Prošlo je već dosta vremena od stupanja na snagu Opće uredbe, i stvari su se počele micati s mrtve točke. Raste osviještenost o ovoj problematici, a i stanje u praksi sve je bolje, iako opća neinformiranost i dalje prevladava. Za to stanje ionako nisu krive same tvrtke, a još manje obrtnici, jer ih se nitko nije ni potrudio informirati i zato je nastala opća panika koja se polako smiruje.
Sada se polako u sve većoj mjeri tvrtke, čak i udruge, odvažuju krenuti s postupkom prilagodbe. Često se tu radi o strahu od kazni, a nije rijetko ni stajalište da se radi o još jednom „nametu“ u maniri omražene zaštite na radu.
Usklađivanje i web
A što je zapravo neusklađenost? Kod web stranica, ključno je utvrditi sljedeće:
- Prikuplja li moja web-stranica osobne podatke?
- Ako da, znaju li to moji posjetitelji?
Da vas odmah preduhitrimo – većina stranica prikuplja osobne podatke, čak i da vi kao webmaster toga niste ni svjesni. Tu prvenstveno spadaju kolačići koji na prilično nenametljiv način mogu prikupiti značajne količine podataka, ali i kontakt forme, obrasci za newsletter, komentare i sl.
Dakle, ne postoje unaprijed određeni elementi koje nužno morate postaviti da biste bili usklađeni. Ako ne prikupljate nikakve osobne podatke (što je, iz iskustva, rijetkost) vama zaista ne trebaju nikakve izjave.
U potpunosti usklađena stranica sadržavat će sve potrebne obavijesti i omogućiti ispitanicima odabir opcija privatnosti. U idućem ćemo dijelu proći kroz elemente koji su najčešće neusklađeni, a potrebni.
Muke po kontakt formama
Dobar dio stranica uz podatke za kontakt ostavlja i kontakt obrazac koji posjetitelj može popuniti i izravno poslati na e-mail odgovorne osobe unutar tvrtke. To se i pokazalo vrlo dobrim i efikasnim načinom za pridobivanje klijenata – mala je vjerojatnost da će se netko potruditi slati mail radi jednostavnog upita.
Međutim, implementacija kontakt obrazaca često je manjkava. Prisutan je ogroman broj polja (ime i prezime, broj telefona, spol, pa čak i zanimanje) koji ne samo da odvraća potencijalne klijente, već je dvojben i sa strane zaštite privatnosti. Činjenica je da vam niti jedan od navedenih podataka zapravo nije potreban da osobi odgovorite na jednostavan upit. Ako je upit složen, u pravilu će osoba ili sama navesti potrebne podatke ili ih vi možete zatražiti – ali ne smijete unaprijed prikupljati podatke „jer bi mogli zatrebati“. To se smatra prekomjernim prikupljanjem podataka i nije u skladu s Općom uredbom.
Što trebam činiti?
Potrebno je dobro razmisliti kako biste utvrdili koji vam podaci zapravo trebaju. Ostala je polja najbolje ukloniti iz kontakt forme, ili jasno naznačiti da ih nije obavezno popuniti. Uz kontakt formu valja napisati i kratku obavijest u kojoj objašnjavate razloge i svrhe obrade podataka.
Privole i newsletteri
Za newsletter vrijedi nekoliko pravila. Naime, prijava na newsletter u pravilu se mora zasnivati na privoli. To znači da vam treba nekakav dokaz da je osoba izričito pristala da joj šaljete e-mailove. Nažalost, klik na tipku „pošalji“ često nije dovoljan dokaz.
Zbog previše muke oko adekvatnog dokumentiranja privola neke su se tvrtke odlučile na kompletno ukidanje takvog načina promidžbe – možda malo brzopleto, jer za newslettere i dalje ima mjesta.
Jednostavno i efektno, ali bez dodatnih napomena nije u skladu s GDPR-om.
Što trebam činiti?
Uz polje za unos e-maila potreban je i potvrdni okvir koji korisnik mora označiti, čime se dokazuje njegova privola ako e-mail adresu prikupljate u neku drugu svrhu, a želite ga koristiti i za slanje marketinških poruka. Isto vrijedi ako koristite e-mail za newsletter, a uz to imate namjeru slati i ostale vrste poruka. Uz to treba stajati i obavijest o obradi osobnih podataka.
