GDPR: как да информираме потребителите кои техни данни обработваме

Публикацията ми „GDPR: как ефективно да се сдобием с потребителското съгласие“ се превърна в една от най-четените и споделяните статии, писани за този блог. Последваха доста предложения да продължа и с други, свързани с темата лични данни, публикации, за които обаче все не намирах време. До днес, когато представям на вашето внимание нещо като темплейт, с чиято помощ да информирате потребителите си как обработвате личните им данни съгласно GDPR и Закона за електронната търговия (ЗЕТ).

Това е необходимо с оглед разпоредбите на чл. 13 и 14 GDPR, според които администраторът на лични данни е длъжен да предоставя на субектите на лични данни изчерпателна информация за обработването на техните данни по категории, цели, срок и правно основание. Администраторът също така е длъжен да предоставя информация за себе си, както и какви са правата на субектите на лични данни, как те могат да ги упражнят и – в случай на нарушения – към кой правоприлагащ орган да се обърнат.

Темплейтът е подходящ за информационен сайт, електронен магазин или друг сайт за предоставяне на услуга онлайн.

Моля да имате предвид, че настоящият текст не замества необходимото потребителско съгласие за използването на „бисквитки“ на вашите сайтове. За тази цел препоръчвам на сайта си да поддържате разяснително поле с бутон, който потребителите да натискат и така да потвърждават съгласието си.

И така

Декларация за защита на личните данни

Защитата на личните Ви данни ни е важна. Затова обработваме Вашата информация изключително въз основа на приложимото законодателство, конкретно GDPR, Закона за защита на лични данни (ЗЗЛД) и Закона за електронната търговия (ЗЕТ). В тази декларация ви информираме за най-важните аспекти от обработването на Вашите данни на нашия уебсайт.

Какво се случва с данните Ви, след като се свържете се нас?

Когато ни пишете чрез формуляра на нашия уебсайт или ни пращате имейл, ние съхраняваме данните Ви за период от [въведете срок], така че да можем да обработим искането Ви, както и за да отговорим на Ваши последващи въпроси. Няма да споделяме тази информация с трети лица без Вашето изрично съгласие!

Съхраняване на Вашите данни

Обръщаме внимание, че с цел облекчаване на процеса по поръчка и покупка, както и последващото изпълнение на договора с Вас, съхраняваме Вашия IP адрес, както и Вашите имена, адрес, имейл адрес и номер на кредитната Ви карта (или идентификацията на съответното платежно средство).

Освен това, с оглед изпълнението на договора си с Вас съхраняваме: [моля, допълнете]. Предоставените от Вас данни са ни нужни, за да изпълним своите договорни или преддоговорни задължения спрямо Вас. Не предоставяме тези данни на трети лица, с изключение на

– обработващия плащането доставчик на платежни услуги (банка, PayPal, ePay),

– куриерската фирма, с която Ви доставяме покупката и

– нашия счетоводител.

При незавършена поръчка изтриваме въведените по нея данни. При завършена поръчка и изпълнен от наша страна договор на основание чл. 6, ал. 1, букви (а) и (б) от GDPR съхраняваме всички данни по правоотношението до изтичане на предвидения в чл. 12 от Закона за счетоводството (ЗСч) 10-годишен срок.

Бисквитки

Нашият уеб сайт използва така наречените „бисквитки“. Това са малки текстови файлове, които се зареждат в браузъра и се съхраняват на Вашето крайно устройство. Те са безобидни.

Използваме ги, за да поддържаме сайта си лесен за употреба. Някои „бисквитки“ остават съхранени на устройството Ви, докато не ги изтриете. Те ни позволяват да разпознаем Вашия браузър при следващото ви посещение в нашия сайт.

Използваме „бисквитките“ на основание чл. 4а от Закона за електронната търговия (ЗЕТ) и член 6, ал. 1, буква (е) GDPR.

Ако не сте съгласни с това, можете да откажете съхраняването, като настроите браузъра си така, че да Ви информира, когато някой сайт иска да запамети на устройството Ви „бисквитки“, а Вие съответно да ги приемате или не.

Имайте предвид, че деактивирането на „бисквитките“ във Вашия браузър може да ограничи функционалността на нашия сайт за Вас.

