GDPR и онлайн магазин

[Victor R]

Собственик или админ на прозволен сайт би могъл да локалузира географски клиента. Така, а правили с Фейсбук, като са анализирали убежденията на потребителите стоящи зад определените IP. Педоставяли са ги на там определените партии за да агитират на регионален принцип, което предизвика скандала. По принцип Фейсбук не дава IP, както впрочем би трябвало да праввт всички.

Аз работя изцяло с географски данни, понеже на тая база работи платформата ни, за да пренасочва потребителите към близък до тях сървър.
Изобщо не мога идентифицирам никого на базата на това. Най -много да разбера града, от който идва трафика. Дори и да звънна в доставчика и да питам кой е клиента зад IP-то, пак може той да е имал гости в тоя момент и те да са генерирали трафика, който засичам (Това е ако IP-тата са статични, а те вече са динамични при повечето доставчици)

 

[Pavlin_Kralev]

Това, което успях да разбера до този момент в резултат на многобройни консултации са няколко неща:
1. Задължително трябва да има подробно описание как и с каква цел се оперира с личните данни на потребителите. Трябва да са описани подробно функциите, които се задвижват с помощта на личните данни - например при регистрация в какви таблици се съхраняват имената, адресите, телефоните и т.н., при поръчка какви данни от тези таблици се ползват и в какви други таблици се копират и съхраняват и т.н.
2. Да се предоставят функции на потребителите по всяко време да могат да оперират с данните си, както и МНОГО ВАЖНО - сами да могат да изтриват профилите си.
3. Потребителите трябва да могат да свалят личните си данни по всяко време
4. Ясно трябва да се посочи с кои трети лица се споделят техните лични данни, например куриерски компании, и с каква цел се прави това.
5. Когато потребителят иска да се възползва от Правото си да бъде Забравен, трябва да има пълна информация как да процедира при прилагането на това право и по отношение на третите лица, с които сте споделили личните им данни - например да посочите линк към страница на куриера с подробно обяснение как да процедира.

Единственният спорен момент на този етап е дали да се изтриват и поръчките на потребителите или просто да се анонимизират - това, естествено не се харесва на данъчните и те са категорични, че ако онлайн търговецът не предостави информация за купувачите, ще има някакви санкции. Дори може да има обвинение в съучастничество в прикриване на данъци. Например - аз съм физическо лице,.... пращам пратка по Спиди или Еконт с наложен платеж 5000 лв.,.... получавам наложения платеж и искам да се възползвам от правото си да бъда Забравен и искам куриерът да елиминира личните ми данни,.... идва данъчния в Спиди или Еконт и иска данни за моите финансови приходи,... обаче данни ЙОК...Ебаси кефа.

За да отиде,данъчен да Ви търси от там приходите трябва да има някакво разследване. Иначе си се декларират доходи и т.н. и дори сега не могат да разчитат на пълни инфо от такива посредници.

 

[Karata]

Това е абсурдно, наистина. Ами извлеченията от банката, които са най-важният документ за счетоводството? На тях си пише кой превежда парите и каква е банковата му сметка. Това са документи, които задължително се предават на данъчните и просто няма начин да бъдат заличени, който и да си го иска. Явно ще искат да се заявят някакви процедури по архивирането на тези данни, които поне на книга, ще трябва да се спазват.

Това, което успях да разбера до този момент в резултат на многобройни консултации са няколко неща:
1. Задължително трябва да има подробно описание как и с каква цел се оперира с личните данни на потребителите. Трябва да са описани подробно функциите, които се задвижват с помощта на личните данни - например при регистрация в какви таблици се съхраняват имената, адресите, телефоните и т.н., при поръчка какви данни от тези таблици се ползват и в какви други таблици се копират и съхраняват и т.н.
2. Да се предоставят функции на потребителите по всяко време да могат да оперират с данните си, както и МНОГО ВАЖНО - сами да могат да изтриват профилите си.
3. Потребителите трябва да могат да свалят личните си данни по всяко време
4. Ясно трябва да се посочи с кои трети лица се споделят техните лични данни, например куриерски компании, и с каква цел се прави това.
5. Когато потребителят иска да се възползва от Правото си да бъде Забравен, трябва да има пълна информация как да процедира при прилагането на това право и по отношение на третите лица, с които сте споделили личните им данни - например да посочите линк към страница на куриера с подробно обяснение как да процедира.

