Често задавани въпроси за GDPR и как бизнесът ти да отговори напълно на разпоредбите му? | CloudCart

           
CloudCart работи постоянно, за да може платформата да отговаря на изискванията и правилата за защита на личните данни. Знаеш, че като иновативна платформа за управление на онлайн бизнес, CloudCart винаги се грижи да ти предостави най-актуалните инструменти и да отговори на всички закони и изисквания на пазара.

Затова, като наш клиент, можеш лесно и бързо да използваш готовите функционалности, които ти предлагаме. Подготвили сме и отговори на най-честите задавани въпроси, които продължават да вълнуват бизнеса по повод личните данни и относно Общия регламент на ЕС за GDPR (General Data Protection Regulation).

Често задавани въпроси

Какво е GDPR и от кога е в сила у нас?

Т.нар. общ регламент за защита на личните данни (General Data Protection Regulation или GDPR) е законодателство на Европейския съюз, което, след като влиза в сила,  задължава администраторите и обработващите лични данни (физически лица, фирми и институции) да спазват определени правила и процеси, когато събират, съхраняват и обработват личните данни на физически лица (субекти на данни).

Регламентът (ЕС) 2016/679 от април 2016налага нови правила за управление на подобен тип информация, поради развитието на онлайн търговията, социалните мрежи и анализите на големи масиви с данни.

Регламентът GDPR влиза в сила у нас на 25 май 2018 година. В брой 17 на Държавен вестник от 26.02.2019 г. в Закона за защита на личните данни (ЗЗЛД) бяха обнародвани новите промени, с които се постигна съответствие с европейската регламентация. Последната актуализация на ЗЗЛД е от 26 ноември 2019 година.

Вярно ли е, че глобите пo регламента GDPR са големи?

Да, размерът на глобите за нарушения е един от важните аспекти на новия общ регламент.Санкциите за тези, които обработват и съхраняват лични данни, могат да достигнат до 20 млн. евро или 4% от годишния оборот (в случай на предприятие). Санкциите варират според това дали администраторът съхранява и обработва лични данни съобразно регламента, или не.  

Кой е надзорният орган, който следи за спазването на GDPR разпоредбите?

Съгласно Регламента (ЕС) 2016/679 , държавите членки следва да осигурят един или повече независими публични органи, които да следят за спазването изискванията на GDPR. Съгласно глава втора от Закона за защита на личните данни, надзорният орган в България е Комисията за защита на личните данни (КЗЛД).

Ако компанията ми е малка, трябва ли да спазвам регламента GDPR?

Общият регламент на ЕС (Европейски съюз) за GDPR се прилага в случаите, когато дружеството (фирма, институция), базирано в рамките на ЕС, събира, съхранява личните данни и ги обработва.

В случай че дружество е установено извън ЕС, но дейността му е свързана с предлагането на стоки или услуги на физически лица в ЕС, се приема, че същото обработва лични данни на физически лица и следва да прилага разпоредбите на GDPR. За целта дружествата, установени извън ЕС, трябва да определят свой представител, който да е обработващ лични данни от  името на администратора на лични данни.

Накратко, GDPR засяга всички фирми и институции, които обработват личните данни на клиентите или служителите си. За да разбереш до каква степен регулацията се отнася за твоя бизнес, първо трябва да анализираш процесите в него.

Регулацията е дълга и някои части от нея засягат различните бизнеси в различни степени. Ако бизнесът ти има нещо общо с ИТ индустрията, финансовия или застрахователния сектор, здравеопазването и фармацията, практикуваш онлайн продажби или разчиташ на някаква съвременна форма на маркетинг – да, GDPR те засяга.

Какво означава „свеждане на данните до минимум“?

GDPR задължава фирмите да събират и обработват лични данни за конкретни и ясно разписани цели. Нямаш право да обработваш същата информация за цели, които надхвърлят първоначално определените без различно правно основание, например допълнително и конкретно съгласие на потребителите.

Кога имам основания да обработвам лични данни?

Обработване на лични данни може да се прилага, когато е нужна за изпълнението на договор, при изпълнението на законови задължения на фирми и/или институции, при действия в обществен интерес (например при журналистически разследвания), при легитимен интерес на обработващия данни и разбира се, когато потребителят е дал изричното си съгласие за използване на личните данни.

С какво трябва да се подготвя, за да отговарям на Общия регламент на ЕС за GDPR?

Като обработващ лични данни, трябва да си перфектно запознат с това:

• каква информация за физически лица влиза и излиза от фирмата ти и бизнеса.
• какви са процедурите за достъп до нея и обработката ѝ.
• дали клиентите, потребителите или служителите ти също са информирани за тях.
• има ли нужда те да ти дадат разрешение за обработване на лични данни.

Трябва ли да мога да изтривам данни?

Физическите лица (субекти на данни) имат право да поискат „да бъдат забравени“ – т.е. събраната за тях информация да бъде изтрита завинаги. Причините да е необходимо унищожаване на информация биха могли да бъдат:

• данните да не са нужни за целите, за които са били събрани.
• потребителят да оттегли съгласието си за обработка на данните.
• потребителят да обжалва обосновката на фирмата да събира данни (при твърдение за „легитимен интерес“).
• данните да са събрани/обработени без законово основание.

