GDPR – последиците за онлайн бизнеса?

GDPR – последиците за онлайн бизнеса?

от Катя Сотирова

Статията представлява персонално мнение и няма юридическа стойност. Анализира съществуващата към момента публична информация и предоставя гледна точка, бърз преглед на предстоящите за бизнеса промени. 

Европейска Директива за защита личните данни на физическите лица

(General Data Protection Regulation) – какви задължителни промени предстоят пред бизнеса!

Как регулацията ще промени функционирането на онлайн базираните бизнеси и рекламните канали?

През месец май 2018г влиза в сила европейската директива за регулация използването и обработването на личните данни на физическите лица, граждани на Европейския Съюз, от компаниите оператори на лични данни. Единната правна рамка хармонизира законодателството на държавите членки на ЕС, но засяга и всички такива, които имат достъп и използват данните на европейските граждани, без да членуват в Съюза.

Основна цел на Директивата е да защити неприкосновеността на личната информация, осигурявайки законови механизми, регулиращи неправомерното и неконтролируемо използване на персонални данни.

Преди да бъдат изяснени новостите и налагащите се промени, всеки Оператор на лични данни е редно да бъде наясно с дефиницията за лични данни и кой тип персонална информация се третира като такъв.

Според Европейската Комисия лични данни са всеки тип информация, чрез която може да бъде идентифициран жив индивид, както и отделни данни, които събрани заедно могат да послужат за персонална идентификация на определен човек.

Данни, подложени на шифриране, криптиране и друго кодиране, които могат да послужат за идентификация на физическо лице, в техния разкодиран вид, също се считат за лични.

Данни получени от анонимен източник и обработени като такива, чрез които не може да се извърши персонална идентификация, не се считат за лични.

Примери за лични данни:

  1. Име и фамилия (без име на фирма)
  2. Домашен адрес (без фирмен адрес)
  3. ЕГН
  4. Личен имейл адрес (без имейл адрес асоцииран с бизнес дейност)
  5. Номер на лична карта (без идентификационен номер на фирма)
  6. Информация за локализация – координати получени от мобилно устройство
  7. IP адрес
  8. Cookie ID
  9. Потребителски рекламен профил на телефонно устройство*
  10. Персонални медицински данни, здравна информация
  11. Персонална генетична информация
  12. Биометрични данни

Особено внимание трябва да се обърне на типовете лични данни. Такива като Информация за локализация и Cookie ID, имат специфична секторна регулация.

*Потребителски рекламен профил на телефонно устройство – всяко мобилно устройство (напр. Android) получава автоматично уникален номер, нар. Google Advertising ID, чрез който анонимно се събира информация за потребителя на устройството, за рекламни цели.

Регулацията за защита на личните данни, на физическите лица, има за цел да гарантира правомерното използване на информацията от физически лица, компании и организации в ЕС.

Регулацията не се прилага при използване на лични данни на починали лица и данни за идентификация на юридически лица.

Правилата не се прилагат за информация от личен характер, използвана за персонални цели или за дейности провеждани в домашни условия, само когато се използват за некомерсиални цели.

Възникват въпросите дали можете да предложите на свой гост бизнес услуга и дали няма да помислите внимателно преди да телефонирате с бизнес предложение на човек, който лично ви е дал визитната си картичка? Как се третират ежедневните интеракции между хората, когато са в неформална среда, но имат потенциал да прераснат в комерсиални? Доколко е редно подобни взаимоотношения да попадат под рамката на Регулацията и къде започват изключенията?

“Регламентът не се прилага за обработване на лични данни от физическо лице, в рамките на изцяло лична дейност … в рамките на домакинство.”, но Регламентът се прилага, когато обработването на личните данни, в следствие на търговска дейност, се случва в домашни условия, т.е. бизнесът изисква посещения по домовете.

Микро бизнесите подложени на подобна риалити цензура ще са най-потърпевши, въпреки че регулацията цели да контролира корпорации като Google и Facebook, и техния корпоративен дефицит на граници в стремежа им да предлагат все по-неограничени рекламни възможности на рекламодателите си, целящи да достигнат до потребителите си, нарушавайки личното им пространство без ексклузивно съгласие.

GDPR изисква промени във всички бизнеси, които събират и обработват лични данни.

Директно засегнати са всички онлайн базирани бизнеси

Според сегашното законодателство, което е хармонизирано с европейското, регулиращо продажбите от разстояние, за да се счита за валидна всяка онлайн сделка, онлайн търговецът трябва да притежава в писмен вид пълна информация за своя клиент, както и неговото съгласие за покупка.

Потребителите пазаруващи онлайн, доброволно предоставят своите лични данни, НО търговецът трябва да осигури надежден механизъм за уведомления и предварително съгласие за обработка и съхранение на данните. В допълнение на това се въвежда и възможността за оттегляне на съгласието.

Всеки търговец ще е задължен да въведе механизъм за възрастова идентификация. Право на онлайн покупки, респективно обработване на техните лични дани е възможно за деца 16+. При деца между 13-16г е необходимо съгласието на родителя, настойника.

Подобна мярка изисква създаването на верификационен механизъм, чиято коректност винаги може да бъде поставена под съмнение.

