Всеки търговец в Интернет, който събира лични данни, е длъжен да съобрази дейността си с изискванията на законодателството за защита на данните. Ако обработвате данни на свои клиенти при изпълнение на поръчки и доставки, или използвате автоматизирани средства за събиране на данни (напр. бисквитки), това ви превръща в администратор на лични данни. От това качество за вас произтичат редица задължения, свързани със сигурността на данните и тяхното обработване.
В настоящата статия ще ви дадем някои практически съвети как трябва да изглежда законосъобразният е-магазин с оглед защитата на лични данни и поверителността.
1. Политика за поверителност – що е то?
На първо място, всеки администратор на лични данни е задължен да публикува в своя уебсайт документ, наречен “Политика за поверителност” или “Политика за защита на лични данни”. Най-общо казано, в политиката администраторът дава информация защо, как и какви лични данни събира. Документът урежда отношенията с потребителите и клиентите относно начина, по който се съхраняват и използват техни лични данни.
Обстоятелства, които трябва да фигурират в политиката за лични данни:
Данни за администратора и длъжностното лице по защита на данните | ✔ |
Какви данни се събират? | ✔ |
За какви цели се събират? | ✔ |
На какви основания се събират? | ✔ |
За какъв срок се събират? | ✔ |
Къде се съхраняват? | ✔ |
С кого се споделят? | ✔ |
Извършва ли се пренос на данни към страни извън ЕС? | ✔ |
Информация за упражняване правата на потребителите във връзка с личните им данни | ✔ |
Информация за бисквитки – какви видове се използват и как да се възрази срещу тях | ✔ |
Информацията в Политиката за поверителност трябва да е предоставена по ясен и недвусмислен начин и да е отделена от всякакви други документи, публикувани в уебсайта. С други думи, Политиката за поверителност трябва да се намира на самостоятелна страница на сайта на администратора, а не на едно място с Общите условия, както много търговци правят.
Политиката за поверителност трябва да се намира на лесно достъпно и видимо за всички място. Общоприетото място е във футъра на уебсайта, като по този начин Политиката е достъпна от всяка една страница на уебсайта.
Важно – бутона, водещ до Политиката за поверителност трябва да е отделен от бутона за Общите условия! Тези два документа трябва да са ясно отделени един от друг.
Силно препоръчваме да се избягват неясни изрази от рода на:
- ние МОЖЕМ да обработваме личните Ви данни;
- ВЪЗМОЖНО е да обработваме личните Ви данни;
- ВЕРОЯТНО е да обработваме личните Ви данни.
2. Бисквитки (cookies)
Време е да поговорим малко и за бисквитки. Всъщност – що е то бисквитки?
Това са малки по размер текстови файлове, които даден сайт или доставчик на услуга съхранява в паметта на Вашето крайно устройство посредством използвания от Вас браузър. Те позволяват на сайта или доставчика на услуга да разпознават Вашия браузър и да запаметяват определена информация. Така не се налага всеки път когато влизате в даден уебсайт да въвеждате наново данните си за достъп. Също така, благодарение на бисквитките електронният магазин може да запомни какви продукти сте добавили в кошницата си и не се налага да ги добавяте наново при всяко презареждане на страницата.
Бисквитките биват най-различни видове – сесийни, постоянни, на първа или на трета страна, маркетинг, функционални, строго необходими и др.
