prodaja@stozacibrid.com hr@hardtechnique.com vjeko.kovacicek@coolintunit.com info@tehnikhard.net mail@coolintunit.com webmaster@stozacibrid.com admin@hardtechnique.com tehnikhard.net web.stozacibrid.com www.coolintunit.com
  • Vaša IP adresa: 18.118.255.51
novosti

Primjena GDPR-a počinje 25. svibnja 2018.: Jeste li uskladili svoje web stranice?

  • POSLuH hosting
  • 16.05.2018.

Ovih dana mnogima je na umu GDPR. I dobro je da je tomu tako, jer poduzetnicima koji svoje poslovanje ne usklade s GDPR-om prijete potencijalne kazne u iznosu do čak 20 milijuna eura ili 4% godišnjeg prometa (koji god iznos je veći). To se odnosi i na osobe koje putem web stranica prikupljaju bilo kakve osobne podatke – dakle i na korisnike naših web hosting usluga. Stoga se morate odmah početi baviti ispunjavanjem obveza koje propisuje GDPR, ako još niste ništa poduzeli po tom pitanju.

Kako bismo Vam u tome pomogli, u ovom članku nastojali smo ukratko opisati najrelevantnije aspekte GDPR-a za web stranice naših korisnika. Molimo da uzmete u obzir da se ovaj članak ne odnosi na usklađivanje Vašeg cjelokupnog poslovanja s GDPR-om, već sadrži samo naše preporuke za usklađivanje Vaših web stranica s GDPR-om, koje se temelje na našem vlastitom iskustvu i informacijama koje smo dobili u postupku usklađivanja poslovanja POSLuH hostinga. S obzirom na to da svaki poduzetnik djeluje pod različitim okolnostima, kako biste bili sigurni da ste postupili u cijelosti u skladu sa svojim obvezama, toplo Vam preporučujemo da potražite pravni savjet i da posvetite malo vremena istraživanju ove teme sami.

Što je to GDPR?

GDPR je skraćeni naziv za General Data Protection Regulation ili Opću uredbu o zaštiti osobnih podataka koja će se kao propis Europske unije 25. svibnja 2018. izravno početi primjenjivati u svim državama članicama EU-a, uključujući i Hrvatsku. GDPR je donesen s ciljem da građani Europske unije dobiju kontrolu nad svojim osobnim podatcima te da se promijeni pristup organizacija u cijelom svijetu prema zaštiti osobnih podataka. Drugim riječima, žele se ojačati prava građana EU-a u pogledu prikupljanja i obrade njihovih osobnih podataka.

Na koje web stranice se primjenjuje GDPR?

GDPR se primjenjuje na web stranice koje pohranjuju, obrađuju ili prate „osobne podatke“. Prema GDPR-u, osobni podatak je bilo koji podatak koji se može upotrijebiti kako bi se identificirala živa osoba, izravno ili neizravno. U osobne podatke spadaju podatci kao što su ime, prezime, datum rođenja, fotografija, lokacija, adresa e-pošte, podatci o kreditnim/debitnim karticama ili računima u banci, IP adrese i slično. Nažalost za naše korisnike (ili na sreću za posjetitelje Vaših web stranica), ovako široka definicija „osobnih podataka“ znači da se GDPR manje-više primjenjuje na sve web stranice.

Kako znam prikupljam li preko svojih web stranica osobne podatke?

Ako se na Vašoj web stranici nalazi obrazac za kontakt, obrazac za komentiranje, obrazac za pretplatu na newsletter ili ako imate web trgovinu s narudžbenicom/košaricom u koje Vaši posjetitelji upisuju informacije, onda zasigurno već znate da prikupljate osobne podatke. Međutim, čak i ako nemate takve obrasce, velika je vjerojatnost da se putem Vaših web stranica prikupljaju osobni podatci, iako Vi toga niste svjesni jer se to čini automatizirano i često koristeći servise trećih osoba – primjerice, u slučaju kolačića (eng. cookies) i IP adresa.

Kako biste si pomogli analizirati koje podatke prikupljate, a da toga možda niste ni svjesni, probajte zabilježiti svoje odgovore na pitanja slična ovima:

  • • Koje podatke prikupljam/obrađujem/koristim na svojoj web stranici?
  • • Na koji način prikupljam te podatke?
  • • Koristim li na svojoj web stranici bilo kakav obrazac u koji posjetitelji mogu upisati osobne podatke?
  • • Koristim li Google Analytics ili neki drugi statistički alat na svojoj web stranici?
  • • Koristim li na svojoj web stranici neki priključak (plugin) koji prikuplja osobne podatke?
  • • Koristim li mailing listu?

Što mogu učiniti da svoje web stranice uskladim s GDPR-om?