Postoji i drugo rješenje, u kojem će se u e-mail poruci koja stigne na unesenu e-mail adresu tražiti dodatna potvrda prijave (tzv. Double opt-in), što nude neki gotovi sustavi za upravljanje newsletterima. Uz to naravno treba biti prisutna obavijest o mogućnosti lakog i jednostavnog otkazivanja pretplate.
A legitimni interes?
Još jedna od mogućnosti prilikom slanja newslettera jest da isto temeljite na legitimnom interesu. To je moguće samo za postojeće klijente čije podatke već imate u bazi (i koje ste u izjavi o privatnosti obavijestili da ćete podatke koristiti i u promidžbene svrhe). Takvi mailovi ne bi smjeli biti previše česti, a u svakoj poruci trebali biste navesti prava primatelja i mogućnost lake i jednostavne odjave od daljnje komunikacije. Kod izravnog marketinga ne možete nastaviti obrađivati podatke u tu svrhu ako od osobe primite zahtjev za prestankom istoga.
Postavljanje kolačića
Oko 99 % stranica koristi kolačiće koji prikupljaju podatke koji se mogu smatrati osobnima. Naime, prema Općoj uredbi i razni se mrežni identifikatori, poput onih koje generiraju i pohranjuju kolačići, smatraju osobnim podacima.
Često je to proizvod korištenja raznih predložaka, priključaka i koječega te kao posljedica vlasnici stranice nemaju pojma da se kolačići uopće postavljaju, a kamoli da se podaci dijele okolo.
Na primjer, čest je slučaj implementacije Google Maps usluge na web stranicu, a u pravilu Google tu postavlja kolačiće za oglašavanje. Slično je i kod tipki za dijeljenje na društvenim mrežama i raznim live chat sustavima poput Zendeska.
Što trebam činiti?
Svašta. Najbolje je smanjiti broj kolačića koji koristite, ako je to ikako moguće. Izbacite usluge koje su vam nepotrebne – time olakšavate posao sebi, a povećavate privatnost svojih korisnika.
Potom morate popisati kolačiće koje koristite. Najbolje je to učiniti ručno, ali moguće je i putem raznih online alata koji će to učiniti za vas – ali često ne u potpunosti uspješno. Ne prikupljaju svi kolačići osobne podatke; za njih Vam nije potrebna nikakva privola. Međutim, za one marketinške i analitičke jest. Tu biste privolu trebali dobiti prije nego postavite kolačiće.
Ovo u pravilu nije adekvatan način prikupljanja privole.
Prilikom obavještavanja korisnika o kolačićima koji prikupljaju osobne podatke, a nisu prijeko potrebni, morate mu dati mogućnost da odbije prihvat tih kolačića. Na slici iznad te mogućnosti nema. Ovdje se krše dva načela pribavljanja privole: privola ne vrijedi ako ju je znatno teže povući nego dati. K tome, prešutna privola također nije valjana.
Nije potrebno davanje dozvole za svaki kolačić zasebno, dovoljno je njihovo kategoriziranje u smislene grupe s istom svrhom obrade osobnih podataka.
Primjer valjane obavijesti o kolačićima.
Na gornjoj obavijesti kvadratići nisu predodabrani, a tu je i poveznica na izjavu o kolačićima u kojoj možete saznati više. Što se izjave o kolačićima tiče, bilo bi dobro pobrojati sve kolačiće, njihovu svrhu i voditelje obrade kojima se podaci šalju. Najčešće su to Google, Twitter, ponekad Cloudflare i sl.
Izjava o privatnosti
I za kraj, dokument koji sadrži iscrpan prikaz svih aktivnosti prikupljanja, obrade i pohrane podataka koju vršite. Izjava o privatnosti trebala bi biti dostupna na vašoj web-stranici na svim jezicima kao i stranica te bi trebala biti pisana jasnim, razumljivim jezikom.
Već smo pisali o uputama za sastavljanje dobre izjave o privatnosti, no i ovdje ćemo dati nekoliko savjeta.
