранение, обработка и защита на лични данни.

С каква цел са събрани (услуги, доставки, маркетинг и др.), как са защитени, как и къде се съхраняват, за колко време се съхраняват, как се обработват, за какви цели и каква употреба, с кои партньори/доставчици се споделят/обработват личните данни, права на потребителите, как да се свържете с нас… – това са основните секции.

Може да включва секция за използване на бисквитки, които могат да се използват за различни цели. Когато секцията за бисквитки е твърде голяма, може би по-подходящо е да бъде направена отделна страница и да бъде линкната/приложена към Политиката за лични данни.

Можете да поставите линкове „Прочетете/Запознайте се как използваме вашите данни“ (Read more how we use your data) на форми за изпращане на коментари (заради ИП адресите), на имейли (заради имейл+IP) и др. форми. Така всичко е прозрачно, уведомявате потребителите и те ви се доверяват. Може би е ясно, но все пак – никакви дребни шрифтове във формите, това се счита за подвеждане на потребителя!

Страницата с политиката за защита и поверителност може да е доста дълга, така че за удобство е добре да бъде направено съдържание и страницата да е разделена на раздели, така че с модерните технологии да може лесно и удобно да се превключи на избран раздел, за да е удобно за бърз преглед. Пример за такова съдържание с линкове в него е GDPR регламента в Уикипедия, където има няколко раздели и подраздели.

Процес за Подсигуряване/Защита на лични данни (ЛД)

Процес за Подсигуряване/Защита на лични данни (ЛД) е всъщност непрекъснат процес за защита на данни. На първо място – трябва да кажете как събирате, съхранявате и обработвате тези данни и да го правите по този начин. Не трябва да позволявате неконтролирано изтичане на лични данни (хакване, кражба и др.) – трябва да имате предприети мерки против това и да можете да ги докажете.

Вече казахме, че с използване на външни системи и доставчици, може да делегирате събирането, съхранението и обработката да се прави от автоматизирана система, поддържана от трети лица (ваши доставчици или партньори) и да си осигурите договор, където ясно са разписани отговорностите.

Член 30 на Регулацията въвежда изискването за съхраняване на записи, включително и на общо описание на предприетите технически и организационни мерки за сигурност според изискванията на Член 32 – което означава, че организациите ще трябва да съхраняват записи с цел доказване на предприетите мерки за сигурност на системите си.

Не задържайте лични данни, от които не се нуждаете

Не задържайте ЛД, ако не се нуждаете от тях – толкова е просто!

В уеб сайт е добре да се съхраняват данните в криптиран вид (неразпознаваем и/или непробиваем). Това не винаги е възможно, затова срокът на съхранение може да е защита от кражба на данни.

Напр. за електронен онлайн магазин, за да доставяте продукти е нужно да научите „Адрес“, „Имена“ (Име и Фамилия) и „Телефон“. След като извършите доставката, можете да ги триете, за да не позволите изтичане на данни на по-късен етап. Ако процеса е автоматизиран – това би било отлично!

(Достъпност) Имайте процес/начин, с който да предоставите/демонстрирате/покажете какви лични данни притежавате.

Какви данни се използват, съхраняват и обработват?
Как събекта на лични данни за има достъп до данните си – форма за заявка?
Защо се използват (цели)?
С кого се споделят/предават/обработват лични данни?
Колко дълго се съхраняват личните данни?
Как субекта на данните за заяви своите права – форма за заявка?

(Забравяне/Изтриване/Заличаване на лични данни) Имайте процес, с който да Забравяте/Изтривате/Заличавате лични данни.

Имайте процес, с който да Забравяте/Изтривате/Заличавате лични данни. Обикновено това се прави с форма за зявка за изтриване на данни. Самото изтриване може да бъде автоматизирано или ръчно.

(Информиране и Съгласие. Изрично съгласие!) Подсигури изрично съгласие за използването на лични данни – за конкретна цел.

