GDPR за онлайн магазини – пълен наръчник за електронната търговия

Ако управлявам онлайн магазин, обработвам лични данни буквално при всяка стъпка – от момента, в който потребителят влезе в сайта, до доставката на поръчката и последващата комуникация. GDPR засяга електронната търговия изключително сериозно, а санкциите за нарушения могат да бъдат значителни. В тази статия ще разгледам какви лични данни събира онлайн магазинът ми, какви документи ми трябват, как правилно да искам съгласие и как да защитя данните на клиентите си.

Какви лични данни събира онлайн магазин?

Онлайн магазинът събира значително повече данни, отколкото повечето собственици осъзнават. Ето основните категории:

При регистрация и създаване на акаунт

• Имена, имейл адрес, телефон;
• Парола (в хеширан вид);
• Дата на раждане (ако се иска за верификация на възраст);
• История на поръчките и предпочитанията.

При поръчка и доставка

• Адрес за доставка и фактуриране;
• Телефон за контакт с куриера;
• Данни за фирмата (при B2B поръчки – ЕИК, МОЛ).

При плащане

• Данни за банкова карта – обикновено се обработват от платежния посредник (Stripe, PayPal, Борика и др.), не директно от мен;
• Информация за транзакцията;
• IP адрес при момента на плащане.

Чрез бисквитки и техническо проследяване

• IP адрес и приблизително местоположение;
• Браузър, устройство и операционна система;
• Разгледани страници, кликнати продукти, поведение в сайта;
• Данни от рекламни платформи (Google Ads, Meta Pixel и др.).

При маркетинг и имейл комуникация

• Имейл адрес и предпочитания за получаване на съобщения;
• История на отворените имейли и кликовете;
• Поведенчески профил за персонализирани препоръки.

Трябва да знам, че като администратор на лични данни нося пълна отговорност за всички тези данни. Повече за отговорността на администратора на уебсайт мога да намеря в статията Каква отговорност нося като администратор на уеб сайт?

Задължителни документи за GDPR в онлайн магазин

За да съм в съответствие с GDPR онлайн магазинът ми трябва да разполага с определен набор от документи. Ето кои са задължителни:

1. Политика за защита на личните данни (Privacy Policy)

Задължителен документ, достъпен от всяка страница на сайта – обикновено в footer-а. Трябва да обяснява: какви данни събирам, за каква цел, на какво правно основание, колко дълго ги съхранявам, с кого ги споделям, и какви права имат субектите на данни.

2. Политика за бисквитки (Cookie Policy)

Отделен документ, описващ всички видове бисквитки в сайта – задължителни, функционални, аналитични и маркетингови. Трябва да включва и механизъм за управление на съгласието (cookie banner).

3. Общи условия за ползване

Въпреки че са отделен документ от политиката за лични данни, общите условия трябва да препращат към нея и да описват правата на потребителите при покупка. Професионално изготвените общи условия за онлайн магазин защитават и клиентите, и бизнеса.

4. Регистър на дейностите по обработване (чл. 30 от GDPR)

Вътрешен документ, който не се публикува, но трябва да съществува. Описва всички операции по обработване на лични данни в бизнеса – за какво, на какво основание, колко дълго, кой има достъп. Задължителен за предприятия с над 250 служители, но препоръчителен за всички онлайн търговци.

5. Договори с обработващи лица (Data Processing Agreements)

Ако ползвам услуги на трети страни, обработващи лични данни от мое име – платформа за имейл маркетинг, куриерска фирма, платежен посредник, хостинг – трябва да имам сключен договор за обработка на данни (DPA) с всяко от тях.

6. Вътрешни правила и процедури

Как реагирам при нарушение на сигурността? Кой в компанията ми има достъп до какви данни? Как обработвам заявки от субекти на данни? Тези въпроси трябва да са уредени вътрешно.

За изготвяне на всички тези документи от специалисти препоръчвам цялостно въвеждане на GDPR в онлайн магазина. Допълнително, за правилно структурирани общи условия мога да се обърна към изготвяне на общи условия и политики.

Как да получа правилно съгласие в онлайн магазин?

Съгласието при лични данни електронна търговия е тема, в която много онлайн търговци допускат грешки. Ето основните правила:

Съгласие при регистрация

При регистрация не искам съгласие за обработка на основните данни (имена, адрес, имейл) – те се обработват на основание „договор". Трябва обаче да предоставя ясна информация (линк към политиката за лични данни) и да получа отделно съгласие само за маркетинг, ако го предвиждам.

Съгласие при бюлетин и маркетингови имейли

• Квадратчето за абонамент за бюлетин трябва да е незаредено по подразбиране;
• Формулировката трябва да е конкретна: „Съгласен/на съм да получавам имейли с промоции и новини";
• Трябва да документирам кога, как и за какво е дадено съгласието;
• Механизмът за отписване (unsubscribe) трябва да е видим и лесен за ползване.

Бисквитки – cookie banner

Банерът за бисквитки трябва да дава реален избор. Не мога да приемам, че потребителят е дал съгласие, само защото е продължил да разглежда сайта. Трябва да имам ясни бутони „Приемам всички" и „Откажи незадължителните" (или подобна настройка по категории). Повече за използването на бисквитки мога да намеря в статията Как законосъобразно да използвам бисквитки (cookies) в своя уебсайт?

