Успешно имплементиране на DGPR във Вашият уеб сайт. Полезни стъпки за проверка дали сайтът ви е подчинен спрямо регламента GDPR

Как да приложим успешно GDPR в нашият уеб сайт

23/05/2018
Остави коментар
Жулиан Кюмюрев
Online Business

GDPR се превърна бързо в една от темите, за които се шуми до степен на баналност. Въпреки че традиционните медии не отделят такова внимание на регламента, онези от нас, които имат някаква форма на присъствие в Интернет се интересуваме живо от темата. Особено, но не само, ако притежаваме онлайн базиран бизнес.

При неуспех, невъзможност или нежелание да последваме указанията на регламента и да се подчиним на правилата му, ни грози опасност от сериозни санкции.

Ако има едно нещо, което всички хора знаят за GDPR то е размерът на санкциите. И има защо! Административните наказания достигат до 4% от годишният оборот на дружеството или 20 000 000€ (което от двете е по-високо).

Колкото и да се успокояваме, че тези наказания биха се отразили само на най-големите, като Google, Apple, Facebook, то не трябва да забравяме, че и ние, българите, собственици на далеч по-малки предприятия, също сме застрашени.

На 25 май тази година въпросният регламент ще влезе в сила. Това означава, че след тази дата, всеки, който е собтсвеник на сайт или онлайн магазин и не се е съобразил с правилата му е застрашен от санкции.

Какво е GDPR?

GDPR е абревиатура от General Data Protection Regulation, което се превежда като Общ регламент за защита на личните данни. Както е видно и от името на регламента, той се отнася до защитата на личните данни.

Регламентът задължава дружества и институцие да следват конкретни правила и процеси при събирането, съхраняването и обработката на информация за физически лица, чрез техният уеб сайт.

Такава информация би могла да бъде име/на, адрес, ЕГН, e-mail адрес, IP адрес политически възгледи, поведение в интернет или друга информация, която би спомогнала за идентифицирането на конкретна личност.

Редно е отново да отбележим. Регламентът влиза в сила от 25 май 2018г.

За кого се отнася?

На първо време е важно да се отбележи, че GDPR се отнася само до дружества, които обработват и/или събират информация на граждани на Европейският Съюз. Следователно, освен ако търговията ви не е изключително насочена към държави, които не са членки на Съюзът, GDPR се отнася и за Вас.

Също, ако имате дори един-единствен клиент или потребител на сайтът ви, който е гражданин на Съюзът, GDPR се отнася за Вас.

Дори в случай, че нямате клиенти, граждани на Европейският Съюз, но дружеството ви е регистрирано на територията на държава-членка и имате повече от 250 служители или събирате тяхна чувствителна информация (сексуална ориентация, религиозни и/или политически възгледи), GDPR се отнася за Вас.

В съвмренната икономика почти всеки, който продава онлайн или по друг начин обработва лични данни(като споменатите в горният параграф), навярно ще бъде засегнат от новите правила. Разбира се някои от членовете на регулацията ще бъдат по близко до вашият бизнес, отколкото други, но въпреки това бихте могли да бъдете засегнати.

За банки, финансови или застрахователни дружества, които са длъжни да използват под една или друга форма личните данни на своите клиенти, е очевидно, че ще бъдат засегнати от регулацията.

Това се отнася обаче и за малкият и среден бизнес, който разчита на съвмренните маркетингови подходи и разполага с уеб сайт.

Събирането на информация за онлайн поведението на вашите клиенти(също посетители на сайта и „фенове“ на Facebook страницата Ви) чрез Google Analytics, Facebook Pixel и Facebook Insight също би могло да бъде в нарушение на GDPR. Особено, ако не дадете възможност на хората да откажат това събиране на информация.  Или ако я събирате въпреки отказа им.

Необходимо е да сте информиран за количеството и качеството на данните, които постъпват при вас. Кой има достъп до тях, как се обработват и защо. Освен това, след като изясните това за себе си, според регламентът, трябва да информирате и хората, чиято информация събирате и/или обработвате.

Регламентът налага правила, според които имате право да събирате само нужна информация, която, в последствие трябва да бъде добре защитена.

Също, трябва да създадете и включите процес за унищожаване на информацията, когато някой, чиято информация сте събрали, пожелае това.

Практически съвет:

Google включиха в своят безплатен инструмент за събиране и обработване на информация за потребителите на вашият сайт – Analytics – опция за изтриване на информацията, която сте събрали след определен период.

За да достъпите функцията, трябва да влезнете в своят Google Analytics акаунт. В долният ляв ъгъл на екрана натиснете Admin. Пред вас ще се появи прозорец с три разделения. В средното кликнете Tracking Info. Ще се отвори падащо меню. Изберете опцията Data Retention. При извършване на това действие, съдържанието на третият прозорец ще се промени. Ще имате възможност да изберете период, за който Analytics ще пази информацията за посещенията на сайта ви и поведението на потребителите в него.

Какво са лични данни?

Както вече бе споменато за лични данни се приема всякакъв вид информация, която би спомогнала за идентифицирането на конкретен човек.

Това включва име/на, адрес, снимки, email адрес, IP адрес, постове в социалните мрежи, банкови данни, информация за здравни проблеми и т.н.

Някои въпроси, които трябва да си зададете при положение, че разполагате с уеб сайт!