U nastavku navodimo 10 preporuka za usklađivanje web stranica s GDPR-om:

1. Prilagodite svoja Pravila o privatnosti

Posjetitelje svojih web stranica morate obavijestiti o načinima na koje se preko Vaše web stranice prikupljaju njihovi osobni podatci. To možete učiniti tako da napišete "Pravila o privatnosti" i postavite ih na vidljivo mjesto na svojoj web stranici. Pravila o privatnosti moraju biti napisana vrlo jasnim i razumljivim jezikom te bi trebala podrobno objasniti na koji način prikupljate osobne podatke, gdje ih pohranjujete, s kime ih dijelite, koliko dugo ih namjeravate zadržati, kako osobe mogu pregledati koje informacije imate o njima te na koji način mogu ukloniti svoje podatke iz Vašeg sustava. Kako biste dobili ideju o tome kako bi trebao izgledati taj dokument, preporučujemo Vam da pročitate naša Pravila o privatnosti.

2. Postavite SSL certifikat

Kao jednu od tehničkih mjera zaštite podataka, GDPR izričito spominje enkripciju osobnih podataka. Stoga se preporučuje da na svojoj web stranici postavite SSL certifikat. SSL ili Secure Socket Layer certifikat je mala datoteka koja digitalno povezuje kriptografski ključ s podatcima određene organizacije, a služi za sigurnost komunikacije između poslužitelja i klijenta. Web stranice s postavljenim SSL certifikatima možete prepoznati po simbolu lokota zelene boje koja se pojavljuje u adresnoj traci web preglednika uz oznaku https:// kao na slici ispod

Na taj način posjetitelji Vaših web stranica mogu odmah vidjeti da brinete o sigurnosti njihovih podataka te dokazano podiže razinu povjerenja posjetitelja prema Vama. Još jedna prednost postavljanja SSL certifikata je ta da postavljanje SSL certifikata preporučuje Google i može Vam pomoći u postizanju višeg rankinga koji Vaša stranica ima na Google tražilici. Google je čak otišao toliko daleko da će sve web stranice bez SSL certifikata Googleov preglednik Chrome uskoro početi automatski označavati kao nesigurne te će time obeshrabrivati korisnike da ih posjećuju.

U našoj ponudi možete pronaći sve SSL certifikate renomiranih izdavača po najpovoljnijim cijenama – sve što trebate učiniti je kontaktirati nas na podrska@posluh.hr kako bismo ustanovili koji certifikat najviše odgovara Vaših potrebama.

3. Prilagodite obrasce u koje se unose osobni podatci

Obrasce na svojim web stranicama morate prilagoditi tako da posjetitelj Vaše web stranice ima mogućnost dati izričitu privolu za korištenje osobnih podataka koje je unio u obrazac. Drugim riječima, ako koristite tzv. kućice za izbor (eng. checkbox), one više ne smiju unaprijed biti označene kvačicom, jer se to smatra neizravnom privolom koju posjetitelj web stranice nije dao svojom slobodnom voljom. Također, ako koristite izbor "Da" ili "Ne", ne smije unaprijed biti označeno "Da". Posjetitelj mora postupati aktivno i sam označiti kućicu kvačicom ili označiti "Da" kako bi dao svoju izričitu privolu (eng. opt-in).

Ako se radi o različitim vrstama obrade podataka, posjetitelj mora imati mogućnost dati privolu za svaku pojedinu vrstu obrade. Primjerice, trebali biste imati dva odvojena checkboxa za prihvaćanje "Općih uvjeta ugovora" i davanje privole za kontaktiranje posjetitelja u marketinške svrhe. Također, ako posjetitelja želite kontaktirati putem pošte, e-pošte i telefona, za to bi trebale postojati tri odvojene kućice i posjetitelj mora sam kvačicom označiti svaku od njih. Isto tako, ako od posjetitelja tražite privolu da proslijedite njihove podatke trećoj osobi, i za to trebate posebni checkbox. Pri tome trebate točno navesti kojoj organizaciji želite proslijediti te podatke – nije dovoljno samo navesti općenito da ćete prosljeđivati podatke trećim osobama.

4. Omogućite jednostavno povlačenje privole

Posjetitelju morate omogućiti da svoju privolu povuče jednako lako kao što ju je i dao. Također, posjetitelji moraju biti obaviješteni o tome da uvijek imaju pravo povući svoju privolu.

To možete postići tako da u porukama e-pošte koje šaljete uvijek bude poveznica za povlačenje privole tj. za odjavu. Osim toga, bilo bi dobro i da na vidljivom mjestu na svojoj web stranici postavite poveznicu za povlačenje privole. Ta poveznica, primjerice, može biti inkorporirana u Vaša Pravila o privatnosti ili postavljena uz obrazac u koji se unose podatci i inicijalno daje privola.

