5 stvari koje moraš napraviti na web stranici za usklađenost s GDPR-om

Mnogo se pričalo o GDPR-u zadnjih nekoliko mjeseci, ponajviše u kontekstu izuzetno visokih kazni koje se penju i do 4% godišnjeg prometa (2% za manje prekršaje).

Razumljivo, budući da riječ novčana kazna privlači najviše pozornosti, posebice u Hrvatskoj gdje svako malo čujemo u medijima za neki bizaran slučaj kažnjavanja poduzetnika zbog administrativne greške koje nije bio ni svjestan. 😊

Imajući u vidu da primjena GDPR-a starta već 25. svibnja (što bi u trenutku pisanja ovog članka to bio tekući mjesec), pokušat ću ovdje kratko i konkretno odgovoriti na 3 vrlo važna pitanja:

  1. Što je to uopće GDPR?
  2. Odnosi li se GDPR i na mene?
  3. Što sve moram napraviti da bi bio u skladu s novom europskom regulativom?

Dat ću sve od sebe da objasnim sve izuzetno jednostavnim i razumljivim rječnikom tako da već danas možeš krenuti s nužnim prilagodbama.

Kada kažem nužne prilagodbe, osvrnut ću se isključivo na nužne promjene u kontekstu tvoje web stranice koje bi trebao krenuti odrađivati što prije.

Naravno, s ovim člankom Pisalica ne garantira kako će tvoja tvrtka biti usklađena s GDPR-om jer se njegova primjena proteže na mnoge druge odjele i procese u tvrtki kao što npr. može biti obrada podataka svih zaposlenika.

Svakako ti preporučujem da se konzultiraš s pravnikom jer postoje određeni dijelovi GDPR-a koji ne mogu biti iznad odredbi pojedinih nacionalnih zakona, a koji npr mogu propisivati dužinu razdoblja unutar kojeg se moraju čuvati nečiji podaci. Ima još takvih stvari pa ponavljam – konzultiraj se i s pravnikom 😊

No, krenimo redom.

GDPR – što je to?

U vremenima kada sve češće dolazi do „curenja“ osobnih podataka prema trećim stranicama i kada oni zapravo postaju jedna od najvrjednijih valuta koje tvrtke imaju na raspolaganju, europska inicijativa da se korisniku vrati kontrola nad podacima je svakako hvale vrijedna.

Ona je za dobrobit europskih građana brzo pretvorena u novu europsku regulativuGeneral Data Protection Regulation ili skraćeno GDPR.

U suštini, radi se o nizu mjera kojih će se morati pridržavati sve tvrtke i institucije (osim naravno javnih ustanova Republike Hrvatske 😊 ) koje djeluju na području EU-a, kao i sve pravne osobe čiji su klijenti građani EU-a. Da bi ova regulativa bila važeća, država članica EU-a ne mora imati svoj poseban zakon, iako će naravno većina dopuniti svoje zakone o zaštiti podataka kako bi oni bili u skladu s onime što traži EU.

U nekakvoj srži cijele problematike, GDPR želi svakom građaninu EU-a u kontekstu njegovih osobnih podataka pružiti pažljivo i odgovorno postupanje tvrtke koja obrađuje nečije podatke. Tu su još i druga načela:

