GDPR checklist за собственици на уебсайтове: пълно ръководство за реална съвместимост

GDPR (General Data Protection Regulation) е сред най-строгите и всеобхватни режими за защита на личните данни в света. Ако през сайта си събираш, съхраняваш или по друг начин обработваш лични данни на лица, които се намират в ЕС, трябва да си съвместим с регламента — независимо дали бизнесът ти е в ЕС или извън него.

Цената на несъответствието може да е сериозна: глоби до 20 млн. евро или 4% от годишния световен оборот (което е по-високото). Освен това надзорният орган може да наложи забрани/ограничения за обработване, да разпореди изтриване на данни или да спре трансфери към трети държави. В този материал събирам практичен, „за отметки“ checklist, който да ти помогне да подредиш процесите си и да можеш да доказваш съответствие.

Какво е GDPR (накратко, но точно)

GDPR е регламент на Европейския съюз, в сила от 25 май 2018 г., който задава ясни правила как организациите събират, използват, съхраняват и споделят лични данни. Прилага се и за компании извън ЕС, ако обработват лични данни на лица от ЕС.

Първо: изясни си ролята (Controller vs Processor)

Преди да правиш политики и банери, трябва да знаеш в какво качество работиш по даден процес/система:

• Data Controller (администратор на лични данни): ти/организацията ти определя „защо“ и „как“ се обработват личните данни. Това носи основната отговорност за съответствие.
• Data Processor (обработващ лични данни): трета страна, която обработва данни от името на администратора (например доставчик на услуга, която обработва данни по твои инструкции). И тук има задължения за технически и организационни мерки.
• Data Subject (субект на данни): физическото лице, чиито данни обработваш. Регламентът е, за да защитава неговите права.

Една организация може да е и Controller, и Processor — в зависимост от конкретната услуга/контекст.

7-те принципа на GDPR, върху които стъпва всичко

Checklist-ът по-долу има смисъл само ако мислиш в рамката на основните принципи:

1. Lawfulness, fairness, and transparency: обработвай законно и прозрачно; информирай хората какво правиш с данните им.
2. Purpose limitation: събирай данни само за конкретни, легитимни цели.
3. Data minimization: събирай минимално необходимото.
4. Accuracy: дръж данните точни и актуални.
5. Storage limitation: не пази данни по-дълго от необходимото.
6. Integrity and confidentiality: защити от неоторизиран достъп чрез адекватни мерки за сигурност.
7. Accountability: трябва да можеш да докажеш, че спазваш правилата (не само „да ги спазваш“).

Пълен GDPR compliance checklist (за уебсайт собственици)

По-долу са точките, които реално „се проверяват“ при един здрав GDPR процес — с това към кого се отнасят (Controller/Processor) и с точните референции към членове (Articles) от GDPR.

A) Данни (Data)

1) Имаш регистър на типовете лични данни, източник, споделяне, цел и срок на съхранение

Отнася се за: Data Controller, Data Processor

Това е опис на реалните типове/„колони“ с лични данни (например име, адрес, ЕГН/идентификатор, телефон, имейл). За всеки тип данни документирай: откъде идва (източник), с кого го споделяш (получатели), за какво го ползваш (цел) и колко време ще го държиш (retention период).

2) Имаш списък къде физически/логически държиш лични данни и как „текат“ между системите

Отнася се за: Data Controller, Data Processor

Тук не става дума само за база данни (например MySQL), а и за всякакви места за съхранение — включително офлайн (хартиени документи). Също така опиши data flow-а: от форма → към CRM → към имейл маркетинг → към support система и т.н.

3) Имаш публично достъпна Privacy Policy, която описва процесите около личните данни

Отнася се за: Data Controller, Data Processor

Политиката трябва да описва всички процеси по обработване на лични данни. Добра практика е вътре да има (или да има линкове към) типовете лични данни, които държиш, и къде ги държиш.

4) Privacy Policy включва lawful basis (правно основание) защо изобщо обработваш данни

Отнася се за: Data Controller

Не е достатъчно да кажеш „събираме данни“. Трябва да има ясно обяснение на основанието — например изпълнение на договор.

