Vprašanje, ki vam ga postavljamo na samem začetku je, ali je vaša spletna stran popolnoma v skladu z zahtevami GDPR zakona, ki je pričel veljati nedavno nazaj, in sicer 25. maja 2018. V nadaljevanju vam podajamo kar nekaj zadev, ki jih morate nujno preveriti v povezavi z vašo spletno stranjo; predvsem je pomembno, da je prav vse v povezavi z novo uredbo skladno tudi z vašo spletno stranjo.
Kaj sploh je GDPR?
GDPR je nova evropska uvedba, ki se navezuje na varstvo osebnih podatkov. Ta vpliva na naše poslovanje in tudi pridobivanje podatkov na spletu. Gre za izjemno zahtevno zakonodajo o varovanju osebnih podatkov. Lahko rečemo, da do sedaj za najzahtevnejšo. Posledično bodo potrebne nove tehnologije, prav tako pa tudi povsem novi načini. Njihova naloga je, da zagotavljajo vrhunske ukrepe na področju varstva osebnih podatkov. Zakon je pričel veljati 25. maja 2018.
GDPR ima izjemen vpliv tudi na vašo spletno stran
Iz posebnega člena zakona GDPR lahko razberemo, da zakon obravnava tudi spletne identifikatorje in podatke o lokaciji kot osebne podatke. Ob tem zahteva, da se zaščitijo na povsem enak način kot drugi identifikatorji. Izjemnega pomena za vas je to, da so tako imenovani piškotki vključeni v obseg spletnih identifikatorjev. Prav tako tudi IP naslov računalnika ali pa GPS podatki vašega mobilnega telefona.
Od 25. maja 2018 morate torej v celoti izpolnjevati zahteve GDPR uredbe in povsem prilagoditi politiko v povezavi z uporabo piškotkov
Ali nova zakonodaja narekuje, kako to storimo v praksi?
Verjetno veste, da so navodila GDPR do neke mere povsem jasna. Potrebna pa bo tudi privolitev, ki jo novi zakon izjemno zaostruje. Privolitev za uporabo osebnih podatkov je na bazi prostovoljstva. Obenem pa mora biti privolitev izražena ne samo prostovoljno, ampak tudi konkretno in nedvoumno.
Zakon pri tem povsem prepoveduje rabo pravnega jezika, ki je v praksi lahko povsem nejasen ali nerazumljiv. Uvodna izjava GDPR pojasni tudi, kaj se šteje pod privolitev, prav tako pa tudi, kako mora biti privolitev zastavljena. To, da vnaprej označimo okenca, je na primer prepovedano.
Uredba GDPR nas tudi opozarja, da v primeru večnamenske uporabe potrebujemo privolitev osebnih podatkov za vsako uporabo posebej. To je izjemnega pomena.
Kako torej pripraviti spletno stran, ki bo povsem zadovoljevala uredbo GDPR?
Seveda se ob vseh členih zakona vprašamo, kako naj se zadeve v povezavi s spletno stranjo lotimo tudi v praksi. V nadaljevanju vam ravno zato navajamo nekaj najbolj pogostih spletnih praks pridobivanja osebnih podatkov. To, kar je potrebno izvajati po 25. maju 2018.
Google analitika oziroma sledenje obiskovalcem
Najprej moramo vedeti, da se brskanje po spletni strani ne šteje kot soglasje za uporabo spletnih podatkov. Ko bo naša stran prvič obiskana, bo potrebno uporabniku prikazati posebno polje za privolitev. Tako privolitev bo potrebno tudi posebej zabeležiti. Prav tako morate uporabniku omogočiti, da svojo odločitev spremeni kadar koli to želi.
Obrazec za piškotke, ki je skladen z GDPR
Obrazec za piškotek, ki je popolnoma skladen z GDPR, mora nujno vsebovati seznam namenov, za katere se bodo uporabljali podatki osebne narave ter od uporabnika je nujno potrebno zahtevati tudi soglasje. Pri tem ne smemo zanemariti tudi povezave do našega pravilnika o zasebnosti. V njem mora biti v povsem ljudskem (preprostem in ne v pravnem) jeziku utemeljeno, zakaj se bodo uporabljali osebni podatki in tudi, kako se bodo v prihodnje obdelovali.
Nastavitev brskalnika in GDPR
Nikjer v uredbi GDPR ne zasledimo besedne zveze nastavitve brskalnika. Pri tem si lahko mislimo, da bodo nastavitve brskalnika obravnavane kot soglasje. Pa je temu res tako? Vemo, da imamo v brskalnikih aktivirano ali izključeno možnost sledenje. V primeru že aktiviranih piškotkov za sledenje ne bo potrebne dodatne zaprositve za dovoljenje. Pri tem pa vas opozarjamo, da bo verjetno na bolj podrobna navodila v povezavi s tem še potrebno nekoliko počakati.
Prav vsak piškotek potrebuje povsem svojo privolitev
Spletne strani, za katere je značilno, da uporabljajo različne piškotke, ki so namenjeni različnim namenom, bodo nujno potrebovale za vsak namen svojo privolitev. Za vsak namen uporabe je torej potrebno narediti okence, ki ga morajo uporabniki posebej pritrditi.
Kako je z možnostjo preklica privolitve?
Uporabnik oziroma obiskovalec mora imeti v vsakem momentu možnost, da lahko prekliče svoje privolitve. Ta mora biti povsem tako enostavna in hitra kot privolitev. To lahko naredimo s pomočjo dodelitve tako imenovanega Opt Out piškotka. Z njim obiskovalcu blokiramo prav vse piškotke ali tiste, ki jih je on sam izbral.
