Piše: Natalija Parlov Una
Način usklađivanja tvrtke s GDPR-om konstantna je tema rasprava u svim krugovima zbog nedostatka javnih i razumljivih smjernica s obzirom da se dotiče svih procesnih razina u tvrtki kojima protječu osobni podaci, bilo zaposlenika ili samih ispitanika kojima tvrtka treba osigurati sva propisana prava. Treba uzeti u obzir da se radi o pravnoj regulativi koja je usko vezana uz postulate informacijske sigurnosti koja u našoj regiji dosad nije bila raširen pojam niti je postojala planska komunikacija vrijednosti samog osobnog podatka tijekom godina čime bi bila formirana svijest o nužnosti pažljivog ophođenja s njime. Razumijevanje odredbi same Uredbe i usklađivanje s njome usko je vezano uz procese svake pojedinačne tvrtke jer svako prikupljanje i obrada podataka ima uglavnom različitu svrhu, a podaci se obrađuju i arhiviraju na različite načine i korištenjem različitih dostupnih tehnoloških mogućnosti.
Web stranica tvrtke samo je jedan od njenih službenih javnih kanala komunikacije na kojem je vrlo lako procijeniti (ne)usklađenost poslovanja s ovom regulativom.
Kako ovaj članak ne bi bio krivo protumačen, usklađenost web stranice s GDPR-om ne znači da je vaša tvrtka s njime usklađena niti da web stranica dodavanjem formalnog sadržaja osigurava sve popratne procese nužne za ispunjavanje regulativom propisanih stavaka vezanih uz zaštitu podataka ili osiguravanje prava samim ispitanicima. Ovaj članak predstavlja smjer u kojem ćete svoju web stranicu uskladiti s GDPR-om ukoliko vam tijekom usklađivanja poslovanja s njime nedostaju nužne informacije o preporukama koje bi u tom aspektu trebao sadržavati taj javni komunikacijski kanal.
Budite transparentni
Informirajte posjetitelje vaše web stranice o njihovim pravima u kontekstu obrade i zaštite njihovih osobnih podataka. Definirajte i objavite Izjavu o privatnosti u kojoj jednostavnim i razumljivim jezikom objašnjavate koje podatke prikupljate, kada ih prikupljate, zašto ih prikupljate, u koju svrhu ih prikupljate i obrađujete, informaciju o eventualnoj obradi podataka od treće strane ili njihovo dijeljenje s trećom stranom u ime voditelja obrade, podatke o voditelju obrade podataka te podatke o e-mail adresi na kojoj se posjetitelji mogu informirati o svojim pravima i informacijama vezanima uz GDPR unutar vaše organizacije.
Najučestaliji kolačići i njihove vrste
Objavite Politiku kolačića u kojoj će posjetitelju web stranice biti jasno koje kategorije kolačića koristite te njihove karakteristike. Pripazite i na vrste kolačića koje ćete definirati nužnima jer postoje različite vrste kolačića: funkcionalni, analitički i marketinški.
Funkcionalni kolačići mogu se klasificirati nužnim kolačićima u slučaju kad osiguravaju nesmetan rad same web stranice u aspektima sigurnosti, upravljanja mrežom, upravljanja neophodnim funkcionalnostima stranice i dostupnosti same stranice. Njihovo isključivanje najčešće bi uzrokovalo ranjivost i usporavanje same web stranice te prestanak rada pojedinih servisa temeljenih na njima.
Analitički kolačići u najvećoj mjeri služe za mjerenje broja posjeta i ostalih karakteristika zadržavanja na pojedinoj web stranici poput, primjerice, najčešće korištenog Google Analyticsa. Kod internetskih medijskih portala najčešće korišteni analitički kolačići su, uz Google Analytics, servisi Gemius i DotMetrics. Oni svaki putem svoje vlastite definirane metodologije mjere jedinstvene posjetitelje portala i njihove pojedine karakteristike te su zasad fokusirani na posjetitelje iz matične zemlje portala dok Google Analytics pruža uvid i u posjećenost portala i njihove karakteristike od strane posjetitelja iz drugih zemalja. Često se, zbog različite metodologije mjerenja i definiranih karakteristika, i rezultati samih mjerenja između ta tri servisa razlikuju.
