Ovim putem obavještavamo Vas o GDPR regulativi koja će se primjenjivati od 25. svibnja 2018. godine., te o potrebnim prilagodbama Web Stranica i Web shopova koje je potrebno poduzeti kako bi se ta regulativa ispoštovala.
GDPR je Opća uredba o zaštiti osobnih podataka (General Data Protection Regulation).
04.05.2016 u službenom listu evropske unije objavljena je nova uredba „UREDBA (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka:“
Bezuvjetno stupa na snagu 25.05.2018. godine.
od 27. travnja 2016.
UREDBA (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA
http://eur-lex.europa.eu/legal-content/hr/TXT/?uri=CELEX:32016R0679
Službeni list Europske unije 24.5.2017
O zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka)
http://eur-lex.europa.eu/legal-content/HR/TXT/?qid=1526129901587&uri=CELEX:52017XX0524(01)
Sažetak Mišljenja Europskog nadzornika za zaštitu podataka (EDPS) o prijedlogu Uredbe o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ
(Cjeloviti tekst ovog mišljenja dostupan je na engleskom, francuskom i njemačkom jeziku na portalu Europskog nadzornika za zaštitu podataka www.edps.europa.eu)
(2017/C 164/02)
Izuzetno visoke kazne za nepoštivanje odredbi DGPR-a
Predviđene kazne za neprovođenje i kršenje odredbi GDPR-a sežu do 20 000 000 EUR, ili u slučaju poduzetnika 4% ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće.
Za nadzor je zadužena Agencija za zaštitu osobnih podataka (AZOP).
Direktiva se odnosi na sve gospodarske subjekte koji posluju u EU – uključujući mala i srednja poduzeća, javne institucije, tijela i agencije koje prikupljaju osobne podatke.
Stupanjem GDPR-a na snagu, mnoge tvrtke imaju obavezu imenovanja Data Protection Officera (DPO), odnosno službenika za zaštitu osobnih podataka. Uz to, osnovno razumijevanje procesa i klasifikacije podataka se podrazumijeva.
Pristanak osobe na korištenje njenih osobnih podataka smatra se jasnim činom odobrenja. U slučaju proboja sigurnosti podataka tvrtke su dužne obavijestiti nadležne službe, ali i pojedinca čiji su osobni podaci povrijeđeni.
GDPR primjena za Web stranice i Web Shopove
Potrebno je odraditi nužne prilagodbe poslovanja (ovaj članak ne garantira kako će Vaša tvrtka biti usklađena s GDPR-om jer se njegova primjena proteže na mnoge dijelove poslovanja u tvrtci , a obuhvaća obradu podataka svih zaposlenika ili klijenata.) Najbolje je konzultirati se sa pravnikom.
Nužne prilagodbe Web stranica i Web Shopova za Vašu tvrtku.
Transparentnost – tvrtka koja sakuplja i obrađuje osobne podatke korisnika mora na vrijeme informirati o njegovim pravima i zaštiti osobnih podataka, kao i načinu na koji ih može ostvariti. Prava je najjednostavnije iskomunicirati putem web stranice tj. putem „Izjavom o privatnosti“.
Definiranje svrhe korištenje podataka – svaki podatak koji korisnik ostavi pravnoj osobi, smije se koristi samo za onu svrhu za koju je dao pristanak. Npr, ako je kupac putem web shopa ostavio svoju e-mail adresu, ona se smije koristiti samo i isključivo za komunikaciju oko realizacije te narudžbe, a nikako ne za newsletter kampanju, ili obavijesti o akcijama. Za takve namjene korisnik je morao dati posebni pristanak.
Točnost – podaci o korisnicima moraju uvijek biti točni i ažurni. Provjeravajte redovito svoje baze podataka i kontrolirajte njihovu točnost. Korisnicima također trebate omogučiti ažuriranje postoječih podataka uz mogućnost da ih potpuno izbrišu;
Vremenski rok uporabe – podaci se ne bi smjeli zadržavati duže od namjene za koju su prikupljeni. Primjer nagradne igre – nakon što ista završi, svi skupljeni podaci trebaju se obrisati i ne koristiti u druge svrhe.
