Znate li šta je GDPR?
Jeste li spremni za promjene koje GDPR donosi?
Od 25. 5. 2018. na snagu stupa General Data Protection Regulation (GDPR) ili Uredba o zaštiti osobnih (ličnih) podataka koja predstavlja novi set zakona o zaštiti osobnih podataka.
Uredba o zaštiti podataka važna je za sve kompanije, organizacije, pojedince i vlasnike web stranica, bez obzira na to gdje je njihovo sjedište, da li posluju u EU i jesu li oni sami građani EU.
Najvažniji dio primjene GDPR-a je shvatiti koje osobne informacije vaših korisnika skupljate i procesuirate. Nakon toga implementacija GDPR-a vam neće predstavljati problem.
Što je GDPR
Opća uredba o zaštiti podataka (GDPR) je uredba Europske unije kojom se regulira zaštita podataka i privatnost građana Europske unije.
Ova se Uredba odnosi na obradu osobnih podataka u okviru aktivnosti poslovnog nastana voditelja obrade ili izvršitelja obrade u Uniji, neovisno o tome obavlja li se obrada u Uniji ili ne (Članak 3).
Posebna je specifičnost Uredbe što donosi propise vezane za iznošenje podataka u treće zemlje.
Međutim kada se osobni podaci prenose iz Unije voditeljima obrade, izvršiteljima obrade ili drugim primateljima u trećim zemljama ili međunarodnim organizacijama, ne bi smjela biti narušena razina zaštite pojedinaca osigurana ovom Uredbom u Uniji, među ostalim u slučajevima daljnjih prijenosa osobnih podataka iz treće zemlje ili međunarodne organizacije voditeljima obrade, izvršiteljima obrade u istoj ili nekoj drugoj trećoj zemlji ili međunarodnoj organizaciji.
U svakom slučaju, prijenosi u treće zemlje i međunarodne organizacije mogu se obavljati isključivo uz puno poštovanje ove Uredbe. Prijenos bi se smio obavljati isključivo ako, u skladu s drugim odredbama ove Uredbe, voditelj obrade ili izvršitelj obrade ispunjavaju uvjete utvrđene u odredbama ove Uredbe vezanim za prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama. (Čl. 101)
Iznošenje podataka u treće zemlje znači da kompanija, organizacija, pojedinac koji nije državljanin neke od europskih zemalja ili ne posluje u zemljama EU raspolaže osobnim podacima građana Europske unije.
Za koga je GDPR obvezan?
Tehnologijom se privatnim društvima i tijelima javne vlasti omogućuje uporaba osobnih podataka u dosada neviđenom opsegu radi ostvarenja njihovih djelatnosti. Ovom se Uredbom regulira obrada osobnih podataka građana EU od strane pojedinca, a ne odnosi se na obradu osobnih podataka pokojnika ili pravnih osoba.
GDPR je obvezan za sve koji posluju u EU, imaju kompaniju u EU ili koriste osobne podatke građana EU.
GDPR je obvezan i za nas koji smo:
- vlasnici web stranica
- imamo analitiku web stranice
- imamo mailing liste
- imamo Facebook pixele
- radimo remarketing
- oglašavamo se na internetu
GDPR, pored gomile pravila, donosi mnogo veća prava i moć u zaštiti osobnih podataka pojedinaca.
Što su osobni podaci?
Osobni podaci su prema članku 4 Opće uredbe o zaštiti podataka svi podaci pojedinca čiji je identitet utvrđen ili se može utvrditi uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.
Pod osobnim podatkom podrazumijeva se:
- ime
- adresa
- e-mail adresa
- IP i MAC adresa
- GPS lokacija
- RFID tagova
- kolačića na web stranicama
- telefonski broj
- fotografija
- video snimke pojedinaca
- OIB
- biometrijski podaci (otisak prsta, snimka šarenice oka)
- genetski podaci
- podaci o obrazovanju i stručnoj spremi
- podaci o plaći
- podaci o kreditnom zaduženju
- podaci o računima u banci
- podaci o zdravlju
- seksualnoj orijentaciji
- glas
- …i mnogi drugi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi.
