GDPR и онлайн магазин
- Автор theweb
- Начална дата
Pavlin_Kralev
Active Member
Добър въпрос. Може би тряба да придобиете сертификат за "оператор на лични данни", което ще ви позволи да ги съхранявате, пазите и обработвате. Все повече ще Ви питат за това, така че май че е най-добре да е сдобиете с него.
s1yf0x
Well-Known Member
в контекста на новия регламент регистрацията като Администратор на лични данни в КЗЛД отпада. Няма сертификация за "оператор на линчи данни", комисия по акредитация дори не са чували за подобен сертификат. Спрете да говорите глупости наизуст, защото всявате паника и после хората задават меко казано малоумни въпроси по телефона.
s1yf0x
Well-Known Member
Ич биля ни си прочела новия регламент. Лични данни вече са и Две Имена + телефон. Две имена и адрес. Две има + email, IP адрес.
CTAH
Well-Known Member
Pavlin_Kralev
Active Member
Точно, доти и IP е дефинирано, като лични данни. Това прави така, че задължително предоставяме такива данни, а отсреща трябва да "оперират" с тях безопасно. Как е регламентирана тогава употребата на личните данни и кой има право да ги получава? Регистрацията на администеатор/оператор на лични данни не изчезва, а става безплатна.
Yanislav.Stamatov
New Member
Здравейте,
Ще си позволя да споделя малка част от опита си до момента, консултирайки малки и средни компании, които развиват онлайн търговия.
2. Като онлайн-търговец, най-вероятно използвате разнообразни форми за директен маркетинг, за да рекламирате свои продукти или услуги и да привличате нови клиенти. Именно тук трябва да се постараете повече, тъй като Общият регламент въвежда като основно задължение на обработващия лични данни получаването на съгласие от страна на лицето, чиито данни обработва.
Повечето онлайн-магазини и в момента използват форми за съгласие, но тези форми не отговарят на строгите изисквания въведени с Общия регламент и след 25 май 2018 г. няма да бъдат валидно основание за осъществяване на директен маркетинг. Необходимо е да посочите в отделно поле, на ясен и разбираем език, целта за която ще използвате данните, чрез какви средства възнамерявате да осъществите контакт с лицето (например: чрез е-мейл, текстово съобщение, телефонно обаждане и т.н). Добра практика е формата да съдържа отделни прозорци, в които лицето има опция да избере поотделно средствата, чрез които може да се свържете с него. Освен това, лицето трябва да знае кой е администраторът или обработващ личните му данни (администратор сте вие като собственик на онлайн-магазина, обработващ би била външна маркетингова агенция, на която сте поверили е-майл маркетинга).
Необходимо е формата да съдържа текст, който ясно посочва правото на лицето да оттегли съгласието си по всяко време (в тази връзка трябва да предложите прости и ефективни процедури за оттегляне на съгласието)
3. Съвет относно полетата във формата за съгласие: ако са предварително отметнати, регулаторния орган ще приеме, че не сте събрали валидно съгласие, т.е все едно извършвате маркетинг без съгласието на лицето.
4. Доказване на съгласието – трябва да сте в състояние да докажете, че обработването се основава на съгласие. Онлайн може да се докаже чрез активиране на функция за автоматизирано съхранение на данни. (важно е да се вижда датата, на която съгласието е дадено)
5. Относно бисквитките (“cookies”) също предстоят промени – вече не е достатъчно да включите единствено текст от рода на: „кликнете тук, за да приемете политиката ни за поверителност“. Отново е задължително да бъде посочена всяка отделна цел, във връзка с която субектите на данни (посетителите на сайта) могат да бъдат идентифицирани с онлайн идентификатори, предоставени от техните устройства.
И така, има още много какво да се каже и направи, за да приспособите бизнеса си към Общия регламент, особено с оглед техническите и организационни мерки, които трябва да въведете в компанията.
Надявам се коментарът ми да е полезен.
Поздрави,
Янислав
Ще си позволя да споделя малка част от опита си до момента, консултирайки малки и средни компании, които развиват онлайн търговия.
- Първият ключов момент е анализа на процесите свързани с обработване на данни в компанията. За да онагледя, ще дам пример: публикувате обяви за работа, наемате служители, сключвате граждански договори – в тези случай, вие обработвате лични данни и спрямо тези процеси по обработване трябва да приложите всички изисквания на Общия регламент (ГДПР).
2. Като онлайн-търговец, най-вероятно използвате разнообразни форми за директен маркетинг, за да рекламирате свои продукти или услуги и да привличате нови клиенти. Именно тук трябва да се постараете повече, тъй като Общият регламент въвежда като основно задължение на обработващия лични данни получаването на съгласие от страна на лицето, чиито данни обработва.
Повечето онлайн-магазини и в момента използват форми за съгласие, но тези форми не отговарят на строгите изисквания въведени с Общия регламент и след 25 май 2018 г. няма да бъдат валидно основание за осъществяване на директен маркетинг. Необходимо е да посочите в отделно поле, на ясен и разбираем език, целта за която ще използвате данните, чрез какви средства възнамерявате да осъществите контакт с лицето (например: чрез е-мейл, текстово съобщение, телефонно обаждане и т.н). Добра практика е формата да съдържа отделни прозорци, в които лицето има опция да избере поотделно средствата, чрез които може да се свържете с него. Освен това, лицето трябва да знае кой е администраторът или обработващ личните му данни (администратор сте вие като собственик на онлайн-магазина, обработващ би била външна маркетингова агенция, на която сте поверили е-майл маркетинга).
