Usklađenje (WordPress) web stranica po GDPR-u
Opća uredba o zaštiti podataka (eng. GDPR – General Data Protection Regulation) stupila je na snagu u svibnju 2018. i, vjerujemo, zauvijek će promijeniti poslovni pogled na osobne podatke.
Uz tu uredbu dolaze i novčane kazne, a u nekim slučajevima i osobne obveze direktora – nešto što nitko od nas, vlasnika svojih poslovanja, više ne može olako shvatiti.
Iz toga razloga, odlučio sam napisati ovaj blog post jer se svakodnevno susrećem s ljudima kojima je potrebna web stranica, a mislim da nisu dovoljno informirani o ozbiljnosti ove uredbe i njezinih posljedica ukoliko se ne implementiraju na adekvatan način.
Postoje razne vrste usklađenosti s GDPR-om i tu ne bih išao u dubinu jer je vrlo opsežno područje, nego bih se koncentrirao na što stranica o Pravilima privatnosti mora sadržavati, fokus je za stranice koje su izrađene na WordPress CMS platformi, te GDPR pluginovima napravljenim isključivo za taj CMS, a iz razloga što sam i sam WordPress web dizajner.
Pitate se, zašto ja kao web dizajner pišem o nečemu što nema veze s web dizajnom već s pravnom regulativom i što ja znam o tome? Istina, o tome ne znam previše, ali zato zna moja partnerica Nika iz tvrtke Proleda media s kojom sam nedavno uspostavio partnerski odnos i ona mi je uvelike pomogla u pisanju ovog blog posta.
I ako se pitate, da, to znači da je naša nova usluga usklađivanje web stranice s GDPR-om upravo rođena na radost svih koji će postati naši klijenti i bit će im potrebno implementirati i ovaj dio. 😀
Što su Politika privatnosti i GDPR?
Kako ne bismo gubili vrijeme idemo razlučiti nekoliko pojmova. Više informacija o samom GDPR-u možete pročitati na službenim stranicama EU.
Što je to politika privatnosti?
Politika privatnosti je dio na web stranici kojim svojim korisnicima objašnjavate gdje, na koji način i u koje svrhe koristite njihove osobne podatke. U Politici privatnosti važno je nabrojati sve načine na koji koristite ili prikupljate njihove podatke, u suprotnom kršite uredbu GDPR (General Data Protection Regulation).
Što je to GDPR?
GDPR je Opća uredba o zaštiti podataka. Uredba je donesena (i primijenjuje se od) 25.5.2018., a odnosi se na sve obveznike bez iznimke, kao i na fizičke osobe u okviru obavljanja profesionalnih djelatnosti. Tom uredbom jačaju prava ispitanika te se smanjuju i pojednostavljuju pojedine administrativne obveze voditelja zbirke osobnih podataka te nema predaje zbirki, primjerice mailing lista, koje su prije vrlo često bile distribuirane.
Ova uredba također donosi novu, detaljniju definiciju osobnog podatka, uz postojeće podatke fizičkih osoba. GDPR se najviše (ali ne isključivo) odnosi na pravne osobe, odnosno na poslovanje i korištenje osobnih podataka u poslovne svrhe.
Ako u svom poslovanju koristite bilo što od osobnih podataka svojih klijenata (ali i radnika), na vas se odnosi GDPR te se je važno uskladiti s tom uredbom.
Agencija zadužena za regulaciju provođenja uredbe, u Hrvatskoj, je AZOP (Agencija za zaštitu osobnih podataka). Stoga, ukoliko smatrate da se vaši osobni podaci na bilo koji način zloupotrebljavaju, obratite se njima.
Što je sve osobni podatak?
Osobni podatak je svaki podatak koji direktno upućuje na osobu. To su informacije poput:
- Ime i prezime
- Adresa
- OIB
- JMBG
- Glas
- Otisak prsta
- Fotografija
- Video/snimka
- Genetski podaci
- Biometrijski podaci
- Email (koji uključuje ime osobe)
- Broj telefona
- Broj računa
- Registarska oznaka automobila
- Internetska IP adresa i drugi.
Ukoliko bilo koji od navedenih podataka svojih zaposlenika koristite u svom poslovanju, podliježete GDPRu. Stoga se važno uskladiti, ne čuvati nepotrebne dokumente i osobne podatke.
Što nikako nemojte činiti
Makar vam se činilo kao logičan potez, ali nikako nemojte copy-pasteati tekstove Pravila privatnosti sa drugih stranica, pa makar one bile stranice od vaše direktne konkurencije.
Zašto? Ne znate s točnošću odrediti koje sve aplikacije oni koriste na svojim stranicama te iz tog razloga ne znate na koje sve načine prikupljaju osobne podatke.
