GDPR за онлайн магазин
Най-напред да обобщим, какво е GDPR (General Data Protection Regulation )? GDPR или преведено на български е “Общ регламент относно защитата на данните” (ОРЗД). Официално е зададен като регламент от европейският съюз през 2016 година, но влезна в сила за всички страни членка на съюза от 25 май 2018 година. Регламента засяга и компании извън европейския съюз обработващи лични данни на европейски граждани. Целта на регламента е да даде контрол на гражданите върху техните лични данни. Тази директива въвежда много задължения и правила за компании обработващи лични данни, но в тази статия няма да навлизаме във всички подробности, а ще засегна само неща засягащи само собствениците на онлайн магазини.
Лични данни са:
Собствено име и фамилия
Домашен адрес
Домашен IP адрес
Личен имейл
Служебен имейл адрес, като „име.фамилия@компания.bg“
Номер на лична карата или шофьорска книжка
Данни за местоположение ( гео локация ), например прихваната от мобилният телефон
Идентификатор на смарт телефон
Идентификационен номер на бисквитка (cookies)
В общи линии това са личните данни, които се събират в един онлайн магазин. Поради индивидуалността на всеки онлайн магазин желателно е търговеца да се консултира с юрисконсулт.
Повече за GDPR можете да прочетете тук
Закона за защита на лични данни (ЗЗЛД) прочетете тук
Закона за електронната търговия (ЗЕТ) прочетете тук
Закон за счетоводството (Зсч) прочетете тук
Информационна лента или поп-ъп за съгласие на политиката за бисквитките както и линк към страница с подробно разяснение за бисквитките, които генерира онлайн магазина.
В информационната лентата освен линк трябва да има и два бутона. Един за съгласие с бисквитките и един с отказ. В случай на отказ от потребителя, сайта трябва да се затвори или най-малко да не се позволява на потребителя да продължи напред и да се генерират бисквитки на неговото устройство. При съгласие предупредителната лента трябва да се скрие и да не пречи на потребителя да сърфира в онлайн магазина.
Това е опция, чрез която всеки потребител може да заличи личните си данни във вашия онлайн магазин. За целта от Уеббилд България разработваме следните функционалности:
При регистрация на потребител или генерирана поръчка автоматично генерираме уникален код и hash линк, който изпращаме на имейл на потребителя. Също така разработваме модул в магазина, в който да се използва уникалния код или предоставения линк.
Какво се случва с личните данни на потребителя след използване на опция „Забрави ме“?
След успешно използване на тази опция унищожаваме всички лични данни на потребителя, като част от тях заместваме с псевдоним, например вместо имена Георги Иванов Петров, имената стават 34567-име 3456-презиме 3456-фамилия. Заместваме някои данни с псевдоними, за да може да се използват статистики в магазина за обороти и регистрирани потребители. Други данни, които не са необходими за никакви метрики или статистики се унищожават напълно без да са заменени с псевдоними.
Забележка: хубаво е в онлайн магазина да информира потребителя, че ако неговата поръчка не е обработена и доставена, след унищожаване на личните му данни няма как да бъде изпълнена поради липса на данни, за кого и къде да бъде доставена.
За взимане на съгласие използваме така наречените чекбоксове. Това са полета, които разработваме да са задължителни, но не и предварително кликнати с отметка. Всеки потребител трябва сам да кликне и да се се съгласи с поставените условия в тях.
Такива полета използваме за:
взимане на съгласие с условията на онлайн магазина
взимане на съгласие личните данни да бъдат обработени за целите на сайта в това число също да бъдат предоставени на трети лица (куриери, банкови и кредитни институции при плащане по банков път или пазаруване на лизинг)
взимане на съгласие потребителя да получава информационен бюлетин от търговеца, ако използва такъв. Ако търговеца използва няколко канала за информационен бюлетин, всеки канел се изброява с въпрос и два възможно отговора под него.
Например:
Желаете ли да получавате информационен бюлетин на вашият имейл?
- Да.
- Не.
Желаете ли да получавате информационни съобщения за намаления чрез SMS?
- Да.
- Не.
Срещу взимане на съгласие поставяме линк към страници като: „Политика за поверителност“ или „Условия на търговеца“. Страници, в които търговеца задължително трябва да опише подробно своите условия.
GDPR задължава използването на SSL сертификат на сайта.
Какво представлява SSL сертификата?
SSL сертификата криптира връзката между устройството на потребителя и сървъра, на който е хостнат онлайн магазина. Чрез криптирана връзка данните, които попълва потребителя не могат да бъдат проследени и присвоени от трети страни и използвани за недобронамерени цели. Освен за сигурност, SSL сертификат е хубаво да има всеки сайт и поради други причини. Например от google много отдавна обявиха, че сайтове, които нямат SSL сертификат, ще бъдат на по-задни позиции в резултати при търсене, от тези които имат SSL сертификат. Освен това вече почти всички браузъри предупреждават по различен начин за опасността от използването на сайт без SSL сертификат.
В много онлайн магазини разработваме по желание на клиента, опция за публикуване на коментари под статии или публикуване на коментари на продукти.
Обикновено данните, които са необходими за публикуване на коментар са Имена и самия коментар. Спазвайки регламента на GDPR, разработваме опция, в която потребителя да избере дали да се публикуват имената му или на тяхно място да се появи автоматично генериран псевдоним.
NewsLetter системата не е нещо, което е задължително да притежавате във вашият онлайн магазин, за да спазите регламента на GDPR, но е желателно поради няколко причини:
Първо чрез newsletter система можете да уведомявате вашите клиенти за нови продукти, промоции или предстоящи кампании. Второ в случай на изтичане на информация от базата данни, чрез newslleter системата може много бързо да уведомите потребителите, както GDPR гласи в срок до 72 часа да бъдат уведомени.
Една от опциите за отказ на вече дадено съгласие е по-горе описаната опция „Забрави ме“. Тази опция биха използвали потребители, които са гости на магазина и нямат направена регистрация или потребители, които не искат повече да съхранявате техни данни.
Някои потребители може да желаят да се откажат само от някой съгласия, които са дали, а от други не. Например: дадено е съгласие за получаване на периодични информационни бюлетини. Разработваме опция на регистрираните потребители след като се логнат в техният профил, за да откажат дадено съгласие, за което те пожелаят. В потребителският профил пазим и уникалния код за унищожаване на лични данни, плюс линк за използването му.
Това са основните неща, които е желателно да присъстват във всеки онлайн магазин.
Разбира се правят се и много по-сложни разработки и функционалности касаещи защита на лични данни, но те са по желание на клиента и в зависимост от обема на дружеството и обвързаността на онлайн магазина с бизнес софтуер, ERP система, CRM система или трети страни за многоканални продажби.
Stefkata
2019-11-22
GDPR е поредното нещо с което усложниха онлайн търговията!