Prije samog sastavljanja dokumenta, trebate imati na umu načela zbog kojih je izjava o privatnosti bitna. Cilj je pružiti točnu i konkretnu informaciju na jednostavan način. S tim na umu treba sastaviti i sve dokumente koji su namijenjeni javnosti.
Formatiranje dokumenta također je važno. Potrudite se da ne izgleda kao jednostavno kopirani tekst; poradite makar na izgledu naslova i odlomaka kako bi se olakšao pronalazak potrebnih informacija. Ako konačni dokument bude dugačak, razmislite o ubacivanju dodatnih navigacijskih elemenata koji će olakšati čitanje dokumenta.
Na web stranicu dužni ste postaviti jasno vidljivu poveznicu na izjavu o privatnosti, a trebali biste na nju linkati i na onim mjestima na kojima prikupljate osobne podatke. Skraćenu verziju izjave o privatnosti nije loše imati ni unutar poslovnog objekta, ako većinu aktivnosti prikupljanja i obrade obavljate u fizičkom obliku.
Sadržaj izjave o privatnosti
U izjavi o privatnosti obavezno navedite podatke o svojem poslovnom subjektu i način na koji vas korisnici mogu kontaktirati s bilo kakvim pitanjima ili zahtjevima za ostvarivanje svojih prava. Opišite njihova prava (npr. na zaborav, prijenos i pristup podacima i sl.) na pristupačan način.
Sva prava valja popisati, ukratko objasniti i navesti način na koji se ta prava mogu ostvariti. Idealno bi bilo da postoji neki sustav gdje korisnici mogu objaviti svoje žalbe, npr. uz registraciju čime bi se potvrdio njihov identitet, ali u najmanju ruku navedite barem zasebnu e-mail adresu, broj telefona i fizičku adresu sjedišta tvrtke.
Potreban je i opis svrha obrade i načina prikupljanja podataka. Predlažemo da taksativno navedete podatke koje prikupljate i svrhu njihova prikupljanja. Potrebno je definirati i rok pohrane podataka, navesti mjere njihove zaštite, lokaciju pohrane i ostale informacije o osobnim podacima. Ako prikupljate podataka djece i maloljetnika, potrebne su dodatne zaštitne mjere, a tamo gdje je potrebna privola, nju morate pribaviti od roditelja ili staratelja.
Ako podatke iznosite izvan EU-a, u zemlje koje nisu adekvatne (prema odlukama Europske komisije), to treba osobito naglasiti i navesti mehanizam kojim pravdate taj prijenos. Na sreću, SAD se prema Štitu privatnosti smatra adekvatnom zemljom. Trebate navesti i procedure do kojih ćete se pridržavati ako dođe do povrede podataka.
Napominjemo da izjava o privatnosti treba biti kvalitetno sastavljena, u smislu da obuhvaća sve elemente koje smo prethodno naveli. To je ključni dokument kojim dokazujete svoju usklađenost s GDPR-om. Navedeni elementi su važan su dio izjave, ali popis je daleko od potpunog. Na primjer, ako obrađujete posebne kategorije osobnih podataka, to za sobom donosi dodatni posao. Dosta toga ovisi i o eventualnim suradnicima (trećim stranama) s kojim dijelite podatke, a koji se smatraju izvršiteljima obrade i sl. Ne postoje dvije iste izjave o privatnosti – svaka se radi prema potrebama i posebnostima poslovnog subjekta. U svakom slučaju je najbolje u slučaju nedoumica potražiti stručnu pomoć.
Zaključak
Ovo su osnovne radnje koje biste trebali poduzeti kako biste se približili usklađenosti. Nemojte se zavaravati – dokumenti ne vrijede ništa bez internog pridržavanja, ali i to je dobar korak naprijed. Ne smijete zaboraviti pridržavati se smjernica koje navedete u izjavi o privatnosti. Dužni ste u roku mjesec dana odgovoriti na zahtjeve za ostvarivanje prava; morate se barem držati smjernica o zaštiti podataka i brisati podatke nakon isteka razdoblja zadržavanja podataka. Za ostalo je potreban napredniji postupak usklađivanja prilagođen individualnim potrebama.
