GDPR – šta kada se prašina slegne?

GDPR – šta kada se prašina slegne?

Datum objave: 23. jula 2018.
Autor: atec_dev


GDPR

Opšta regulativa o zaštiti podataka o ličnosti (GDPR) stupila je na snagu 25. Maja 2018. Mediji su bili preplavljeni vestima o tome, na svakom koraku se diskutovalo, i konačno je prašina počela da se sleže i stvari dolaze na svoje mesto.


Šta je GDPR

Verovatno ste već upoznati sa osnovnim pojmovima o GDPR-u, ali evo kratkog podsećanja. GDPR (General Data Protection Regulation) ili prevedeno na srpski Opšta uredba o zaštiti podataka ličnosti je zakon Evropske unije koji uvodi nove mehanizme za očuvanje privatnosti građana EU i stavlja van snage prethodno važeću Direktivu 95/46/EC koja je doneta u vreme kada mnogi online servisi nisu ni postojali i bila je puna nedostataka vezanih za regulaciju korišćenja podataka o ličnosti, ili jednostavno – pregažena od strane vremena.

Simptomatično je to da se o GDPR-u u našim medijima uglavnom diskutovalo kao o bauku koji je tu da plaši vlasnike firmi, u prvi plan su stavljane milionske kazne ukoliko se poslovanje ne uskladi sa njim i predstavljen je kao klip koji će uleteti u točak vašeg poslovanja. Sada, par meseci kasnije, kada se medijska buka stišala, vreme je da se sagleda realno šta GDPR donosi, pozitivno ili negativno po vlasnike biznisa.
Kao prvo, GDPR je zakon Evropske unije, ali obuhvata i privredne subjekte čije je sedište van EU, ali obrađuju podatke građana iz EU. Dakle, ukoliko recimo imate sedište firme u Srbiji a pružate usluge rezidentima EU, dužni ste da svoje poslovanje uskladite sa GDPR.


Usklađivanje sa EU zakonima

Pitate se zašto morate da se usklađujete sa zakonima EU kada Srbija nije članica EU? Odgovor je prost: Srbija je na putu da postane članica EU i što se brže prilagodite njihovim zakonima, biće vam jednostavnije i lakše da poslujete sa državama EU.

Teoretski – mi kao država koja nije članica EU ne bismo morali da poštujemo njihove zakone jer imamo svoj Zakon o zaštiti podataka o ličnosti.

Praktično – Srbija je članom 81. Zakona o potvrđivanju Sporazuma o stabilizaciji i pridruživanju između EU s jedne i Srbije sa druge strane, na sebe preuzela obavezu da uskladi svoje zakonodavstvo sa zakonodavstvom EU u ovoj oblasti. Iako je rok za izradu našeg novog Zakona o zaštiti podataka i ličnosti bio kraj 2016. godine, ovaj zakon još uvek je u postupku donošenja, ali to vas kao vlasnika biznisa ne sprečava da idete korak ispred države i svoje poslovanje uskladite sa zakonima EU pre nego što to uradi naše zakonodavstvo.


GDPR osnovne smernice

Obzirom da je usklađivanje sa GDPR-om obimna oblast koja se odnosi na celokupno poslovanje, u ovom tekstu obradićemo samo deo koji se odnosi na vlasnike web sajtova, i šta je njihova obaveza prilikom usklađivanja web sajta sa GDPR-om.

Ma koliko složeno i strašno delovalo na prvi pogled, usklađivanje web sajta sa GDPR-om nije toliki bauk. Vaš web sajt je vaš prostor i vi određujete koja će pravila za posetioce važiti na njemu.
Usklađivanje sa GDPR-om znači da ste dužni da o tome, jasno obavestite posetioca web sajta i pružite mu priliku da se složi sa uslovima koji važe na vašem web sajtu ili da prestane sa korišćenjem usluga korišćenja istog, ukoliko mu neko od vaših pravila za korišćenje ne odgovara.

