WEB STRANICA & GDPR

Onda kada imate web stranicu i prikupljate osobne podatke putem nje, potrebno je takvo prikupljanje podataka urediti u skladu s GDPR. Trebalo bi objaviti politiku/obavijest o  privatnosti koja je jasno odvojena od drugih obavijesti npr. uvjeta poslovanja, koja se nalazi pod pojmom koji se uobičajeno koristi primjerice „Privatnost“, „Politika privatnosti“, „Obavijest o zaštiti podataka“ i drugo. Izravna poveznica na tu politiku trebala bi biti jasno vidljiva na svakoj stranici te web stranice.

Sadržaj obavijest o pružanju informacija sadržana je u člancima 12-14. GDPR Ovdje ćemo dati prikaz osnovnih elemenata na koje bi trebalo obratiti pozornost i od kuda s uređenjem krenuti ona kada se radi o jednostavnoj web stranici.
 
VAŽNO 

Informacije o privatnosti trebale bi biti specifične i odnositi se samo na tu stranicu i ne bi se smjelo raditi o općenitoj politici privatnosti poduzeća.

Međutim, ipak su moguće situacije kada je potrebno politiku privatnosti web stranice proširiti s dodatnim informacijama o prikupljanju i obradi drugih osobnih podataka koje se prikupljaju putem nekog od ostalih  kanala poduzeća. To će biti najčešće onda kada niste u mogućnosti upoznati ispitanika sa svrhom i obradom prikupljanja što je najčešće u situaciji prikupljanja temeljem legitimnog interesa voditelja obrade. Tada nam politika privatnosti na web stranici može u određenim situacijama  poslužiti za upoznavanje ispitanika s legitimnim interesom i pravima koja može ostvariti te za  pružiti uputu o načinu uvida u procjenu rizika obrade vezano za taj legitimni interes.

KAKO KRENUTI?
  • DEFINIRJTE KOJE TOČNO PODATKE  TREBATE I ZAŠTO IH TREBATE   
(pri tome se misli na svaki pojedini podatak a ne na skupinu podataka)

Primjer, „Kontakt forma“. Na web stranici imate kontakt obrazac pute kojeg prikupljate podatke.  Potrebno je utvrditi koje točno podatke trebate radi odgovora na postavljeni upit i zbog čega ih točno trebate.

U većini slučajeve kao obvezni podatak za komunikaciju prikupljat će se samo ime radi razlikovanja korisnika i e-mail adresa radi  dostave odgovora.

Vrlo često se susrećemo s prikupljanjem prezimena što je u većini slučajeve prekomjerna obrada osobnog podataka (time i kršenje GDPR)  jer nam nije esencijalno potreban radi odgovaranja na upit te niti pridonosi kvalitetia pružanja te usluge. Stoga je potrebno i vrlo bitno točno definirati zbog čega vam je potrebno prikupljanje određenog podataka. Pri tome je potrebno imati na umu da korištenje privole ne daje mogućnost da se prikupljaju  bilo koji podaci bez obrazloženja već i za podatak koji prikupljate putem privole mora se imati točno određena svrha i mora biti potreban za izvršenje te svrhe.  U protivnom privola nije važeća a samim time takva obrada je onda nezakonita (Smjernice Radne skupine iz članka 29.)

  • UTVRDITE ZAKONITOST OBRADE ZA SVAKI PODATAK 

U primjeru kontakt forme zakonitost obrade nalazit će se u članku 6. stavak 1 točka (b) jer je prikupljanje podataka potrebno radi pružanje usluge koja se traži – odgovaranja na postavljeni upit. Međutim, ako se bavite npr. oglašavanjem malih oglasa, tada ćete morat prikupiti ime, prezime, adresu i OIB osobe koja se želi oglašavati i tada će zakonitost obrade biti u članku 6. stavak 1 točka c jer je obrada nužna radi poštovanja pravnih obveza.

  • UTVRDITE VRENSKI ROK POHRANE ZA SVAKI PODATAK 

U primjeru „Kontakt forme“ uobičajeno biti će potrebno pohraniti podatak samo za slučaj odgovaranja na upit te da se po završetku konverzacije, onda kada ne dolazi do daljnje suradnje, isti briše iz sustava.

  • PROSLIJEĐIVANJE PODATKA

Da li je će se neki od podataka prosljeđivati trećim osobama, kojima i zbog čega te o tome kao i o prednje navedenom zajedno s ostalim potrebnim informacijama obavijestite svoje  korisnike web stranice u Politici privatnosti.

  • ZAHTJEV ZA OSTVARIVANJE PRAVA

Kao dobru praksu predlaže se postaviti zahtjev za ostvarivanje prava ispitanika uz politiku privatnosti. Isto se može napraviti kao i kontakt obrazac samo s poljima za upis drugih podataka. Primjer: ime i prezime, adresa, e-mail, ostvarivanje prava koje se traži s ponudom već unaprijed preddefiniranih mogućih prava i informacija koje se mogu tražiti, oznaka željenog načina dostave, mogućnost prilaganja privitka osobnog dokumenta radi nedvojbene identifikacije.