Svaka kompanija, organizacija, pojedinac koja od građana EU prikuplja neke od gore navedenih podataka podložna je GDPR-u (Uredbi).
U opseg GDPR-a spadaju i oni podaci koji su de-identificirani, šifrirani ili pseudonimirani, ali se mogu upotrijebiti za prepoznavanje osobe jer se smatraju osobnim podacima.
GDPR (Uredba) štiti osobne podatke bez obzira na tehnologiju koja se koristi za obradu tih podataka.
Također nije važno kako se podaci pohranjuju – u IT sustavu, putem video nadzora ili na papiru; u svim slučajevima, osobni podaci podliježu zaštiti u GDPR-u.
Što obveznik GDPR-a mora osigurati?
Poslovanje u okvirima Opće uredbe o zaštiti podataka (GDPR-a) nije nikakav bauk.
Dovoljno je u potpunosti biti transparentan i otvoren prema onima na račun kojih poslujete.
Ako već trgujete nečijim podacima red je da im, osim vrijednih sadržaja i svojih proizvoda, ponudite i uvid u njihov udio u vašoj trgovini.
Da biste mogli legalno i regularno raspolagati podacima građana EU morate osigurati nekoliko elemenata:
1 Pristanak (privola) vlasnika podataka
Prema članku 4 Uredbe pristanak ili privola ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.
Potrebno je istaknuti da privola ili pristanak nije puka formalnost jer voditelj obrade podataka u svakom trenutku mora biti u mogućnosti dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka.
Znači negdje trebate imati “ugovor” između vas i posjetitelja vaše web stranice / pretplatnika na newsletter / Facebook fana (ako imate Facebook pixel na svojoj web stranici).
GDPR ističe da zahtjev za pristanak (privolu) mora biti u razumljivom i u lako dostupnom obliku uz upotrebu jasnog i jednostavnog jezika.
Osoba svoj pristanak može dati:
- označavanjem polja kvačicom pri posjetu internetskim stranicama,
- biranjem tehničkih postavki usluga informacijskog društva ili
- drugu izjavu ili ponašanje koje jasno pokazuje u tom kontekstu da ispitanik prihvaća predloženu obradu svojih osobnih podataka.
Prema GDPR-u šutnja, unaprijed kvačicom označeno polje ili manjak aktivnosti ne smiju se smatrati pristankom (privolom).
Kada obrada osobnih podataka ima višestruke svrhe, pristanak bi trebalo dati za sve te svrhe.
Znači, ako sam se ja pretplatila na newsletter na blogu, ne možete me proganjati po internetu oglasima za vašu novu knjigu.
Morate tražiti dozvolu da moje podatke koristite u SVOJE marketinške svrhe.
Bez obzira na dati pristanak, ispitanik ima pravo u svakom trenutku povući pristanak (privolu).
Povlačenje privole mora biti jednako jednostavno kao i njezino davanje.
2 Transparentnost
Jedan od imperativa Opće uredbe o zaštiti podataka je transparentnost u uzimanju, obradi i korištenju osobnih podataka.
Stoga vlasnik podataka u svakom trenutku mora biti informiran o postupku obrade i njegovim svrhama.
Voditelj obrade trebao bi pružiti sve informacije neophodne o poštenoj i transparentnoj obradi podataka.
Osim toga ispitanik bi trebao biti informiran o postupku izrade profila i posljedicama takve izrade profila.
Prema članku 12. GDPR-a informacije, sva komunikacija i djelovanja pružaju se bez naknade.
Ako su zahtjevi ispitanika neutemeljeni ili pretjerani, osobito zbog njihova učestalog ponavljanja, voditelj obrade može:
- naplatiti razumnu naknadu uzimajući u obzir administrativne troškove pružanja informacija ili obavijesti
- odbiti postupiti po zahtjevu
Teret dokaza neutemeljenosti ili pretjeranosti zahtjeva je na voditelju obrade, odnosno na onom tko podatke prikuplja.