B) Отчетност и управление (Accountability & Management)

5) Назначил си DPO (Data Protection Officer), ако попадаш в условията

Отнася се за: Data Controller, Data Processor

DPO (длъжностно лице по защита на данните) е задължително само в три сценария:

1. Обработването се извършва от публичен орган/институция (с изключение на съдилища, действащи в съдебния си капацитет).
2. Основните дейности изискват редовно и систематично наблюдение на субекти на данни в голям мащаб (по природа/обхват/цели).
3. Основните дейности включват обработване в голям мащаб на специални категории данни (чувствителни данни) по Article 9 и/или лични данни за присъди и нарушения по Article 10.

Ако DPO е нужен, той трябва да има познания по GDPR и реалните вътрешни процеси, в които се обработват лични данни.

6) Има осведоменост при хората, които взимат решения (decision makers)

Отнася се за: Data Controller, Data Processor

Ключовите хора трябва да имат актуална представа за изискванията по защита на данни, иначе решенията за продукт/маркетинг/интеграции много лесно „пробиват“ съответствието.

7) Техническата сигурност е актуална (security hygiene)

Отнася се за: Data Controller, Data Processor

Особено при SaaS е разумно да стъпиш на security checklist-и и да докажеш, че имаш адекватни технически мерки (patching, контрол на достъпа, криптиране, бекъпи и т.н.).

8) Обучил си екипа за рисковете при работа с лични данни

Отнася се за: Data Processor

Много пробиви идват от човешки фактор — човек с достъп, който несъзнателно съдействa на атака или прави грешка. Обучението е част от реалните организационни мерки.

9) Имаш списък на sub-processors и Privacy Policy го отразява

Отнася се за: Data Processor

Ако ползваш подизпълнители (sub-processors), клиентите ти трябва да знаят това и да приемат употребата им чрез приемане на Privacy Policy.

10) Ако си извън ЕС, но обработваш данни на лица от ЕС — имаш представител в ЕС

Отнася се за: Data Controller, Data Processor

Когато бизнесът е извън ЕС и събира/обработва данни на граждани/резиденти на ЕС, трябва да назначи представител в държава членка. Този представител е контактна точка за въпроси по обработването и местният надзорен орган трябва да може да се свърже с него.

11) Докладваш пробиви (data breaches) към надзорния орган и засегнатите лица

Отнася се за: Data Controller, Data Processor

Пробивите с лични данни трябва да се докладват до 72 часа към местния надзорен орган. Трябва да опишеш: какви данни са изтекли, какви са последствията и какви контрамерки си предприел. Освен това, освен ако изтеклите данни не са били криптирани, трябва да уведомиш и самите засегнати лица (data subjects).

12) Имаш договори с Processors, на които споделяш данни (DPA/клаузи)

Отнася се за: Data Controller

Когато споделяш лични данни с обработващ (processor), трябва да имаш договор, който съдържа ясни инструкции за обработването/съхранението. Договорът трябва да описва: предмет и срок на обработването, характер и цел, типове лични данни и категории субекти, както и задълженията и правата на администратора.

Практически пример: договор с хостинг доставчик. Същите изисквания важат и когато processor използва sub-processor, за да изпълнява дейности по обработване от името на администратора.

C) Нови права и процеси (New Rights)

13) Потребителите могат лесно да поискат достъп до личните си данни

Отнася се за: Data Controller, Data Processor

Трябва да имаш ясно дефиниран процес за обработка на заявки за достъп (access requests).

14) Потребителите могат лесно да коригират данните си, за да са точни

Отнася се за: Data Controller, Data Processor

Осигури механизъм за корекция на неточни данни (например през профил, тикет или формализирана заявка).

15) Автоматично изтриваш данни, които вече не са ти нужни

Отнася се за: Data Controller, Data Processor

Идеята е да автоматизираш изтриването според retention правила. Пример: автоматично изтриване на данни за клиенти, чиито договори не са подновени.

