Етап 3

Общи условия за ползване на уебсайт, Политика за лични данни, Политика за Бисквитки

А.

Банер за ползване на “бисквитки”

3.1

Необходимо е да бъде поставен информационен банер за ползването на “бисквитки” да бъде допълнително адаптиран за нуждите на GDPR.

Становище относно начина на сервиране на първоначална информация:

1. Целта, която трябва да се постигне се изразява в няколко насоки:

а) Да се предостави на потребителя на сайта първоначална информация по чл. 12 от Регламента;

Тя е обективирана, предвид конкретното предложение, в три документа: Общи условия за ползване на Сайта, Политика за личните данни и Политика за използване на “бисквитки”.

б) Да се предоставят за приемане от потребителя Общите условия за ползване на сайта;

Те представляват договор – споразумение, при сключването на което потребителят може да ползва сайта и услугите, предоставяни на/чрез него.

в) Да се информира потребителя, че посочените по-горе документи ги има на сайта и да му се даде възможност лесно да ги достъпи и да се запознае с тяхното съдържание;

г) Да се даде възможност на потребителя по лесен и ефективен начин да изрази своето съгласие със следното:

– Общи условия за ползване на сайта и приложенията към него (Политика за личните данни и Политика за използване на бисквитки)

– за извършване на дейности по обработване на лични данни за генериране на аналитични данни и профилиране (за целите посочени в горепосочените документи);

д) Всички действия по предходните точки да бъдат записани по такъв начин в системата на администратора, че последният да може във всеки момент да демонстрира, че спазва разпоредбите на регламента. По конкретно това включва и възможността на потребителя да:

– упражнява приложимите към съответните дейности права, съгласно Регламента

– управлява даденото съгласие по също толкова лесен начин, по който е било дадено.

2. Постигането на целта е възможно по много начини. Един от тях, който считаме за обективно най-достъпен, е нотификационен многофункционален “банер”.

Каквото и да се избере като вариант обаче, следва да отговаря на няколко изисквания, така че да покрива описаните по-горе нужди.

3. Според нас, за да може подобно решение да е съответстващо на вменените ангажименти от текста на регламента, следва то да бъде:

• ясно видимо при първоначалното зареждане на сайта;

• да съдържа малко, но конкретна информация, която би могла да се показва в разширен вид, ако потребителя поиска това;

• след извършване на съответното управление от страна на потребителя и изпращане на съответното изявление (I agree/Submit) да се води съответен регистър, данните от който да се пазят за конкретен период, с цел демонстриране на съответствие.

• подобно управление потребителят да може да извършва по всяко време

• подобно управление потребителят да може да извършва лесно, т.е. да може бързо да достъпи съответния инструмент, чрез който го прави. Необходимостта да се направят 10 клика до достигане на съответната форма не е приемлива в случая.

4. По-долу даваме примери именно за подобни инструменти, които осигуряват всичко това.

5. Важно е да се уточни, че ако потребителят отложи приемането на горните условия, то това проактивното решение не следва да се изключва или скрива безвъзвратно, а да е налично постоянно (в минимизиран вид отдолу, отстрани или през налична икона), за да може да се ползва.

Именно за това сме предложили банер, а не нещо, което ограничава ползването на услугата до приемане на условията, тъй като това би било нарушение на начина на даване на съгласие, респективно би направило даденото съгласие недействително. Оттам извършените действия от администратора биха били незаконосъобразни.

6. Дори потребителят функционално да може да отложи приемането по някакъв начин, това не означава, че съгласие е дадено, напротив. Становищата на Работна група по чл. 29 са категорични в тази насока. Следователно, при такава хипотеза администраторът не би следвало да извършва дейности по обработване за аналитични и (общо казано) маркетингови цели преди да има съгласие за това. В тази насока са и препоръките по-долу.

а)

Преди всичко, върху крайното устройство на потребителя, не следва да се инсталират каквито и да било бисквитки преди Потребителят да приеме Общите условия за ползване и приложенията към тях (Политика за личните данни и Политика за ползване на бисквитки).

б)

Изключение са функционалните бисквитки за визуализиране на сайта и тези, без които съдържанието не би могло да бъде възпроизведено.

в)

Банерът следва да бъде ясно и отчетливо видим на страницата

г)

Текстът на банера следва да съдържа следните реквизити:

1) текст в следния смисъл “Нашият сайт ползва бисквитки! Молим ви да се запознаете с нашите Общите условия за ползване, Политиката за лични данни и Политика за “бисквитки””

2) Бутон “Приемам Общите условия”

3) Бутон “Прочети повече”, който отвежда към страница с всички условия, а именно:

а) Общи условия за ползването на сайта

б) Политика за личните данни

в) Политика за ползване на “бисквитки”

д)

Банерът следва да се показва на всяка страница докато не бъде приет с натискане на бутона “Приемам Общите условия”.

е)

Приемането на условията следва да бъде записано в log-files. Тези данни следва да се съхраняват до 5 години, след което да се изтриват. Препоръчваме това се да извършва автоматично, въз основа на зададен алгоритъм.

ж)

Едва след това може да се инсталират останалите бисквитки.

з)

Препоръчваме банер с разширени функционални възможности за управление на инсталираните бисквитки, които потребителят лесно може да “извиква” и променя по всяко време, като тези действия се запазват от системата и могат да бъдат ползвани за демонстриране на съответствие Регламента при поискване от потребител или при бъдеща проверка.

Самото управление на практика би могло да се случва чрез блокиране на скриптовете на съответните доставчици – трети страни, с което те няма да имат достъп до информацията, записана на техните бисквитки. Т.е. Потребителите ще имат реална възможност за Opt-in / Opt-out.

Примери за подобни технологични решения:

1. https://www.civicuk.com/cookie-control

2. https://www.trustarc.com/products/consent-manager/

3. www.onetrust.com

4. https://www.createit.com/gdpr/

5. https://faktor.io/

и)

Важно! Банерът и съобщенията върху него се показват на потребителя докато той не приеме условията чрез натискане на бутона “Съгласен съм”. Отново, до този момент, не се инсталират никакви бисквитки освен функционално необходимите за зареждане на сайта!

3.2

Добра практика е ОБЩИТЕ УСЛОВИЯ ЗА ПОЛЗВАНЕ (вкл. Политика за личните данни, Политика за ползване на бисквитки) да могат да бъдат визуализирани в .pdf и да могат лесно да се свалят от потребителите на техните устройства. Това ще помага при евентуални проверки във връзка с демонстрирането на съответствие с правилата на регламента.

Препоръчително е приложение №1 към Политика за лични данни да бъде изведено в отделен документ, който да може да се сваля от потребителя. Целта е потребителят да получи формуляр, който да попълни и да изпрати към администратора, в случай че иска да упражни своите права.

Друга добра практика е самият сайт да съдържа секция с по-стари версии на условията за ползване, от където потребителите да имат възможност да проследят минали версии на общите условия за ползване на сайта с настоящата.

3.3

В ПОЛИТИКА ЗА ЛИЧНИ ДАННИ, в т. III. трябва да има линк към ПОЛИТИКА ЗА ИЗПОЛЗВАНЕ НА БИСКВИТКИ

4.

Силно препоръчваме въвеждането на система за криптиране на масива с лични данни на потребители, генериран през сайта.

5

Препоръчваме да бъде насочено внимание и към начина на изтриване на данните от системата – съгласно посоченото в проекта на Политика за личните данни.