Uvijek dolazimo do jedne izuzetno važne stvari – dozvole. Za svaki osobni podatak koji se sakupi, treba postojati dozvola za korištenje za tu određenu svrhu! Ukoliko npr. imate novog kupca na web shopu koji Vam je u svrhu narudžbe ostavio svoju e-mail adresu, ime, prezime, adresu i broj telefona. U tom slučaju bilo bi dobro u postupku registracije dodati sve razloge za koje želite koristiti osobne podatke korisnika – te za svaku zasebno tražiti dozvolu.
Svrhe mogu biti sljedeće:
Kontakt kupca u vezi narudžbe;
Slanje reklamnih materijala kroz newsletter;
Slanje reklamnih materijala putem SMS-a;
Dakle, prije klika na gumb „Registriraj se“, najbolje je kod svake privole dodati polje gdje kupac može označiti polja s čijim uvjetima se slaže. Takve dozvole trebaju se bilježiti, tako da je u slučaju spora s kupcem moguće dokazati da postoji dozvola za korištenje.
Na koga se sve odnosi GDPR?
Ukoliko iz bilo kojeg razloga sakupljate nečije podatke i koristite ih s određenom namjenom trebate se pridržavati GDPR regulative.
Pod pojmom „Osobni podaci“ podrazumijeva se slijedeće:
Ime i prezime
Broj osobne iskaznice
OIB
Podaci kreditnih i debitnih kartica
IP adresa
Email adresa
Broj telefona
Kolačići u pregledniku
Zdravstveni karton
Biometrijski podaci (otisci prsta, sken rožnice i sl.)
Genetski podaci
Vjerska i politička opredjeljenja
Seksualna orijentacija
Etnička pripadnost
Itd…
Imate web stranicu ili web shop = obrađujete osobne podatke.
Prikupljate podatke za newsletter? Obrađujete osobne podatke.
Isplaćujete plaće? Obrađujete osobne podatke.
Ukoliko su posjetitelji Vaše stranice građani Europske unije, nužni ste prilagoditi tvrtku odredbama GDPR-a.
GDPR se ne primjenjuje jedino na anonimizirane podatke (one iz kojih nije moguće utvrditi identitet osobe).
Kako se prilagoditi GDPR-u kontekstu web stranice i newslettera?
1. Dodajte na web stranicu Izjavu o privatnosti (ako je još nemate)
U sklopu stranice „Izjava o privatnosti“ obavijestite korisnika da skupljate njegove podatke, obrađujete ih i pohranjujete, te na koji način to činite. Ako tu stranicu još nemate – dodajte je do 25. svibnja jer tu svoje korisnike informirate kako se njihovi podaci obrađuju, koja su njihova prava, te kako korisnik može promijeniti ili izbrisati svoje podatke.
2. Instalirajte obavijest o kolačićima – na način da korisnik može dati dozvolu za svaki kod za praćenje koji se koristi na vašoj web stranici
Većina obavijesti o kolačićima (ono što iskoči na dnu web stranice kada je prvi puta posjetite) postavljene su tako da se podrazumijeva da korisnik daje svoje dopuštenje za korištenje kolačića (Cookies).
Za svaki cookie kojeg vaša web stranica zabilježi u nečiji web preglednik (Chrome, Firefox, Safari, Internet Explorer, Edge, itd.), trebate od korisnika dobiti suglasnost. Tj. ako posjetitelj web stranice ne želi da pratite koje podstranice vaše web stranice posjećuje, trebate to ispoštovati.
Jedan od primjera gdje se to može lijepo iskomunicirati:
Ova stranica koristi kolačiće: Google Analytics, Google Remarketing, Hotjar i ClickTale. Kako bismo vašu kupnju učinili što jednostavnijom, molimo vas da nam date vašu suglasnost za korištenje ovih kolačića.
Korisnik mora za svaki cookie označavanjem dati dozvolu da se on instalira u njegov preglednik i tek tada vi možete te podatke koristiti. Na stranici treba biti objašnjeno što je Cookie i kako ga izbrisati.
Za naše klijente (stranice izrađene na WordPress platformi) radimo prilagodbe cookie prema GDPR regulativi.
Ako je vaša web stranica integrirana s Google Analyticsom, Google Maps servisom, Facebookom, YouTube kanalom, ako imate kontakt obrazac, newsletter formular i mnoge druge uobičajene web alate, to znači da se na njoj koriste tzv. kolačići (cookies). To znači i da pohranjujete određene podatke korisnika, o čemu ste ih dužni informirati i tražiti dozvolu za korištenje.
