Първата стъпка в защитата на личните ви данни за онлайн магазин е преглед на политиката
Тази статия има за цел да обясни на собствениците или управителите на онлайн магазини каква е първата стъпка в прилагането на регламента, така че прилагането му да не възпрепятства процеса на вземане на решения и да се избегнат санкции.
Със сигурност 2018 г. е най-важната година в дигиталната индустрия, защото в края на май влиза в сила Регламентът за защита на физическите лица по отношение на обработката на лични данни и свободното движение на такива данни.
Този регламент ще бъде от полза както за хората, така и за компаниите. Хората ще се радват на по-голям контрол върху личните данни и компаниите ще се възползват от конкуренцията при справедливи условия.
Като потребител нямам търпение за 25 май 2018 г., тъй като след този момент личните ми данни, събрани чрез различни промоционални кампании, вече няма да могат да се използват чрез директен маркетинг за каквито и да било цели, различни от целите, за които са събрани. По този начин ще мога да изтегля ръководство, което ме интересува, без да се страхувам, че по-късно имейл адресът или страницата ми във facebook ще бъдат засипани с реклами.
Що се отнася до компаниите, те не трябва да се страхуват от санкциите, предвидени в регламента. Те трябва да разберат, че основната цел на регламента е да създаде култура на защита на личните данни.
Прилагането на санкцията с глоба ще се прилага само в случая, когато след разследването надзорният орган установи, че мерки като напр. укор, внимание, задължението за информиране на субекта на данните за обработката на данни, изтриването или ограничаването на обработката са недостатъчни.
Онлайн магазин обработва личните данни, необходими за изпълнение на договора. Име, фамилия, адрес за доставка и номер на кредитна карта се обработват, за да се изпрати поръчаният продукт.
Към момента на влизане в сила на регламента ще има два вида клиенти:
настоящи клиенти, чиито данни вече са събрани
нови клиенти, които поръчват за първи път след влизането в сила на регламента.
Информация, която трябва да се предоставя на лицата, чиито данни се събират - член 13 от регламента
Член 13 от регламента предоставя поредица от информация като: фирмени данни, причина за събиране на данни, обосновка на събирането и т.н., която трябва да бъде предоставена на заинтересованите лица по време на събирането на лични данни.
Тази информация трябва да се предоставя в писмена и устна форма само по искане на субекта на данните. Следователно, ако събирането на лични данни се извършва онлайн, информацията, която трябва да се предостави, може да се съдържа в онлайн форма.
Ако вместо това събирането на лични данни се извършва устно, информацията, която трябва да се предостави, може да бъде изпратена по имейл, или ако субектът на данните поиска, тя трябва да бъде предоставена устно.
По отношение на настоящите клиенти, ако организацията е получила съгласието на клиентите, в текущата система, като поставите отметка в квадратче, това съгласие не е валидно.
Организацията трябва да преразгледа своята политика за поверителност и да получи съгласието на клиентите чрез формуляр, който съдържа цялата информация, която трябва да бъде предоставена съгласно чл. 13 от регламента.
За новите клиенти ситуацията е ясна, информацията трябва да бъде предоставена по време на събирането при условията, описани по-горе.
За да може организацията да получи валидно съгласие, тя трябва да използва ясен и прост език, чрез който субектът на данните разбира целта на обработването и изразява своето информирано съгласие.
Отговорност за обработка на лични данни
Компанията, която притежава онлайн магазина, има качеството на оператор на данни, тъй като определя целта на обработката.
Тоест операторът на данни трябва да назначи лице, упълномощено да обработва лични данни.Упълномощеното лице може да бъде служител или трето лице, физическо или юридическо лице.
Упълномощените лица трябва да бъдат определени с договор, работа или услуги. Когато упълномощеното лице е служител, трябва да се обърне голямо внимание на конфликта на интереси между заеманата длъжност и качеството на лицето, упълномощено да обработва лични данни.
Тъй като основната дейност на онлайн магазин не включва обработка на чувствителни лични данни, като: расов произход, данни за здравето или сексуалния живот и т.н. и няма редовно и систематично наблюдение на мащабни целеви индивиди, което обикновено е неговата цел не трябва да се изисква да назначава служител по защита на данните (DPO).
Съгласно разпоредбите на регламента назначаването на DPO е задължително в публичното пространство и препоръчва се за частната система. Следователно, онлайн магазин трябва да посочи лице, упълномощено да обработва лични данни и да има сигурна система от записи за обработка на лични данни.
По темата има и интересни дискусии дали трябва да бъде назначен адвокат като лице, упълномощено да обработва лични данни.Той тръгва от идеята, че адвокатът е лице, което може да предостави необходимите правни съвети, знае как да запази поверителността си и може да отговори ясно и подробно. лица, упражняващи правата си по отношение на защитата на данните. Неправомерно искане на физическо лице за достъп до обработените данни може да бъде отхвърлено и дори таксувано.
Как да събираме събраните данни
Основният принцип за събиране на лични данни е този на минимизиране на събраните данни.Трябва да се събират само лични данни, подходящи, ясни и необходими за целта.
Например обработката на номера на кредитна карта ще бъде избегната, ако плащането се извършва с наложен платеж.
Администраторът на данни трябва да предостави адекватни технически и организационни гаранции, за да гарантира сигурността на данните, включително защита срещу неразрешена обработка.Тези гаранции могат да бъдат постигнати чрез псевдонимизация - замяна на лични материали с изкуствени идентификатори или криптиране - криптиране на съобщения, така че те да могат да се четат само от упълномощени лица.
В заключение, от съображения за правна яснота и добра организация на управленската дейност, се препоръчва администраторът на лични данни да създаде система за защита на личните данни и да определи упълномощено лице, което да отговаря във връзка с Органа. Наблюдение и с лица, упражняващи правата си по отношение на защитата на личните данни.