сп. Български законник бр. 12, Декември 2019 г. |
Адекватно ли обработваме лични данни, когато имаме онлайн магазин?
Адв. д-р Ирена Георгиева - адвокат
Когато се извършва онлайн търговия и се поддържа е-магазин, то най-малкото:
а) се сключват договори с онлайн клиенти през мрежата, б) се контактува с потребители по други въпроси, дори и без да се стига до покупко-продажба; в) различни субекти посещават опериращия сайт с цел запознаване с продуктите и услугите, които се предлагат. Във всяка една от горните хипотези през онлайн магазина се събират лични данни, било то като автоматично се оставя следа в интернет пространството от посещаването на сайта, било то поради естеството на договорните отношения и нуждата от комуникация с потребители. Прави впечатление обаче, че тази обработка на данни все още не е достатъчно във фокуса на онлайн търговците, независимо от познатата на всички и прекоментирана нова регулация за зaщита на личните данни (GDPR). Липсата на отговорно и съответно на законовите изисквания поведение влече след себе си риска от санкции и обезщетения за субектите на данни. Отделно, защитата на личните данни и демонстрирането на стриктно отношение към това задължение все повече се превръща в отличителна черта на добрите търговци и неспазването на правилата води съответно до репутационни негативи. Как се организира обработката на данни при стартиране на онлайн магазин?
Един от задължителните информативни документи, който следва да присъства на видимо място на страницата на всеки електронен магазин, наред с Общите условия, е Политиката за защита на личните данни (която може да има и други наименования като популярните "Политика за поверителност", "Политика за конфиденциалност", "Защита на данните" и др.). Тази политика има за цел да информира всички потребители какво се случва с техните данни, или поне:
Добрите практики сочат, че е препоръчително и удобно политиката на сайта не съдържа единствено информация относно данните, които се събират при браузването, но също така и другите типове данни, събирани с оглед извършването на услугата, връзката с клиента, изпращането на рекламни материали и въобще всички хипотези, при които търговецът иска и събира данни. Обикновено Политиката за защита на личните данни следва или поне е в унисон с описанието на услугите в Общите условия на търговеца. По този начин най-лесно се проследява на коя стъпка от взаимодействието между търговеца и дадено лице какви данни се изискват.
На следващо място субектите на данни следва да бъдат уведомени за използването на "бисквитки" на сайта на онлайн магазина. "Бисквитките" (cookies) са малки текстови файлове, които се поставят на компютъра на субекта на данни от уебсайтовете, които посещава. Те са широко използвани, за да могат уебсайтовете да работят или работят по-ефективно, както и да предоставят информация на собствениците на съответния сайт. "Бисквитките" могат да бъдат различни видове в зависимост от тяхната цел и продължителност на съхраняване на данни – необходими, маркетингови, статистически, функционални, сесийни, постоянни и т.н. В GDPR "бисквитките" са споменати в чл. 30, в който се казва: Физическите лица могат да бъдат свързани с онлайн идентификатори на техните устройства, приложения, инструменти и протоколи, като например IP адреси, бисквитки, или други идентификатори, като например RFID. Тази връзка може да остави следи, които, комбинирани с уникални идентификатори и друга информация, получена от сървърите, могат да се използват за създаването на профили на физически лица и за идентифицирането им. Това е особено важно да се разбере от онлайн търговците, тъй като все още битува схващането, че информацията, която се пази чрез "бисквитки" не представлява лични данни и не може да идентифицира никого, което е напълно погрешно. Когато, освен необходими, електронният магазин използва и статистически и маркетингови "бисквитки", то задължително следва да изиска съгласието на потребителите на сайта за това. Начинът за получаване на съгласие следва да е максимално подробен, да позволява на потребителите да избират кои "бисквитки" искат да оставят и кои не и, най-общо, да дават възможност на субекта за активно взаимодействие между сайта и неговия браузър. Съгласно последната европейска регулаторна практика по въпроса за "бисквитките", вече трайно се установи мнението на различните регулатори на държавите-членки, че пасивно съгласие от познатия тип "с браузването на нашия сайт вие се съгласявате с "бисквитките", които използваме" не отговаря на духа на GDPR и подзаконовата рамка и незаконосъобарзно. Какво е „директен маркетинг” и как е свързан със защитата на личните данни? Много онлайн търговци често използват директния маркетинг като средство за създаване на трайни контакти с потребителите и запознаване с най-новите си стоки и/или услуги. Директният маркетинг се използва както като част от рекламна кампания, така и като е единствен подход за развиване и увеличаване на бизнес. Обикновено той включва изпращането на новини, материали, мостри, подаръци за рождени дни и др. Самата същност на този вид маркетинг обаче предполага доста по-личен подход. По тази причина колкото и ползите от запознаването на потребителите с нови услуги и интересни предложения – толкова и негативите от това такъв род похвати да досадят потребителите и те, най-малкото, да не желаят електронните им пощи да се пълнят с брошури, а служебните им телефони да прегряват от рекламни съобщения. Във връзка с горното правната регулация на този вид директно и целево таргетиране на клиенти е строга и излиза извън рамките на правилата за защита на личните данни. Що се отнася до тях, то от особено значение е тук да се определи правното основание, на което може да се изискват лични данни от потребителите, за да получават те различни видове маркетинг информация или продукти. Европейската правна рамка е категорично, че независимо от ползите на директния маркетинг както за търговеца, така и за неговите клиенти, единственото основание за обработката на лични данни за тази конкретна цел е съгласието на субекта на данни. Това е един от примерите, в който няма никаква неяснота относно факта дали администраторът на лични данни (т.е. онлайн търговецът) има право да обработва данни, защото вече е в договорни отношения с дадено лице, или пък е негов легитимен интерес да получи тези данни. Извършването на директен маркетинг без изричното съгласие (по правилата и във формата, изисквана от GDPR и националното законодателство) е незаконосъобразно. По отношение на директния маркетинг прави впечатление и, че често онлайн търговците не откриват тънката разлика между обработката на едни и същи по вид данни, например имена, електронна поща и телефонен номер, за различни цели. Това означава, че търговците могат да получат, използват и съхранят този набор от данни веднъж на база легитимният им интерес да отговорят на запитване или на база договорните отношения с даден потребител, и втори път следва да съберат съгласието на този потребител (независимо, че вече притежават тези данни), за да му изпращат рекламни листовки и подаръци. Даването, валидното получаване и оттеглянето на съгласието следват всички изисквания на приложимото законодателство в областта на защитата на личните данни. В заключение: Демонстрирането на осъзнато и отговорно отношение към защитата на личните данни на потребителите и клиентите на един онлайн магазин е от сериозно значение, както с оглед съответствието му със закона и максимално детайлната информация, която потребителите ще получат, така и с оглед рисковете от санкции и нисък потребителски рейтинг, които търговецът би поел, ако не отговори на нормативните изисквания. |