Mnogo se pričalo o GDPR-u zadnjih nekoliko mjeseci, ponajviše u kontekstu izuzetno visokih kazni koje se penju i do 4% godišnjeg prometa (2% za manje prekršaje).
Razumljivo, budući da riječ novčana kazna privlači najviše pozornosti, posebice u Hrvatskoj gdje svako malo čujemo u medijima za neki bizaran slučaj kažnjavanja poduzetnika zbog administrativne greške koje nije bio ni svjestan. 😊
Imajući u vidu da primjena GDPR-a starta već 25. svibnja (što bi u trenutku pisanja ovog članka to bio tekući mjesec), pokušat ćemo ovdje kratko i konkretno odgovoriti na 3 vrlo važna pitanja:
- Što je to uopće GDPR?
- Odnosi li se GDPR i na mene?
- Što sve moram napraviti da bi bio u skladu s novom europskom regulativom?
Dat ćemo sve od sebe da objasnimo sve izuzetno jednostavnim i razumljivim rječnikom tako da već danas možete krenuti s nužnim prilagodbama.
Kada kažemo nužne prilagodbe, osvrnut ćemo se isključivo na nužne promjene u kontekstu vaše web stranice koje bi trebali krenuti odrađivati što prije.
Naravno, s ovim člankom ne garantiramo kako će vaša tvrtka biti usklađena s GDPR-om jer se njegova primjena proteže na mnoge druge odjele i procese u tvrtki kao što npr. može biti obrada podataka svih zaposlenika.
Svakako vam preporučamo da se konzultirate s pravnikom jer postoje određeni dijelovi GDPR-a koji ne mogu biti iznad odredbi pojedinih nacionalnih zakona, a koji, na primjer, mogu propisivati dužinu razdoblja unutar kojeg se moraju čuvati nečiji podaci. Ima još takvih stvari pa ponavljamo – konzultirajte se i s pravnikom 😊
GDPR – što je to?
U vremenima kada sve češće dolazi do „curenja“ osobnih podataka prema trećim stranama i kada oni zapravo postaju jedna od najvrjednijih valuta koje tvrtke imaju na raspolaganju, europska inicijativa da se korisniku vrati kontrola nad podacima je svakako hvale vrijedna.
Ona je za dobrobit europskih građana brzo pretvorena u novu europsku regulativu – General Data Protection Regulation ili skraćeno GDPR.
U suštini, radi se o nizu mjera kojih će se morati pridržavati sve tvrtke i institucije (osim naravno javnih ustanova Republike Hrvatske 😊 ) koje djeluju na području EU-a, kao i sve pravne osobe čiji su klijenti građani EU-a. Da bi ova regulativa bila važeća, država članica EU-a ne mora imati svoj poseban zakon, iako će naravno većina dopuniti svoje zakone o zaštiti podataka kako bi oni bili u skladu s onime što traži EU.
U nekakvoj srži cijele problematike, GDPR želi svakom građaninu EU-a u kontekstu njegovih osobnih podataka pružiti pažljivo i odgovorno postupanje tvrtke koja obrađuje nečije podatke. Tu su još i druga načela:
- Transparentnost – tvrtka koja obrađuje osobne podatke mora na vrijeme informirati svojeg korisnika o njegovim pravima u kontekstu obrade i zaštite osobnih podataka, kao i načinu na koji ih može ostvariti. Prava se najjednostavnije mogu komunicirati putem web stranice koja sadrži tzv. „Izjavu o privatnosti“. Pročešljajte nekoliko web stranica i provjerite kako izgledaju te izjave – bitno je samo da su napisane razumljivim rječnikom i da iz nje korisnik može jednostavno saznati svoja prava.
- Ograničenje svrhe korištenje podataka – svaki podatak koji korisnik ostavi nekoj pravnoj osobi, smije se koristiti samo u onoj svrsi za koju je dobiven pristanak. Npr, ako je kupac putem web shopa ostavio svoju e-mail adresu, ona se smije koristiti samo i isključivo za komunikaciju oko realizacije te narudžbe (za što treba naravno tražiti pristanak). Da bi se ta ista e-mail adresa koristila npr. u newsletter kampanji, za tu namjenu korisnik mora dodatno dati svoj pristanak.