Ukoliko kopirate te tekstove, izostavljate dijelove koji se odnose na vašu usklađenost, ili pak dodajete dijelove koji uopće nisu relevantni za vaše poslovanje.
Što je sve potrebno uključiti u Politiku privatnosti na svojoj (WordPress) web stranici?
Na svakoj web stranici biste trebali svojim posjetiteljima dati do znanja da se njihovi osobni podaci prikupljaju i koje podatke prikupljate i u svrhu čega. Na temelju toga biste trebali imati postavljen Cookie Notification banner (obavijest o korištenju kolačića) pomoću kojega obavještavate da koristite kolačiće na web stranici sa poveznicom na stranicu o Pravilima privatnosti.
Za kolačiće u WordPress-u postoji mnoštvo pluginova u repozitoriju, a u ovom blog postu ću se osvrnuti na dva za koje smatram da su odlični u svojoj primjeni.
Ali, detaljnije u nastavku. Pročitajte prvo što sve jedna standardna stranica o Pravilima privatnosti treba uključivati.
Načela privatnosti
Važno je navesti Načela privatnosti, kako biste svojim posjetiteljima dali do znanja kako, koliko, gdje i koje podatke koristite. Ovih načela se potrebno i pridržavati.
Neka od načela koja možete navesti u svojoj Politici privatnosti su:
- Ne prikupljamo više informacija nego što je potrebno.
- Vaše podatke ne koristimo u svrhe koje nisu navedene.
- Ne čuvamo Vaše podatke ako više nisu potrebni.
- Nikada ne prodajemo, posuđujemo niti javno objavljujemo Vaše osobne podatke.
- Vaše podatke ne šaljemo trećim stranama.
- Vaše osobne podatke ne prenosimo u treću zemlju ili međunarodnu organizaciju.
- Vaše podatke ne koristimo u svrhe koje nisu navedene.
- Brinemo se da su Vaši podaci sigurno pohranjeni.
Osobni podaci
U Politici privatnosti važno je navesti sve osnovne podatke tvrtke koja je vlasnik web stranice. To su: puni naziv, sjedište, e-mail adresa, telefonski broj (ukoliko se koristi).
Dobro je napraviti novu e-mail adresu koja bi bila isključivo za upite vezane za GDPR (primjerice gd**@tv****.hr ili dp*@tv****.hr, ukoliko imate imenovanu osobu DPO), kako biste bili sigurni da vam se ta pošta neće izgubiti među poštom koju dobivate svakodnevno.
Važno je navesti u koje svrhe koristite osobne podatke svojih korisnika. Koristite li osobne podatke za statistiku, marketing, kontakt, odgovor na upit, prodaju i slično, to morate navesti već pri samom vrhu Politike privatnosti.
Osim toga, važno je navesti i na kojem dijelu svoje web stranice koristite osobne podatke svojih posjetitelja. Je li to forma za kontakt? Je li to prikupljanje e-mail adresa za slanje newslettera? Koristite li Google Analytics? Facebook Pixel? Google Ads?
Važno je nabrojati svaki plug-in koji na ovaj ili onaj način prikuplja ili obrađuje osobne podatke vaših posjetitelja.
Nakon toga, navedite koje sve podatke svojih posjetitelja koristite. To mogu biti: ime i prezime, e-mail adresa, organizacija, broj telefona, adresa, IP adresa i slično.
Zatim, navedite na koji način koristite osobne podatke posjetitelja. U ovom dijelu Politike privatnosti navedite koristite li osobne podatke svojih posjetitelja: za odgovaranje na njihov upit, slanje newslettera, prikupljanje statističkih podataka o posjećenosti web stranice, prikazivanje personaliziranih reklama, prikupljanje podataka s njihovog Facebook profila, podaci o plaćanju (ukoliko se radi o web shopu) i slično. Važno je navesti sve plug-inove koje koristite, a koji prikupljaju podatke vaših posjetitelja.
Osim toga, važno je napomenuti i koliko ćete dugo imati pohranjene njihove osobne podatke nakon prestanka kontakta. Dakle, ukoliko, primjerice, vaš posjetitelj odluči preko vaše web stranice poslati upit, vi na taj upit odgovorite i nakon toga vaša komunikacija prestaje, morate odrediti rok nakon kojeg ćete podatke s njegovog upita izbrisati iz svoje baze. Predlažem da to bude 12 mjeseci. Naravno, potrebno se pridržavati tog roka i zaista izbrisati te podatke nakon određenog roka.
