На 25 Май 2018 изтече гратисния период за синхронизация на националните законодателства с Общия регламент за защита на личните данни (Регламент (ЕС) 2016/679). Регламент, който е по-известен като GDPR.
В следващите няколко реда искаме да споделим важна информация, отнасяща се до компании, опериращи в онлайн среда и занимаващи се с дигитален маркетинг. В Интернет последните 2 месеца се изписа много – къде вярно, къде не, къде от незнание. Ние от ОРМ.БГ, заедно с приятелите ни от Difera.eu и Centio, систематизирахме няколко основни момента, които трябва да запомните. А именно:
1. КЗЛД няма да глобява в началото, а само ще прави предписания
Комисията за защита на лични данни при проверка ще прави предписания. Ако не сте ги изпълнили в срок, чак тогава ще предприема действия по санкции. За КЗЛД е важно да се грижите за опазване на личните данни като добър стопанин, да не разпространявате данни на европейски граждани. Ако всички документи са архивирани и подредени, с ограничен достъп – няма да има проблем. Също така не трябва да събирате излишни данни, които не са Ви нужни, а само най-необходимите за сключване на даден договор или предоставяне на услуга.
2. GDPR не може да противоречи на националното законодателство
В Регламента ясно се казва, че GDPR не може и не трябва да противоречи на законодателството на дадена страна-членка. Трябва да запомните следната последователност: Национален закон -> Договор с материален интерес -> GDPR.
3. Съгласие, но не на всяка цена
Когато назначавате служител, не трябва да му искате съгласие за обработка на лични данни. Даването на съгласие предполага и оттеглянето на такова. Не може служителят да се е съгласил да обработвате личните му данни с цел сключване на трудов договор или издаване на други свързани документи. В същото време той подава искане за заличаване, т.е. оттегля си съгласието, но остава Ваш служител. По тази логика трябва да оттеглите подадените данни в НАП, НОИ и други държавни агенции, а това няма как да се случи.
Ако изисквате служителите да подпишат съгласие за обработка на лични данни, в последствие рискувате да попаднете под ударите на ГПК (гражданския процесуален кодекс) за въвеждане в заблуждение.
По същия начин се третират и исканията за съгласие при обработка на поръчки от онлайн магазини или за доставка на самата поръчка от куриерска служба.
Трябва да запомните едно: НЕ ТРЯБВА да искате съгласие за нещо, което не може да се изпълни като договор или услуга, без да са налице определени данни.
Трябва да искате съгласие САМО за събирането на данни, които не се отнасят до осъществяване на поръчка и нейната доставка. Например данни като имена, адрес, телефон, имейл са необходими, за да обработите поръчката, да уведомите клиента за нейния статус, да я предадете на куриер и той да я достави на клиента.
Тук е достатъчно да опишете в общите условия на сайта си какви данни събирате (имена, адрес, телефон, имейл), за какво ги събирате (създаване, обработка и доставка на поръчки), как ги съхранявате (в база данни, която е криптирана) и колко ги съхранявате (10 или 5 години според ДОПК и съответният тип документ).
4. Оттегляне на съгласие, но не и изтриване за век и веков
Според GDPR всяко едно физическо лице може да прояви своето право да бъде забравено и заличено от регистрите на дадена фирма, стига това да не противоречи на някой национален закон.
От Вас самите зависи как ще оформите процедурата за изпращане на искане на заличаване. Може да бъде хартиен формуляр, може да бъде специално създаден имейл адрес или друго. Лицето изпраща искането си и Вие трябва да се съобразите с него.
Например: Потребител е направил поръчки във Вашият електронен магазин. Изпраща Ви отказ за обработка на лични данни. Вие трябва да му деактивирате акаунта, но история на поръчките (кога и какво е поръчал, как и колко е платил), както и издадените документи сте длъжен да ги запазите според закона за счетоводството, за НАП, според Закона за мерките изпиране на пари и ДАНС. Ако този потребител след време си направи нова регистрация в магазина – трябва да му я направите, като не добавяте вече направите поръчки, а има нова история.