Цялостната онлайн покупка, която задължително е придружена от личните данни на купувача, трябва да премине през следните отделни стъпки, демонстриращи изрично съгласие:

  1. Съгласие за обработване и съхранение на лични данни (визуално и опростено представени, преди потвърждение на онлайн покупка);
  2. В условията за ползване на всеки уеб сайт, предлагащ възможност за покупка, ще е необходимо да бъдат описани целите, за които се събират личните данни, Кой ще ги използва – съответното юридическо лице, Срок, в който ще се съхраняват, Какъв е редът за възражение по обработка на предоставените данни;
  3. Механизъм за криптиране на личните данни – с възможност за доказване на недостъпност на съхраняваните;
  4. Възможност (подобна на абонамент) за Отказ от съхранение на данни. Онлайн магазините могат да позиционират на видимо място, точно до формата за абонамент, Форма за отказ, т.нар. Право да бъдеш забравен.

Глобите дефинирани в Регламента няма да бъдат споменати, последицата от подобно наказание е ясна за мнозинството от българските компании.

На този етап не съществуват добри практики, които да улеснят малките онлайн търговци в процеса на хармонизация и единственият възможен вариант е да използват юридическа услуга, която да ги преведе през процеса. Началото на хармонизацията следва да започне с обновяване на секция “Конфиденциалност” и детайлно описание на изискванията, с които търговецът се съобразява и прилага в своята дейност. По-големи компании могат да си позволят специфично сертифициране, което визуално да представят в своите онлайн активи.

Специален Служител

Организациите, които използват лични данни, в големи мащаби, са задължени да назначат служител, отговарящ за защита на личната информация. Подобни организации са институции обслужващи регистри с огромен брой потребители, съдилища, държавни агенции и други.

 

Във всеки един случай, компаниите трябва да притежават цялостен списък с лицата, които са им предоставили личните си данни, придружен с детайлно описание за мястото на съхранение, какви права са предоставени, от страна на физическото лице, за използване на информацията, с каква цел се използват и за какъв период. Компаниите трябва да категоризират данните като нискорискови и високорискови. Под високорскови се разбира възможността за цялостна идентификация на личността. Нискорисковите данни са свързани с персонални интереси и предпочитания.

Дефиницията за лични данни включва информация от типа IP адрес, Cookie ID, което директно адресира дейности свързани с анализ на уеб сайтове, ретаргетин/ремаркетинг кампании. Към настоящия момент съгласието на посетителите в даден уеб сайт, се изисква чрез съгласие с Cookies Policy – Политика на използване на бисквитки, което включва използването на всички приложения за мониторинг и анализ на потребителското поведение.

Подобни ограничения влияят директно върху Big Data анализи, съществена част от работата на специалистите по дигитален маркетинг. Използването на потребителски данни, според разглеждания Регламент, изисква Изразено съгласие, тоест съгласие и запознаване на потребителите с целите, за които данните ще бъдат обработвани, както и възможността придобитите данни да бъдат представени на собственика им, във вида, в който се съхраняват.

В резюме

Всяка компания притежаваща лични данни на физически лица е задължена да опише (в своя интернет сайт) точните процедури, които спазва за събиране и съхраняване на лични данни. Целите, за които събира лични данни, както и срокът, за който ги притежава. Да предложи на своите клиенти/потребители възможност за отказ от съхранение, както и детайлно запознаване с условията (събиране, съхранение, отказ) в процеса на предоставяне на данните, корекция на данните. Категоризация на данните, механизъм за предоставяне на информация за съхраняваните данни, изпълним в срок от 1 месец. Да уведоми потребителите, чиито данни притежава, в срок от 72ч, в случай, че данните са били неправомерно достъпени.

В сайтове използващи CMS системи, първоначалното запознаване на потребителите с условията описани по-горе, може да бъде функционално изпълнено чрез стандартни модули, каквито вече са налични и тествани.

Подобни модули позволяват анонимизиране на IP адресите, отказ от проследяване от инструменти като Google Analytics, предоставяне на задължителната информация, в момента на влизане в уеб сайт. В сайтове с уникален дизайн и система за управление на съдържанието, собствениците следва да добавят подобна функционалност.

Добавянето на задължителната, описателна информация, в Условията за ползване и секция Конфиденциалност, може да бъде прибавена следвайки по-горе уточнените изисквания.

Важна част в изискванията, засягащи съхранението на информацията, собствениците на сайтове могат да гарантират чрез предоставяйки информация за своя хостинг и уточнявайки условията за сигурност, които съответния доставчик предоставя.

Регулиращ орган е Комисията за Защита на Личните Данни (КЗЛД)

Всяка компания може да бъде подложена на одит, както и да бъде задължена да предоставя регулярен отчет за изпълнените изисквания. Втората процедура вероятно ще бъде наложена като регулярно изискване за бизнеси обработващи големи масиви от лични данни.

Прилагането на регулацията следва да бъде уточнено в Закона за Защита на Личните Данни.

Предложената тук информация ще бъде допълвана и обновявана, при наличието на актуална такава от страна на регулиращия орган и промени в ЗЗЛД.