Наръчник за оцеляване на сайтовете в чудния свят на GDPR
9845 прегледа
0 Коментара
Въвеждането на новия регламент за защита на личните данни бележи нова ера в интернет.
На 25 май 2018 г. влезе в сила новият Общ регламент за защита на личните данни (GDPR). Той касае всички компании, които боравят с потребителски данни на територията на Европейския съюз. Промяната наложи нови правила и събирането на данните вече е оправдано, само когато цели извършването на определена услуга.
Собствениците на онлайн бизнес са поставени пред предизвикателството да изискват съгласието на всеки потребител, когато се налага използването на неговите лични данни. Ето защо сайтовете буквално ни заляха с уведомления за реформа в политиката си на поверителност.
Повечето от тях обаче все още се лутат, без да са наясно как конкретно да приложат измененията, за да спазят регламента. Заплахата от жестоки глоби в размер от 10-20 милиона евро е сериозна и въпреки уверенията на Комисията за защита на личните данни, че такива няма да бъдат налагани скоро, уеб средите са подложени на силен стрес.
За да ни известят, че обновяват политиките си за поверителност и искат съгласието ни на потребители, брандовете се надпреварват с оригинални идеи. Спам съобщенията обаче са неизбежна част от целия процес. И понеже GDPR „историята“ на всички им се стори прекалено досадна, за да бъде осмисляна, на този етап сред посетителите на сайтовете и ползвателите на услугите битува известно неглижиране на регламента. Те сякаш не осъзнават, че изведнъж са се сдобили с повече права върху данните си, които до вчера са били принудени да раздават наляво и надясно. Тези времена отминаха.
Доскоро в интернет свободно се разменяха лични данни, разказваха се интимни истории, а мнозина от нас не се притесняваха да споделят снимков материал за себе си и близките си. Днес затваряме страницата на цяла ера, в която форумите бяха не просто общности на хора с интерес към дадени занимания, а и платформа за създаване на по-близки приятелства. Ако сега някой иска да узнае подобна информация за вас, вие сте в правото да му я откажете, а любопитството му би трябвало да изостри подозрителността ви спрямо него.
Извън шегата, реално нещата не стоят по различен начин, но вероятно трябва да изтекат години, за да усетим осезаемо глобалните последствия от влизането на регламента. Засега може да се говори за известен дискомфорт сред потребителите, тъй като се стигна и до някои изненадващи неприятни ефекти. Страници на американски и чуждестранни медии, които са извън ЕС, решиха да ограничат достъпа си, защото по една или друга причина не желаят да изпълняват изискванията на GDPR. По-благосклонните от тях пуснаха свои версии, ориентирани специално към европейските им читатели. Те са орязани максимално откъм съдържание и нямат никакви реклами, за да не се налага събирането на лични данни.
Изкуствената цензура, която се оформя като тенденция, не е единственото притеснение на потребителите. Те се оказаха под натиск от страна на редица компании, които предпочитат да получат стопроцентово съгласие за услугите, които предлагат, или да откажат достъп, въпреки че регламентът няма подобен замисъл. Напротив – услугата може да се предостави и без събирането на лични данни, но изглежда фирмите не споделят същото мнение и буквално изнудват потребителите.
За влизането на GDPR сме известени отдавна, а месеци преди да настъпи и същинският момент, темата непрестанно се обсъждаше в общественото пространство. Изглежда това не беше достатъчно (по ред причини) и доста от сайтовете не успяха да се подготвят, или решиха да хитруват на дребно, създавайки неудобства за посетителите си.
В зависимост от своето предназначение и типа на съдържанието, сайтовете биват няколко вида. Това предполага и различни цели при събирането и обработването на лични данни. GDPR не допуска изключения и за всеки, който развива дейност в интернет, има правила, които следва да се спазват стриктно.
Лични данни са:
• Име, презиме и фамилия;
• Адрес на дома ни;
• Електронна поща;
• Номерът на лична ни карта;
• Местонахождението ни и координатите му;
• IP (интернет протокол) адрес;
• Номер на „бисквитка“;
• Всякакви данни, които са свързани със състоянието ни и могат да ни идентифицират. А ето и какви са най-общо типовете сайтове, които трябва да имплементират техническите GDPR изисквания.
Сайт, който информира посетителите за съществуването на самата компания, за нейната мисия, услуги и ценности. Накратко става дума за нейната онлайн визитна картичка, но дори да няма директни продажби или регистрационна форма, по всяка вероятност са добавени бутони към социалните мрежи. Това означава, че на видно място на сайта трябва да бъдат поместени Политиките за поверителност. Не е законно те да бъдат с малък размер шрифт или да бъдат скрити някъде. Потребителите следва да бъдат уведомени за тях чрез екстеншън, появяващ се в горния или долния край на заредения прозорец на началната уеб страница, или чрез pop-up съобщение още на входа на портала, преди посетителят да е стартирал сърфирането си.
