Blog - informacijski kotiček

Kako pripraviti spletno stran na GDPR

Igor Videčnik

2. Marec 2018
Igor Videčnik

0

Kako pripraviti spletno stran na GDPR

Kaj je GDPR?

Ker se v zadnjem času veliko govori o GDPR bomo najprej poenostavljeno povedali kaj to sploh je:

GDPR (General Data Protection Regulation) je nova evropska uredba o varstvu osebnih podatkov. V Sloveniji v tem trenutku to področje ureja še veljavni Zakon o varstvu osebnih podatkov ali krajše ZVOP-1. Ker pa Evropska komisija zahteva, da se GDPR uredba prenese v pravni red vseh držav članic do 25. maja 2018 bodo poslanci tudi v Sloveniji do takrat razveljavili trenutni zakon in sprejeli novega (ZVOP-2).

Novi zakon o varstvu osebnih podatkov (ZVOP-2) bo v večini kopija GDPR-ja kot lahko sklepamo na podlagi trenutno pripravljenega osnutka. Morda pa se zgodi, da dodamo še kaj svojega. Zakon še ni bil sprejet in zato se pustimo presenetiti.

Če se sprašujete ali bo GDPR vplival tudi na vaše poslovanje in pridobivanje podatkov na spletu vas moramo opozoriti, da se bo to zagotovo zgodilo. Gre namreč za najzahtevnejšo zakonodajo o varovanju osebnih podatkov doslej. Potrebne bodo nove tehnologije in novi načini, ki bodo zagotavljali vrhunske ukrepe na področju varstva osebnih podatkov.

25. maj 2018 se hitro približuje in zadnji čas je, da se pripravite na novo zakonodajo.

Kako bo GDPR vplival na vašo spletno stran?

Če želimo odgovoriti na to vprašanje moramo najprej razdelati kaj vse po novi evropski uredbi spada med osebne podatke. Poglejmo torej podrobneje opredelitev pojma “osebni podatki” v novi GDPR uredbi. Mimogrede, termin “osebni podatki” se v besedilu pojavi skoraj 600 krat.

V 4. členu uredbe lahko najdemo naslednje besedilo:

„osebni podatki“ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;

Iz navedenega člena lahko razberemo, da GDPR obravnava spletne identifikatorje in podatke o lokaciji kot osebne podatke in zahteva, da se zaščitijo na enak način kot drugi zgoraj našteti identifikatorji.

Kar je za nas pomembno je to, da so PIŠKOTKI vključeni v obseg spletnih indentifikatorjev kot tudi IP naslov računalnika ali GPS podatki vašega mobilnega telefona. Vse to je dobro opisano v uvodni izjavi uredbe pod številko 30:

Posamezniki so lahko povezani s spletnimi identifikatorji, ki jih zagotovijo njihove naprave, aplikacije, orodja in protokoli, kot so naslovi internetnega protokola in identifikatorji piškotkov, ali drugimi identifikatorji, kot so oznake za radiofrekvenčno identifikacijo. To lahko pusti sledi, ki se lahko, zlasti kadar se kombinirajo z edinstvenimi identifikatorji in drugimi informacijami, ki jih prejmejo strežniki, uporabijo za oblikovanje profilov posameznikov in njihovo identifikacijo.

Kaj to pomeni za vašo spletno strani in uporabo marketinških in analitičnih orodij, ki vsa po vrsti uporabljajo piškotke? To pomeni, da boste od 25. maja 2018 morali v celoti izpolnjevati zahteve GDPR uredbe in prilagoditi vašo politiko uporabe piškotkov.

Verjetno se sprašujete ali prihajajoča zakonodaja tudi narekuje kako to storitit? Do neke mere so navodila jasna, potrebna bo privolitev, ki pa jo GDPR zelo zaostruje.

Stroga privolitev za uporabo osebnih podatkov

Razumevanje privolitve in soglasja za uporabo osebnih podatkov je po novi uredbi okrepljeno in razširjeno.