Pravila o uslovima korišćenja web sajta u praksi se uglavnom objavljuju na dve stranice: Uslovi korišćenja i Politika privatnosti. Ove dve stranice su u principu slične, ali svaka ima svoje karakteristike. Primetili ste da većina sajtova izbacuje popup ili modal prozor u kome je navedeno da se na njihovom sajtu koriste „cookie“ (kolačići) i link ka Politici privatnosti. Klikom na dugme „OK“ ili „Slažem se“, vi prihvatate njihove uslove korišćenja i politiku privatnosti i samim tim dajete dozvolu da sa vašim privatnim podacima raspolažu u skladu sa pravilima navedenim na njihovom web sajtu. Ovim korakom dali ste saglasnost za obradu vaših ličnih podataka, bez obzira da li ste pročitali ili ne njihove uslove korišćenja (ova opcija vam je bila na raspolaganju). Tako bi trebalo da je i sa vašim web sajtom i posetiocima koji dođu na njega. Bitno je da jasno ponudite mogućnost da se posetilac informiše o vašim uslovima i politici privatnosti, i da iste prihvati prilikom prve posete vašem web sajtu.

Na stranici Uslovi korišćenja, kao što samo ime kaže, posetioca obaveštavate o uslovima korišćenja vašeg web sajta, gde se stavljaju specifični uslovi vezani za vašu oblast poslovanja (npr. uslovi vezani za vaša autorska prava, informacija sa web sajta, linkova na druge web sajtove, ograničenja odgovornosti i garancija, registrovani zaštitni znaci itd.).

Stranica Politika privatnosti je, što se samog GDPR-a tiče, malo je obimnija jer treba da obuhvati detaljno upoznavanje posetioca web sajta sa načinom na koji prikupljate informacije o njemu i kako ih obrađujete i skladištite. Elementi koje ova stranica treba da sadrži su:

Uvod – kratak tekst u kome se uglavnom navodi da vaša kompanija razume koliko je privatnost podataka bitna i poštuje privatnost svih posetilaca web sajta, kao i da prikuplja samo najosnovnije podatke potrebne za uspešno funkcionisanje web sajta i pružanje maksimalnog pozitivnog iskustva prilikom korišćenja vaših usluga.

Informacije o vama – treba navesti u čijem je vlasništvu web sajt i podatke o pravnom licu, jer posetioci na taj način stiču sigurnost, jer znaju kome ostavljaju podatke (često se ime domena ne poklapa sa imenom preduzeća, ili domen nosi ime brenda koji zasebno ne postoji kao pravno lice).

Koje tipove ličnih podataka prikupljate – potrebno je da jasno objasnite da su prikupljeni podaci tu samo da bi se obezbedilo maksimalno pozitivno iskustvo posetiocu i da biste bili u mogućnosti da neometano pružate usluge za koje su vam ti podaci potrebni. Veoma je bitno navesti SVE vrste podataka i načine na koji dolazite do njih a to su u najvećem broju slučajeva:

  • Podaci koje klijent direktno ostavlja – poput imena, prezimena, email adrese, telefona, adrese i ostalih podataka unetih direktno u razne tipove formi na web sajtu
  • Podaci koji se automatski prikupljaju – ovo su podaci koje dobijate upotrebom različitih tehnologija prilikom same izrade web sajta i uglavnom se mogu svrstati u sledeće podkategorije:
    • Podaci o načinu na koji posetilac koristi web sajt (npr lista ključnih reči za pretragu, korespondencija sa administracijom web sajta itd.)
    • Podaci o uređajima koje posetioci koriste prilikom posete web sajtu (npr vrsta i model uređaja, operativni sistem, vrsta pregledača itd).
    • Podaci o lokaciji posetioca (npr IP adresa, podaci sa GPS senzora uređaja, EXIF meta podaci iz fotografija koje posetilac upload-uje na web sajt itd)
    • Cookie („kolačići“) ili druge slične tehnologije