За да получите валидно съгласие, трябва да опишете ясно нивото и целта на обработка на личните данни. Текстът трябва да е разбираем и да предоставя максимум информация на посетителя, преди обработката на личните му данни. Това съдържание трябва да бъде на разположение на потребителя по всяко време, както и да е налице възможност за лесна промяна или оттегляне на съгласието.
Ако сайтът има поле за контакт, чрез което ползвателите му биха желали да осъществят връзка с даден отдел или със собствениците, те трябва да посочат съгласието си за обработването на личните данни. Вариантът е това да се случи чрез отметка при попълването на самата форма, която да бъде придружена с предупредителен текст.
Нишата, в която се развиват този тип сайтове, е ясна. Тук се увеличава и обемът на събираните данни, а може би се използват и маркетингови подходи за привличане на аудиторията. Следователно тези детайли трябва да се съобразят и да бъдат заложени в Политиките за поверителност, за които потребителите да бъдат надлежно уведомени по същия начин, както при корпоративните сайтове. А ако се разпращат съобщения по електронните пощи, потребителите трябва изрично да бъдат попитани и да заявят своето съгласие да бъдат таргетирани от този тип реклама.
Сайтовете от този тип са атрактивни за своите потребители заради информацията, която публикуват. Повечето съдържат рекламни банери, което вече е предпоставка за събирането на лични данни. В допълнение те може би имат и опция за коментари, изискват регистрация и т.н. варианти, свързани с участието на интернет посетителите. За тях важат същите правила, посочени за предходните сайтове.
Притежателите на всички споменати сайтове трябва да помислят за съобщение и относно бисквитките, които използват. Когато потребителите приемат Политиката за бисквитки (cookies), те имат шанс да извлекат полза от оптималните възможности на сайта. Редно е да прочетат какво представляват бисквитките, какви видове съществуват и какви са нужни за целите на сайта, на който са попаднали.
Различните видове бисквитки извършват различни задачи. Съществуват задължителни (абсолютно необходими) бисквитки, които съхраняват временно определени потребителски предпочитания или данни, за да осигурят безпрепятствено възпроизвеждането на дадено съдържание или услуга. Те не служат за проследяване и идентификация на потребителя, нито подлежат на контрол от негова страна. Ако в сайта ви има само такива бисквитки, нямате нужда от такава лента:
При другите два вида – аналитичните и рекламните бисквитки, трябва да имат опция да бъдат спирани от потребителя и задължително трябва да ги известявате, че ги ползвате във вашия сайт.
Аналитичните регистрират поведението при кликване върху банери на реклами, въведени заявки за търсене и т.н., което води до статистически оценки и подобни изводи.
Бисквитките с рекламни цели също следят поведението на профила на потребителя и съобразявайки се с индивидуалните му действия и интереси, позволяват той да получава най-подходящите за него оферти.
Потребителите трябва да са информирани дали бисквитките се препращат към други партньори и за какъв срок е тяхната валидност.
И нещо важно, за което трябва да им подскажете:
Популярните интернет браузъри позволяват изтриването на всички бисквитки във всеки един момент от тук: Chrome, Mozilla Firefox, Opera, Safari, iOS и Internet Explorer.
Детайлите за бисквитките би могло да бъдат включени и в Политиките за поверителност. Самата страница, касаеща тях, се оформя според задачите, които си поставя уеб сайтът и съответно данните, с които смята да борави.
Доста актуален въпрос през последните дни е какво правят сайтовете, които имат практика да качват онлайн файлове с лични данни. GDPR е безапелационен в това отношение и изисква заличаването им, което се отнася не само до бъдещата дейност на съответната организация, но и за досегашната информация, която вече е натрупана като съдържание. Тоест всички документи трябва да бъдат свалени от сайта, а ако е необходимо да бъдат повторно публикувани, то данните върху тях трябва да бъдат скрити в съответствие с регламента.
За всички сайтове, които използват инструментите на Google Analytics, важен етап от спазването на регламента е създаването на допълнителна функция за анонимизиране на IP адресите. Потребителите трябва да бъдат запознати, че могат да възразят срещу събирането и обработването на данните им, като изтеглят и инсталират приставка за браузъра си от следния линк: http://tools.google.com/dlpage/gaoptout?hl=en.
От този линк можете да проверите, дали сайтът ви отговаря на техническите изисквания за GDPR. А ние ви съветваме, за да сте спокойни и сигурни, обърнете се към адвокати, които предлагат услуги, свързани с GDPR.