Kako pa je z urejanjem prijav na e-obvestila?
Verjetno je to eno od najbolj pogostih vprašanj, ki se pojavlja v povezavi z vašim poslovanjem. Zanima vas predvsem, kako urediti prijave na tako imenovana e-obvestila. Ponovno je najbolj pomembna jasna privolitev, in sicer z aktivnim dejanjem uporabnika. To v praksi pomeni klik na potrditev. Poleg je potrebno tudi jasno pojasnilo, zakaj podatke potrebujemo in tudi, kako jih bomo obdelovali in prav tako skrbeli za njihovo popolno varnost. Privolitev, ki jo da uporabnik, je nujno potrebno shraniti do njegovega preklica. Svetujemo vam, da si zabeležite točen čas njegove privolitve, IP naslov in tudi vir privolitve.
V praksi to pomeni, da več kot si boste zabeležili, večja je verjetnost, da boste sebe bolje zaščitili. Predvsem v primeru, če vam bo uporabnik v prihodnosti dejal, da vam svoje privolitve ni podal.
Kako pa je s potrjevanjem privolitve? Je obvezno?
V uredbi GDPR prav nikjer ni moč zaslediti, da je potrebno potrjevanje privolitve. Kljub temu vam svetujemo, da poskrbite za dvojno potrditev. Tako se boste na najlažji način izognili vsem morebitnim nevšečnostim. Če boste imeli dvojno potrditev, ste lahko povsem mirni ter prepričani, da se je uporabnik v resnici prijavil sam in da njegovega naslova e-pošte ni vpisala povsem druga oseba.
Kako pa je v primeru službenega e-poštnega naslova? Prav tako potrebujemo privolitev?
Zavedati se moramo, da za prav vsak e-mail nujno potrebujemo privolitev, seveda če gre za povezovanje z drugo osebo. To pomeni, da je privolitev nujno potrebna tako za zasebni kot tudi službeni e-mail. Izjemna pri tem je samo info@ ter še nekateri podobni naslovi. Tu namreč ni povezave z določeno osebo.
GDPR ter obstoječa mailing lista
Če ste seznam z vašimi prejemniki zbrali po načinu, ki ga določa omenjena uredba, potem ste lahko povsem mirni. V nasprotnem primeru boste vsekakor primorani privolitve pridobivati povsem na novo. V tem primeru je najbolje, da uredite ustrezne privolitve, ki jih kasneje pošljete uporabnikom, ki so že prijavljeni na vašo mailing listo. Če pridobite ustrezno privolitev, jo morate nato shraniti in dodati porabnikov e-mail naslov na vaš seznam prejemnikov obvestil. Naslove uporabnikov, za katere niste prejeli ustrezne potrditve, pa je potrebno za vedno izbrisati. Pri tem vas opozarjamo, da nikakor ne pošiljajte prošenj za soglasja na e-naslove, za katere niste povsem prepričani, da so na vašem seznamu prostovoljno. V takem primeru bi vas zlahka lahko doletela visoka kazen.
Spletne trgovine in GDPR
Vemo, da prav vsako profiliranje zahteva pooblaščeno osebo za varovanje osebnih podatkov. Če na primer vaša spletna trgovina obdeluje take podatke, boste morali zaradi uredbe GDPR v svojem podjetju imenovati osebo, ki bo pooblaščena za varovanje podatkov. Taki osebi bomo v nadaljevanju rekli kar DPO.
Obdelava osebnih podatkov v spletni trgovini
V nadaljevanju vam predstavljamo, kaj sploh pomeni obdelovati podatke v vaši spletni trgovini.
Za profiliranje osebnih podatkov se štejejo programi zvestobe, prav tako tudi personalizirano ponujanje povezanih produktov.
Pooblaščeno osebo, ki bo skrbela za varstvo podatkov, bodo tako potrebovali prav vsi, ki se ukvarjajo s trženjem. Prav tako jo bodo potrebovali tudi tisti, za katere velja, da svoje produkte tržijo na podlagi preferenc svojih kupcev.
DPO ter njeno delo
DPO je oseba, ki v podjetju in tudi sicer skrbi za nadzor, rabo osebnih podatkov ter implementacijo. Lahko je to oseba, ki je že zaposlena v nekem podjetju, če ima vse potrebne pogoje, ali pa neka zunanja oseba.
Pomembno je predvsem, da spoštujemo pravice posameznika
Namen uredbe GDPR je tudi spreminjati odnose med ponudniki storitev/izdelkov in uporabnikov. Obenem tudi uvaja seznam vseh pravic, ki se nanašajo na posameznika, na katerega se nanašajo podatki. Pri tem je najbolj pomembno, da pravice upoštevajo tako obdelovalci kot tudi zbiralci osebnih podatkov.
Zagotovo so vam naši nasveti v povezavi z zakonodajo, ki se nanaša na uredbo GDPR, pomagali pri prilagajanju vaše spletne strani. Pri vsem vam lahko pomagajo tudi podjetja, ki se s tem profesionalno ukvarjajo. Z njimi se lahko povežete tudi preko spleta. Oni pa vam lahko v celoti uredijo vašo spletno stran, in sicer po načelih GDPR uredbe. Prav tako vam bodo ves čas tudi pomagali ter svetovali pri pripravi spletnih obrazcev.
Taka podjetja lahko poskrbijo tudi za tehnični del ustrezne uporabe piškotkov ter nenazadnje pomagali vam bodo tudi pri urejanju vaše vsebine na spletni strani, ki bo povsem v skladu z novo uredbo. Vsakega povpraševanja bodo zagotovo izjemno veseli.