3. Omogućite posjetitelju web stranice jednostavan pregled njegovih osobnih podataka
U slučaju Web Shopa također posjedujete osobne podatke kupaca, te je kupcu potrebno omogućiti uvid u podatke koje posjedujete i promjenu tih podataka kao i njihovo brisanje.
Također je korisno kod registracije novog kupca omogućiti kupcu da vam da dozvolu za svaku namjenu korištenja (podatke od registriranog kupca ne smijete koristiti za recimo slanje newslettera ukoliko za to ne postoji dozvola).
4. Čuvajte sve prikupljene suglasnosti od kupaca
Kupac će vam trebati dati suglasnost za korištenje (ili obradu) njegovih osobnih podataka (ime, prezime, adresa dostave i sl.) To znači da ćete vi sve te suglasnosti trebati prikupljati i čuvati na sigurnom mjestu. Ukoliko ovo nije rješeno putem software rješenja – ove podatke obavezno bilježite ručno u tabeli.
Još nije definirano hoćete li ovo trebati dati kupcu na uvid kad zatraži, ali u slučaju prigovora, žalbe ili moguće tužbe kupca, trebat ćete ovakav zapis kao dokaz o dozvoli.
5. Dodajte dozvole na obrazac za registraciju novih newsletter pretplatnika
Obrasci na web stranicama kojima se skupljaju e-mail adrese za npr. download besplatnih materijala a kasnije se često koriste za newsletter – sa GDPR regulativom odlaze u povijest.
Ukoliko je na obrascu navedeno da će korisnik prijavom primiti besplatni e-book – taj e-mail se smije koristiti samo za slanje e-book-a i nikako za slanje newslettera.
Napominjem, uvijek trebate imati dozvolu za korištenje e-maila (ili dr. podataka) u određenu svrhu.
Ukoliko želite slati newsletter potrebno je dobiti dopuštenje.
6. Pitaj svoje klijente / kupce ako žele nastaviti primati tvoj newsletter
S dolaskom nove regulative potrebno je ranije pretplaćenim korisnicima poslati e-mail s upitom žele li i dalje primati newsletter. U slučaju kupljene newsletter liste, najbolje je ne riskirati i obrisati takve liste.
Ako pak postoji ranije kreirana lista koju ste marljivo sastavljali (i jasno komunicirali za što će se ta e-mail adresa koristiti) bilo bi najbolje do kraja svibnja pripremiti newsletter i zatražiti korisnike da potvrde da i dalje žele primati newsletter, obavijesti ili pretplatu.
U slučaju da korisnik potvrdno klikne na gumb, on ostaje na listi, ako ne klikne, prestaje biti na listi. Sve ostale nepotvrđene e-mail adrese potrebno je obrisati.
7. Upravljanje korisničkim računom na e-commerce sustavu/ Web Shopovi
Forsiranje registracije može odbijati kupce, pa su mnogi CMS e-commerce sustavi odustali od ove prakse – tj. daju mogućnost kupovine za gostujuće kupce (ovo zapravo znači da je kupovinu moguće obaviti bez registracije).
Za naše korisnike Web Shopove izradili smo na WooCommerce platformi koji ne kreira korisnički račun za neregistrirane kupce, već se podaci o korisniku pohranjuju uz podatke o narudžbi. Kupcima dakle nije realno moguće omogućiti upravljanje tim podacima (brisati te podatke).
U tom slučaju da bi se zadovoljila GDPR regulativa moguće je napraviti slijedeće:
U buduće forsirati registraciju kupaca uz rizik da će broj kupovina zbog ove prakse biti smanjen, ali uz to osiguravamo legitiman odnos prema privatnosti podataka na stranici košarice jasno informirati kupce da, ukoliko žele moći samostalno upravljati svojim podacima, moraju biti registrirani, ukoliko to nisu, upravljanje njihovim podacima je moguće uz vaše posredovanje (kontaktirajući vas u te svrhe, nakon čega ćete im poslati uvid u podatke koje o njima pohranjujete).
Ono što korisnicima vašeg web dućana također trebate omogućiti, jeste brisanje njihovog korisničkog računa – ako to žele.