На 25 май 2018 г. влезе в сила новият Общ регламент за защита на личните данни (GDPR). Той касае всички компании, които боравят с потребителски данни на територията на Европейския съюз. Промяната наложи нови правила и събирането на данните вече е оправдано, само когато цели извършването на определена услуга.
Собствениците на онлайн бизнес са поставени пред предизвикателството да изискват съгласието на всеки потребител, когато се налага използването на неговите лични данни. Ето защо сайтовете буквално ни заляха с уведомления за реформа в политиката си на поверителност.
Повечето от тях обаче все още се лутат, без да са наясно как конкретно да приложат измененията, за да спазят регламента. Заплахата от жестоки глоби в размер от 10-20 милиона евро е сериозна и въпреки уверенията на Комисията за защита на личните данни, че такива няма да бъдат налагани скоро, уеб средите са подложени на силен стрес.
Един пост(модерен) GDPR свят
За да ни известят, че обновяват политиките си за поверителност и искат съгласието ни на потребители, брандовете се надпреварват с оригинални идеи. Спам съобщенията обаче са неизбежна част от целия процес. И понеже GDPR „историята“ на всички им се стори прекалено досадна, за да бъде осмисляна, на този етап сред посетителите на сайтовете и ползвателите на услугите битува известно неглижиране на регламента. Те сякаш не осъзнават, че изведнъж са се сдобили с повече права върху данните си, които до вчера са били принудени да раздават наляво и надясно. Тези времена отминаха.
Доскоро в интернет свободно се разменяха лични данни, разказваха се интимни истории, а мнозина от нас не се притесняваха да споделят снимков материал за себе си и близките си. Днес затваряме страницата на цяла ера, в която форумите бяха не просто общности на хора с интерес към дадени занимания, а и платформа за създаване на по-близки приятелства. Ако сега някой иска да узнае подобна информация за вас, вие сте в правото да му я откажете, а любопитството му би трябвало да изостри подозрителността ви спрямо него.
Извън шегата, реално нещата не стоят по различен начин, но вероятно трябва да изтекат години, за да усетим осезаемо глобалните последствия от влизането на регламента. Засега може да се говори за известен дискомфорт сред потребителите, тъй като се стигна и до някои изненадващи неприятни ефекти. Страници на американски и чуждестранни медии, които са извън ЕС, решиха да ограничат достъпа си, защото по една или друга причина не желаят да изпълняват изискванията на GDPR. По-благосклонните от тях пуснаха свои версии, ориентирани специално към европейските им читатели. Те са орязани максимално откъм съдържание и нямат никакви реклами, за да не се налага събирането на лични данни.
Изкуствената цензура, която се оформя като тенденция, не е единственото притеснение на потребителите. Те се оказаха под натиск от страна на редица компании, които предпочитат да получат стопроцентово съгласие за услугите, които предлагат, или да откажат достъп, въпреки че регламентът няма подобен замисъл. Напротив – услугата може да се предостави и без събирането на лични данни, но изглежда фирмите не споделят същото мнение и буквално изнудват потребителите.
За влизането на GDPR сме известени отдавна, а месеци преди да настъпи и същинският момент, темата непрестанно се обсъждаше в общественото пространство. Изглежда това не беше достатъчно (по ред причини) и доста от сайтовете не успяха да се подготвят, или решиха да хитруват на дребно, създавайки неудобства за посетителите си.
Пътят към прилагането на GDPR (какво точно трябва да направите)
В зависимост от своето предназначение и типа на съдържанието, сайтовете биват няколко вида. Това предполага и различни цели при събирането и обработването на лични данни. GDPR не допуска изключения и за всеки, който развива дейност в интернет, има правила, които следва да се спазват стриктно.
Лични данни са:
• Име, презиме и фамилия;
• Адрес на дома ни;
• Електронна поща;
• Номерът на лична ни карта;
• Местонахождението ни и координатите му;
• IP (интернет протокол) адрес;
• Номер на „бисквитка“;
• Всякакви данни, които са свързани със състоянието ни и могат да ни идентифицират. А ето и какви са най-общо типовете сайтове, които трябва да имплементират техническите GDPR изисквания.
Корпоративен сайт с представителни функции
Сайт, който информира посетителите за съществуването на самата компания, за нейната мисия, услуги и ценности. Накратко става дума за нейната онлайн визитна картичка, но дори да няма директни продажби или регистрационна форма, по всяка вероятност са добавени бутони към социалните мрежи. Това означава, че на видно място на сайта трябва да бъдат поместени Политиките за поверителност. Не е законно те да бъдат с малък размер шрифт или да бъдат скрити някъде. Потребителите следва да бъдат уведомени за тях чрез екстеншън, появяващ се в горния или долния край на заредения прозорец на началната уеб страница, или чрез pop-up съобщение още на входа на портала, преди посетителят да е стартирал сърфирането си.