  1. Transparentnost – tvrtka koja obrađuje osobne podatke mora na vrijeme informirati svojeg korisnika o njegovim pravima u kontekstu obrade i zaštite osobnih podataka, kao i načinu na koji ih može ostvariti. Prava se najjednostavnije mogu komunicirati putem web stranice koja sadrži tzv. „Izjavu o privatnosti“. Pročešljaj nekoliko web stranica i provjeri kako izgledaju te izjave – bitno je samo da su napisane razumljivim rječnikom i da iz nje korisnik može jednostavno saznati svoja prava.
  2. Ograničenje svrhe korištenje podataka – svaki podatak koji korisnik ostavi nekoj pravnoj osobi, smije se koristi samo u onoj svrsi za koju je dobiven pristanak. Npr, ako je kupac putem web shopa ostavio svoju e-mail adresu, ona se smije koristiti samo i isključivo za komunikaciju oko realizacije te narudžbe (za što treba naravno tražiti pristanak). Da bi se ta ista e-mail adresa koristila npr. u newsletter kampanji, za tu namjenu korisnik mora dodatno dati svoj pristanak.
  3. Minimalizacija (prikupljanje samo nužnih podataka) – ako radiš nagradni natječaj, nema smisla da prikupljaš bilo što drugo osim e-mail adrese te imena i prezimena, zar ne? (koji će se koristiti samo u svrhu kontakta te osobe za predaju nagrade)
    Ovo načelo propagira da se od korisnika traže samo podaci koji su nužni za ciljanu svrhu. Znaš one „besplatne“ aplikacije koje traže pristup svim mogućim podacima pohranjenim na mobitelu? Ovo treće načelo bit će posebno bolno za njih jer bi aplikacije također trebale tražiti pristup samo podacima koji su nužni da ispune svoju ciljanu namjenu 😊
  4. Točnost – podatke koje imaš o korisnicima moraju uvijek biti točni i ažurni. Npr, ako imaš u svojoj newsletter bazi nečiji poslovni e-mail, a ta osoba je prestala raditi u toj tvrtki i taj isti e-mail sada koristi netko drugi, newsletter koji šalješ krši GDPR regulativu. Provjeravaj redovito svoje baze podataka i kontroliraj točnost istih. Korisnici moraju također biti u mogućnosti sami ažurirati svoje osobne podatke (putem korisničkih profila), uz mogućnost da ih potpuno izbrišu;
  5. Vremenski rok uporabe – u suštini, podatak se ne bi trebao skladištiti duže od namjene za koju je bio namijenjen. Opet primjer nagradne igre – nakon što ista završi, sve podatke koje si skupio trebao bi obrisati.

U svim ovim načelima pojavljuje se još jedna izuzetno važna stvar – privola. Naime, za bilo koji osobni podatak koji skupiš, moraš imati privolu za korištenje u točno određenu svrhu, bilo da je ona zapisana u digitalnoj ili papirnatoj formi.

Na primjer – imaš novog kupca na web shopu koji je za svrhu realizacije narudžbe ostavio svoju e-mail adresu, ime, prezime, adresu i broj telefona. U tom slučaju bilo bi dobro u postupku registracije dodati sve svrhe za koje bi tražio privolu da se koriste podaci. Svrhe mogu biti sljedeće:

  • Kontakt kupca u vezi statusa narudžbe;
  • Kontakt kupca za slanje posebne ponude (npr. kada kupac napuni košaricu, a ne završi narudžbu pa mu želiš poslati promotivni kod za popust);
  • Slanje promotivnih materijala kroz newsletter;
  • Slanje promotivnih materijala putem SMS-a;

Dakle, prije klika na gumb „Registriraj se“, najbolje je kod svake privole dodati prazan kvadratić gdje kupac može dodati kvačicu (s time da te kućine moraju biti prazne, bez unaprijed dodanih kvačica). Te privole će onda biti zapisane digitalno pa jednog dana kada dođe inspekcija ili imaš spor s nekim kupcem, možeš pokazati da imaš privolu za spornu namjenu korištenja osobnog podatka.

Na koga se sve odnosi GDPR?

Najkraće moguće rečeno – ako skupljaš nečije osobne podatke i koristiš ih u određene namjene, morat ćeš se pridržavati GDPR regulative.

Pod termin osobnih podatak ulazi sljedeće:

  • Ime i prezime
  • Broj osobne iskaznice
  • OIB
  • Podaci kreditnih i debitnih kartica
  • IP adresa
  • Email adresa
  • Broj telefona
  • Kolačići u pregledniku
  • Zdravstveni karton
  • Biometrijski podaci (otisci prsta, sken rožnice i sl.)
  • Genetski podaci
  • Vjerska i politička opredjeljenja
  • Seksualna orijentacija
  • Etnička pripadnost

I tako dalje.

Mislim da nisam sve popisao, no nadam se da shvaćaš poantu – imaš web stranicu? Obrađuješ osobne podatke.

Šalješ redovito newsletter? Obrađuješ osobne podatke.

Isplaćuješ plaće? Obrađuješ osobne podatke.

Imaš web shop i procesuiraš svakodnevno hrpu narudžbi? Opet ista stvar.

Jednostavno rečeno, ako imaš u bazi podataka ljude (bilo kupce ili zaposlenike) koji su građani Europske unije, nužan si prilagoditi tvrtku odredbama GDPR-a.

Ovdje ide još jedna važna napomena – GDPR regulativa se odnosi samo na osobne podatke.

Ostali podaci koji ne ulaze u kategoriju osobnih, zaštićeni su nacionalnim zakonodavstvom pojedine članice.

GDPR se dakle ne primjenjuje na anonimizirane podatke (one iz kojih nije moguće utvrditi identitet osobe).

Kako se prilagoditi GDPR-u kontekstu web stranice i newslettera?