- Minimalizacija (prikupljanje samo nužnih podataka) – ako radite nagradni natječaj, nema smisla da prikupljate bilo što drugo osim e-mail adrese te imena i prezimena, zar ne? (koji će se koristiti samo u svrhu kontakta te osobe za predaju nagrade).
Ovo načelo propagira da se od korisnika traže samo podaci koji su nužni za ciljanu svrhu. Znate one „besplatne“ aplikacije koje traže pristup svim mogućim podacima pohranjenim na mobitelu? Ovo treće načelo bit će posebno bolno za njih jer bi aplikacije također trebale tražiti pristup samo podacima koji su nužni da ispune svoju ciljanu namjenu 😊 - Točnost – podatke koje imate o korisnicima moraju uvijek biti točni i ažurni. Npr, ako imate u svojoj newsletter bazi nečiji poslovni e-mail, a ta osoba je prestala raditi u toj tvrtki i taj isti e-mail sada koristi netko drugi, newsletter koji šaljete krši GDPR regulativu. Redovito provjeravajte svoje baze podataka i kontrolirajte točnost istih. Korisnici moraju također biti u mogućnosti sami ažurirati svoje osobne podatke (putem korisničkih profila), uz mogućnost da ih potpuno izbrišu;
- Vremenski rok uporabe – u suštini, podatak se ne bi trebao skladištiti duže od namjene za koju je bio namijenjen. Opet primjer nagradne igre – nakon što ista završi, sve podatke koje ste skupili trebali biste obrisati.
U svim ovim načelima pojavljuje se još jedna izuzetno važna stvar – privola. Naime, za bilo koji osobni podatak koji skupite, morate imati privolu za korištenje u točno određenu svrhu, bilo da je ona zapisana u digitalnoj ili papirnatoj formi.
Na primjer – imate novog kupca na web shopu koji je za svrhu realizacije narudžbe ostavio svoju e-mail adresu, ime, prezime, adresu i broj telefona. U tom slučaju bilo bi dobro u postupku registracije dodati sve svrhe za koje biste tražiili privolu da se koriste podaci. Svrhe mogu biti sljedeće:
- Kontakt kupca u vezi statusa narudžbe;
- Kontakt kupca za slanje posebne ponude (npr. kada kupac napuni košaricu, a ne završi narudžbu pa mu želite poslati promotivni kod za popust);
- Slanje promotivnih materijala kroz newsletter;
- Slanje promotivnih materijala putem SMS-a;
Dakle, prije klika na gumb „Registriraj se“, najbolje je kod svake privole dodati prazan kvadratić gdje kupac može dodati kvačicu (s time da te kućice moraju biti prazne, bez unaprijed dodanih kvačica). Te privole će onda biti zapisane digitalno pa jednog dana kada dođe inspekcija ili imate spor s nekim kupcem, možete pokazati da imate privolu za spornu namjenu korištenja osobnog podatka.
Na koga se sve odnosi GDPR?
Najkraće moguće rečeno – ako skupljate nečije osobne podatke i koristite ih u određene namjene, morat ćete se pridržavati GDPR regulative.
Pod termin osobnih podatak ulazi sljedeće:
- Ime i prezime
- Broj osobne iskaznice
- OIB
- Podaci kreditnih i debitnih kartica
- IP adresa
- Email adresa
- Broj telefona
- Kolačići u pregledniku
- Zdravstveni karton
- Biometrijski podaci (otisci prsta, sken rožnice i sl.)
- Genetski podaci
- Vjerska i politička opredjeljenja
- Seksualna orijentacija
- Etnička pripadnost
I tako dalje.
Mislim da nismo sve popisali, no nadamo se da shvaćate poantu.
Imate web stranicu? Obrađujete osobne podatke.
Šaljete newsletter? Obrađujete osobne podatke.
Isplaćujete plaće? Obrađujete osobne podatke.
Jednostavno rečeno, ako u bazi podataka imate ljude (bilo kupce ili zaposlenike) koji su građani Europske unije, nužno je prilagoditi tvrtku odredbama GDPR-a.
Ovdje ide još jedna važna napomena – GDPR regulativa se odnosi samo na osobne podatke.
Ostali podaci koji ne ulaze u kategoriju osobnih, zaštićeni su nacionalnim zakonodavstvom pojedine članice.
GDPR se, dakle, ne primjenjuje na anonimizirane podatke (one iz kojih nije moguće utvrditi identitet osobe).