11. točka 4. člena določa soglasje z naslednjimi besedami:

„privolitev posameznika, na katerega se nanašajo osebni podatki“ pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj;

Privolitev za uporabo osebnih podatkov mora biti izražena prostovoljno, konkretno in nedvoumno. GDPR na tem področju tudi prepoveduje rabo pravnega jezika (uvodna izjava št. 58), ki bi lahko bila za koga nerazumljiva ali dvoumna.

V uvodni izjavi št. 32 uredba pojasnjuje tudi kaj lahko štejete kot privolitev in na kakšen način mora biti privolitev zastavljena. Vnaprej označena okenca za privolitev so prepovedana.

Privolitev bi morala biti dana z jasnim pritrdilnim dejanjem, ki pomeni, da je posameznik, na katerega se nanašajo osebni podatki, prostovoljno, specifično, ozaveščeno in nedvoumno izrazil soglasje k obdelavi osebnih podatkov…. To lahko vključuje označitev okenca ob obisku spletne strani, izbiro tehničnih nastavitev za storitve informacijske družbe ali katero koli drugo izjavo ali ravnanje, ki v tem okviru jasno kaže na to, da posameznik, na katerega se nanašajo osebni podatki, sprejema predlagano obdelavo svojih osebnih podatkov. Molk, vnaprej označena okenca ali nedejavnost zato ne pomenijo privolitve.

V nadaljevanju uredba opozorja, da v primeru večnamenske uporabe osebnih podatkov potrebujemo privolitev za vsako uporabo posebej.

Implementacija GDPR uredbe v praksi (kako pripraviti spletno stran)

Zajeli smo nekaj konkretnih členov nove uredbe, zdaj pa je čas da pogledamo, kako se bomo zadeve lotili v praksi. Navedli bomo nekaj najpogostejših spletnih praks pridobivanja osebnih podatkov in kako to izvajati po 25. maju 2018 v skladu z GDPR oz. ZVOP-2.

1) Sledenje obiskovalcem / Google Analitika

Nadležna opozorila, da se z uporabo spletne strani strinjate tudi z rabo piškotkov so preteklost. V skladu z novo zakonodajo takšno opozorilo ne bo veljalo kot privolitev za uporabo osebnih podatkov (piškotki so po GDPR osebni podatek). Kot smo že omenili, če ni resnične svobodne izbire in afirmativne akcije uporabnika, se zgolj brskanje po strani ne šteje kot soglasje za uporabo osebnih podatkov.

Ob prvem obisku strani bo potrebno uporabniku prikazati polje za privolitev in to privolitev tudi ustrezno zabeležiti. Uporabniku ste dolžni omogočiti tudi, da svojo odločitev kakdarkoli spremeni.

privolitev piskotkov po gdpr

Vir: PageFair

Kaj naj vsebuje obrazec za piškotke skladen z GDPR?
1) seznam namenov za katere bodo uporabljeni osebni podatki
2) od uporabnika mora zahtevati aktivno soglasje

Pozabiti pa ne smemo niti na povezavo do vašega pravilnika o zasebnosti, v katerem mora biti v nepravnem jeziku pojasnjeno, zakaj se bodo osebni podatki uporabljali in kako se bodo v nadaljnje obdelovali.

Pozor: obstaja možnost, da za vse vrste sledenja uporabniku ne bo potrebna privolitev. V primeru, da se zbrani podatki uporabijo samo za preučevanje učinkovitosti spletnega mesta morda privolitev ne bo potrebna. Veljavna Uredba o zasebnosti in elektronskih komunikacijah zajema to možnost. Uporaba analitike izključno za namene preučevanja učinkovitosti spletnega mesta ne potrebuje privolitve. Vendar pozor, v kolikor vaša stran uporablja piškotke tudi za ponovno trženje oz. želite s pomočjo piškotkov personalizirati vsebine spletne strani glede na vedenje uporabnika, boste privolitev zagotovo potrebovali.

 Kako je z nastavitvami brskalnika?