Politika kolačića
Osim navedenog, važno je objasniti i kako koristite kolačiće na svojoj stranici. Prema GDPR uredbi, kolačići su obavezni na svakoj stranici, ali važno je i njih uskladiti. Posjetitelje obaviještavate o kolačićima pomoću prethodno spomenutih Cookie Notice WordPress pluginova.
Prvo, kolačići moraju imati dva gumba, ne samo jedan. To su ‘Slažem se’ i ‘Ne slažem se’.
Osim toga, posjetitelju morate omogućiti odabir kolačića na web stranici: osnovni, statistički i marketinški. Kolačići ne smiju biti unaprijed označeni, već posjetitelj sam bira koje kolačiće će web stranica prikupljati.
Za to su najbolji pluginovi pod nazivom Cookiebot | GDPR/CCPA Compliant Cookie Consent and Control ili Complianz – gdpr/ccpa cookie consent. Oba plugina dolaze u freemium verzijama, što znači da postoji i besplatna varijanta, ali i ona plaćena ukoliko vam je potrebno više funkcionalnosti. Također, mogu se prevesti i na hrvatski jezik.
Ti pluginovi imaju sve potrebno kako bi vaši kolačići bili usklađeni s GDPR uredbom. Osim samog izgleda prozora za kolačiće, u njima možete podesiti koji od postojećih pluginova na stranici prikuplja koju vrstu kolačića, pa vam tako uvelike olakšava posao.
Još jednom napominjem, kolačići MORAJU imati i gumb ‘Ne slažem se’.
Što je zadaća kolačića?
Zadaća kolačića kojem ste dopustili da se pohrani na vaše računalo je spremanje vaših postavki, postavki web stranice, vašeg preferiranog jezika ili adrese. Kada nakon nekog vremena opet posjetite istu stranicu internet preglednik kojim se koristite šalje informacije prilagođene vašim potrebama.
Ovisno o definiranoj zadaći kolačići spremaju širok spektar informacija koji između ostalih uključuju i osobne podatke. Međutim, isključivo vi odlučujete koje informacije će kolačići spremati. U postavkama vašeg internet preglednika možete sami birati hoćete li zahtjeve za spremanje kolačića odobriti ili odbiti.
Onemogućavanjem kolačića možda nećete moći koristiti neke od funkcionalnosti na stranicama koje posjećujete.
Vrste kolačića
- Stalni kolačići
Stalni kolačići ostaju na računalu nakon zatvaranja programa internet preglednika. Stalni kolačići ostat će na računalu ili mobilnom uređaju danima, mjesecima, čak i godinama te imaju svrhu pohraniti stalne podatke kao što su npr. korisničko ime i lozinka da se ne morate svaki puta iznova prijavljivati.
- Privremeni kolačići
Privremeni kolačići nestaju s računala nakon što zatvorite internet preglednik. Uz njihovu pomoć se pohranjuju privremeni podaci kao što su podaci koje dajete kad ste u online kupnji.
- Kolačići prve strane
Kolačići prve strane mogu biti stalni ili privremeni, a pohranjuju podatke koje ćete ponovo koristiti prilikom sljedećeg posjeta stranicama sa kojih su pohranjeni na vaše računalo.
- Kolačići treće strane
Kolačići treće strane ili tzv. reklamni kolačići pohranjuju se na vaše računalo ako koristite reklame i oglase na stranici koju posjećujete a ona vas preusmjeri na treću stranu. Ovaj način služi za praćenje korištenja Interneta u marketinške svrhe.
U svojoj Politici privatnosti, ali i u prozoru kolačića možete navesti tekst poput ovog: Ova stranica koristi kolačiće u svrhu poboljšanja korisničkog iskustva, u svrhu funkcioniranja stranice u kontekstu sigurnosti i u svrhu radnji koje posjetitelj stranice odabere samostalno (web forma za slanje poruka ili traženje usluga).
Privremeni kolačići se brišu kada napustite internetski preglednik. Njihova jedina svrha je unaprijediti korisničko iskustvo za vrijeme posjete stranici.
Stalni kolačići nemaju ograničenja i ostaju u vašem pregledniku dok ih ručno ne obrišete. Prikupljeni podaci se koriste isključivo u statističke svrhe.” Naravno, ovaj tekst možete i puno više skratiti.
Prilikom slanja upita, putem obrasca za kontakt, morate staviti tekst poput “Pročitao sam i prihvaćam Politiku privatnosti ove stranice”, gdje je na riječima “Politiku privatnosti” hiperveza na tekst cijele Politike. Pored teksta mora se nalaziti ‘check box’, koji ne smije biti unaprijed označen, već ga korisnik sam mora odabrati.