Kako se prilagoditi GDPR-u kontekstu web stranice i newslettera?
Ok, sada kada smo razriješili pitanja što je to GDPR, na koga se odnosi i na koje se sve podatke primjenjuje, možemo konačno navesti par stvari u kontekstu web stranice koje možete krenuti prilagođavati već danas. Pa evo ih 😊
1. Dodajte na web stranicu Izjavu o privatnosti (ako je još uvijek nemate)
Sjećate se onog načela transparentnosti? Tamo smo spomenuli tu izjavu, a radi se zapravo o jednoj vrlo važnoj stranici na vašoj domeni putem koje vam je najjednostavnije obavijestiti korisnika da skupljate njegove podatke, obrađujete ih i skladištite.
Ako tu stranicu još nemate, dodajte je obavezno do 25. svibnja jer tu svoje korisnike jednostavnim i razumljivim rječnikom informirate kako vaš obrt ili tvrtka obrađuje njihove podatke i da oni imaju određena prava.
Kažite im precizno i jasno kako ih obrađujete, koje sigurnosne standarde imate i kako on može promijeniti ili zatražiti brisanje svojih podataka.
Izjava o privatnosti može biti dio „Općih uvjeta poslovanja“ (što često znaju imati tvrtke na svojim web stranicama), bitno je samo da je to vidljivo na web stranici i da korisnik može jasno i nedvosmiselno razumjeti koja su mu prava, kako obrađujete njegove podatke te gdje i kako on može promijeniti ili izbrisati svoje osobne podatke.
Evo par primjera takvih stranica:
2. Promijenite cookie obavijest tako da korisnik može dati privolu za svaki tracking kod kojeg koristite
Većina obavijesti o kolačićima (ono što se pojavi na dnu web stranice kada ju prvi puta posjetite) složene su tako da se podrazumijeva da korisnik daje svoje dopuštenje za korištenje kolačića.
Sada to više neće biti zakonski prihvatljiva opcija 😊
Naime, za svaki cookie kojeg vaša web stranica postavi u nečiji web preglednik (Chrome, Firefox, Safari, Internet Explorer, Edge, itd.), morat ćete dobiti od korisnika pojedinačnu suglasnost.
U prijevodu, ako vaš kupac odluči da ne želi da ga pratite svugdje oglasima u kontekstu remarketinga, morat ćeš to ispoštovati.
Naravno, sve se može i lijepo komunicirati. 😊
Evo primjera: „Naša web stranica koristi sljedeće kolačiće: Google Analytics, Google AdWords Remarketing, Crazy Egg i Facebook Pixel. Sve ovo koristimo kako bi anonimnom analizom vaše aktivnosti dobili informaciju je li iskustvo korištenja naše web stranice vama pozitivno (ako nije da ga poboljšamo), kako bi vi od nas dobili najbolju moguću ponudu za artikl kojeg tražite i kako bi bili informirani o svim akcijama i popustima koje redovito imamo.“
Naravno, ništa ne smije biti predefinirano – korisnik mora za svaki cookie kvačicom ili uključenim statusom dati privolu da se on instalira u njegov preglednik i tek onda smijete koristiti njegove podatke. Na stranici gdje objašnjavate što je cookie dobro je navesti kako se oni mogu izbrisati.
Ovako bi recimo izgledala „GDPR friendly cookie privola“:
![](https://pisalica.com/wp-content/uploads/2018/05/Consent_manager_nsb.png)
Za vlasnike WordPress stranica od koristi može biti i besplatan plugin.
3. Omogućite kupcu brz i jednostavan pregled njegovih osobnih podataka
U slučaju da prodajete putem web shopa, vrlo vjerojatno imate osobne podatke svojih kupaca. U tom slučaju zatražite od svog web developera da složi za kupce funkcionalnost korisničkih profila.
Naime, na jednom mjestu oni tako dobivaju pregled svih svojih osobnih podataka koje su vam ostavili te ih u tom slučaju mogu sami promijeniti ili izbrisati (čime ćete si automatski smanjiti broj mailova s takvim zahtjevima 😊 )
Također bi bilo dobro da kod registracije novog kupca on ima mogućnost dati privolu za svaku namjenu korištenja podatka koji vam treba i da on može sam na svom profilu dodati ili ukloniti te iste privole za korištenje.