3 Mapiranje podataka prema GDPR-u
Kao dio usklađivanja sa GDPR-om, kompanije, organizacije i pojedinci morat će mapirati podatke i informacijske tokove kako bi se mogli procijeniti rizici za privatnost.
Detaljan prikaz mapiranja podataka, svih elemenata koji su potrebni za mapiranje i razumijevanja toka informacija potrebno je vašim korisnicima, ali i vama jer mapiranje omogućuje vama da prepoznate informacije koje vaša organizacija čuva.
Mapa podataka treba sadržavati sljedeće elemente:
- Stavke s podacima (npr. Imena, adrese e-pošte, zapisi);
- Formati (na primjer, obrasci tiskanih formata, online unos podataka, baza podataka);
- Načini prijenosa (npr. Post, telefon, unutarnji / vanjski); i
- Lokacije (npr. Uredi, Cloud, treće strane).
Mapa podataka također bi vam trebala pomoći da vidite tko ima pristup podacima u bilo kojem trenutku i tko je odgovoran za to.
Detaljnije o ovoj temi možete pogledajte u besplatnom webinaru.
4 OPT OUT
Kao vlasnik web stranice ili vlasnik organizacije koja raspolaže podacima građana EU, obvezni ste omogućiti korisnicima da svoje podatke izuzmu i pri tom nastave neometano koristiti vašu web stranicu.
Brisanje kolačića iz preglednika nije mogućnost. Jedna linija koda koja će brisati građane EU sa vaše liste za remarketing također nije dovoljna.
Morate omogućiti korisnicima da sami, pomoću opt-out forme, isključe svoje osobne podatke iz vaših aktivnosti.
Zakonodavstva nekih država (Njemačka, Danska, Luksemburg, Francuska…) izričita su po ovom pitanju i ne ostavljaju mogućnost za primjenu bilo koje druge metode.
Google analytics je omogućio opt-out formu za svoje kolačiće u vidu “add-on” mogućnosti koja se doda pregledniku korisnika.
Važno je da i vlasnik web stranice prilagodi Google analytics GDPR-u i novim okolnostima.
GDPR i kolačići
Kolačići se spominju samo jednom u Općoj uredbi o zaštiti podataka (GDPR) u uvodnom članku 30:
Pojedinci mogu biti pridruženi mrežnim identifikatorima koje pružaju njihovi uređaji, aplikacije, alati i protokoli, kao što su IP adrese (adrese internetskog protokola), identifikatori kolačića ili drugim identifikatorima poput oznaka za radiofrekvencijsku identifikaciju. Tako mogu ostati tragovi koji se, posebno u kombinaciji s jedinstvenim identifikatorima i drugim informacijama koje primaju poslužitelji, mogu upotrijebiti za izradu profila pojedinaca i njihovu identifikaciju.
Ono što nam to govori je da kolačiće treba tretirati kao osobne podatke.
Prema GDPR-u svaki kolačić koji je jedinstveno pripisan uređaju je osobni podatak.
Ovaj navod, odnosno uvodni članak 30. odnosi se na gotovo sve kolačiće za oglašavanje / ciljanje; mnogo kolačića za web-analizu; i dosta funkcionalnih usluga poput anketa i chat alata koji bilježe korisničke ID-e u kolačićima.
Od 25. 5. 2018. godine obavijest o kolačićima na web stranici “Korištenjem ove stranice, prihvaćate izjave o kolačićima” više ne važi!
Ovo ne znači vašu usklađenost sa GDPR-om. Za to postoji nekoliko razloga.
Prvi je da niste dobili nečiji pristanak za korištenje kolačića.
Drugi je što morate reći kako ćete taj kolačić, koji je prema GDPR-u osobni podatak, koristiti.
Ako nema slobodnog izbora, onda nema ni važećeg pristanka.
