Основният мотив на GDPR: неприкосновеност, сигурност, прозрачност и доверие

WP Optimize Functions плъгин
» Персонализирани функции за оптимизиране на WordPress сайт. Лесен за настройка и не изисква специални умения по програмиране.

Mотив на GDPR
На 25 май 2018 г. ще влезе в сила новият европейски закон относно защитата на личните данни, наречен „The General Data Protection Regulation“ (GDPR). Той предоставя на гражданите на ЕС по-голям контрол върху личните им данни и уверения, че тяхната информация е защитена в цяла Европа, независимо дали обработката на данни се извършва в ЕС или не.

GDPR е подходът на ЕС да се предостави на физическите лица, клиентите, изпълнителите и служителите повече власт над личните им данни и по-малко правомощия на организациите, които събират и използват такива данни за парични облаги. Неспазването на този регламент може да доведе до глоби до 20 милиона евро или 4% от годишния глобален оборот.

Интернет променя драстично начина, по който бизнесите намират, привличат и задържат своите клиенти. Днес целият покупателен процес може лесно да се осъществи дигитално и онлайн.

Всеки път, когато посещавате уеб сайт, цифровият ви отпечатък се записва. Например: вашият IP адрес, географското местоположение, полът, доходите, интересите и уеб сайтовете, които посещавате, се извличат, за да ви профилират. Въз основа на събраната информация, рекламодателят може да разбере дали търсите черни обувки с висок ток или нов кухненски нож.

Технологиите за проследяване, автоматизация, персонализация и Big Data (големи масиви данни) правят това възможно. Те създават профили за даден човек или групи от хора, базирани на историята на сърфиране, актуализациите в социалните медии, прочетените публикации и продуктите, закупени в Интернет. Big Data се използва за анализиране и търсене на поведенчески модели в обемна база данни, които могат да бъдат използвани за прогнозиране на поведението.

С тези данни рекламодателите знаят много повече за индивидуалните навици, интересите, вкусовете и контактите на отделните хора, благодарение на които могат да таргетират рекламите си по-ефективно от всякога. Вероятно сте забелязали как рекламните банери агресивно ви преследват на различни уеб сайтове с промоционални оферти за нещо, което сте гледали преди ден-два.

Събирането и използването на тези лични данни става на заден фон и обикновено без знанието на човек. Този нов начин на правене на бизнес създаде огромен пазар за лични данни. Колкото по-конкретни са личните данни, толкова повече рекламодателят е готов да плати за него.

Начинът, по който се събират, купуват, продават и използват личните данни, пряко противоречи на основното убеждение на Европа, че всеки човек има право на личен живот, че всеки е свободен и независим, и отговаря за собствените си дела без външно влияние.

И това е основният мотив на GDPR – неприкосновеността, сигурността, прозрачността и доверието. Тези елементи играят важна роля в това дали индивидуалният клиент или професионалният бизнес ще избере да прави бизнес с определена компания.

Цитат от член 32 на Регламент (ЕС) 2016/679:

Съгласие следва да се дава чрез ясно утвърдителен акт, с който да се изразява свободно дадено, конкретно, информирано и недвусмислено заявление за съгласие от страна на субекта на данни за обработване на свързани с него лични данни, например чрез писмена декларация, включително по електронен път, или устна декларация. Това може да включва отбелязване с отметка в поле при посещението на уебсайт в Интернет, избиране на технически настройки за услуги на информационното общество или друго заявление или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване на неговите лични данни. Поради това мълчанието, предварително отметнатите полета или липсата на действие не следва да представляват съгласие. Съгласието следва да обхваща всички дейности по обработване, извършени за една и съща цел или цели. Когато обработването преследва повече цели, за всички тях следва да бъде дадено съгласие.

За да бъде съвместима с GDPR, всяка уеб форма, поместена в даден сайт – контактна, абонаментна, регистрационна, за поръчки и т.н., трябва да съдържа тикчета за поставяне на отметка за съгласие в зависимост от съответните цели.

GDPR - форма за абонамент

Формуляр за абонамент с тикче за потвърждаване на съгласие

GDPR - форма за поръчка

Формуляр за поръчка с две тикчета за съгласие

Независимо дали става въпрос за контактен формуляр или бисквитки (cookies), потребителят трябва има право на: информираност (да знае какъв тип данни събира сайтът и какво прави с тези данни), достъп до собствените си лични данни, коригиране (при неточни данни), изтриване на личните данни (правото „да бъдеш забравен“).

Бисквитки и съвместимост с GDPR

Когато става въпрос за «бисквитки», онлайн рекламата е с най-честата употреба на така наречените проследяващи «бисквитки» от трети страни. Използването им за тази цел често се възприема като натрапчиво навлизане в неприкосновеността на личния живот. Тази практика е една от причините, които стоят зад разработването на нови закони като EU Cookie Law.

Развитието на правилата за поверителност на данните създава последователни предизвикателства за собствениците на уеб сайтове. Законите за EU Cookie Law, базирани на ePrivacy Directive и GDPR, изискват от организациите да информират посетителите на уеб сайта за данните, които се събират от тях и да им предоставят свободен достъп до съдържанието. Иначе казано: прозрачен механизъм за получаване на необходимото съгласие за «бисквитки» и зачитане на несъгласието.

Съобщенията като «Използвайки този сайт, приемате бисквитки…» няма да са съвместими с GDPR. Ако не се предоставя истински и свободен избор, няма валидно съгласие. GDPR посочва, че оттеглянето на съгласието трябва да бъде толкова лесно, колкото и предоставянето му. Съветите към потребителите да коригират настройките на браузъра си и да блокират «бисквитките», ако не се съгласят, няма да изпълни този критерий. Сайтовете ще се нуждаят от винаги достъпна опция за отказване. Дори след получаване на валидно съгласие, трябва да има начин потребителят да промени мнението си.

Уеб сайтовете, които използват вградени външни ресурси като: рекламна мрежа на трета страна, за да предоставят насочена реклама, аналитичен скрипт за измерване трафика на своята аудитория, чат кутия (live chat) за мигновени съобщения, социални бутони и приставки, видео плейъри на Ютуб, Вимео и други, които не са част от тяхното съдържание, поредица от редуващи се изображения, генериращи се директно от Flickr, вградени слайдъри като Slideshare, трябва да пренапишат условията си за поверителност и да предоставят прозрачна информация на потребителите за бисквитките, които тези ресурси поставят на тяхното устройство. Какви точно са тези бисквитки (с наименование) и какво правят те.

Съвместимо с GDPR „Cookies съобщение“ за уеб мастърите, чиито сайтове имат вграден Google Analytics:
https://github.com/Alex-D/Cookies-EU-banner

Отворен код за чат кутия на собствен сървър:
https://livehelperchat.com/demo-12c.html

Съобщение за Cookies от трети страни – скрипт за уеб сайт

Cookie Script
GDPR - бисквитки
GDPR Cookie Box: банер с бутони за приемане и отхвърляне на проследяващи бисквитки от услуги като Google Analytics. Скриптът противодейства на изпълняването на съответните аналитични скриптове във вашия сайт, докато потребителят не предприеме действие. Респектира браузърите с активиран „Do Not Track“ в IE9+, Firefox и всички браузъри, съвместими с „navigator.doNotTrack“ JavaScript. Не се задейства, когато:

  • посетителят е бот;
  • потребителят е активирал „Do Not Track“ функцията на браузъра.

Ако посетителят e бот за търсачки, роботът правилно индексира съдържанието на страницата ви и не показва текста от банера като описание на всичките ви страници.

Как функционира

С натискането на бутона „Не“ бисквитките ще бъдат отхвърлени и банерът ще се скрие. Скриптът ще постави  бисквитка (с име ‘hasConsent’) на устройството на потребителя, за да запази това отхвърляне.

С натискането на бутона „Да“ бисквитките ще бъдат приети и банерът ще се скрие, като аналитичните скриптове ще се изпълняват. Скриптът ще постави бисквитка (с име ‘hasConsent’) на устройството на потребителя, за да запази това приемане за 13 месеца, като бисквитките на съответните трети страни, чиито скриптове се изпълняват, също ще се запазят на устройството.

В случай, че потребителят не избере никое от горните действия, банерът ще се показва постоянно, като аналитичните скриптове не се задействат.

Бисквитки на трети страни, които скриптът чете, приема или отхвърля: ‘__utma’, ‘__utmb’, ‘__utmc’, ‘__utmt’, ‘__utmv’, ‘__utmz’, ‘_ga’, ‘_gat’, ‘_gid’, ‘__atuvc’, ‘_fbq’, ‘_ym_isad’, ‘_ym_uid’, ‘__qca’, ‘__unam’, ‘__cfduid’, ‘_zlcmid’.

С натискането на бутона „Още информация“ се отваря „Privacy Policy“ страница, на която са описани маркетинг и аналитичните инструменти на третите страни, които вашият сайт използва.

Изтегляне на архива GDPR Cookie Box

GDPR Cookie Box плъгин за WordPress без участието на трета страна

1. Изтеглете zip архива и използвайте опцията „качване“ в WordPress > admin panel > plugins > new plugin > upload plugin.
2. Активирайте плъгина от менюто „Plugins/Разширения“.
3. Отворете WP admin panel > Appearance/Външен вид > Settings/Настройки > GdprCookieBox > и поставете кода на третата страна.

Забележка: Ако ползвате плъгина „Autoptimize“, изключете действието му за javascript файла „gdpr-cookie-box.min.js“.

Изтегляне на GDPR Cookie Box плъгин за WordPress


Текстът на регламента: https://www.cpdp.bg/?p=element&aid=991
Още информация: https://www.cpdp.bg/?p=element&aid=1043
Криптиране на лични данни: https://encryption.eset.com/bg/personal-data-encryption/
Проверка на бисквитки в сайт: https://cookiepedia.co.uk/

local avatar

Petya Mladenova

Интернет предприемач и уеб девелопър. Онлайн реклама и PR. Посвещава времето си в изграждане на лендинг страници с адаптивен дизайн, базирани на HTML5, CSS3 технологиите.