Naime, nisu svi moderni e-commerce sustavi ovo predvidjeli, a razlog za to je sličan priči s narudžbama – CMS mnogim vlasnicima web trgovina služi kao svojevrstan CRM i brisanje esencijalnih podataka iz njega može predstavljati nepremostiv problem za radne procese tvrtke koja je iza web trgovine. Na koncu, državne institucije očekuju od vlasnika poslovanja da određene podatke čuvaju i nekoliko godina, a koje im je po potrebi vlasnik poslovanja / web trgovine dužan staviti na raspolaganje.
Dakle, vrlo je diskutabilno do koje mjere kupci trebaju moći upravljati svojim podacima i što im točno omogućiti da samostalno brišu. Ukoliko želimo biti do kraja korektni, funkcionalnost za brisanje korisničkog računa bi trebala biti sastavni dio e-commerce sustava, pa ako ju vaš web shop nema, svakako predlažemo da ju date integrirati. To će omogućiti da račun s podacima korisnika bude obrisan, a podaci o narudžbi ipak ostanu pohranjeni.
GDPR na web stranicama i web shopovima
Što ako vaš web shop nije usklađen s GDPR regulativom?
Nepoštivanje odredbi GDPR-a povlači kazne – do 4% ukupnog godišnjeg prometa na svjetskoj razini ili do 20 milijuna eura, koja god vrijednost bude viša. Također, kupci vas mogu tužiti za bilo koju stvar iz gore navedenih 7 koraka.
8. Kontakt Forme
Za kontakt forme koje skupljaju podatke u bazama potrebno je prije slanja upita (prije klika na gumb Pošalji) označiti polje gdje se korisnik slaže sa pohranom podataka.
Za kontakt forme koje ne skupljaju podatke tu informaciju potrebno je također navesti na stranici. Ništa nije prepušteno slučaju.
9. Sigurnosne mjere pohrane, prikupljanja i obrade podataka
Na web stranici potrebno je navesti sigurnosne mjere poduzimate kod pohrane i obrade korisničkih podataka.
Najvažnije za zapamtiti po pitanju GDPR-a
Dozvola.
Ukoliko sakupljate, obrađujete ili spremate osobne podatke korisnika, za njihovo korištenje trebate dobiti dozvolu korisnika. Korisnik treba znati koja su njegova prava (treba ih navesti na web stranici), te treba imati mogućnost da podatke promijeni ili obriše. Također korisnik treba imati informaciju što Vi s tim podacima radite i za što ih koristite.
Također trebate upozoriti korisnike ukoliko njegove podatke obrađuje treća strana (npr. Google Analytics).
Ukoliko u nekom trenutku dođe do sigurnosnog proboja na web stranici, dužni ste najkasnije u roku od 72 h o tome obavijestiti korisnika.
Ukoliko smo u ovom biltenu nešto propustili ili pogrešno protumačili slobodno nas kontaktiraj.
Procjena pripremljenosti
Procjena pripremljenosti za GDPR
Skraćeno što trebate navesti na web stranici do 25.05.2018?
Potrebno je formirati tekstove i otvoriti stranice:
Politika privatnosti
Uvjeti korištenja
Impressum
Kolačići
Potrebno je odraditi prilagodbu kontakt formi
Komentara na web stranicama
Newsletter formulara
Web-Shopova
Instalacija obavijesti o kolačićima – jasno isticanje koje podatke skupljaju i instalacija skripti koje blokiraju pokretanje određenih stranica i obradu podataka trećih strana (npr.Google Analitics, Facebook i dr.)
Instalacija SSL sigurnosnih certifikata (nužno u većini slučajeva s obzirom na funkcionalnost)
*SSL osigurava 256-bitnu enkripciju i prepoznaju ga svi suvremeni internetski preglednici. HTTP izmijenit će se u HTTPS (gdje S stoji za „siguran“)
Tu Shop može ponuditi potrebne tehničko-informacijske prilagodbe web stranica i web shopova (gdpr implementacija) za svoje klijente izrađene na WordPress platformi.
Također možemo ponuditi sastavljanje tekstova za stranice Politika Privatnosti, Uvjeti korištenja, Impressum i dr. uz napomenu da ne možemo snositi odgovornost za propuste i pogreške s obzirom na specifičnu djelatnost pojedine tvrtke, te je najsigurnije zatražiti savjet pravnika.
Zadržavamo pravo na izmjene informacija i usluga bez prethodne najave s obzirom na tehnički razvoj i potrebe prilagodbe novim funkcionalnostima.
Molimo da nas kontaktirate ukoliko želite da i Vašu web stranicu usuglasimo s GDPR regulativom.
