GDPR и онлайн магазин

theweb

Member
Здравейте,

предполагам, че доста хора с онлайн магазини вече са запознати с GDPR - регламента за всички администратори на лични данни.

Какви неща ще направите и какви неща трябва да се направят за да бъде един онлайн магазин съвместим с новия регламент?
 
Добър въпрос. Може би тряба да придобиете сертификат за "оператор на лични данни", което ще ви позволи да ги съхранявате, пазите и обработвате. Все повече ще Ви питат за това, така че май че е най-добре да е сдобиете с него.
 
Добър въпрос. Може би тряба да придобиете сертификат за "оператор на лични данни", което ще ви позволи да ги съхранявате, пазите и обработвате. Все повече ще Ви питат за това, така че май че е най-добре да е сдобиете с него.
в контекста на новия регламент регистрацията като Администратор на лични данни в КЗЛД отпада. Няма сертификация за "оператор на линчи данни", комисия по акредитация дори не са чували за подобен сертификат. Спрете да говорите глупости наизуст, защото всявате паника и после хората задават меко казано малоумни въпроси по телефона.
 
Аз не съм много наясно какво пак са измислили за тия лични данни, ама лични данни единствено са ЕНГ,Номер на лична карта и адрес. Всичко друго е публично и лесно достъпно. Ако не съхраняваш някое от изброените нямаш проблем.
 
Аз не съм много наясно какво пак са измислили за тия лични данни, ама лични данни единствено са ЕНГ,Номер на лична карта и адрес. Всичко друго е публично и лесно достъпно. Ако не съхраняваш някое от изброените нямаш проблем.
Ич биля ни си прочела новия регламент. Лични данни вече са и Две Имена + телефон. Две имена и адрес. Две има + email, IP адрес.
 
Двете имена на хората стоят по пощенските кутии. Колко да са лични? Тоест смятай че това ако искаш можеш да го пребориш в съда.
 
Ич биля ни си прочела новия регламент. Лични данни вече са и Две Имена + телефон. Две имена и адрес. Две има + email, IP адрес.
Точно, доти и IP е дефинирано, като лични данни. Това прави така, че задължително предоставяме такива данни, а отсреща трябва да "оперират" с тях безопасно. Как е регламентирана тогава употребата на личните данни и кой има право да ги получава? Регистрацията на администеатор/оператор на лични данни не изчезва, а става безплатна.
 
Здравейте,

Ще си позволя да споделя малка част от опита си до момента, консултирайки малки и средни компании, които развиват онлайн търговия.

  1. Първият ключов момент е анализа на процесите свързани с обработване на данни в компанията. За да онагледя, ще дам пример: публикувате обяви за работа, наемате служители, сключвате граждански договори – в тези случай, вие обработвате лични данни и спрямо тези процеси по обработване трябва да приложите всички изисквания на Общия регламент (ГДПР).
Други процеси свързани с обработването на данни са взаимоотношенията с вашите клиенти. Обработвате техни данни, като: име, адрес, телефон, е-мейл за да осъществявате доставки например. Най-вероятно споделяте тези данни със спедиторски компании като Еконт, Спиди и т.н, в този случай също имате доста задължения съгласно Общия регламент.

2. Като онлайн-търговец, най-вероятно използвате разнообразни форми за директен маркетинг, за да рекламирате свои продукти или услуги и да привличате нови клиенти. Именно тук трябва да се постараете повече, тъй като Общият регламент въвежда като основно задължение на обработващия лични данни получаването на съгласие от страна на лицето, чиито данни обработва.

Повечето онлайн-магазини и в момента използват форми за съгласие, но тези форми не отговарят на строгите изисквания въведени с Общия регламент и след 25 май 2018 г. няма да бъдат валидно основание за осъществяване на директен маркетинг. Необходимо е да посочите в отделно поле, на ясен и разбираем език, целта за която ще използвате данните, чрез какви средства възнамерявате да осъществите контакт с лицето (например: чрез е-мейл, текстово съобщение, телефонно обаждане и т.н). Добра практика е формата да съдържа отделни прозорци, в които лицето има опция да избере поотделно средствата, чрез които може да се свържете с него. Освен това, лицето трябва да знае кой е администраторът или обработващ личните му данни (администратор сте вие като собственик на онлайн-магазина, обработващ би била външна маркетингова агенция, на която сте поверили е-майл маркетинга).
Необходимо е формата да съдържа текст, който ясно посочва правото на лицето да оттегли съгласието си по всяко време (в тази връзка трябва да предложите прости и ефективни процедури за оттегляне на съгласието)

3. Съвет относно полетата във формата за съгласие: ако са предварително отметнати, регулаторния орган ще приеме, че не сте събрали валидно съгласие, т.е все едно извършвате маркетинг без съгласието на лицето.