16) Потребителите могат лесно да поискат изтриване (right to be forgotten)

Отнася се за: Data Controller, Data Processor

Нужен ти е процес за заявки за изтриване (erasure) — кой приема заявката, как се удостоверява самоличност, кои системи се чистят, какво се логва и какво не може да се изтрие поради други законови основания.

17) Потребителите могат лесно да поискат ограничаване на обработването

Отнася се за: Data Controller, Data Processor

Това е правото да ограничиш как се обработват данните (например да „замразиш“ обработване при спор за точност или законност).

18) Потребителите могат лесно да поискат преносимост на данните (data portability)

Отнася се за: Data Controller, Data Processor

Трябва да можеш да предоставиш данните в структуриран, широко използван, machine-readable формат и/или да ги доставиш на трета страна по искане.

19) Потребителите могат да възразят срещу профилиране или автоматизирано вземане на решения

Отнася се за: Data Controller

Тази точка е релевантна, ако правиш profiling или автоматизирани решения, които влияят на хората.

D) Съгласие (Consent)

20) Когато обработването е на база consent, то е свободно дадено, конкретно, информирано и може да се оттегли

Отнася се за: Data Controller

Когато разчиташ на съгласие, трябва да имаш видим линк към Privacy Policy и да потвърдиш, че потребителят приема условията. Съгласието изисква affirmative action — предварително отметнати чекбоксове (pre-ticked boxes) не са позволени.

21) Privacy Policy е написана ясно и разбираемо

Отнася се за: Data Controller

Текстът трябва да е ясен и прост, без да прикрива намерението. Ако не е, съгласието може да се окаже невалидно. Ако предоставяш услуги на деца, политиката трябва да е достатъчно лесна за разбиране и от тях.

22) Оттеглянето на consent е толкова лесно, колкото даването му

Отнася се за: Data Controller

Не прави „dark patterns“: ако човек е дал съгласие с един клик, трябва да може да го оттегли също толкова лесно.

23) Ако обработваш данни на деца — проверяваш възраст и искаш съгласие от настойник

Отнася се за: Data Controller

За деца под 16 години трябва да се увериш, че законен настойник е дал съгласие за обработването. Ако съгласието минава през уебсайт, трябва да се опиташ да гарантираш, че одобрението действително е дадено от настойника (а не от детето).

24) При обновяване на Privacy Policy информираш съществуващите клиенти

Отнася се за: Data Controller

Например чрез имейл с предстоящи промени и ясно, просто обяснение какво точно се е променило.

E) Follow-up (поддръжка на съответствието)

25) Редовно преглеждаш политики, ефективност и промени при държавите, към които текат данни

Отнася се за: Data Controller

GDPR съвместимостта е процес, не документ. Трябва периодично да преглеждаш практиките си, промените в обработването и „състоянието на нещата“ в държавите, където изнасяш/прехвърляш данни.

F) Специални случаи (Special Cases)

26) Знаеш кога трябва DPIA при висок риск

Отнася се за: Data Controller

DPIA (Data Protection Impact Assessment) е нужна при високорисково обработване — например голям мащаб, профилиране или други дейности с висок риск за правата и свободите на хората.

27) Прехвърляш данни извън ЕС само към държави с адекватна защита (или с подходящи механизми)

Отнася се за: Data Controller, Data Processor

Трансферите извън ЕС трябва да са към държави с адекватно ниво на защита. Тези cross-border data flows трябва да са описани и в Privacy Policy. При трансфер към „non-adequate“ държави използвай Standard Contractual Clauses (SCCs) или Binding Corporate Rules (BCRs).

Права на потребителите (Data Subject Rights) — какво трябва да можеш да обслужиш

Следващите права важат за всички Data Subjects. Дори да имаш супер политика, трябва да имаш и работещи процеси да изпълняваш тези права на практика.

Право на прозрачна информация

Администраторът трябва да предоставя информацията за обработването по кратък, прозрачен, разбираем и лесно достъпен начин, с ясен и прост език — особено когато е адресирано към дете. Информацията се предоставя писмено или по други средства, включително електронни.