Единственният спорен момент на този етап е дали да се изтриват и поръчките на потребителите или просто да се анонимизират - това, естествено не се харесва на данъчните и те са категорични, че ако онлайн търговецът не предостави информация за купувачите, ще има някакви санкции. Дори може да има обвинение в съучастничество в прикриване на данъци. Например - аз съм физическо лице,.... пращам пратка по Спиди или Еконт с наложен платеж 5000 лв.,.... получавам наложения платеж и искам да се възползвам от правото си да бъда Забравен и искам куриерът да елиминира личните ми данни,.... идва данъчния в Спиди или Еконт и иска данни за моите финансови приходи,... обаче данни ЙОК...Ебаси кефа.

 

[Pavlin_Kralev]

Аз работя изцяло с географски данни, понеже на тая база работи платформата ни, за да пренасочва потребителите към близък до тях сървър.
Изобщо не мога идентифицирам никого на базата на това. Най -много да разбера града, от който идва трафика. Дори и да звънна в доставчика и да питам кой е клиента зад IP-то, пак може той да е имал гости в тоя момент и те да са генерирали трафика, който засичам (Това е ако IP-тата са статични, а те вече са динамични при повечето доставчици)

Дават се възможности. Не е задължително на 100 % да се се идентифицира човекът от първия път. С електронната поща, която също е лични данни е дори по-размито, но е в списъка.

 

[Pavlin_Kralev]

Това е абсурдно, наистина. Ами извлеченията от банката, които са най-важният документ за счетоводството? На тях си пише кой превежда парите и каква е банковата му сметка. Това са документи, които задължително се предават на данъчните и просто няма начин да бъдат заличени, който и да си го иска. Явно ще искат да се заявят някакви процедури по архивирането на тези данни, които поне на книга, ще трябва да се спазват.

Те са администратор на лични данни. Не съм сигурен, че се дават на данъчните без изрично условие (искане с основание, размер на сумата и др.).

 

[medicom]

Това е абсурдно, наистина. Ами извлеченията от банката, които са най-важният документ за счетоводството? На тях си пише кой превежда парите и каква е банковата му сметка. Това са документи, които задължително се предават на данъчните и просто няма начин да бъдат заличени, който и да си го иска. Явно ще искат да се заявят някакви процедури по архивирането на тези данни, които поне на книга, ще трябва да се спазват.

Те тези абсурди тепърва започват - става много интересно.

 

[Pavlin_Kralev]

Те тези абсурди тепърва започват - става много интересно.

Би трябвало крайният ефект да е положителен. Разбира се не и за крадците на лични данни.

 

[medicom]

За да отиде,данъчен да Ви търси от там приходите трябва да има някакво разследване. Иначе си се декларират доходи и т.н. и дори сега не могат да разчитат на пълни инфо от такива посредници.

Ами аз ако не искам да си ги декларирам и искам да си прикрия доходите и да не плащам данъци? В началото на годината данъчните са поискали информация от куриерите за доходите на физическите лица и онлайн търговците /информация за изплатените наложени платежи/. Въз основа на тази информация са погнали всички, които не са си декларирали приходите. Ами ако не разполагаха с личните им данни, кого щяха да погнат според тебе М...?