Popis zahtjeva za dopuštenja za kolačiće
Pristanak na kolačiće usklađen s GDPR-om trebao bi osigurati pristanak koji je:
- korisnik dao na temelju jasnih podataka o vrsti i svrsi podataka koje koristite
- korisnik dao prije nego što se odvija druga obrada osim strogo neophodnih, također poznata kao “prethodna suglasnost”
- korisnik dao kao potvrdnu, pozitivnu akciju
- korisnik dao kao rezultat istinskog izbora (korisnik mora imati opciju odbiti suvišne kolačiće i još uvijek koristiti web stranicu)
- zabilježen kao dokaz da je odobren
- reverzibilan (korisnici moraju moći povući suglasnost kad god to žele)
GDPR i Facebook
Nakon nedavnih izbora u Americi, postalo je jasno da Facebook mora osigurati veću zaštitu podaka, bez obzira na zakonske regulative pojedinih zemalja.
Iz perspektive Facebooka svi koji koriste Facebook funkcionalnosti su GDPR obveznici i moraju se ponašati u skladu sa GDPR-om, Facebookovim Pravilima privatnosti i Uvjetima korištenja.
Dodatak za komentare, pixel i lookalike audience su mogućnosti koje većina vlasnika web stranica koristi i sada su pred izazovom kako omogućiti opt-out korisnicima Facebooka, ali i onima koji Facebook ne koriste.
Pojedina pravila o zaštiti privatnosti i korištenju osobnih podataka još su u procesu izrade, Facebookova Pravila privatnosti su usklađena s GDPR-om, a Custom audience permission tool koji će zahtijevati pristanak vlasnika podataka još uvijek je u izradi.
Sada postoji problem kako “divlji zapad” na tržištu osobnih podataka dovesti u red koji odgovara vlasnicima podataka, vlasnicima platformi i oglašivačima na čije će Facebook aktivnosti GDPR utjecati.
Kompanije koje u svom poslovanju koriste Facebook pixel GDPR donosi ozbiljan rizik koji zahtijeva angažman ozbiljnih pravnih stručnjaka.
Bez obzira na vašu ulogu i način korištenja Facebooka u poslovanju, za podatke ste odgovorni vi jer ste vlasnik web stranice ili organizacije.
Što GDPR znači za blogere?
Za gotovo svakog blogera GDPR predstavlja regulativu koju je obvezan poštovati.
Ako imate čitatelje na blogu onda morate zaštititi njihove podatke i znati šta se s tim podacima događa.
Google analytics, Facebook pixel, Facebook komentari, Mailchimp ostavljaju kolačiće.
Također, WordPress plugin za komentiranje snima IP adresu onog tko ostavlja komentar na wašoj web stranici.
To znači da vi raspolažete nečijim osobnim podatkom pomoću kojeg možete identificirati osobu i time podliježete pravilima Uredbe o zaštiti osobnih podataka.
Kako implementirati GDPR na web stranicu?
Najlakši način usklađivanja web stranice sa GDPR-om je pronalaženje rješenja koje će omogućiti pristanak na kolačiće.
Postoji nekoliko alata koji nude pristanak na kolačiće, a među njima ima i onih koji su besplatni. Za vlasnika web stranice, ali i za korisnika ovo je dobro rješenje. Vama i dalje ostaje obveza da raspolažete informacijom šta se s podacima vaših korisnika događa.
Ako ne želite pristanak na kolačiće dodavati na web stranicu u obliku skripte, a imate WordPress web stranicu korištenje plugina (dodatka) je jednostavno i dobro rješenje.
Sigurno najpopularniji servis za email newsletter, Mailchimp za svoje je korisnike pripremio detaljan vodič za usklađivanje sa GDPR-om. Pored vodiča koji je dostupan i kao besplatna e-knjiga Mailchimp je kreirao GDPR friendly opt-in formu koja će od sada imati boksove, a vaši će korisnici sami izabrati žele li primati email, biti ciljani u oglašivačkim kampanjama…
Da biste imali na raspolaganju sve ove funkcionalnosti, morate aktivirati ovu opciju u Mailchimpu.
Pročitaj više: Kako sam uskladila blog sa GDPR-om
Šta GDPR znači za kompanije?
Ako se uzme u obzir definicija osobnih podataka, gotovo da ne postoji kompanija koja nije obuhvaćena GDPR-om.