Право на конкретна информация при директно събиране на данни

Когато събираш данни директно от човека, трябва да предоставиш поне следното:

1. Идентичност и контактни данни на администратора
2. Контактни данни на DPO (ако е приложимо)
3. Цели на обработването и правно основание
4. Легитимните интереси на администратора (ако е приложимо)
5. Получатели или категории получатели на личните данни
6. Информация за трансфери към трети държави

Право на конкретна информация, когато данните не са събрани директно

Когато данните идват от други източници (не от самия субект), отново се предоставя подобен набор от информация, включително категориите лични данни и източникът.

Право на достъп

Човек може да поиска потвърждение дали обработваш личните му данни и достъп до:

• целите на обработването
• категориите лични данни
• получателите, към които данните са били или ще бъдат разкрити
• предвидения срок на съхранение
• наличието на права за корекция, изтриване, ограничаване и възражение
• правото да подаде жалба до надзорен орган
• информация за източника на данните (ако не са събрани от субекта)
• наличието на автоматизирано вземане на решения, включително profiling

Право на корекция

Човек има право без неоправдано забавяне да коригира неточни лични данни и да допълни непълни данни.

Право на изтриване („право да бъдеш забравен“)

Лицето има право да поиска изтриване, когато:

1. данните вече не са необходими за първоначалната цел
2. съгласието е оттеглено и няма друго правно основание за обработване
3. има възражение срещу обработването и няма надделяващи легитимни основания
4. данните са обработвани незаконосъобразно
5. данните трябва да се изтрият за спазване на правно задължение
6. данните са събрани във връзка с услуги на информационното общество, предложени на дете

Право на ограничаване на обработването

Лицето има право да поиска ограничаване, когато:

1. оспорва точността на данните (за период, позволяващ проверка)
2. обработването е незаконосъобразно и лицето се противопоставя на изтриване
3. администраторът вече не се нуждае от данните, но лицето ги изисква за правни претенции
4. лицето е възразило срещу обработването в очакване на проверка на легитимните основания

Право да бъдеш уведомен при корекция/изтриване/ограничаване

Администраторът трябва да съобщи всяка корекция, изтриване или ограничаване на обработването на всеки получател, на когото данните са били разкрити, освен ако това е невъзможно или изисква непропорционални усилия.

Право на преносимост

Лицето има право да получи личните си данни в структуриран, широко използван и machine-readable формат и да ги предаде на друг администратор без препятствия.

Право на възражение

Лицето може да възрази по всяко време, по причини, свързани с конкретната му ситуация, срещу обработване, базирано на легитимен интерес или обществен интерес, включително profiling.

Право да не бъдеш обект на изцяло автоматизирано решение

Лицето има право да не бъде обект на решение, основано единствено на автоматизирано обработване (включително profiling), което поражда правни ефекти или го засяга значително по подобен начин.

Практически стъпки за имплементация (уеб фокус)

1) Заключи базовата сигурност на сайта

Сигурността е директно свързана с принципа за integrity и confidentiality. Ето конкретен списък с мерки, които трябва да присъстват като минимум:

• Инсталирай SSL сертификат (HTTPS), за да криптираш трафика между сайта и сървъра.
• Използвай силни пароли за всички admin акаунти.
• Добави допълнителна защита при обработване на платежна информация.
• Ползвай CDN доставчик, който пази от DDoS атаки.
• Инсталирай/ползвай anti-virus software, за да предотвратиш неоторизиран достъп.
• Минимизирай събирането на данни — само необходимото.
• Псевдонимизирай или анонимизирай личните данни преди съхранение, когато е възможно.
• Прави бекъпи на данните в няколко сигурни локации.
• Изтривай данни, когато вече не са нужни.

2) Добави cookie consent банер, който наистина е compliant

Ако сайтът използва non-essential cookies, ти трябва изрично съгласие преди да ги активираш.