Както споменахме по-рано, идентификацията в Интернет все още не е добре развита. Електронни подписи се използват, но само от хората, които правят бизнес и изкарват/спестяват пари/време с този подпис. Проблемът е, че не можем да идентифицираме кой подава напр. вашият „имейл адрес“ за записване в онлайн бюлетин за новини! ЕС и правителствата трябва да помислят как личната карта да бъде едновременно и електронен подпис, така че всичко да е напълно сигурно и да могат да се идентифицират хората…

И така, ако искате да сте 100% коректни, при записване на имейл в бюлетина, можете да изпратите уведомителен имейл, че имейлът е записан. В този имейл е най-добре да укажете начин или опция за (автоматизирано) отписване, напр. „Ако не вие сте абонирали вашия имейл за настоящия бюлетин – отпишете се като кликнете на линка за отписване.“.
Дори можете да укажете допълнително: „Ако получавате такъв имейл вече няколко пъти – свържете се с нас, за да изследваме този случай и кой записва имейла ви в бюлетина.“.

Системата пък е редно да записва всички изпратени имейли, за да може да се проследи дали наистина „някой“ абонира постоянно този имейл адрес… Както и начин за предотвратяване на записването на този адрес (най-малкото за определен срок, докато „наглецът“ спре да записва този имейл). За такива случаи записването на ИП адреса е защитна мярка и този ИП адрес може да бъде блокиран за определено време. Всичко това трябва да бъде обмислено, проектирано и планирано при изработката на системата за управление на съдържанието, уеб сайт, CRM, ERP или друг софтуер…

Напр. при регистрационни форми от лендинг страници, можете да слагате „checkbox“ за „Искам да получавам новини и съобщения по имейл. [Научете повече]“. Така всичко е разяснено и прозрачно, а потребителя може да се абонира, след като спечелите доверието му.

Напр. при изтегляне на безплатен ресурс (файл или друго), с цел събиране на имейл за бюлетин, освен еднократно изпращане на линк на въведения имейл, може да се добави подобен „checkbox“ (задължителен или опционален), с който потребителите да се абонират за бюлетин/новини/известия/промо-съобщения. Когато е опционален: ако този елемент не е кликнат – еднократно се праща линк към безплатния ресурс и имейла не се записва, а ако е кликнат – имейла се абонира за бюлетина… Landing page (opt-in) + Privacy Policy

Трябва да записвате съгласието на потребителите. Доказателство за записване (Opt-in proof):

• Дата и час на записване (Date and time subscribed/recorded)
• Къде се е записал – URL или именувана лендинг страница? (Subscribed via: landing_page, URL or something else?)
• ИП адрес (IP address)
• (допълнителни записи) Текст със сългасието: „……“ (Agreed text: „……“)

Линк „Read more/Научете повече“ за различните опции, би било прекрасно разяснение защо е съответната опция. Линкове „Read our Privacy Policy“, „Read our Terms and conditions“ позволяват лесен достъп и печелят доверие.

Още информация за съгласието за съхранение и обработка на ЛД от КЗЛД.

Накратко – какво НЕ ТРЯБВА да правите: Не използвайте лични данни за цели, за които потребителят не е дал съгласие!

В кои случаи / Кога НЕ Е НЕОБХОДИМО искане на съгласие за събиране и обработване на лични данни?

Обработването на лични данни от администратори на лични данни, както в публичната, така и в частната сфера е законосъобразно, ако е налице някое от правните основания, изчерпателно изброени в чл. 6, точка/параграф 1 от Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните, ОРЗД, GDPR):

• субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;
• обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
• обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;
• обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;
• обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;
• обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

Съгласието е едно от основанията за събиране и обработване на лични данни. Независимо от факта, че то е посочено на първо място, важно е да се знае, че всички правни основания са равнопоставени (алтернативни едно на друго). Наличието на поне едно от тях прави обработването законосъобразно, при условие, че са спазени и другите изисквания на регламента.

В случаите, когато администратор на лични данни прави преценка дали да обработва личните данни на базата на съгласие, той трябва да изследва обстоятелството дали не е налице друго правно основание за тяхното обработване, като например законово задължение или договор, както и какви биха били последиците за съответната дейност при оттегляне на съгласието от лицето.

Примери, при които администраторът не следва да иска съгласие от лицето за обработване на личните му данни.

Линк с Политика/Условия за поверителност/защита на лични данни, над бутон за абониране (или друга форма)!

Предоставяйки възможност за абонамент или изпращане на друга информация от потребителя, добре е да се постави линк за запознаване с „политиката за поверителност и защита на лични данни“.