Анализ на интернет трафика

Нашият сайт анализира потребителския интернет трафик чрез… [моля въведете инструмента и името на доставчика, включително корпоративния му адрес и евентуална информация дали така събраните данни се прехвърлят към страни извън ЕС]. За тази цел използваме „бисквитки“, които ни позволяват да анализираме как потребителите използват нашия сайт. Така получената информация се предава на сървъра на доставчика на техническото решение и се съхранява там.

Можете да предотвратите това, като настроите браузъра си така, че да не позволява съхраняването на „бисквитки“.

Обработването на данните за анализ на интернет трафика се извършва въз основа на член 6, ал. 1, буква (a) и / или (е) GDPR.

[ПРЕПОРЪКА: При позоваване на чл. 6, ал. 1, буква (е) GDPR, т. е. „легитимен интерес“, е най-добре да активирате IP anonymization в Google Analytics или съответната аналогична опция според доставчика на инструмента за анализ на уеб трафика. Убедете се, че с доставчика на техническото решение имате договор, според който той е „обработващ лични данни“ спрямо Вас (вижте това примерно споразумение с Google или влезте в акаунта си в Google Analytics -> admin -> account settings и приемете т. нар. Data Processing Amendment с един клик). Без такъв договор трябва да искате съгласие от всеки отделен посетител на сайта си за това, че записвате и анализирате посещението му чрез някакво техническо решение, примерно Google Analytics. Това, разбира се, е строго непрактично.

В допълнение към тази секция можете да добавите следните изречения: Легитимният ни интерес по смисъла на GDPR се състои в подобряване функционалността на нашия сайт. Ценим личната неприкосновеност на потребителите си, поради което данните, които използваме за анализ на уеб трафика, биват анонимизирани от страна на доставчика на техническото решение. С последния имаме договор за обработка на лични данни.]

Данните съхраняваме за период от … [посочете периода на съхранение, като най-добре се съобразите със съответния доставчик на техническо решение за анализ на уеб трафика].

Нюзлетър, мейлинг

Можете да се абонирате за нашия нюзлетър/мейлинг, като попълните формуляра на нашия сайт. За тази цел се нуждаем от Вашия имейл адрес и съгласието Ви да Ви пращаме съответните съобщения.

[ПРЕПОРЪКА: Ако в тази връзка събирате допълнителни данни, добавете това изречение: За да Ви предоставим възможно най-подходяща информация, ние също така събираме и обработваме допълнителни и предоставени доброволно данни, като дата на раждане, разполагаем доход, сфери на интерес, хоби и …]

[ПРЕПОРЪКА: Доколкото тук събирате още лични данни, е добре да си подсигурите съответното потребителско съгласие].

[ПРЕПОРЪКА: Ако прилагате double opt-in, добавете това изречение: След като се регистрирате за нашия нюзлетър/мейлинг, ще ви изпратим потвърдително съобщение с линк, с чиято помощ да потвърдите регистрацията.]

Можете да се откажете от абонамента си за нашия нюзлетър/мейлинг по всяко време. Моля, изпратете отказа си на следния електронен адрес: [посочете имейл адрес]. Веднага ще заличим данните Ви във връзка с изпращането на нашия нюзлетър/мейлинг.

Вашите права

Имате право на достъп до Вашите данни, които обработваме, както и право на коригиране, изтриване (право „да бъдете забравени“), ограничаване на обработката, преносимост на данни, оттегляне на съгласието и възражение.

Ако смятате, че нашето обработване на Вашите данни нарушава разпоредбите за защита на лични данни или ако смятате, че правата Ви според тези разпоредби са били нарушени по някакъв начин, можете да се обърнете към компетентния административен орган. В България това е Комисията за защита на лични данни

Свържете се с нас по един от следните начини:

[Име на дружеството, данни за контакт: пощенски и уеб адрес, телефон и мейл]

[Ако имате „длъжностно лице по защита на данните“: Можете да се свържете с длъжностното ни лице по защита на данните [попълнете данните за контакт: пощенски и уеб адрес, телефон и мейл] 

Надявам се този блогпост да ви е бил от полза, а при въпроси съм на ваше разположение!

Disclaimer:  този темплейт дава генерални насоки и препоръки, но задължително следва да бъде адаптиран и индивидуализиран за всеки отделен случай на използване. Това по всяка вероятност ще изисква и консултация с адвокат, комуто се доверявате. Не се свенете да се свържете с него или нея по който и да е въпрос, а най-вече, когато става дума за вашите задължения и отговорности, свързани със защитата на лични данни.

 

Снимка: достъпна под лиценз CC BY 2.0 във Flickr