Администраторът трябва да направи анализ какви видове бисквитки се използват в уебсайта и да предостави информация за тях. За да отговарят на изискванията на GDPR и ePrivacy директивата, администраторът трябва да събира съгласие на потребителя за всеки отделен вид бисквитки. Това е така, защото съгласието трябва да бъде свободно дадено, конкретно, информирано и недвусмислено. На практика това става чрез отбелязване на отделни отметки в банера за бисквитки, който трябва да се появява при първоначален достъп на потребителя до уебсайта. Всяка отделна отметка се отнася до различен вид бисквитки и не може да бъде предварително отбелязана (с изключение на строго необходимите бисквитки). Допустимо е да се поставят и бутони “Приеми всички” и “Откажи всички”
Потребителите трябва да могат да възразят активно срещу използването на бисквитки. Много уебсайтове използват банери, които не дават реален избор на потребителите във връзка с използването на бисквитки. Бутони от сорта на “Разбрах”, “Затвори”, “ОК” не се считат за изрично, информирано и свободно дадено съгласие. Също така, много администратори уведомяват потребителите, че могат да възразят срещу използването на бисквитки, като ги изключат от настройките на своя браузър. Подобна практика също е незаконосъобразна, което означава, че администраторът трябва да предостави на потребителя механизми за управление на своите предпочитания за бисквкитки в рамките на самия уебсайт.
3. Съгласието
Нека поговорим малко за съгласието. То е едно от основанията за обработване на лични данни, но далеч не е единственото. Ето защо, при поръчка на стока от онлайн магазин, не е необходимо преди изпращане на поръчката потребителят да даде съгласието си с Политиката за поверителност. Това е така, защото обработването на данните е необходимо условие за предоставяне на услугата и без тях поръчката няма да може да бъде изпълнена. Съгласието не се счита за свободно дадено, ако предоставянето му е необходимо условие, за да се продължи напред с дадена услуга. За да е свободно, потребителят трябва да е изправен пред поне две възможности. Следователно, приложимото законово основание в случая би било не съгласието, а изпълнението на договор, по който потребителят е страна. Това трябва да бъде ясно упоменато в Политиката за поверителност и формата за поръчка.
Въпреки това, ако данните се използват за други цели, като например изпращане на маркетинг комуникация или бюлетини, потребителят трябва да е дал предварително своето съгласие за целта. Това също може да стане чрез отбелязване на отметка за съгласие.
4. Маркетинг имейли
Ако потребителят е дал своето съгласие за получаване на маркетинг комуникация, той трябва да може оттегли своето съгласие по всяко време. Ето защо, в сайта трябва да има форма за отказ, а във всеки изпратен имейл до потребителя трябва да има активен бутон за отписване. На практика това става с кратък текст от рода на “Ако не желаете да получавате имейли от нас, натиснете тук.”
5. Защита на данните
Също така, администраторът е длъжен да предприеме необходимите технически мерки за защита на своя уебсайт срещу загуба или неправомерен достъп до данните. SSL криптиране е минималното ниво на защита, което трябва да е налице.
6. Права на потребителите
Не на последно място, администраторът трябва да предостави на потребителя възможност за упражняване на правата му, свързани с неговите лични данни, като право на изтриване, право на достъп, право на коригиране, право на възражение и др. Това може да стане чрез въвеждане на допълнителни функционалности в потребителския профил, които да позволяват изтриване на профила или генериране на копие от данните, които администраторът съхранява за потребителя. Също така, Администраторът трябва да предостави на сайта си примерни формуляри, които потребителите могат да изтеглят от сайта, да попълват и изпращат до Администратора, ако желаят да упражняват своите права. Съгласно българският ЗЗЛД, подобни искания се разглеждат в 2-месечен срок.
Това бяха някои полезни практически насоки как да приведете своят уебсайт в съответствие. Защитата на личните данни и поверителността са основни права на гражданите и не са за подценяване.
Останете с нас, защото предстои да обсъждаме други вълнуващи теми, свързани с правото, Интернет и електронната търговия!
Вижте и видеото ни по темата за защита на личните данни:
Следете нашата рубрика за още полезни практически съвети и насоки за електронна търговия!
Последвайте нашия канал 1LegalGarage в YouTube за още интересни видеа!
© 2020 | 1Legal.Net LLC Copyright
Всички публикувани материали в блога са защитени с авторски права и никаква част от тях не може да се използва без изричното съгласие на авторите.
1Legal.Net LLC
Innovative Legal Services
T: +359 888 233 024