  • Каква информация събирам и съхранявам?
  • Кога и как я получавам?
  • Колко дълго ще съхранявам информацията?
  • Как използвам тази информация?
  • Имам ли изрично съгласие от потребителите да притежавам и използвам информацията?
  • Давам ли на потребителите си конкретен контакт, ако пожелаят да разберат каква информация имам за тях?

Няколко стъпки, които да изпълните във вашият уеб сайт, за да избегнете санкциите:

  1. Политика за „бисквитки“ (Cookies)

Събирането на информация за поведението на потребителите на сайта ви се осъществява чрез т.нар „бисквитки“. При използването на услуги на трета страна(Google Analytics, Facebook Pixel), третата страна също събира информация за вашите потребители. Следователно потребителите трябва да бъдат информирани и за това.

За да се избегне объркване, най-добрата практика е да създадете отделна страница за политиката за поверителност, свързана със събираните от вас (и от третата страна)“бисквитки“.

На тази страница трябва разбираемо да опишете каква информация събирате, чрез „бисквитките“ и какво правите с нея.

  1. Popup за „бисквитки“ политика за поверителност

Преди GDPR правилата да станат новото „така се прави“, тоест да бъдат толкова общоприети и добре разбирани, както предходните „Политика за поверителност“ и „Условия за ползване“, оптималната практика е да създадете т.нар pop-up, които да уведомява потребителите ви за изменените условия на ползване и информацията, която реално събирате за тях.

Не е задължително да ползвате Pop-up, но е задължително да информирате посетителите на сайта си още при тяхното влизане.

Следователно, най-логичният подход е именно чрез pop-up.

Pop-up-ът не трябва да съдържа целият текст на политиката ви за поверителност или политиката за бисквитки, но трябва да има линк към тези страници на сайта ви. Също и възможност за отказ от събирането на “бисквитки“.

С който отказ трябва да се съобразите и приемете.

  1. Политика за Поверителност

Това е страница, която до сега беше използвана до голяма степен за получаване на потребителското доверие към сайта и услугите му, а също и за защита от евентуални съдебни искове срещу собствениците, когато този сайт представлява легитимен бизнес.

След влизането на GDPR в сила, тази страница следва да бъде изпълнена с детайли относно информацията, която събирате с, но не само, „бисквитките“.

Ако предлагате онлайн услуга или продавате през интернет, информацията, която събирате може да бъде, но не се ограничава до поведението на потребителите на сайта ви, демографски данни и прочие.

На тази страница е мястото, където да информирате потребителите си за събираните от вас данни, включително защо са ви необходими, как ги използвате и колко дълго ги пазите, а също и с каква цел правите последното.

  1. SSL Сертификат

SSL Сертификатът е вид енкрипция, която предпазва предадената информация от едната страна(на потребителят) до другата (вашият сайт/имейл) от възможно пресичане и събиране от трета, злонамерена страна.

Българските Хостинг компании предлагат такъв сертификат срещу сумата от около 35лв. годишно. Което е малка и приемлива стойност, в сравнение със заплахата, която грози бизнесът ви при евентуално изтичане на лични данни.

  1. Анонимизация на потребителите

Освен ако не е от изключителна важност за бизнес(или маркетинг) процесите ви, едно от най-добрите неща, които можете да направите е просто да анонимизирате потребителите си.

Това означава да възспрете Google Analytics (или друг инструмент, с който събирате и анализирате данни) от включването на IP адреси в информация.

Практически съвет: Ако използвате Google Analytics за събирането на данни за потребителите на сайта си, можете да анонимизирате техните IP адреси, като така не бихте могли да ги идентифицирате като конкретна личност, следователно бихте могли да използвате останалите данни(разбира се, без e-mail адреси, но Google така или иначе не ви предоставя тази информация).

  1. Контактната форма на сайта Ви

Ако имате контактна форма на сайта си, постарайте:

  • Сайтът ви има SSL Сертификат
  • Нямате предварително отбелязани кутийки за абонирането за newsletter(email бюлетин)
  • Информацията, която ви се праща не се запазва автоматично в базата данни на сайта, освен ако не е криптирана.
  • Ако принтирате получените електронни писма, които съдържат лични данни(отново, дори самият email адрес се възприема за лични данни, според GDPR), трябва да имате установен процес по унищожаването на принтираните писма. Не можете просто да ги изхъврлите в кофата.

    • В заключение

    Макар че на първо време всички тези правила изглеждат страшни, особено редом с размера на санкциите, GDPR е мярка, която за добро или лошо ще намери своето място под слънцето. След сътресенията, които можем да очакваме около 25 май 2018г., бизнесът бързо ще се върне в нормалното си русло, животът ще продължи, а правилата, които сега ни се струват страшни, ще бъдат просто закон, с който всеки, който присъства по един или друг начин онлайн ще трябва да се съобразява.

    Разбира се, преди да стигнем до този момент, ще трябва да се подчиним, волно или неволно, на правилата на регулацията.

    Въпреки това, докато не събираме лични, чувствителни данни за потребилите на сайта си, служителите и клиентите си не сме застрашени по никакъв начин.

    При нужда от допълнителна информация или нужда от консултация/становище във връзка с регламента GDPR и имплементирането му във вашият уеб сайт, моля направете запитване тук!

    Автор: Жулиан Кюмюрев

3707

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *