Към главното съдържание

Специфични насоки за различни сектори

  1. Онлайн търговия

Онлайн магазините събират, съхраняват и използват голям обем лични данни. Затова спазването на изискванията на Общия регламент относно защитата на данните (GDPR) в този сектор е особено важно както с цел спазване на законодателните изисквания, така и за изграждане на доверие у клиентите.

  1. Събиране на данни при поръчки

Обработването на лични данни като име, адрес, телефон, имейл и информация за плащане трябва да се основава на чл. 6, пар. 1, б. „б“ – изпълнение на договор. Не събирайте повече от необходимите данни – напр. Не е необходимо ЕГН за целите на доставка.

  1. Използване на „бисквитки“ (cookies)

Какво са бисквитките?

Бисквитките са малки текстови файлове, които уебсайтовете съхраняват в браузъра на потребителя. Те се използват за различни цели – от основна навигация до маркетингови анализи и персонализирани реклами. В много случаи бисквитките съдържат лични данни или позволяват индиректна идентификация на лицето, поради което тяхното използване попада под регулацията на GDPR и Директива 2002/58 (Директива ePrivacy).

Какви видове бисквитки има?

  • Строго необходими (essential)

Позволяват базови функции като вход в профил, кошница, сигурно плащане.
Не изискват съгласие.

  • Предпочитания (functional)

Запомнят език, регион, настройки.

Изискват съгласие.

  • Статистически (analytical)

Събират данни как потребителите използват сайта (напр. Google Analytics).
Изискват съгласие, освен ако се използват в анонимизиран вид и не се споделят.

  • Маркетингови / Рекламни

Използват се за профилиране и показване на персонализирани реклами (напр. Facebook Pixel, Google Ads Remarketing).

Изискват изрично съгласие.

Какви са нормативните изисквания?

От чл. 5, пар. 3 от Директивата ePrivacy, транспонирана в българското законодателство чрез Закона за електронните съобщения (ЗЕС), следва че съхраняването и достъпът до информация чрез бисквитки е допустимо само при:

  • ясна и изчерпателна информация, предоставена на потребителя;
  • получено предварително съгласие, освен ако бисквитката е строго необходима за предоставяне на услуга по заявка на потребителя.

Тези изисквания се прилагат съвместно с GDPR, когато бисквитките събират лични данни.

Какво приема Съдът на Европейския съюз (СЕС)?

В решението си по дело C‑673/17, Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV срещу Planet49 GmbH, СЕС приема, че:

  • Предварително маркирани отметки за приемане на „бисквитки“ не представляват валидно съгласие;
  • Съгласието трябва да бъде дадено свободно, с положителни действия и информирано;
  • Потребителите трябва ясно да знаят целта на всяка категория бисквитки и възможността да откажат.

На следващо място, в Насоки 5/2020 относно съгласието в съответствие с Регламент 2016/679, Европейският комитет по защита на данните подчертава, че съгласието при приемането на „бисквитки“ няма да бъде свободно изразено в случаи, в които потребителят няма реален избор да откаже. Например, ако уебсайт блокира съдържанието, докато не се приеме използването на бисквитки, и липсва възможност за отказ, това не е свободно изразено съгласие по смисъла на чл. 4, т. 11 от GDPR. Съгласие, дадено под условие, не е валидно.

Какви действия следва да предприемат търговците относно уебсайтовете?

  • Банер за съгласие относно „бисквитки“, който:
  • не допуска предварително маркирани категории с тикче или в различен цвят и шрифт, който да насочва потребителя към избор (освен за необходимите бисквитки);
  • позволява свободен отказ или избор на отделни категории бисквитки;
  • не ограничава достъпа до сайта при отказ от „бисквитки“;
  • Публикуване на „Политика за бисквитки“, в която са описани:
  • видовете бисквитки, които използва съответният уебсайт;
  • целите на използването им;
  • срокове, в които се съхраняват;
  • трети страни, които получават достъп.
  1. Директен маркетинг

Директният маркетинг включва всяка форма на комуникация, изпратена директно на физическо лице, с цел да се рекламират продукти, услуги или търговски предложения.
Това обхваща изпращането на съобщения чрез:

  • имейли
  • текстови съобщения (SMS)
  • мобилни приложения за съобщения (напр. Viber, WhatsApp)
  • съобщения в социални мрежи
  • телефонни обаждания

Уреден е в чл. 13 от Директивата ePrivacy, озаглавен „Нежелани съобщения“.

Какви са задълженията на търговците?

Търговците могат да изпращат маркетингови съобщения само ако предварително са получили ясно, свободно дадено, конкретно и информирано съгласие от лицето (чл. 6, пар. 1, б. „а“ от GDPR и чл. 13 от ePrivacy директивата).

Пример: Потребителят сам и активно избира (чрез маркиране на поле) да получава новини и промоции при регистрация в сайт.

Изключение: „Soft opt-in“

Ако лице вече е клиент (напр. е направило покупка) и маркетингът е за сходни продукти или услуги, търговецът може да изпраща съобщения без ново съгласие, но само ако:

  • при събирането на данните е дадена възможност за отказ;
  • всеки маркетингов имейл или съобщение съдържа лесна възможност за отписване (unsubscribe).

Пример: След покупка на лаптоп онлайн магазин изпраща имейл за аксесоари.

Право на отказ (opt-out)

Във всяко съобщение трябва ясно да бъде предоставена възможност за отказ от получаване на бъдещи съобщения, безплатно и лесно.

Пример: В края на всеки имейл трябва да има бутон или линк „Отпишете се от бюлетина“.

Доказване на дадено съгласие за целите на директен маркетинг

Търговецът трябва да е в състояние да докаже, че лицето е дало съгласие (запис на дата, начин на съгласие, текст на съобщението).

Какво приема СЕС?

В решението си по дело C‑102/20, StWL Städtische Werke Lauf a.d. Pegnitz GmbH срещу eprimo GmbH, СЕС приема, че показването на реклами в пощенската кутия на потребителя във вид на имейл се счита за директен маркетинг. То е позволено, само ако потребителят е бил ясно информиран и е дал съгласие. Липсата на такова съгласие и честото показване на тези реклами се счита за упорито и нежелано увещаване, което е забранено и се третира като нелоялна търговска практика.

В изрично е подчертано, че съгласието трябва да бъде конкретно и отделно за всяка цел на обработване. Например когато търговец иска съгласие едновременно за изпращане на маркетинг по имейл и за споделяне на данни с други дружества от групата, липсата на разграничение между тези две цели води до невалидно съгласие.

Често допускани грешки

  • Автоматично маркирани полета за съгласие („opt-out“ не е достатъчен)
  • Скриване или усложняване на възможността за отказ
  • Изпращане на маркетинг без валидно основание
  • Прехвърляне на данни към трети лица без ясно уведомяване
  1. Профилиране и персонализирани оферти

Ако използвате данни за поведение (напр. прегледани продукти), за да създавате профили и персонализирани предложения, това следва да бъде ясно посочено в политиката за поверителност. В някои случаи може да се изисква и допълнително съгласие.

  1. Изготвяне на Политика за поверителност

Осигурете ясна и достъпна политика за поверителност, в която са описани целите, правните основания, сроковете за съхранение и правата на клиента. Тя трябва да е лесно достъпна от началната страница или при финализиране на поръчка.

Обобщение на Специфични задължения за онлайн търговци по GDPR

  1. Законосъобразно събиране на лични данни при поръчки и регистрация
  • Данните (име, адрес, телефон, имейл и др.) трябва да се събират само ако са необходими, напр. за изпълнение на договор.
  • Не се събира ЕГН, освен ако няма правно основание.
  1. Използване на „бисквитки“ (cookies)
  • За всички необходими бисквитки не се изисква съгласие.
  • За анализи, маркетинг и персонализация е нужно предварително, информирано съгласие (без предварително маркирани полета, както и цвят и шрифт, насочващи към конкретен избор на поле). съгласието трябва да е свободно, конкретно и активно дадено.
  • Сайтът трябва да разполага с банер за съгласие и отделна политика за бисквитки.
  1. Съблюдаване на правилата при изпращане на директни маркетингови съобщения
  • Изисква се предварително съгласие, освен в изрично предвидените изключения.
  • Всяко съобщение, което представлява директен маркетинг, трябва да съдържа бутон за отписване.
  • Търговецът трябва да е в състояние да докаже, че е налице валидно дадено съгласие.
  • Честото и нежелано изпращане на съобщения без съгласие може да се тълкува като нелоялна търговска практика.
  1. Споделяне на данни с други дружества
  • Изисква се отделно съгласие за всяка цел.
  • Липсата на разграничение между целите прави съгласието невалидно.
  1. Изготвяне на ясна политика за поверителност
  • Тя трябва да включва: цели на обработване, правни основания, срокове за съхранение, категории получатели и правата на потребителите.
  • Политиката трябва да е достъпна от началната страница и при поръчка.
  1. Здравеопазване

Секторът на здравеопазването попада сред най-регулираните по отношение на защитата на лични данни, тъй като обработва специални категории данни – включително данни за здравословно състояние, генетични и биометрични данни. Това означава по-строги изисквания за законосъобразност, сигурност и отчетност.