SSL сертификат и сигурност на данните

GDPR изисква подходящи технически и организационни мерки за сигурност. За онлайн магазин това означава на първо място:

• SSL/TLS сертификат (HTTPS): Задължителен за всеки онлайн магазин. Без него данните се предават некриптирани, което е сериозен риск и практически автоматично нарушение на GDPR;
• Криптиране на чувствителни данни в базата данни;
• Силни пароли и двуфакторна автентикация за администраторски достъп;
• Редовни резервни копия и план за възстановяване;
• Ограничен достъп до личните данни – само служители, на които е необходим;
• Актуален софтуер – CMS, плъгини, платформа за е-търговия.

При нарушение на сигурността на данните (data breach) трябва да уведомя КЗЛД в рамките на 72 часа от момента, в който съм узнал за него. Ако нарушението крие висок риск за субектите на данни – трябва да уведомя и тях.

Изисквания при бисквитки в онлайн магазин

Бисквитките в онлайн магазина попадат в различни категории:

• Задължителни (strictly necessary): Необходими за функционирането на сайта – количка за пазаруване, сесия при логин. Не изискват съгласие.
• Функционални: Запомнят предпочитанията на потребителя (език, валута). Препоръчително е да се иска съгласие.
• Аналитични: Google Analytics, Hotjar и подобни. Изискват съгласие, тъй като проследяват поведението на потребителите.
• Маркетингови: Facebook Pixel, Google Ads и др. Изискват изрично съгласие – и то преди зареждането им.

Трябва да знам, че маркетинговите пиксели се зареждат само след дадено съгласие – не мога да ги активирам при зареждане на страницата и след това да питам за съгласие.

Маркетинг и търговски съобщения – какво мога и какво не мога?

Директният маркетинг чрез имейл в електронната търговия се регулира не само от GDPR, но и от Закона за електронната търговия. Ето основните правила:

Изпращане до нови потребители

Имам право да изпратя маркетингово съобщение само ако съм получил изрично предварително съгласие. Купуването на имейл списъци или използването на данни от публични регистри за маркетинг е незаконосъобразно.

Изпращане до съществуващи клиенти (soft opt-in)

Имам право да изпращам маркетингови съобщения до клиенти, купили от мен, при следните условия: съобщенията са за подобни продукти/услуги, клиентът е бил информиран при покупката, че ще получава такива съобщения, и не е отказал. Трябва винаги да давам лесна възможност за отписване. Повече за изпращането на търговски съобщения – в статията Как да изпращам търговски съобщения за моя онлайн бизнес?

Задължително съдържание на търговско съобщение

• Ясна идентификация на подателя;
• Недвусмислено обозначаване на съобщението като рекламно;
• Лесен и безплатен начин за отписване (unsubscribe link).

Права на клиентите и как да ги упражнявам

Клиентите на онлайн магазина ми имат следните права по GDPR, на които трябва да отговарям в срок до 30 дни:

• Право на достъп – да получат копие от данните, които обработвам за тях;
• Право на коригиране – да поправят неточни данни;
• Право на изтриване ("право да бъда забравен") – да поискат заличаване на данните им, при определени условия;
• Право на ограничаване – да спра временно обработката;
• Право на преносимост – да получат данните в машинночетим формат;
• Право на възражение – да се противопоставят на обработката, особено при директен маркетинг.

Трябва да имам ясен механизъм за приемане и обработване на такива заявки – обичайно имейл адрес или форма, посочени в политиката за лични данни. Повече за правото да бъда забравен – в статията Правото ми да бъда забравен от търсачките в интернет.

Онлайн магазин и трансфер на данни към трети страни

Ако ползвам инструменти от американски компании (Google Analytics, Meta Pixel, Mailchimp, платежни системи и др.), трябва да знам, че това представлява трансфер на лични данни извън ЕС. За да е законосъобразен, трябва да е налице подходящ механизъм – Стандартни договорни клаузи (SCCs), решение за адекватност или Binding Corporate Rules.

Много американски доставчици разполагат с такива механизми, но аз нося отговорност да проверя дали DPA е подписан и дали е в сила.

Контролен списък за GDPR в онлайн магазин

Ето кратък преглед на основните стъпки:

1. Публикувана и актуална политика за лични данни на сайта;
2. Функциониращ cookie banner с реален избор;
3. Незаредени по подразбиране квадратчета за маркетингово съгласие;
4. Активен SSL сертификат (HTTPS);
5. Сключени DPA договори с всички обработващи лица;
6. Поддържан регистър на дейностите по обработване;
7. Процедура за реагиране на нарушения на сигурността;
8. Механизъм за обработване на заявки от субекти на данни;
9. Ясни общи условия, препращащи към политиката за лични данни.

Мога да намеря повече информация за стартирането и управлението на онлайн магазин в статията Какво да направя, за да си отворя онлайн магазин?

Спазването на GDPR при лични данни електронна търговия не е само правно задължение – то е и конкурентно предимство. Клиентите все повече ценят бизнесите, които уважават поверителността им. За да изградя пълноценна система за защита на данните в онлайн магазина си, мога да се обърна към GDPR наръчника за бизнеса от Advokatami.bg, а за изготвяне на правно издържани общи условия и политики – към специализираните услуги на Advokatami.bg.

За правата на потребителите при онлайн пазаруване препоръчвам и статията Пазарувам онлайн. Какви са правата ми?