Ukoliko putem kontakt obrasca želite prikupljati e-mail adrese za slanje newslettera, za to posjetitelj također mora dati privolu označavanjem novog ‘check boxa’ uz koji se nalazi tekst poput ‘Želim se prijaviti za primanje newslettera’. Niti ovaj ‘check box’ ne smije biti unaprijed označen, a tek pristankom korisnika smijete koristiti njegovu e-mail adresu u tu svrhu.
Vaša prava
Važno je upoznati posjetitelja s njegovim pravima na sljedeći način:
U bilo kojem trenutku slobodni ste nas kontaktirati u svrhu:
- PRISTUPA svim osobnim podacima koje smo prikupili o Vama,
- ISPRAVLJANJA osobnih podataka koje imamo o Vama,
- BRISANJA svih osobnih podataka koje smo prikupili o Vama,
- OGRANIČAVANJA obrade Vaših osobnih podataka,
- PRIGOVORA na obradu Vaših osobnih podataka, ili
- ZAHTJEVA za Vašim osobnim podacima koje imamo, u svrhu prijenosa trećoj strani.
Ukoliko želite iskoristiti bilo koje od prethodno navedenih prava, budite slobodni:
- poslati upit putem našeg kontakt obrasca na internetskoj stranici
- poslati e-poštu na našu mail adresu (i navesti adresu za upite),
- poslati svoj zahtjev na adresu (i navesti adresu sjedišta),
a mi ćemo odgovoriti najkasnije sljedeći radni dan. (Ili u roku koji sami odredite.)
Ako imate bilo kakvih dodatnih pitanja o prikupljanju, obradi i pohranjivanju osobnih podataka, kontaktirajte nas.
Pravo na podnošenje prigovora nadležnom tijelu
Svojim posjetiteljima morate dati do znanja da u svakom trenutku mogu uložiti prigovor izravno nadležnom nadzornom tijelu, posebice u zemlji EU-a u kojoj imaju uobičajeno boravište, mjesto rada ili mjesto navodnog kršenja, ako smatraju da obrada njihovih osobnih podataka nije zakonita.
Izravni kontakti hrvatskog nacionalnog tijela su:
AGENCIJA ZA ZAŠTITU OSOBNIH PODATAKA (AZOP):
- Fra Grge Martića 14
- HR – 10000 Zagreb
- Telefon: +385 1 4609-000
- Fax: +385 1 4609-099
- e-mail: az**@az**.hr
- Web: http://www.azop.hr
Povreda podataka
Također, dajte čitateljima do znanja da ćete o svakoj povredi osobnih podataka izvijestiti AZOP kao nadležno nacionalno tijelo za zaštitu podataka u roku od 72 sata od povrede, ako utvrdite da su osobni podaci pretrpjeli povredu.
Na kraju navedite datum posljednjeg ažuriranja Politike privatnosti.
Zaključak
Živimo u vremenima kada se naši osobni podaci koriste u razne svrhe i vrlo često i bez našeg znanja. Npr., Google zna sve o meni, gdje se krećem, gdje sam bio u koje vrijeme, što pretražujem na tražilici, koji su moji afiniteti, koju muziku slušam na youtube-u i na temelju toga mi pokušava prikazati relevantne oglase određene pomoću nekog njegovog algoritma, i, u današnje vrijeme putem umjetne inteligencije koja je u procesu učenja, ali progresivnom brzinom.
Na isti način radi i Facebook, ali i mnoštvo drugih aplikacija koje svakodnevno koristimo. Web stranice ne odstupaju niti malo od ovoga trenda. Pogledajte samo web shopove, vi da biste nešto kupili morate najmanje ostaviti svoje ime i prezime, email i adresu za dostavu.
Dakle dolazimo do odgovora na pitanje da li je uredba o zaštiti osobnih podataka ili GDPR potrebna ili promašena tema i samo još jedna obaveza? Moram priznati da je naum u svakom slučaju hvale vrijedan, ali kako se to provodi u svakodnevnom životu je možda druga priča.
Ako se stavimo u kožu naših posjetitelja, i ako ste pročitali cijeli članak do ovdje, vjerujem da je i Vama stalo do toga da se pobrinete o njihovoj sigurnosti u ovom kaosu na internetu, i da su barem s vaših web stranica zaštićeni na ispravan način.
Alati za realizaciju postoje, samo je potrebna dobra volja kako bi se oni implementirali.
Ako već imate svoju web stranicu i u slučaju da ste zainteresirani za potpuno usklađenje s uredbom, javite se partnerima iz Proleda medie koji će skenirati vašu WordPress web stranicu i ponuditi savjete kako da se u potpunosti uskladite s GDPR-om.
Ukoliko tek krećete u izradu svoje web stranice, kontaktirajte nas i ovaj dio ćemo vrlo rado izraditi za Vas.