Необходимо е формата да съдържа текст, който ясно посочва правото на лицето да оттегли съгласието си по всяко време (в тази връзка трябва да предложите прости и ефективни процедури за оттегляне на съгласието)
3. Съвет относно полетата във формата за съгласие: ако са предварително отметнати, регулаторния орган ще приеме, че не сте събрали валидно съгласие, т.е все едно извършвате маркетинг без съгласието на лицето.
4. Доказване на съгласието – трябва да сте в състояние да докажете, че обработването се основава на съгласие. Онлайн може да се докаже чрез активиране на функция за автоматизирано съхранение на данни. (важно е да се вижда датата, на която съгласието е дадено)
5. Относно бисквитките (“cookies”) също предстоят промени – вече не е достатъчно да включите единствено текст от рода на: „кликнете тук, за да приемете политиката ни за поверителност“. Отново е задължително да бъде посочена всяка отделна цел, във връзка с която субектите на данни (посетителите на сайта) могат да бъдат идентифицирани с онлайн идентификатори, предоставени от техните устройства.
И така, има още много какво да се каже и направи, за да приспособите бизнеса си към Общия регламент, особено с оглед техническите и организационни мерки, които трябва да въведете в компанията.
Надявам се коментарът ми да е полезен.
Поздрави,
Янислав
Pavlin_Kralev
Active Member
Предвид че IP са лични данни, май става дума за всички сайтове.
Pavlin_Kralev
Active Member
Добър въпрос. Един поглед струва хиляди думи. Някой като Амазон, може би.
Pavlin_Kralev
Active Member
Фейсбук определено се доказаха, като "пазител на лични данни"... 
Pavlin_Kralev
Active Member
По смисъла на документа IP са лични данни. Никъде не е уточнено, че трябва да е в комбинация с друго. Където има такова нещо (имената) е посочено. По IP също може да се идентифицира човек.
Victor R
Well-Known Member
Би ли дал пример как по IP можеш да идентифицираш човек?
Pavlin_Kralev
Active Member
Собственик или админ на прозволен сайт би могъл да локалузира географски клиента. Така, а правили с Фейсбук, като са анализирали убежденията на потребителите стоящи зад определените IP. Педоставяли са ги на там определените партии за да агитират на регионален принцип, което предизвика скандала. По принцип Фейсбук не дава IP, както впрочем би трябвало да праввт всички.
Последно редактирано:
Това, което успях да разбера до този момент в резултат на многобройни консултации са няколко неща:
1. Задължително трябва да има подробно описание как и с каква цел се оперира с личните данни на потребителите. Трябва да са описани подробно функциите, които се задвижват с помощта на личните данни - например при регистрация в какви таблици се съхраняват имената, адресите, телефоните и т.н., при поръчка какви данни от тези таблици се ползват и в какви други таблици се копират и съхраняват и т.н.
2. Да се предоставят функции на потребителите по всяко време да могат да оперират с данните си, както и МНОГО ВАЖНО - сами да могат да изтриват профилите си.
3. Потребителите трябва да могат да свалят личните си данни по всяко време
4. Ясно трябва да се посочи с кои трети лица се споделят техните лични данни, например куриерски компании, и с каква цел се прави това.
5. Когато потребителят иска да се възползва от Правото си да бъде Забравен, трябва да има пълна информация как да процедира при прилагането на това право и по отношение на третите лица, с които сте споделили личните им данни - например да посочите линк към страница на куриера с подробно обяснение как да процедира.
Единственният спорен момент на този етап е дали да се изтриват и поръчките на потребителите или просто да се анонимизират - това, естествено не се харесва на данъчните и те са категорични, че ако онлайн търговецът не предостави информация за купувачите, ще има някакви санкции. Дори може да има обвинение в съучастничество в прикриване на данъци. Например - аз съм физическо лице,.... пращам пратка по Спиди или Еконт с наложен платеж 5000 лв.,.... получавам наложения платеж и искам да се възползвам от правото си да бъда Забравен и искам куриерът да елиминира личните ми данни,.... идва данъчния в Спиди или Еконт и иска данни за моите финансови приходи,... обаче данни ЙОК...Ебаси кефа.
1. Задължително трябва да има подробно описание как и с каква цел се оперира с личните данни на потребителите. Трябва да са описани подробно функциите, които се задвижват с помощта на личните данни - например при регистрация в какви таблици се съхраняват имената, адресите, телефоните и т.н., при поръчка какви данни от тези таблици се ползват и в какви други таблици се копират и съхраняват и т.н.
2. Да се предоставят функции на потребителите по всяко време да могат да оперират с данните си, както и МНОГО ВАЖНО - сами да могат да изтриват профилите си.
3. Потребителите трябва да могат да свалят личните си данни по всяко време
4. Ясно трябва да се посочи с кои трети лица се споделят техните лични данни, например куриерски компании, и с каква цел се прави това.
5. Когато потребителят иска да се възползва от Правото си да бъде Забравен, трябва да има пълна информация как да процедира при прилагането на това право и по отношение на третите лица, с които сте споделили личните им данни - например да посочите линк към страница на куриера с подробно обяснение как да процедира.
Единственният спорен момент на този етап е дали да се изтриват и поръчките на потребителите или просто да се анонимизират - това, естествено не се харесва на данъчните и те са категорични, че ако онлайн търговецът не предостави информация за купувачите, ще има някакви санкции. Дори може да има обвинение в съучастничество в прикриване на данъци. Например - аз съм физическо лице,.... пращам пратка по Спиди или Еконт с наложен платеж 5000 лв.,.... получавам наложения платеж и искам да се възползвам от правото си да бъда Забравен и искам куриерът да елиминира личните ми данни,.... идва данъчния в Спиди или Еконт и иска данни за моите финансови приходи,... обаче данни ЙОК...Ебаси кефа.