Cookie банерът трябва да покрива всички изисквания по-долу:

• Block cookies until consent: зареждай само необходимите cookies, докато потребителят не избере opt-in.
• Use simple, clear language: обясни какви cookies се ползват и защо.
• Show equal accept/reject buttons: не крий опцията за отказ.
• Offer granular options: избор по категории cookies (например analytics, marketing и т.н.).
• Allow consent withdrawal: лесен начин за промяна на предпочитанията по-късно.
• Record consent: логвай изборите с timestamp, за да можеш да докажеш съответствие.

3) Прегледай всички форми (contact, signup, checkout и т.н.)

Всяка форма, която събира лични данни, трябва да е GDPR-съвместима. Минималният набор:

• Кратко privacy statement: защо ти трябват данните.
• Неотметнат чекбокс за съгласие (ако разчиташ на consent).
• Отделен opt-in за маркетингови комуникации (не го смесвай с други условия).
• Линк към Privacy Policy.
• Ясен и прост език.

4) Съгласие за маркетинг имейли: направи го доказуемо

За newsletter/маркетинг имейли се стреми процесът да е чист и лесен за доказване:

• Clear opt-in only: неотметнат чекбокс, който е конкретно за имейл съгласие.
• Double opt-in: потвърждение на регистрацията чрез имейл.
• Maintain consent records: записвай дата, час, метод и цел на съгласието.
• Visible unsubscribe link: едноклик отписване във всеки имейл.
• Process unsubscribes promptly: по възможност до 24 часа.

5) План за пробиви: 72 часа не са много

Не чакай „да стане инцидент“, за да мислиш за процес. Базовите точки:

• Уведомяваш надзорния орган в рамките на 72 часа.
• Уведомяваш засегнатите потребители, ако има висок риск за правата им.
• Документираш всичко (за accountability).
• Ъпдейтваш политики и мерки, за да предотвратиш повторение.

WordPress специфики: какво да провериш, ако сайтът ти е на WP

WordPress сам по себе си не те прави „GDPR compliant“ или „non-compliant“. Реално значение има какви теми/плъгини ползваш и как са конфигурирани.

• Дръж WordPress core, теми и плъгини винаги обновени.
• Ползвай contact form плъгини, които поддържат consent checkbox.
• Инсталирай cookie consent решение, което блокира non-essential cookies до избор.
• Ползвай GDPR-съвместима analytics конфигурация/решение.
• Прегледай практиките на плъгините за събиране на данни (какво и къде изпращат).
• Имплементирай функционалност за export/delete на потребителски данни.

Санкции по GDPR: какво реално рискуваш

Регламентът предвижда две нива на финансови санкции:

• Lower tier violations: до €10 млн. или 2% от годишния световен оборот.
• Upper tier violations: до €20 млн. или 4% от годишния световен оборот.

Освен глоби, надзорните органи могат да: издават предупреждения, временно или постоянно да забранят обработване, да разпоредят изтриване на данни или да ограничат трансфери.

FAQ: най-честите въпроси

Какво е GDPR compliance checklist?

GDPR compliance checklist е списък от действия, които трябва да изпълниш, за да си в съответствие с GDPR. Помага да откриеш слабите места и да подобриш практиките по защита на данните.

Кой отговаря за GDPR съответствието?

Основно отговаря Data Controller (обикновено собственикът на сайта/бизнесът). Data Processors също имат задължения за съответствие.

GDPR важи ли за бизнеси в САЩ?

Да — ако обработваш лични данни на хора от ЕС, независимо къде е регистриран бизнесът ти.

Каква е максималната санкция при несъответствие?

До €20 млн. или 4% от годишния световен оборот — което е по-високото.

Нужен ли ми е cookie banner?

Да, ако сайтът използва non-essential cookies и имаш посетители от ЕС.

Нужен ли ми е DPO (Data Protection Officer)?

Само ако: (1) си публичен орган, (2) основната ти дейност изисква мащабно, систематично наблюдение на хора, или (3) обработваш чувствителни данни в голям мащаб.