Ok, sada kada smo razriješili pitanja što je to GDPR, na koga se odnosi i na koje se sve podatke primjenjuje, možemo konačno navesti par stvari u kontekstu web stranice koje možeš krenuti prilagođavati već danas. Pa evo ih 😊

1. Dodaj na web stranicu Izjavu o privatnosti (ako je nemaš još)

Sjećaš se onog načela transparentnosti? Tamo sam spomenuo tu izjavu, a radi se zapravo o jednoj vrlo važnoj stranici na tvojoj domeni putem koje ti je najjednostavnije obavijestiti korisnika da skupljaš njegove podatke, obrađuješ ih i skladištiš.

Ako tu stranicu još nemaš, dodaj je obavezno do 25. svibnja jer tu svoje korisnike jednostavnim i razumljivim rječnikom informiraš kako tvoj obrt ili tvrtka obrađuje njihove podatke i da oni imaju određena prava.

Kaži mu precizno i jasno kako ih obrađuješ, koje sigurnosne standarde imaš i kako on može promijeniti ili zatražiti brisanje svojih podataka.

Izjava o privatnosti može biti dio „Općih uvjeta poslovanja“ (što često znaju imati tvrtke na svojim web stranicama), bitno je samo da je to vidljivo na web stranici i da korisnik može jasno i nedvosmiselno razumjeti koja su mu prava, kako ti obrađuješ njegove podatke te gdje i kako on može promijeniti ili izbrisati svoje osobne podatke.

Evo par primjera takvih stranica:

https://www.biobio.hr/predugovorne-obavijesti/#privatnost

https://www.tele2.hr/podrska-korisnicima/dokumenti/uvjeti-koristenja-internetske-stranice-www-tele2-hr/tnc943/

https://www.sancta-domenica.hr/Stranica.aspx?page=PrivatnostPodataka

Možda bi neke izjave mogle biti još malo jasnije i razumljivije napisane, no sada barem imaš smjer u kojem krenuti 😊

 

2. Promijeni cookie obavijest tako da korisnik može dati privolu za svaki tracking kod kojeg koristiš

Većina obavijesti o kolačićima (ono što se pojavi na dnu web stranice kada ju prvi puta posjetiš) složene su tako da se podrazumijeva da korisnik daje svoje dopuštenje za korištenje kolačića (što je to kolačić, možeš pročitati ovdje).

Sada to više neće biti zakonski prihvatljiva opcija 😊

Naime, za svaki cookie kojeg tvoja web stranica postavi u nečiji web preglednik (Chrome, Firefox, Safari, Internet Explorer, Edge, itd.), morat ćeš dobiti od korisnika pojedinačnu suglasnost.

U prijevodu, ako tvoj kupac odluči da ne želi da ga pratiš svugdje oglasima u kontekstu remarketinga, morat ćeš to ispoštovati.

Naravno, sve se može i lijepo komunicirati. 😊

Evo primjera: „Naša web stranica koristi sljedeće kolačiće: Google Analytics, Google AdWords Remarketing, Crazy Egg i Facebook Pixel. Sve ovo koristimo kako bi anonimnom analizom vaše aktivnosti dobili informaciju je li iskustvo korištenja naše web stranice vama pozitivno (ako nije da ga poboljšamo), kako bi vi od nas dobili najbolju moguću ponudu za artikl kojeg tražite i kako bi bili informirani o svim akcijama i popustima koje redovito imamo.“

Naravno, ništa ne smije biti predefinirano – korisnik mora za svaki cookie kvačicom ili uključenim statusom dati privolu da se on instalira u njegov preglednik i tek onda smiješ koristiti njegove podatke. Na stranici gdje objašnjavaš što je cookie dobro je navesti kako se oni mogu izbrisati.

Ovako bi recimo izgledala „GDPR friendly cookie privola“:

GDPR cookie

 

Za vlasnike WordPress stranica od koristi može biti ovaj besplatan plugin – nisam ga još stigao osobno isprobati u kontekstu Pisalice, no mislim da ima sve što bi trebao/la za GDPR prilagodbu cookieja.

3. Omogući kupcu brz i jednostavan pregled njegovih osobnih podataka

U slučaju da prodaješ nešto putem web shopa, vrlo vjerojatno imaš osobne podatke svojih kupaca. U tom slučaju zatraži od svojeg web developera da složi za kupce funkcionalnost korisničkih profila.