За да получите валидно съгласие, трябва да опишете ясно нивото и целта на обработка на личните данни. Текстът трябва да е разбираем и да предоставя максимум информация на посетителя, преди обработката на личните му данни. Това съдържание трябва да бъде на разположение на потребителя по всяко време, както и да е налице възможност за лесна промяна или оттегляне на съгласието.
Ако сайтът има поле за контакт, чрез което ползвателите му биха желали да осъществят връзка с даден отдел или със собствениците, те трябва да посочат съгласието си за обработването на личните данни. Вариантът е това да се случи чрез отметка при попълването на самата форма, която да бъде придружена с предупредителен текст.
Онлайн магазин
Нишата, в която се развиват този тип сайтове, е ясна. Тук се увеличава и обемът на събираните данни, а може би се използват и маркетингови подходи за привличане на аудиторията. Следователно тези детайли трябва да се съобразят и да бъдат заложени в Политиките за поверителност, за които потребителите да бъдат надлежно уведомени по същия начин, както при корпоративните сайтове. А ако се разпращат съобщения по електронните пощи, потребителите трябва изрично да бъдат попитани и да заявят своето съгласие да бъдат таргетирани от този тип реклама.
Новинарски и информационни сайтове
Сайтовете от този тип са атрактивни за своите потребители заради информацията, която публикуват. Повечето съдържат рекламни банери, което вече е предпоставка за събирането на лични данни. В допълнение те може би имат и опция за коментари, изискват регистрация и т.н. варианти, свързани с участието на интернет посетителите. За тях важат същите правила, посочени за предходните сайтове.
Притежателите на всички споменати сайтове трябва да помислят за съобщение и относно бисквитките, които използват. Когато потребителите приемат Политиката за бисквитки (cookies), те имат шанс да извлекат полза от оптималните възможности на сайта. Редно е да прочетат какво представляват бисквитките, какви видове съществуват и какви са нужни за целите на сайта, на който са попаднали.
Различните видове бисквитки извършват различни задачи. Съществуват задължителни (абсолютно необходими) бисквитки, които съхраняват временно определени потребителски предпочитания или данни, за да осигурят безпрепятствено възпроизвеждането на дадено съдържание или услуга. Те не служат за проследяване и идентификация на потребителя, нито подлежат на контрол от негова страна. Ако в сайта ви има само такива бисквитки, нямате нужда от такава лента:
При другите два вида – аналитичните и рекламните бисквитки, трябва да имат опция да бъдат спирани от потребителя и задължително трябва да ги известявате, че ги ползвате във вашия сайт.
Аналитичните регистрират поведението при кликване върху банери на реклами, въведени заявки за търсене и т.н., което води до статистически оценки и подобни изводи.
Бисквитките с рекламни цели също следят поведението на профила на потребителя и съобразявайки се с индивидуалните му действия и интереси, позволяват той да получава най-подходящите за него оферти.
Потребителите трябва да са информирани дали бисквитките се препращат към други партньори и за какъв срок е тяхната валидност.
И нещо важно, за което трябва да им подскажете:
Популярните интернет браузъри позволяват изтриването на всички бисквитки във всеки един момент от тук: Chrome, Mozilla Firefox, Opera, Safari, iOS и Internet Explorer.
Детайлите за бисквитките би могло да бъдат включени и в Политиките за поверителност. Самата страница, касаеща тях, се оформя според задачите, които си поставя уеб сайтът и съответно данните, с които смята да борави.
Доста актуален въпрос през последните дни е какво правят сайтовете, които имат практика да качват онлайн файлове с лични данни. GDPR е безапелационен в това отношение и изисква заличаването им, което се отнася не само до бъдещата дейност на съответната организация, но и за досегашната информация, която вече е натрупана като съдържание. Тоест всички документи трябва да бъдат свалени от сайта, а ако е необходимо да бъдат повторно публикувани, то данните върху тях трябва да бъдат скрити в съответствие с регламента.
За всички сайтове, които използват инструментите на Google Analytics, важен етап от спазването на регламента е създаването на допълнителна функция за анонимизиране на IP адресите. Потребителите трябва да бъдат запознати, че могат да възразят срещу събирането и обработването на данните им, като изтеглят и инсталират приставка за браузъра си от следния линк: http://tools.google.com/dlpage/gaoptout?hl=en.
От този линк можете да проверите, дали сайтът ви отговаря на техническите изисквания за GDPR. А ние ви съветваме, за да сте спокойни и сигурни, обърнете се към адвокати, които предлагат услуги, свързани с GDPR.