Marketinški kolačići su kolačići koji prikupljaju širi spektar podataka o ciljnoj skupini i ovise o zadanim konverzijama te služe za profiliranje i plasman marketinških poruka putem oglašivačkih platformi. Primjerice, Google Ads pruža proširen portfelj analitike korištenjem platforme Google Analytics putem kojeg se prate konverzije i konkretnije ponašanje zadane ciljne skupine u odnosu na objavljene oglase. Tada se radi se o marketinškom kolačiću koji pruža analitiku preferencija, plasman profiliranoj publici i remarketingu. Slična situacija je i s Facebook pixel alatom koji prati konverzije s Facebook oglasa i omogućava vam kreiranje ciljane publike za buduće oglase (profiliranje).
U sklopu Politike kolačića same kategorije kolačića možete razdijeliti na funkcionalne, analitičke i marketinške. Svakako uključite tablični popis kolačića koje koristite na vašoj web stranici s opisom i rokom njihovih trajanja, ukratko opišite njihovu funkcionalnost i uputite na koji način posjetitelj može naknadno blokirati korištenje kolačića ukoliko je na sve njih pristao putem pop-up prozora pri samom dolasku na stranicu. Jednostavniji primjer Politike kolačića koji mozete slijediti je ovdje.
Ove smjernice podložne su promjeni stupanjem na snagu ePrivacy direktive.
Privola
Privola je bilo kakav oblik traženja pristanka posjetitelja stranice na prikupljanje ili obradu njegovih podataka. Neovisno o tome radi li se o davanju pristanka za korištenje kolačića, pristanku na primanje marketinških materijala ili nečem trećem, posjetitelju mora biti jasno i eksplicitno objašnjena svrha prikupljanja podataka i omogućen opcionalni izbor koji nije ničime uvjetovan.
Posebno treba voditi računa da se obrada podataka na koju je posjetitelj web stranice pristao nekom od dostupnih potvrdnih radnji provodi samo u svrhu zbog koje su podaci i prikupljeni. Na primjer, ako je kupac na web shopu ostavio svoju adresu elektroničke pošte u svrhu komunikacije oko narudžbe i kupnje određenih proizvoda ta se adresa smije samo koristiti u tu svrhu. Ponovno korištenje njegove adrese u neku drugu svrhu nije moguće ukoliko ponovo nije zatražena privola.
Od velike je važnosti da posjetitelju u svako vrijeme mora biti omogućeno i pravo da povuče danu privolu na jednostavan način!
Slanje marketinških materijala (Newsletter)
Adresa elektroničke pošte, ako sadrži informacije na temelju kojih se ispitanik može identificirati, je prema odredbama GDPR-a osobni podatak i za njeno korištenje u marketinške svrhe morate dobiti pristanak njenog vlasnika. Ako na vašoj stranici imate web formu u kojoj prikupljate adresu elektroničke pošte u svrhu slanja marketinških i promotivnih materijala morate biti u mogućnosti dokazati da vam je njen vlasnik dao pristanak. To možete definirati na dva načina. Prvi je da ispod polja u koje se upisuje adresa elektroničke pošte kreirate „opt-in“ polje uz tekst da pristaje na slanje marketinških i promotivnih materijala, a drugi je instaliranje tzv. „double opt-in opcije“ kojom tražite da potvrdi svoju adresu elektroničke pošte potvrdom linka koji mu se automatski šalje na upisanu e-mail adresu nakon slanja ispunjene web forme na vašoj stranici.
Smanjenje količine podataka
Ovo načelo definira da se prikupljaju samo oni podaci koji su potrebni da se ispuni svrha obrade. Ako ste ispravno definirali svrhu obrade i slijedili ovo načelo GDPR-a, nemate potrebu prikupljati višak podataka za slučaj „neka se nađe“. Najbolji primjer za prekomjerno prikupljanje podataka je instalacija neke nove aplikacije na pametni telefon gdje vas traži pristup svim podacima na mobitelu, a funkcionalnost same aplikacije nije usko vezana uz tražene podatke. Vodite računa da prilikom obrade osobnih podataka prikupljate samo one koji su nužni da ispunite definiranu svrhu.
Ažuriranje i brisanje podataka
Podaci koje prikupite u vaše baze moraju biti točni i ažurni. Osim što sami morate provjeravati i ažurirati svoje baze, isto morate omogućiti i vlasnicima podataka - bilo da im omogućite da ih sami ažuriraju ili da to vi napravite na njihov zahtjev. Također, na zahtjev vlasnika podataka dužni ste obrisati sve njegove podatke, ukoliko zakonom nije drugačije definirano, i za to mu pružiti odgovarajući dokaz.