 

[medicom]

Освен това ако сте работодател и имате служители, пак сте изправени пред неизяснен /меко казано/ правен казус. От една страна сте длъжен/длъжна/ да съхранявате личните данни на работника в продължение на 50 години според Закона за Счетоводство, от друга, Сте длъжен/длъжна/ да изтриете личните данни на работника по негова воля при напускане на работата при Вас според разпоредбите на новия Регламент за Лични Данни . В случая освен да се избере по-малката глоба не виждам друг изход .

 

[Pavlin_Kralev]

Ами аз ако не искам да си ги декларирам и искам да си прикрия доходите и да не плащам данъци? В началото на годината данъчните са поискали информация от куриерите за доходите на физическите лица и онлайн търговците /информация за изплатените наложени платежи/. Въз основа на тази информация са погнали всички, които не са си декларирали приходите. Ами ако не разполагаха с личните им данни, кого щяха да погнат според тебе М...?

Ако са, то е някаква нарочна акция. Тогава са им ги дали, до колкото са ги пазили. Трябва и да докажат търговската дейност. Ако питаш мен би трябвало да се занимават с данъците на Лукойл, а не с народеца.

 

[Pavlin_Kralev]

Освен това ако сте работодател и имате служители, пак сте изправени пред неизяснен /меко казано/ правен казус. От една страна сте длъжен/длъжна/ да съхранявате личните данни на работника в продължение на 50 години според Закона за Счетоводство, от друга, Сте длъжен/длъжна/ да изтриете личните данни на работника по негова воля при напускане на работата при Вас според разпоредбите на новия Регламент за Лични Данни . В случая освен да се избере по-малката глоба не виждам друг изход .

До колкото видях става дума за данни и акаунти, които не са обект на действието на друг закон. Соц. мрежи, електронни пощи и др.

 

[medicom]

До колкото видях става дума за данни и акаунти, които не са обект на действието на друг закон. Соц. мрежи, електронни пощи и др.

Не - данните са едни и същи. Един от внесителите на регламента е настоявал личните данни да се категоризират на нива, но за съжаление предложението му било отхвърлено. Например ЕГН, име, номер на лична карта, подпис и друга чувствителна информация да е първа категория /несменяеми или рядко сменяеми лични данни/ . С тези данни би станала голяма беля - фалшифициране на документи, прехвърляне на имоти и тем подобни. Втора категория да са т.н. по-често сменяеми лични данни - адрес, телефон, имейл, IP адрес и т.н. - тази категория да са по-малко чувствителните данни, с които на практика никаква голяма беля не можеш да свършиш. Абе има доста недомислени неща - предполагам, че за бъдеще някои недомислици ще се корегират.

 

[Pavlin_Kralev]

Не - данните са едни и същи. Един от внесителите на регламента е настоявал личните данни да се категоризират на нива, но за съжаление предложението му било отхвърлено. Например ЕГН, име, номер на лична карта, подпис и друга чувствителна информация да е първа категория /несменяеми или рядко сменяеми лични данни/ . С тези данни би станала голяма беля - фалшифициране на документи, прехвърляне на имоти и тем подобни. Втора категория да са т.н. по-често сменяеми лични данни - адрес, телефон, имейл, IP адрес и т.н. - тази категория да са по-малко чувствителните данни, с които на практика никаква голяма беля не можеш да свършиш. Абе има доста недомислени неща - предполагам, че за бъдеще някои недомислици ще се корегират.

Да, така е. Сега за сега обаче всичките са с един статут. Със сигурност ще има доста "напасване"във времето. Що се отнася до търговците в мрежата мисля, че и сега те са отговорни с личните данни на хората и няма да им е трудна промяната. Иначе данните са едни същи да, но съхранението им и сега е променлива, според целта на ползването. На едно лице може да има и акаунт ввъв Фейсбук и собственост върху например автомобил.

 

[Pavlin_Kralev]

Истинското шоу ще е в държавнире там администрации, но пък ще може от там да се види как теябва да се изгради формуляра за съгласие, за предоставянето на личните данни .