U koje svrhe se prikupljaju lični podaci – u ovom delu treba objasniti posetiocu da se neke informacije moraju prikupljati u skladu sa zakonom, a neke u cilju legitimnih interesa kompanije (ostvarenje ugovorne obaveze sa korisnikom itd). Najčešće se podaci prikupljaju zbog tri razloga:

  • Identifikacija korisnika – ovo se radi automatskim kreiranjem korisničkog naloga, ili ostavljanjem podataka od strane korisnika putem kontakt formi itd.
  • Profilisanje korisnika – ovaj vid prikupljanja podataka uglavnom je vezan za prikupljanje različitih statističkih podataka tipa broja poseta određenim stranicama, kategorijama ili grupama. Ovi podaci pomažu u prikazivanju relevantnijeg sadržaja posetiocu na osnovu njegovih interesovanja.
  • Realizacija ponuda partnerskih kompanija – podaci prikupljeni u ovu svrhu pomažu da se izvrši relevantna ponuda usluga ili proizvoda partnerskih kompanija po privilegovanim uslovima posetiocima vašeg web sajta. Ovde je bitno naglasiti da ukoliko za tim ima potrebe, da ćete izričito tražiti zahtev posetioca da njegove podatke prosledite partnerskoj kompaniji.

Kako koristite lične podatke klijenata – u ovom delu bitno je naglasiti na koji način se lični podaci posetilaca prikupljaju, obrađuju i skladište, kao i u kom vremenskom periodu čuvate podatke vaših posetilaca ili korisnika usluga.
U kojim slučajevima možete podeliti lične podatke posetioca sa trećom stranom – ovde se uglavnom navodi u kojim slučajevima možete proslediti lične podatke korisnika trećim licima. Najčešće je to slučaj u sledećim situacijama:

  • Izričit pristanak posetioca web sajta ukoliko je to bitno za realizaciju ponude partnerske kompanije
  • Po ispravno formulisanom nalogu nadležnog državnog organa
  • Kada je to potrebno radi ispunjenja vaše ugovorne obaveze ka posetiocu web sajta ili korisniku vaših usluga, odnosno radi poštovanja Pravila i uslova korišćenja

Zaštita podataka – ova sekcija nije obavezna ali je profesionalno upoznati vaše korisnike da sve podatke čuvate, recimo, u bazama podataka koje se nalaze na zaštićenim serverima, osiguranim savremenim bezbednosnim tehnologijama (poput SSL ili AES enkripcije). Takođe, nije na odmet navesti da se pristup i obrada klijentovih podataka odobravaju samo zaposlenima koji su prošli adekvatnu obuku itd.

Kakva su prava posetioca u vezi sa ličnim podacima kojima raspolažete – ovde je najbitnije navesti da se podaci čuvaju u skladu sa važećim propisima Republike Srbije i da posetilac u svakom trenutku ima pravo da:

  • Izmeni podatke koji su netačni
  • Povuče prethodno datu saglasnost za prikupljanje i obradu već datih podataka
  • Podnese zahtev za brisanje ličnih podataka (ograničenje u ovom slučaju može biti kada izmena ili brisanje podataka može sprečiti istragu, otkrivanje ili gonjenje krivičnih dela, kao i sprečavanje ostvarivanja potraživanja u građanskim sporovima)
  • Ostvari pravo na pristup informacijama koje su već prikupljene
  • Bude obavešten bez odlaganja u slučajevima kada je došlo do bezbednosnih propusta, curenja podataka ili povrede privatnosti podataka (prijava bezbednosnih incidenata gde su lični podaci posetioca kompromitovani)
  • Bude obavešten o osobi koja je rukovalac ili obrađivač ličnih podataka

Šta se dešava u slučaju promene Politike privatnosti – Ovde se daje opis kako će korisnik biti obavešten ukoliko se polisa promeni. Dobra praksa je da se na web sajtu uvek nalaze i prethodne verzije Politike privatnosti, sa istaknutim poslednjim danom važenja istih, dok se nova verzija nalazi na već ustanovljenoj stranici za ovu namenu na vašem web sajtu.