Потребителят не може да поиска изтриване на данни, когато това би попречило на администратора да изпълни свое задължение, да предяви претенция или би застрашило основни принципи като свободата на словото или провеждането на научни изследвания.

Какво се определя като лични данни?

Това е всяка информация, която може да се използва за установяване самоличността  на конкретно физическо лице. Според GDPR бизнесът ти трябва да събира само информация във връзка с конкретна цел и правно основание, а начините, по които тя ще бъде защитена (с ограничен достъп, строги процедури, специализиран софтуер и хардуер или др.), да бъдат в основата на всеки бизнес процес.

Задължително е да подсигуриш и процеси за унищожаване на информацията, в случай че твой потребител, служител или контрагент поиска това.

Трябва ли във фирмата ми да има назначено длъжностно лице по защита на данните?

Ролята на Длъжностното лице по защита на данните (ДЛЗД) е да наблюдава процеса по обработка на лични данни, както и да предоставя информация и съвети на служителите, обработващи лични данни. ДЛЗЛД (длъжностно лице по защита на личните данни) не е задължително да бъде допълнително наето лице, длъжността може да изпълнява и служител на фирмата, който да бъде назначен със заповед като администратор на лични данни.

Освен това, не произтича задължение всяка една фирма да назначи такова лице, освен в следните три случая:

• дружеството е публичен административен орган (НАП, НОИ, КАТ и други).
• при осъществяване на дейност, свързана с мащабно наблюдението на физически лица  болнични заведения, хотели, доставчици на комунални услуги).
• при осъществяване на дейност, свързана с обработката на т.нар. “чувствителни данни” (расова, етническа принадлежност, политически убеждения, сексуална ориентация и други).

В случай че се колебаеш по този въпрос, необходимо да се консултираш с юрист дали и доколко имаш нужда от ДЛЗЛД.

Как трябва да събирам данните на клиентите в онлайн магазина си?

Съгласно Общия регламент на ЕС за GDPR, фирмите и институциите могат да обработват лични данни на физически лица само при няколко конкретно описани предпоставки. Една от тях е клиентът изрично да се е съгласил с това.

Това означава той да е ясно и конкретно информиран за всички цели, за които се използват данните му. Съгласието може да бъде дадено онлайн, но администраторът на данни трябва да може да докаже, че го е получил и разполага с него.

Трябва ли да дам техническа възможност на клиентите си за управление на данните, които предоставят в магазина ми?

Мълчаливото съгласие или предварително избраните отметки в онлайн форми не се считат за свободно изразено съгласие. Трябва да има и достатъчно лесна процедура, по която физическите лица да могат да оттеглят съгласието си техните данни да бъдат обработвани.

Ще имам ли изготвени документите и функционалностите, които са ми нужни като онлайн търговец?

Да, с GDPR пакета за своя онлайн магазин ще получиш:

• Допълнителни пояснения към Общите условия
• Политика за поверителност
• Политика за събиране на информация чрез “бисквитки”
• Политика за изпращане на GDPR имейл за “незавършени поръчки”
• Протоколи за извършено действие от администратора на данни
• Лента, която показва всички използвани “бисквитки”
• Полета за съгласие с допълнителни политики към магазина
• Функционалност, записваща действията на потребителите
• Функционалност за упражняване на правото за пренос на данни
• Потребителски информационен профил

Кой е изготвил документите и функционалностите в пакета GDPR?

Новото приложение в CloudCart за GDPR се разработва чрез сътрудничество между технически и юридически отдел.

За кого е подходящ GDPR пакета?

GDPR пакетът ще изпълни изискванията, които трябва да бъдат покрити от всеки търговец, който има онлайн магазин относно използването на лични данни на своите клиенти и потенциални клиенти за целите на обработване на поръчки, ремаркетинг или обслужване.

Кога и как трябва да платя за използването на приложението GDPR?

Можеш да заплатиш чрез бутона в приложението GDPR в контролния панел на магазина си. Пакетът се заплаща еднократно и остава активен през цялото време на съществуване и администриране на твоя онлайн магазин.

Ако си купя пакета GDPR, значи ли, че всичко ми е уредено?

Не, необходимо е да използваш документите и клаузите, които си закупил, както и настройките, които ти предоставяме в пакета. GDPR пакетът осигурява документите за управление на данни в онлайн магазина ти, а ако искаш да помогнем на фирмата ти изцяло да отговаря на всички изисквания на GDPR, ние ще анализираме бизнеса ти и ще те обслужим, след като се свържеш с нас на имейл [email protected].

Всички необходими документи ли има в Приложението GDPR?

Да, всички документи във връзка с използването на лични данни и спазване на регулацията GDPR за твоя онлайн магазин са налични.

Ще отговарям на изискванията на GDPR, ако не закупя приложението за своя онлайн магазин?

Не. Приложението съдържа функционалностите, чрез които магазинът ти автоматично ще записва действията и позволенията на всеки твой клиент относно използването на личните му данни. Съгласно изискванията за GDPR, като онлайн търговец си длъжен да съхраняваш информацията на клиентите си и да им докажеш кога и как те са дали своето съгласие за това.