V GDPR uredbi ne boste zasledili omembe “nastavitve brskalnika”. Ali to pomeni, da bodo nastavitve brskalnika obravnavane kot soglasje?
Kot verjetno že veste, imamo v brskalnikih bodisi aktivirano ali izključeno možnost sledenja. Najnovejši osnutek Uredbe o zasebnosti in elektronskih komunikacijah kaže, da v primeru že aktiviranih piškotkov za sledenje v okviru brskalnika, ki ga obiskovalci uporabljajo, najverjetneje le-teh ne bo potrebno dodatno zaprositi za privolitev.
Vendar POZOR! Na točna navodila glede nastavitev brskalnikov bo potrebno še malo počakati.

Vsak piškotek potrebuje svojo privolitev

Spletne strani, ki uporabljajo različne piškotke za različne namene obdelave podatkov (slednje, socialna omrežja, ponovno trženje, marketinška avtomatizacija) bodo potrebovala za vsak namen svojo privolitev. Svetujemo, da za vsak namen uporabe piškotkov naredite posebej pritrdilno okence.

Uvodna izjava št. 32:

Kadar je obdelava večnamenska, bi bilo treba privolitev dati za vse namene obdelave. Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana na podlagi zahteve z elektronskimi sredstvi, mora biti zahteva jasna in natančna, prav tako pa ne sme po nepotrebnem ovirati uporabe storitve, za katero se zagotavlja.

2) Možnost preklica privolitve

Obiskovalec mora imeti v vsakem trenutku možnost preklica svoje privolitve, ki mora biti enako enostavna kot privolitev (člen 7, točka 3):

Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da svojo privolitev kadar koli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem. O tem se pred privolitvijo obvesti posameznik, na katerega se nanašajo osebni podatki. Privolitev je enako enostavno preklicati kot dati.

Ena od možnosti kako to izvesti v praksi je dodelitev Opt Out piškotka, s katerim obiskovalcu blokiramo vse piškotke ali pa samo tiste, ki jih je obiskovalec izbral.

3) Prijava na e-novice po GDPR zakonodaji

Ena najbolj pogostih vprašanj v povezavi z GDPR je, kako urediti prijave na e-obvestila. Večino pomembnih stvari smo zgoraj že opisali. Pomembna je jasna privolitev z aktivnim dejanjem uporabnika (klik na potrditev). Zraven pa jasno pojasnilo zakaj podatke potrebujemo, kako jih bomo obdelovali in skrbeli za njihovo varnost.

Privolitev uporabnika je potrebno zabeležiti in shraniti do preklica. Priporočamo, da zabeležite čas privolitve, IP naslov naprave in vir privolitve (brskalnik ali napravo). Več kot boste zabeležili podatkov bolje boste zaščitili sebe v primeru, da bo uporabnik nekoč trdil, da vam privolitve ni podal.

Ali je potrjevanje privolitve obvezno (Double Opt-in)?

Nikjer v uredbi GDPR ni možno zaslediti, da bi bilo zahtevano potrjevanje privolitve. Vseeno pa dvojno potrditev priporočamo v izogib morebitnim nevšečnostim. V kolikor boste imeli zabeleženo privolitev prijave in še potrditev iz potrditvenega e-mail naslova ste lahko prepričani, da se je uporabnik resnično prijavil sam in njegovega e-poštnega naslova ni vpisal nekdo drug.

Ali za službeni e-poštni naslov potrebujem privolitev?

Privolitev potrebujete za vsak e-mail naslov, ki ga je mogoče povezati z neko osebo. Ne glede na to ali je e-mail naslov službeni ali zaseben potrebujete enako jasno in nedvoumno privolitev. Izjema so samo info@ in podobi poštni naslovi, ki jih ni mogoče povezati z določeno osebo.

4) Kaj narediti z obstoječo mailing listo?

V kolikor ste seznam vaših prejemnikov zbrali na način kot ga določa GDPR uredba in imate za vsak e-poštni naslov ustrezno privolitev ste lahko mirni. V primeru, da pa ste e-poštne naslove zbrali brez ustreznih privolitev boste primorani privolitve pridobiti na novo.