5. Съгласия с cookies и tracking на посещенията
Тук много колеги и юристи съветват да има съгласие за всички кукита.
Първо, трябва да се направи разлика между събирате на big data и anonymized data. Ако сте си инсталирали Google Analytics, Google Adsense (и използвате показването на персонализирани реклами през Adsense според интереси) – НЕ ТРЯБВА да искате съгласие на посетителите на уеб сайта Ви. Реално Вие не събирате данните, а Google. В административната част на профила Ви в системите на Google Вие нямате достъп до информация като IP адрес или самите интереси на потребители. Google е администраторът и той само Ви предоставя интерфейс, с който преглеждате събраните данни.
Не е необходимо да искате съгласие и за основните cookies, чрез които функционира сайтът Ви – като session cookie, чрез които запазвате логнат потребителя или персонализирате настройките като езикова версия, валута при цена на стоките и т.н.
Достатъчно е да обявите в общите условия на сайта или в Cookie политиката, че използвате Google Analytics за отчитане на броя на посещенията.
Пример: Вкъщи имате един компютър. Ползвате го, за да разглеждате различни сайтове. След Вас компютърът се използва от друг член на семейството. Как ще разберете кой е дал съгласие или не?
Няма как да искате съгласие за съхранение на лични данни, при положение че Вие нямате достъп до тях – нито ги събирате, нито ги обработвате.
Трябва да искате съгласие от потребителите САМО ако имате инсталиран Facebook Pixel или друг тракинг код за remarketing/retargeting, с които събирате аудитории.
6. Организирате промоция чрез регистрация в уеб сайт за клиент
Тук много зависи дали клиентът или Вие осигурявате хостинг за изработения уеб сайт. Ако клиентът хоства сайта на Ваш cloud или сървър, Вие се явявате администраторът. Ако имате над 10 000 участника, сте длъжен по процедура да имате DPO (data protection officer). Също така трябва да имате описани процедури за съхраняване и обработка на личните данни.
Ако използвате хостинг, предоставен от клиента, Вие се явявате само обработващ личните данни и задължение на клиента Ви е да осигури всички процеси по съхранение на събраните лични данни.
И в двата случая трябва да имате договор помежду си, който да урежда събирането на лични данни и тяхната обработка, за целите на промоцията.
7. Абониране за newsletter
Ако в уеб сайта Ви има отделна форма за регистрация за newsletter и потребител се е абонирал за него, трябва да искате неговото съгласие за това. Наложително е, под формата за попълване на имейл адрес, да добавите чекбокс “Съгласен съм данните ми да се ползват за целите на и-мейл маркетинг”.
Ако нямате специална форма, а изпращате периодични имейли на регистрирани потребители в сайта си, също трябва да искате неговото съгласие. При процеса на регистрация на профил, освен чекбокс “Съгласие с общите условия” , трябва да добавите още един “Съгласен съм да получавам периодични имейли с промоции, отстъпки и др.”. Този чекбокс не трябва да е маркиран по подразбиране.
Задължително за събрани абонати (имейл адреси) преди 25 Май 2018, трябва да поискате от потребителите да потвърдят абонамента си.
8. Криптиране на информация
Регламентът не задължава информацията, която съхранявате да е в криптиран вид в базата данни, но е препоръчително да го направите.
9. Данни за фирми и коментари
Въпреки че управителите на фирми се водят физически лица, техните данни са публични в Търговския регистър. Ако имате информационен сайт, тип каталог или друг, няма как да ги заличите. В този случай може да заместите името с инициалите му.
Ако имате уеб сайт, в който имате функционалност за коментари – при получена заявка за оттегляне на съгласие за обработка на лични данни, трябва да изтриете профила на потребителя, който е коментирал в сайта. Не е необходимо да изтривате коментарите му в сайта, стига да не може да се асоциират с това кой потребител точно ги е създал.
Надяваме се, че сме били полезни и при възникване на други въпроси и коментари – оставаме на разположение за помощ и съвет.