  1. Обработване на специални категории лични данни (чл. 9 GDPR)

Здравните данни са специална категория лични данни и обработването им е забранено, освен в предвидените в закона случаи (напр. когато е необходимо за целите на медицинска диагноза, лечение или предоставяне на здравни грижи).

  1. Информирано съгласие на пациента (когато се изисква)

Когато обработването не се основава на законово задължение или договор с лечебното заведение, трябва да се изисква изрично, информирано и недвусмислено съгласие. Съгласието трябва да:

  • е доброволно и отделно от другите документи;
  • включва ясна информация за целта, сроковете и правата на пациента;
  • може да бъде оттеглено по всяко време.
  1. Строги мерки за сигурност на медицинските записи

Медицинската информация трябва да бъде защитена с:

  • ограничен достъп само до лица, които имат право да имат достъп до тази информация (напр. лекари и администратори);
  • проследимост – да се знае кой кога е имал достъп до данните;
  • технически мерки – криптиране, пароли, защитени мрежи, софтуерни ограничения;
  • физическа защита – заключени помещения, достъп с карта и т.н.

Всяка организация трябва да провежда периодични оценки на риска и да има политика за реагиране при пробив в сигурността.

  1. Срокове за съхранение

Личните и медицински данни трябва да се съхраняват само за необходимия период, определен от закона (Напр. на основание чл. 29, ал. 1 от Наредба № 8 от 2016 г. за профилактичните прегледи и диспансеризацията „Лечебните заведения съхраняват медицинската документация за извършените от тях прегледи и изследвания три години след извършването им.“.

След изтичане на срока данните трябва да бъдат изтрити, архивирани, анонимизирани или предадени на пациента (в предвидените от закон случаи).

  1. Надлежно сключени договори с обработващите лични данни

Ако обработването се извършва от администратор (напр. лаборатории, софтуерни доставчици и др.), е необходимо да е налице сключен договор или друг правен акт по смисъла на чл. 28, пар. 3 GDPR.

  1. Права на пациентите

Всеки пациент има право на:

  • достъп до медицинската си документация;
  • корекция на неточни данни;
  • ограничаване или възражение срещу обработването (в определени случаи);
  • подаване на жалба до надзорния орган.
  • Образование

Учебните заведения – училища, детски градини, университети и обучителни центрове – обработват големи обеми лични и чувствителни данни на ученици, студенти, родители и преподаватели. Те са администратори на лични данни и имат задължения по GDPR както спрямо пълнолетни лица, така и спрямо непълнолетни.

  1. Законосъобразно събиране и обработване на данни

Обикновено обработването на данни се извършва по силата на закон (напр. Закон за предучилищното и училищното образование) или за изпълнение на задача от обществен интерес (чл. 6, ал. 1, б. „е“ от GDPR).

Данните, които се събират, трябва да са необходими, конкретни и пропорционални.

  1. Повишено внимание при обработване на лични данни на деца

Когато се обработват данни на лица под 14 години, е необходимо съгласие от родител или настойник, ако обработването не се основава на закон. Това важи напр. при участие в допълнителни дейности, медийна публикация на снимки и др.

  1. Споделяне на информация с трети страни

Учебното заведение може да предава лични данни на трети лица, само ако има правно основание (напр. на Министерство на образованието, по силата на нормативен акт).

  1. Публикуване на снимки и видеа в онлайн пространството

Публикуването на снимки и видеоклипове на ученици и студенти в уебсайтове, социални мрежи или брошури не може да става без предварително съгласие.

Съгласието трябва да е:

  • отделно от други документи (напр. не в обща декларация),
  • конкретно по отношение на целта (напр. участие в кампания, сайт, Facebook),
  • оттегляемо по всяко време.

Повече информация по този въпрос можете да откриете тук.

  1. Достъп до лични данни

Достъп до лични данни трябва да имат само оправомощени лица – напр. класни ръководители, администратори. Не се допуска:

  • съхранение на данни без защита (отключени шкафове, USB без парола);
  • разпращане на списъци с лични данни по несигурен имейл.
  1. Информираност и права на субектите на данни

Учебните заведения трябва да:

  • Разполгат с политика за поверителност (достъпна онлайн или в училищната мрежа);
  • Информират ученици и родители за това какви данни се събират, защо и за какъв срок;
  • Съдействат при искания за достъп, корекция, възражение или изтриване, ако е приложимо.

 

 

 

 

 

 

 

 

 

Търсене

Провери статус на преписка
Май 2025
ПВСЧПСН
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
 
< Апр Юни >
Забравена парола?