Na svakom korisničkom profilu mora biti mogućnost da ga kupac sam izbriše, zajedno sa svim podacima koji su na njemu (osobni podaci, povijest narudžbi itd.)
4. Dodajte privole na obrazac za registraciju novih newsletter pretplatnika
Većina današnjih obrazaca na web stranici s kojima se skupljaju e-mail adrese za newsletter složeni su tako da imaju tekst tipa „ostavi svoju e-mail adresu i ostvari popust na iduću kupnju“ ili „preuzmi naš besplatan e-book“
Čim netko ostavi svoju e-mail adresu, automatski dolazi na listu putem koje se redovito šalju promotivni materijali.
S dolaskom GDPR-a, to odlazi u povijest.
Ako na obrascu piše kako kako će vaš korisnik dobiti promo kod ili besplatan e-book, njegovu adresu smijete koristiti samo da mu pošaljete taj promo kod / e-book i za ništa drugo.
Ako mu želite redovito slati newsletter, on mora za to dati svoje dopuštenje (privolu). To se najjednostavnije riješi dodatnom „kućicom“ gdje on može staviti kvačicu za primanje newslettera uz jednu važnu napomenu – ta kvačica ne smije biti automatski stavljena:
![gdpr-newsletter-prijava](https://pisalica.com/wp-content/uploads/2018/05/bildschirmfoto-2018-01-18-um-13.08.21.png)
Dobra stvar kod registracije novih newsletter pretplatnika je imati double opt-in prijavu, odnosno da korisnik dobije na e-mail adresu koju je ostavio potvrdni mail gdje je navedeno u koje sve svrhe će se koristiti njegov e-mail na što on daje svoju konačnu potvrdu.
5. Pitajte svoje klijente / kupce ako žele nastaviti primati tvoj newsletter
Dobar dio newsletter lista popunjene su na razne (čudne) načine.
Često se liste kupuju, ubace se na jednu listu adrese skupljene kroz razne nagradne natječaje ili kroz dijeljenje besplatnih e-bookova.
Dolaskom GDPR-a, newsletter smijete slati samo onima od kojih ste dobili privolu (dopuštenje) za slanje newslettera.
U slučaju da imate kupljenu newsletter listu, najbolja opcija je da je izbrišete i više nikada ne koristite jer riskirate kazne s početka priče.
Ako pak imate listu koju ste polako i marljivo skupljali i gdje ste korisnicima jasno komunicirali za što ćete koristiti njihovu e-mail adresu, bilo bi onda dobro samo da do kraja svibnja pripremite newsletter koji će izgledati nekako ovako:
![GDPR-prijava](https://pisalica.com/wp-content/uploads/2018/05/bildschirmfoto_2018-01-17_um_12.13.21.png)
Kao što vidite, ovaj primjer je napisan vrlo jasno gdje Litmus pita korisnika ako želi i dalje primati newsletter sadržaje od njih. U slučaju da korisnik klikne na gumb, on ostaje na listi, ako ne klikne, prestaje biti na listi.
Jednom kada završi takva newsletter kampanje, iz liste izvučete segment svih onih kojih su kliknuli na taj gumb, dok sve ostale obrišete.
Najvažnije za zapamtiti po pitanju GDPR-a
Privola.
To je zapravo najveća novina GDPR-a – ako imate nečiji osobni podatak, morate dobiti privolu (dopuštenje) za svaki oblik korištenja.
Korisnik također mora znati koja su mu prava glede njegovih osobnih podataka ako posluje s vama, mora imati mogućnost da sam ili uz vašu pomoć svoje podatke promijeni ili obriše te mora imati informaciju kako se postupa s njegovim podacima (tko ih sve koristi i na koji način) i mora u konačnici znati ako je netko neovlašteno došao do njegovih podataka (najkasnije unutar 72h od incidenta).
Stvari koje su ovdje navedene su opće prirode i odnose se samo na dio obveza koje donosi GDPR.
Ponavljamo, nisu garancija da je vaša vrtka u skladu sa svim odredbama GDPR-a u slučaju da ste napravili sve što je spomenuto u ovom članku. Konzultirajte se s pravnikom! 😊
Ako smo nešto propustili spomenuti, pogrešno protumačili ili nismo bili dovoljno jasni, slobodno nas kontaktirajte.