4. Доказване на съгласието – трябва да сте в състояние да докажете, че обработването се основава на съгласие. Онлайн може да се докаже чрез активиране на функция за автоматизирано съхранение на данни. (важно е да се вижда датата, на която съгласието е дадено)

5. Относно бисквитките (“cookies”) също предстоят промени – вече не е достатъчно да включите единствено текст от рода на: „кликнете тук, за да приемете политиката ни за поверителност“. Отново е задължително да бъде посочена всяка отделна цел, във връзка с която субектите на данни (посетителите на сайта) могат да бъдат идентифицирани с онлайн идентификатори, предоставени от техните устройства.

И така, има още много какво да се каже и направи, за да приспособите бизнеса си към Общия регламент, особено с оглед техническите и организационни мерки, които трябва да въведете в компанията.

Надявам се коментарът ми да е полезен.

Поздрави,
Янислав
 
те на тоя принцип де що има сайтове за обяви, каталози, хотели и тем подобни влизат
 
Да бе ясно нормативни документи и текстове колкото искаш. Това ще е като със закона за тютюнопушенето както и закона за леките наркотици. Демек никои няма да го спазва.
 
Някой може ли да даде примери с онлайн магазини, които вече работят в съгласие с регламента?
 
mtel примерно. Сядайте си на дупетата и почвайте да четете. Само IP без друг идентификатор не са лични данни. Пример логовете на уеб сървъра в суров вид.
 
mtel примерно. Сядайте си на дупетата и почвайте да четете. Само IP без друг идентификатор не са лични данни. Пример логовете на уеб сървъра в суров вид.
По смисъла на документа IP са лични данни. Никъде не е уточнено, че трябва да е в комбинация с друго. Където има такова нещо (имената) е посочено. По IP също може да се идентифицира човек.
 
По смисъла на документа IP са лични данни. Никъде не е уточнено, че трябва да е в комбинация с друго. Където има такова нещо (имената) е посочено. По IP също може да се идентифицира човек.

Би ли дал пример как по IP можеш да идентифицираш човек?
 
Би ли дал пример как по IP можеш да идентифицираш човек?
Собственик или админ на прозволен сайт би могъл да локалузира географски клиента. Така, а правили с Фейсбук, като са анализирали убежденията на потребителите стоящи зад определените IP. Педоставяли са ги на там определените партии за да агитират на регионален принцип, което предизвика скандала. По принцип Фейсбук не дава IP, както впрочем би трябвало да праввт всички.
 
Последно редактирано:
Това, което успях да разбера до този момент в резултат на многобройни консултации са няколко неща:
1. Задължително трябва да има подробно описание как и с каква цел се оперира с личните данни на потребителите. Трябва да са описани подробно функциите, които се задвижват с помощта на личните данни - например при регистрация в какви таблици се съхраняват имената, адресите, телефоните и т.н., при поръчка какви данни от тези таблици се ползват и в какви други таблици се копират и съхраняват и т.н.
2. Да се предоставят функции на потребителите по всяко време да могат да оперират с данните си, както и МНОГО ВАЖНО - сами да могат да изтриват профилите си.
3. Потребителите трябва да могат да свалят личните си данни по всяко време
4. Ясно трябва да се посочи с кои трети лица се споделят техните лични данни, например куриерски компании, и с каква цел се прави това.
5. Когато потребителят иска да се възползва от Правото си да бъде Забравен, трябва да има пълна информация как да процедира при прилагането на това право и по отношение на третите лица, с които сте споделили личните им данни - например да посочите линк към страница на куриера с подробно обяснение как да процедира.

Единственният спорен момент на този етап е дали да се изтриват и поръчките на потребителите или просто да се анонимизират - това, естествено не се харесва на данъчните и те са категорични, че ако онлайн търговецът не предостави информация за купувачите, ще има някакви санкции. Дори може да има обвинение в съучастничество в прикриване на данъци. Например - аз съм физическо лице,.... пращам пратка по Спиди или Еконт с наложен платеж 5000 лв.,.... получавам наложения платеж и искам да се възползвам от правото си да бъда Забравен и искам куриерът да елиминира личните ми данни,.... идва данъчния в Спиди или Еконт и иска данни за моите финансови приходи,... обаче данни ЙОК...Ебаси кефа.
 

Горе