9 Мнения

  1. О, чудесна статия! Много благодаря за подробната информация и разясняването на този важен въпрос. Предполагам, че ще е добре да се подготвим предварително за събитието. Ясно е, че този закон ще влезе в сила и е по-добре да изпреварим събитията. Кутийката изглежда много добре.

    • Радвам се, че приемате публикацията за полезна. 🙂

      По-скоро наблегнах на пренебрегваните технически елементи като липсата на тикчета за съгласие. За всяко съгласие е нужно тикче (неотметнато) и според това, какво изисква съответното съгласие. Попадам на доста контактни или регистрационни форми, в които тези елементарни елементи, но същевременно и важни, не присъстват. Дори все още има сайтове без SSL.

      Относно кутийката със съобщението за бисквитки – постарах се да е максимално недразнеща и винаги достъпна за потребителите. Забелязвам, че чуждестранните сайтове бързо се адаптират към новите изисквания. Да се надяваме, че и ние ще сме готови преди заветната дата. 🙂

  2. … но ето и проблем, не съм се съгласил да си дам личните данни за коментара 😉 Не съм сигурен дали не трябва да имам право да го редактирам или изтрия? Трябва да има и още 2 страници към сайта. Една в която да мога лесно и достъпно да изискам информацията която сайта пази за мен + още една в която да поискам „да бъда забравен“…

    • Да, определено е проблем. След като си коментирал, приемам, че си се съгласил да си предоставиш личните данни. 😉 Въпреки това, изтрих имейла ти. Предпочитам да не затруднявам потребителите с мудни регистрации и модификации на коментарите им. Вместо „да бъдат забравени“, премахнах полето за вписване на имейл. Затова ти благодаря, че ми отвори очите за този сериозен пропуск. 🙂

  3. Тъкмо бях тръгнал да пиша коментар от сорта – „Нещо не се зарежда“ и се сетих, че има кеш. 😀 Поставих скрипта и съм много доволен от резултата. Забелязвам, че сте премахнали полетата за мейл и уебсайт при коментарите. Как ще ме посъветвате, дали да ги махна от своите сайтове?

  4. Не е задължително да се маха полето за уеб сайт. Махнах го, защото не желая nofollow връзки. По дефолт WP системата ги поставя. Бях внедрила код, който премахваше тази релация.

    След като махнах полетата за имейл и уеб сайт, изключих и записването на IP-то при подаване на коментар. Според регламента IP адресът е идентификатор на лични данни: https://www.inter-reklama.com/blog/gdpr-shte-se-otrazi-na-obshtata-praktika-za-izpolzvane-na-cookies/

    Тъй като сайтът ми не изисква потребителски регистрации, не е нужно да изисква имейл и за коментарите. Излишна „верижна“ занимавка е да предоставям на коментиращия достъп до настройките за управление и „забравяне“ на данните му, тъй като това е свързано с базата данни. Не смятам, че при евентуална проверка от КЗП е логично да им предоставям какъвто и да е достъп или доказателства какво и как се съхранява в нея. Тоест не предоставям лични данни на трета страна, а в случая за мен те се явяват като такава.

    Компетентни съвети не бих могла да дам. Всичко зависи от потребностите на даден сайт. По-скоро си задайте въпрос като: за какво ми е нужен имейлът на коментиращия?

    Ясно е, че имейлът може да послужи като абонамент за последващи коментари, за които коментиралият държи да бъде уведомен по електронна поща. В такъв случай трябва да има „тикче за съгласие“ във формата за коментар с връзка към страница, в която са описани условията, с които той трябва да се съгласи. Задължително трябва да има и достъп до изтриване на профила си по всяко време.

    Според мен е излишно потребителят да се съгласява с условия, само за да напише коментар. 🙂

  5. А какво ще се случи, ако например аз, ей в този коментар, си напиша имейла и ЕГН-то? Ще ми бъде изтрит коментара или? 😀 Няма такава тъпотия като това GDPR… бих хванал бас на каквото кажеш, че 98% от нет потребителите не четат никакви условия и глупости и само приемат каквото трябва там….

  6. Ако коментарът ти е по темата, ще ти анонимизирам данните (освен, ако не си търсиш гадже). 😉

    От бас няма смисъл, тъй като съм на твоето мнение. Но законът си е закон, колкото и да е неприемлив, трябва да се прилага. Лично според мен попъл съобщенията са дразнещи, понякога дори плашещи. Гонят потребителите. Ако не искаме да ги товарим с подобни известия, не трябва да сме посредници на трети страни, които лепват бисквитки на устройствата на потребителите, докато сърфират в сайтовете ни. Или ги уведомяваме, или не ползваме джунджурии на трети страни. Единственото решение е къстъм код за определена нужда на сайта, за да избегнем поставянето на банер известие. 😉

Вашият коментар

Уважаваме твоята поверителност и затова се погрижихме да деактивираме полето за вписване на имейл, както и да изключим записването на IP.

Не се толерират мнения с ключови думи вместо с реално име.