Добре би било да се укаже изрично:
„Ние не споделяме и никога няма да споделяме вашата информация с трети лица и ще я защитаваме съгласно нашата [политика за защита на лични данни]“.
„We (will) never share your information with thirt parties and will protect it in accordance with our [Privacy Policy]“.

Ако правите това и сами имате информационна система за управление на предоставените данни, вие можете да спечелите доверието на потребителите! Това може да бъде ваша запазена марка.

При изпращане на бюлетин, потребителите трябва да могат да се отпишат

При изпращане на бюлетин, потребителите трябва да могат да се отпишат (по един или повече начини, автоматизирани или ръчно), с което да прекратят абонамента си. Добре е да се избягва дребен шрифт за известието на тази опция, най-добре да е със същата големина на шрифта. дори и да е към края на съобщението или във футъра. Разбира се когато футъра си има свой размер на шрифта, допустимо е тогава шрифта да е по-малък, но не „дребен/ситен“.

Веднъж заявено желание за изтриване на данни, системата трябва да ги трие. Напр. при отписване от бюлетин – този човек повече не трябва да получава имейли, освен ако не реши отново да се запише, защото това би било пряко нарушение на волята му. Когато изтриването се извършва ръчно или със забавяне, то тогава е допустимо потребителя да получи следващия бюлетин, но да бъде известен, когато данните вече са изтрити и повече няма да получава имейли.

Всеки в екипа, който работи с ЛД, трябва да знае GDPR правилата.

Всеки в екипа, който работи с ЛД, трябва да знае GDPR правилата. Дори да не знае всичките, то основните принципи – личните данни трябва да се защитават, защото се носи отговорност за тях.

Ако вашият сайт е изработен на WordPress и имате коментари или други плъгини, събиращи ЛД – осигурете съвместимост.

Считано от версия WordPress 4.9.6, основното ядро на WordPress вече е съвместимо с GDPR регламента, но това не се отнася за плъгините или темите – някои са съвместими, но много от тях не са (все още)!

За да осигурите съвместимост, трябва да спазвате изискванията и принципите на GDPR. Няма такова нещо като „техническа съвместимост“, тъй като съответствието с GDPR е процес (а не Checklist), който се различава в зависимост от това как обработвате данните на сайта си, кой ги обработва и т.н. Единствената техническа съвместимост с GDPR е когато не събирате и не обработвате лични данни.

Пробив на ЛД и известяване на КЗЛД и субекта на данните

Член 33 от GDPR закона въвежда изискването за уведомяване на регулатора в случай на пробив в защитата на информацията, т.e. пробив в системата. Уведомяването трябва да стане не по-късно от 72 часа след установяването на пробива.

Член 34 реферира към комуникирането на пробиви в системите за съхранение на информация към субектите на данни по следния начин:

1. Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, администраторът, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни.

Как може да се предпазите:

3. Посоченото в параграф 1 съобщение до субекта на данните не се изисква, ако някое от следните условия е изпълнено:
a) администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по-специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;
b) администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни, посочен в параграф 1;
c) то би довело до непропорционални усилия. В такъв случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.

Имате въпроси, но няма на кого да ги зададете? Цените за GDPR консултация са прекалено големи?

Попитайте тук! На първо място – безплатно е, а пък може да се намери специалист, който да ви отговори дори на специфични въпроси… Важно е да помните, че това не е консултация или правен съвет, а просто мнение.
Прочете повече по темата за регламента и защитата на данните:
https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_bg

GDPR ръководство от КЗЛД – https://www.cpdp.bg/?p=rubric&aid=4

Подробно разяснение на GDPR и много линкове към актуални въпроси – https://www.bia-bg.com/focus/view/23312/

10 практически съвети – https://www.cpdp.bg/?p=element&aid=1109
Видео с конкретни въпроси за сайтовете (предимно за имейл маркетинг): https://www.youtube.com/watch?v=UQO0A0ZjlM4
GDPR ръководство за собственици на WordPress сайтове – https://daireto.com/gdpr-and-wordpress/

Имате нужда от помощ?

Свържете с националния орган за защита на данните (ОЗД) – КЗЛД – http://www.cpdp.bg/