 

[Pavlin_Kralev]

Едно приложение на директивите би било атакуването на действията на разните колекторски фирми. Рам и сега предосравянето на лични данни може да донесе огромни проблеми на предоставящия ги.

 

[s1yf0x]

По смисъла на документа IP са лични данни. Никъде не е уточнено, че трябва да е в комбинация с друго. Където има такова нещо (имената) е посочено. По IP също може да се идентифицира човек.

не си чел достатъчно, на поправка колега......

 

[s1yf0x]

Освен това ако сте работодател и имате служители, пак сте изправени пред неизяснен /меко казано/ правен казус. От една страна сте длъжен/длъжна/ да съхранявате личните данни на работника в продължение на 50 години според Закона за Счетоводство, от друга, Сте длъжен/длъжна/ да изтриете личните данни на работника по негова воля при напускане на работата при Вас според разпоредбите на новия Регламент за Лични Данни . В случая освен да се избере по-малката глоба не виждам друг изход .

Това също не е вярно. Задължително се съхранявят разчетно платежните ведомости и то не по закона за счетоводството, а по други закони и кодекси. Общото трудово досие може да бъде заличено след напусканеъто на служителя. Във ведомостите имате 3 имена, длъжност и година раждане. Отделно от това, субекта няма как да изисква заличаване, ако това е в разрез със друг закон, но в случая няма закон или кодекс, който да Ви задължава да му пазите личните данни, които обикновено фигурират само в договора и в болничните листи. За охранителните фирми е малко по-сложно, защото там се съхраняват и свидетелства за съдимост, психо преглед, разрешителни за огнестрелни оръжия и справки от следствена служба.

 

[Pavlin_Kralev]

не си чел достатъчно, на поправка колега......

Колега? Аз и не претендирам. Разсъждаваме си тук на базата на познатото до сега. Вие да не би да сте прочел това, което още не е написано? До колкото се вижда Вие твърдите, че "администратор на лични данни" вече не съществува...

 

[s1yf0x]

Колега? Аз и не претендирам. Разсъждаваме си тук на базата на познатото до сега. Вие да не би да сте прочел това, което още не е написано? До колкото се вижда Вие твърдите, че "администратор на лични данни" вече не съществува...

Отпада регистрацията като администратор на лични данни към КЗЛД, а понятията "администратор на лични данни" и "обработващ на линчи данни" остават и важат в пълна сила. Аз какво съм изчел не е важно. Важно е, че Вие не сте изчели това, което е написано и разсъждавате в грешна посока въвеждайки в заблуждение и без това незапознатите форумни членове.

 

[s1yf0x]

Темата е GDPR за онлайн магазин, а до момента никой не е засегнал важните теми:

1. Вие като собственици на онлайн магазини какви се явявате - администратори или обработващи
2. Куриерските фирми, на които предоставяте данните ккави се явяват във триъгълника, Вие, клиента, куриера - обработващи или администратори
3. Хостинг доставчика Ви какъв се води - администратор на личните данни на Вашите потебители или обработващ
4. Носят ли отговорност за предоставените лични данни куриерите или Вие ще го отнесете ако те се осерат
5. Носи ли отговорност хостинг провайдъра при загуба на лични данни или Вие ще го отнесете ако има security breach
6. Какво е data in motion и data at rest и може ли да се криптира ?!? - тука повечето са забили яко
7. Коя версия на mysql поддържа криптиране на InnnoDB и коя на MyISAM ?
8. Какъв TLS сертификат Ви трябва
9. темата с cookies - ей тука си еба майката здраво.


и още една баля с технически въпроси, които колколкото и да Ви се иска на Вас не се решава с три клика и готов плъгин за Magento , Open Cart, Presta Shop и Woocommerce .

а най-важният въпрос си остава какви данни събирате и на какво основание, от там тръгва всичко и от там започва процеса на изготвяне на политиката по сигурност на личните данни и трехническите контроли за изпълнение и спазване на тези политики.