5. Pribavite privole za korištenje kolačića

Prema GDPR-u, kolačići (eng. cookies) se smatraju osobnim podatcima, s obzirom na to da se pomoću njih može identificirati osoba. Stoga od posjetitelja svojih web stranica morate dobiti jasnu i točno određenu privolu za postavljanje kolačića i njihovo praćenje. To možete učiniti postavljanjem iskočnog prozora (eng. pop-up) kada osoba prvi put posjeti Vašu stranicu u kojem će joj biti omogućeno da prihvati ili ne prihvati korištenje kolačića. Pri tome, zadani odgovor ne bi smio biti "Pristajem" ili "Slažem se", nego bi posjetitelj trebao imati mogućnost izabrati. Ako posjetitelj izričito ne označi da se slaže s korištenjem kolačića, ne smijete postavljati kolačiće na njegov preglednik. Vaša web stranica trebala bi biti dostupna i bez postavljanja kolačića, iako se time mogu izgubiti neke značajke, poput personaliziranja sadržaja.

6. Praćenje IP adresa

Postoje različiti servisi koji Vam omogućuju korištenje koda za praćenje kojeg možete ugraditi na svoju web stranicu te na taj način dobiti podatke o IP adresi svojih posjetitelja pomoću koje ih možete identificirati. To se razlikuje od anonimnih podataka koje prikuplja Google Analytics. Ako koristite praćenje IP adresa, to mora biti jasno navedeno u Vašim Pravilima o privatnosti, budući da se IP adrese prema GDPR-u smatraju osobnim podatcima.

Primjerice, ako na svojoj web stranici imate blog na kojem posjetitelji mogu ostavljati svoje komentare ili se pretplatiti na novosti, onda je vrlo vjerojatno da se njihova IP adresa sprema u bazu podataka Vaše web stranice te stoga morate posjetitelje o tome informirati.

7. Servisi za online plaćanje

Ako u sklopu svoje web stranice imate i web trgovinu (eng. webshop), onda vjerojatno koristite i neki od servisa za online plaćanje (eng. payment gateway), kao što su PayPal, Braintree, PayWay, MyChechout i slično

U tom slučaju moguće je da Vaša web stranica prikuplja osobne podatke prije negoli te podatke prosljeđuje servisu za online plaćanje. Ako je tako, onda Vam je nužno potreban SSL certifikat kako biste se pobrinuli da te informacije budu propisno kriptirane.

Ako Vaša web stranica pohranjuje te osobne podatke i nakon što su informacije proslijeđene, onda se morate pobrinuti da te informacije uklanjate nakon proteka razumnog roka. GDPR ne navodi koji je taj rok, pa sami morate procijeniti što je nužno i razumno vrijeme čuvanja takvih osobnih podataka u Vašem slučaju.

Sve to morate opisati i u svojim Pravilima o privatnosti.

8. Google Analytics

Jako puno web stranica je dan-danas konfigurirano tako da koristi Google Analytics za praćenje ponašanja posjetitelja. Iako je ovaj sustav za praćenje na sreću uvijek djelovao po načelu anonimnosti tj. tako da ne prikuplja podatke na temelju kojih se posjetitelji mogu identificirati, bilo bi dobro da za svaku sigurnost u svojim Pravilima o privatnosti posjetitelje jasno obavijestite o tome da koristite Google Analytics.

9. Provjerite jesu li pluginovi u skladu s GDPR-om

Mnogi priključci (eng. pluginovi) za web stranice prikupljaju podatke o posjetiteljima. Stoga je jako važno da provjerite koristite li pluginove na svojoj web stranici te, ako ih koristite, prikupljaju li oni podatke o posjetiteljima i što rade s njima, jer pluginovi isto moraju biti u skladu s GDPR-om. Primjerice, mnogi pluginovi služe se kolačićima. Ako koristite takve pluginove, obavezno to morate navesti u svojim Pravilima o privatnosti te za to posjetitelji moraju dati svoju privolu.

Ova točka će se na Vas naročito primjenjivati ako su Vaše web stranice izrađene u WordPressu ili Joomli. WordPress zajednica navodno trenutno radi na uvođenju GDPR standarda za WordPress. Ako koristite WordPress, vodite o tome računa, jer ćete na taj način lakše znati koji plugin možete koristiti. Na istim pitanjima rade i developeri Joomle, pa Vam savjetujemo da provjeravate stranice WordPressa i Joomle za novosti u tom pogledu.

10. Očistite svoju mailing listu

Ako za promidžbu svojeg poslovanja ili web stranice koristite mailing listu i to do sada niste napravili, onda obavezno primijenite postupak tzv. dvostruke privole. Kod postupka dvostruke privole vlasnik adrese e-pošte u obrazac na Vašoj web stranici sam upisuje i šalje svoju adresu e-pošte, s naznakom da želi primati Vaše poruke. Vi potom na upisanu adresu e-pošte morate poslati poruku e-pošte koja će sadržavati poveznicu na koju vlasnik adrese e-pošte mora kliknuti kako bi potvrdio da doista daje privolu za primanje Vaših poruka. Iako dvostruka privola nije izričito propisana GDPR-om, to je dobar način da osigurate pribavljanje izričite privole.

Ako ste do sada koristili mailing listu koju ste kupili od treće osobe, savjetujemo Vam da odmah prestanete slati poruke na nju, jer ako kontakti s te liste nisu dali privolu za uporabu svojih adresa e-pošte, slanje poruka na te adrese predstavlja povredu GDPR-a.