Naime, na jednom mjestu oni tako dobivaju pregled svih svojih osobnih podataka koje su ti ostavili te ih u tom slučaju mogu sami promijeniti ili izbrisati (čime ćeš si automatski smanjiti broj mailova s takvim zahtjevima 😊 )

Također bi bilo dobro da kod registracije novog kupca on ima mogućnost dati privolu za svaku namjenu korištenja podatka koji ti treba (to sam u tekstu već ranije spomenuo) i da on može sam na svojem profilu dodati ili ukloniti te iste privole za korištenje.

Na svakom korisničkom profilu mora biti mogućnost da ga kupac sam izbriše, zajedno sa svim podacima koji su na njemu (osobni podaci, povijest narudžbi itd.)

4. Dodaj privole na obrazac za registraciju novih newsletter pretplatnika

Većina današnjih obrazaca na web stranici s kojima se skupljaju e-mail adrese za newsletter složeni su tako da imaju tekst tipa „ostavi svoju e-mail adresu i ostvari popust na iduću kupnju“ ili „preuzmi naš besplatan e-book“

Čim netko ostavi svoju e-mail adresu, automatski dolazi na listu putem koje se redovito šalju promotivni materijali.

S dolaskom GDPR-a, to odlazi u povijest.

Ako na obrascu piše kako kako će tvoj korisnik dobiti promo kod ili besplatan e-book, smiješ njegovu adresu koristiti samo da mu pošalješ taj promo kod / e-book i za ništa drugo.

Ako mu želiš slati redovito newsletter, on mora za to dati svoje dopuštenje (privolu). To se najjednostavnije riješi dodatnom „kućicom“ gdje on može staviti kvačicu za primanje newslettera uz jednu važnu napomenu – ta kvačica ne smije biti automatski stavljena:

GDPR newsletter prijava

 

Dobra stvar kod registracije novih newsletter pretplatnika je imati double opt-in prijavu, odnosno da korisnik dobije na e-mail adresu koju je ostavio potvrdni mail gdje je navedeno u koje sve svrhe će se koristiti njegov e-mail na što on daje svoju konačnu potvrdu.

5. Pitaj svoje klijente / kupce ako žele nastaviti primati tvoj newsletter

Dobar dio newsletter lista popunjene su na razne (čudne) načine.

Često se liste kupuju (nemoj to nikada raditi, zbilja), ubace se na jednu listu adrese skupljene kroz razne nagradne natječaje ili kroz dijeljenje besplatnih e-bookova.

Dolaskom GDPR-a, newsletter smiješ slati samo onima od kojih si dobio privolu (dopuštenje) za slanje newslettera.

U slučaju da imaš kupljenu newsletter listu, vjerojatno ti je najbolja opcija da je izbrišeš i više nikada ne koristiš jer riskiraš kazne s početka priče.

Ako pak imaš listu koju si polako i marljivo skupljao i gdje si korisnicima jasno komunicirao za što ćeš koristiti njihovu e-mail adresu, bilo bi onda dobro samo da do kraja svibnja pripremiš newsletter koji će izgledati nekako ovako:

GDPR newsletter

Kao što vidiš, ovaj primjer je napisan vrlo jasno gdje Litmus pita korisnika ako želi i dalje primati newsletter sadržaje od njih. U slučaju da korisnik klikne na gumb, on ostaje na listi, ako ne klikne, prestaje biti na listi.

Jednom kada završi takva newsletter kampanje, iz liste izvučeš segment svih onih kojih su kliknuli na taj gumb, dok sve ostale obrišeš.

Najvažnije za zapamtiti po pitanju GDPR-a

Privola.

To je zapravo najveća novina GDPR-a – ako imaš nečiji osobni podatak, moraš dobiti privolu (dopuštenje) za svaki oblik korištenja.

Korisnik također mora znati koja su mu prava glede njegovih osobnih podataka ako posluje s tobom, mora imati mogućnost da sam ili uz tvoju pomoć svoje podatke promijeni ili obriše te mora imati informaciju kako se postupa s njegovim podacima (tko ih sve koristi i na koji način) i mora u konačnici znati ako je netko neovlašteno došao do njegovih podataka (najkasnije unutar 72h od incidenta).

Stvari koje su ovdje navedene su opće prirode i odnose se samo na dio obveza koje donosi GDPR.

Ponavljam, nisu garancija da je tvoja tvrtka u skladu sa svim odredbama GDPR-a u slučaju da si napravio sve što je spomenuto u ovom članku. Konzultiraj pravnika! 😊

Ako smo nešto propustili spomenuti, pogrešno protumačili ili nismo bili dovoljno jasni, slobodno nas kontaktiraj.