Osim saglasnosti korisnika prilikom prve posete vašem web sajtu, takođe je bitno da na svim formama koje prikupljaju podatke od korisnika tj. gde ih korisnik sam unosi, postoji klauzula o saglasnosti korisnika da se njegovi podaci obrađuju i skladište. Ovo se uglavnom postiže ubacivanjem ove klauzule na samo dno kontakt forme, između poslednjeg polja za unos i dugmeta za slanje poruke.

Obzirom da vi određujete pravila na vašem web sajtu i korisnici treba da ih prihvate ili prekinu korišćenje vašeg web sajta, logično je da vam je bitno da se prilagodite što većem broju posetilaca i na neki način omogućite da izaberu hoće li se saglasiti sa baš svim uslovima koje im postavljate, ili će imati slobodu da sami na neki način filtriraju koje servise će odobriti a kojima zabraniti da prikupljaju informacije o njima. Jedna od opcija je da se, prilikom prihvatanja politike privatnosti i uslova korišćenja, omogući da korisnici mogu neke servise, koji vam nisu od suštinskog značaja, blokiraju kada je prikupljanje njihovih podataka u pitanju. To su uglavnom servisi koji služe za profilisanje korisnika ili za prikupljanje statističkih podataka o posetiocima. Neki od njih su Google Analytics, Facebook Pixel i slični… Bitno je znati da je tehnički moguće blokirati određene servise od prikupljanja podataka, od strane samog posetioca vašeg sajta, jer veća vrednost za vas je jedan posetilac više, nego odustajanje posetioca od korišćenja vašeg web sajta jer recimo ne želi da Google Analytics dobije podatke o njemu.

Kada se ispoštuju sva ova pravila, Vaš web sajt je u najvećoj meri u skladu sa GDPR-om. Naravno, postoji mnogo različitih privrednih grana i delatnosti, tako da svakom privrednom subjektu treba posvetiti određeno vreme za usklađivanje svih tačaka poslovanja. Ne postoji standardni šablon usklađivanja sa GDPR-om, već je za svakog korisnika pristup individualan. Mi, „ATEC Technologies“, kao agencija za računarsko programiranje nismo pravni savetnici i svi saveti navedeni u ovom tekstu odnose se na tehničke aspekte usklađivanja web sajtova sa GDPR-om. Naša preporuka je da obavite razgovor sa vašim pravnim savetnikom u vezi više detalja i obaveza koje su direktno vezane za oblast poslovanja kojom se vi bavite.


Zaključak

Za kraj, iz svega gore navedenog može se zaključiti da usklađivanje sa GDPR-om nije ni toliko strašno ni komplikovano, bar što se web sajta tiče. Potrebno je imati jasno istaknutu Politiku privatnosti i načina da se korisnik složi sa njom (ili prestane sa korišćenjem vašeg web sajta ukoliko se ne slaže), sa preciznim objašnjenjem šta se događa sa prikupljenim podacima, kako se obrađuju i skladište. Ukoliko je sve to razumljivo i dostupno korisnicima vaših usluga, i oni te uslove prihvate, veliki deo vaših obaveza usklađivanja sa GDPR-om je završen. Dakle, sve se svodi na čiste i jasne odnose između vas kao vlasnika web sajta i posetilaca vašeg web sajta. Niste u obavezi da smanjujete funkcionalnost vašeg web sajta ili servisa, ali dobra praksa je i da sami optimizujete količinu podataka koje prikupljate i koji su vam stvarno neophodni za nesmetano obavljanje delatnosti, a da prikupljanje nepotrebnih podataka jednostavno izostavite jer ćete sebi na taj način olakšati posao.



Scroll