Kaj lahko storite? Uredite ustrezne privolitve in jih razpošljite uporabnikom, ki so se že prijavili na vašo mailing listo. V kolikor pridobite ustrezno privolitev, jo shranite in dodajte uporabnikov e-poštni naslov na vaš seznam prejemnikov obvestil. Naslove za katere pa pridobitve v skladu z GDPR niste uspeli pridobiti, predlagamo da trajno izbrišite.

POZOR: ne pošiljajte prošnje za pridobitev soglasja na e-naslove za katere niste 100% prepričani, da so se a vaš seznam prijavili prostovoljno. Tudi po trenutni zakonodaji (ZVOP-1) vas lahko doleti visoka kazen.

5) Spletne trgovine in programi zvestobe

Vsako profiliranje zahteva pooblaščeno osebo za varovanje osebnih podatkov.

V kolikor vaša spletna trgovina obdeluje osebne podatke kupcev, boste po novi zakonodaji morali v podjetju imenovati osebo, ki bo pooblaščena za varovanje podatkov (DPO oz. Data protection officer).
Kaj sploh pomeni obdelovati osebne podatke v spletni trgovini?
Programi zvestobe v kakšni koli obliki ali pa personalizirano ponujanje povezanih produktov se šteje za profiliranje osebnih podatkov. Pooblaščeno osebo za varstvo osebnih podatkov bodo potrebovali vsi, ki se ukvarjajo z  vedenjskim trženjem in vsi, ki svoje produkte tržijo na podlagi preferenc njihovih kupcev.

Kdo je DPO in kaj počne?

To je oseba, ki bo skrbela za nadzor, implementacijo in rabo osebnih podatkov. DPO bo lahko eden od zaposlenih, ki bo ustrezal pogojem ali pa zunanja oseba. Kakšni bodo pogoji za imenovanje pooblaščene osebe trenutno še ni čisto jasno.

6) Spoštujte pravice posameznika

GDPR spreminja odnose med ponudniki storitev in uporabniki ter uvaja seznam pravic posameznika na katerega se podatki nanašajo. Pravice morajo upoštevati tako obdelovalci kot zbiralci osebnih podatkov.

Med pomembne pravice posameznika spadajo naslednje:

  • Pravica dostopa posameznika do vseh svojih osebnih podatkov in dolžnost informiranja posameznika, katere podatke o njem zbiramo (oddelek 2, člen 15)
  • Pravica do popravka osebnih podatkov posameznika (oddelek 3, člen 16)
  • Pravica do prenosljivosti podatkov tretji osebi ali organizaciji brez oviranja (oddelek 3, člen 20)
  • Pravica do izbrisa, znana tudi kot “pravica do pozabljenosti” (oddelek 3, člen 17)
  • Pravica do odvzema privolitve na enak način kot je bila dana
  • Pravica do omejitve obdelave osebnih podatkov in pravica do ugovora (oddelek 3, člena 18 in 21)

Zelo pomembno bo, da privolitve dobro definirate in jih ne pustite preveč splošnih. Za vsako rabo oz. obdelavo podatkov potrebujete svojo privolitev.

Zdaj je čas, da ukrepamo.

Upamo, da vam bodo zgornji nasveti pomagali pri prilagajanju spletne strani na prihajajočo novo zakonodajo. Pri implementaciji vam lahko tudi pomagamo. Vsi, ki potrebujete našo pomoč, izpolnite naš obrazec za povpraševanje in z veseljem se bomo odzvali. 

Lahko vam pomagamo na več načinov:
– v celoti uredimo vašo spletno stran po načelih GDPR uredbe
– pomagamo in svetujemo vam ustrezno pripraviti spletne obrazce
– poskrbimo za tehnični del ustrezne uporabe piškotkov
– pomagamo vam vsebinsko urediti spletno stran v skladu z novo uredbo

Veseli bomo vašega povpraševanja.

Najemite nas za svoj projekt

Začnimo projekt skupaj