Zahtjevi za usklađivanje nisu pretjerano teški ni zahtjevni, pod uvjetom da je kompanija i do sada bila transparentna i odgovorna. U svakom slučaju, savjetovanje s pravnicima najbolja je opcija u procesu implementacije GDPR-a i usklađivanja.
Stupanjem GDPR-a na snagu, mnoge kompanije imaju obvezu imenovanja Data Protection Officera (DPO), odnosno voditelja (službenika) za zaštitu osobnih podataka.
Od voditelja se očekuje da ima iskustvo i osnovno razumijevanje procesa i klasifikacije osobnih podataka.
Voditelj obrade ima odgovornost za cijeli proces uzimanja i raspolaganja podacima.
Trebalo bi uspostaviti dužnosti i odgovornosti voditelja obrade za svaku obradu osobnih podataka koju provede sam voditelj obrade ili netko drugi u ime voditelja obrade. Osobito, voditelj obrade trebao bi imati obvezu provođenja odgovarajućih i djelotvornih mjera te biti u mogućnosti dokazati usklađenost aktivnosti obrade s ovom Uredbom uključujući i djelotvornost mjera. Tim bi mjerama u obzir trebalo uzeti prirodu, opseg, kontekst i svrhe obrade te rizik za prava i slobode pojedinaca.
Zaključak
Za kompanije GDPR znači promjene u poslovanju, a nepoštivanje odredbi povlači kazne i to drakonske – do 4% ukupnog godišnjeg prometa na svjetskoj razini ili do 20 milijuna eura, ovisno od toga koja je vrijednost viša. Važno je da kazna bude što veća.
Za nadzor će biti zadužena Agencija za zaštitu osobnih / ličnih podataka.
Za pojedince GDPR (Opća uredba o zaštiti podataka) je najbolja promjena na polju ljudskih prava koja se dogodila u posljednjih 20 godina. Ali pod jednim uvjetom!
Da vi znate koja prava imate.
Ako vi ne želite da netko poštuje vaša prava, ni drugima to neće biti prioritet.
Još jedna sjajna stvar koju donosi GDPR je pravo na privatnost podataka koji se odnose na zdravstveno stanje ispitanika.
Osobni podaci koji se odnose na zdravlje trebali bi obuhvaćati sve podatke koji se odnose na zdravstveno stanje ispitanika, a koji otkrivaju informacije u vezi s prijašnjim, trenutačnim ili budućim fizičkim ili mentalnim zdravstvenim stanjem ispitanika. To uključuje informacije o pojedincu prikupljene tijekom registracije za ili tijekom pružanja tom pojedincu zdravstvenih usluga kako je navedeno u Direktivi 2011/24/EU Europskog parlamenta i Vijeća (9); broj, simbol ili oznaku koja je pojedincu dodijeljena u svrhu njegove jedinstvene identifikacije za zdravstvene svrhe; informacije izvedene iz testiranja ili ispitivanja dijela tijela ili tjelesne tvari, među ostalim iz genetskih podataka i bioloških uzoraka; i bilo kakvu informaciju o, na primjer, bolesti, invalidnosti, riziku od bolesti, medicinskoj povijesti, kliničkom tretmanu ili fiziološkom ili biomedicinskom stanju ispitanika neovisno o njegovu izvoru, kao na primjer od liječnika ili drugog zdravstvenog djelatnika, bolnice, medicinskog uređaja ili dijagnostičkog testa in vitro.
Nikada ne znate kod koga su završile baze podataka u kojima su i vaše dijagnoze. Možda su jeftino prodate, možda i darovane.
Zahvaljujući GDPR-u danas vi imate pravo na brisanje vaših digitalnih sjena, pravo na zaborav. Imate pravo na digitalno dostojanstvo.
Ispitanik bi trebao imati pravo na ispravak osobnih podataka koji se na njega odnose te „pravo na zaborav” ako zadržavanje takvih podataka krši ovu Uredbu ili pravo Unije ili pravo države članice koje se primjenjuje na voditelja obrade. Ispitanici bi osobito trebali imati pravo da se njihovi osobni podaci brišu i više ne obrađuju ako ti osobni podaci više nisu potrebni s obzirom na svrhu u koju su prikupljeni.