  • UTVRDITE DA LI KORISTE KOLAČIĆE KOJI NISU ESENCIJALNI

Obavijest o kolačićima nije potrebno prikazivati ukoliko kolačiće koristite samo za spremanje informacija nužnih za funkcioniranje stranice, poput login informacija ili proizvoda u košarici.  Ukoliko kolačiće koristite  za neesencijalne potrebe, poput praćenja statistike ili kontekstualnog oglašavanja, obavijest je potrebno prikazati, odnosno zatražiti dozvolu korisnika. Pri dobivanju dozvole korisnika potrebno je istom pružiti informacije o kolačićima koji se koriste, zašto se koriste, na koji rok se pohranjuju i kako se mogu isključiti te je dobra praksa pružiti opće informacije o njima.

Definiranjem politike privatnosti, politike kolačića i njihovim postavljanjem zajedno s zahtjevom za ostvarivanje prava ispitanika, napravljeni su osnovni koraci u uređenju jednostavnije stranice bez većeg opsega prikupljanja osobnih podataka. Ostali koraci usklađenja ovisit će o samoj stranici i podacima koji se putem nje prikupljaju.

Politike je potrebno redovito pratiti da li odražavaju usklađenost i stanje sa trenutnim prikupljanjem podataka, ažurirati ih u skladu s time i o tome pružati obavijest kroz iste.

  •  PREPORUKA SSL CERTIFIKAT

Inače je preporuka ali posebice onda kada vodite web shop ili vršite drugu sličnu obradu.

SSL certifikat ( Secure Socket Layer ) je metoda kriptiranja web stranice, odnosno dio programskog koda koji omogućuje enkripciju razmijenjenih podataka između browsera i servera. Tako osiguravamo primjerice, sigurnost korisnicima prilikom online plaćanja u web shopu. Korisnici koji unose svoje osobne podatke u obrazac za  plaćanje, sigurni su od presretanja tih informacija i neovlaštenog korištenja.

MEMO

Politika privatnosti

-onda kada se prikupljaju podaci (npr. kontakt forma) obavijest: navesti svaki podatak koji se prikuplja, zašto se prikuplja, zakonitost prikupljanja, razdoblje pohrane, da li se/kome/zašto prosljeđuje – ostale info. kroz politiku.

-politika privatnosti web stranice nije politika privatnosti poduzeća 

-možete je iskoristiti za pružanje informacija o određenom legitimnom interesu onda kada je primjenjivo

-obratiti pozornost da li imate poveznice na svoje profile na društvenim mrežama 

-potrebno da je jasno vidljiva sa svih stranica (header/footer)

-jasan, jednostavan I razumljiv tekst prilagođen skupini kojoj je stranica namijenjena

-politika privatnosti ne smije biti sastavni dio drugih pravila npr. uvjeta poslovanja
-privola ne može biti sastavni dio prihvaćanja bilo politke privatnosti ili bilo kojih drugih pravila
-privolom se ne može prikupljati podatak koji nije nužan i opravdan za svrhu za koju se prikuplja

Politika kolačića

-onda kada koristite kolačiće koji nisu nužni za funkiconiranje stranice

Zahtjev za ostvarivanje prava

-dobra praksa

DODATNE NAPOMENE  NA KOJE JE POTREBNO OBRATITI POZORNOST
 
  • Svaka informacija i obavijest o obradi osobnih podataka koja se pruža treba biti sažeta, transparentna, razumljiva i lako dostupna a jezik koji se upotrebljava mora biti jasan i jednostavan.
  • U tekstu trebalo bi izbjegavati i jezične kvalifikatore kao što su „može”, „možda”, „neki”, „često” i „moguće”. Ako se vlasnik web stranice odluči za upotrebu nejasnog jezika u obavijesti o privatnosti, tada u skladu s načelom odgovornosti, treba moći dokazati zašto nije mogao izbjeći upotrebu takvog jezika i da se time ne dovodi u pitanje poštenost obrade podataka.
  • Informacije o privatnosti trebale bi se jasno razlikovati od ostalih informacija koje nisu povezane s privatnošću kao što su ugovorne odredbe ili opći uvjeti korištenja.
  • Tekst ili poveznica koji su teško uočljivi zbog položaja na internetskoj stranici ili sheme boja kojima su označeni ili koje je teško pronaći na internetskoj stranici ne smatraju se lako dostupnima i time ne udovoljavaju zahtjevima GDPR.
  • Kad je riječ o aplikacijama, potrebne informacije trebale bi biti dostupne i u internetskoj trgovini prije njihova preuzimanja. Nakon što se aplikaciju instalira, te informacije i dalje moraju biti lako dostupne unutar aplikacije.
  • Ako se radi o web stranicama namijenjene djeci trebalo bi  i razmotriti koje bi vrste mjera mogle biti posebno pristupačne toj skupini djece (npr. to bi, među ostalim, mogli biti stripovi/crteži, piktogrami, animacije itd.).
  • Radna skupina iz članka 29. preporučuje upotrebu slojevitih izjava/obavijesti o privatnosti kojima se posjetiteljima internetskih stranica omogućuje da pristupe određenim aspektima odgovarajuće izjave/obavijesti o privatnosti koji ih najviše zanimaju. Međutim, cjelokupne informacije trebale bi biti dostupne i na jednom mjestu ili u jednom cjelovitom dokumentu (u digitalnom ili papirnatom obliku) kojem posjetitelj te web stranice  mogu lako pristupiti.