Ali bi moral svojo spletno stran nujno uskladiti z GDPR…

in kaj če mi bo zaradi tega bistveno upadel obseg prometa?

GDPR ureja obdelavo osebnih podatkov in vzpostavlja uniformiran okvir pravic in obveznosti, ki veljajo za celotno Evropsko Unijo. GDPR velja za vsa podjetja, ki obdelujejo osebne podatke državljanov EU kot tudi za vsa podjetja, ki imajo sedež v kateri izmed članic EU. Ne glede na to ali imate sedež v Sloveniji (oz. kateri izmed članic EU) ali ne, ste torej zavezani k spoštovanju pravil GDPR, v kolikor obdelujete osebne podatke državljanov EU.

V tem prispevku najdete kontrolni seznam, ki vam bo pomagal doseči skladnost z GDPR na vaši spletni strani. Preden pa se lotimo kontrolenga seznama spodaj predstavljam nekaj ključnih karakteristik GDPR.

  1. Upravljavec osebnih podatkov je dolžan posameznike, katerih osebne podatke obdeluje obvesititi o obdelavi, ki jo izvaja in jim podati določene informacije o obdelavi.
  2. Posamezniki imajo pravico izvajati določene pravice, kot so pravica do dostopa do osebnih podatkov, do popravka, prenosa pa tudi do izbrisa osebnih podatkov. Prav tako imajo posamezniki pravico ugovarjati obdelavi, pod določenimi pogoji.
  3. Določeno upravljavci osebnih pdoatkov so zavezani k imenovanju pooblaščene osebe za varstvo osebnih podatkov, katere ključna naloga je nadzor nad samo obdelavo v podjetju ter podaja smernic za izboljšave in odpravo pomanjkljivosti.
  4. Upravljavci so dolžni kršitve varstva osebnih podatkov prijaviti pristojenmu nadzornemu organu, ki ga v Sloveniji predstavlja Informacijski pooblaščenec.
  5. Globe, izrečene po GDPR lahko dosežejo tudi do 20.000.000,00 EUR oz. do 4% letnega prometa podjetja.

Sedaj, ko smo orisali ključne karakteristike zakonodaje, pa si poglejmo ključne korake za vzpostavitev skladnosti z GDPR.

Vzpostavite nadzor nad podatki, ki jih obdelujete

Priprava na dosego skladnosti z GDPR pomeni predvsem to, da se seznanite z dejanskimi tokovi osebnih podatkov na vašo spletni strani. Vedeti morate, katere osebne podatke obdelujete, kje so shranjeni in kdo do njih dostopa. Pri tem je bistvenega pomena, da najprej res razumete kaj je osebni podatek. GDPR kot osebni podatek šteje  “katero koli informacijo v zvezi z določenim ali določljivim posameznikom, pri čemer je določljiv posameznik tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika“.

Definicija kaj vse je osebni podatek je torej zelo široka, zato je potrebno na tak način gledati tudi vašo spletno stran. Ko ste torej določili obseg osebnih podatkov, ki ga obdelujete v podjetju, je potrebno te tokove pregledati n popisati. Ravno popis osebnih podatkov vam bo dal potreben nadzor, da boste znali vzpostaviti in ohraniti skladnost z GDPR.

V pomoč pri vzpostavljanju nadzora so vam lahko naslednja vprašanja:

  1. Katere kategorije osebnih pdoatkov obdelujem v podjetju?
  2. Ali obdelujem posebne vrste osebnih podatkov (t.i. “občutljive podatke“)?
  3. Ali obdelujem osebne podatke otrok?
  4. Za kakšne potrebe podjetja obdelujem določene osebne podatke?
  5. Ali obstajajo osebni podatki, ki jih hranim ampak jih ne potrebujem za svoje poslovanje?
  6. Koliko časa hranim osebne podatke?
  7. Kdo dostopa do teh osebnih podatkov?
  8. Ali tretje osebe, ki dostopajo do osebnih podatkov, izvažajo te podatke v tretje države?

Poskrbite, da so odgovori na vprašanja čim bolj natanči in seveda skladni z dejansko prakso v podjetju, saj boste le na ta načn zagotovili ustrezno raven varstva osebnih podatkov, ki jhi obdelujete.

Zavarujte svojo spletno stran

Kibernetska varnost je pogosto tema, ki ostane na sezamu opravil, ki se ga kar ne lotimo. V kolikor je tudi pri vas tako, je nedvomno smiselno, da se prioritete spremenijo in postane varnost vašega spletne strani dela poslovnega vsakdana. Nedvomno svetujemo, da se za ustrezne ukrepe kribernetske varnosti posvetujete s strokovnjakom, ki vam bo znal svetovati kaj je najbolj primerno za vaše potrebe, upoštevajoč tveganja, ki ste jim izpostavljeni. Tukaj pa vam podajamo nekaj splošnih napotkov, kako si lahko pomagate pri dvigu varnosti spletne strani.

  1. Vzpostavite SSL certifikat na vaši spletni strani (spletne strni, ki uporabljajo SSL certifikate prepoznate po tem, da se URL naslov prične z https in ne zgolj http), ki bo zagotovil zaščoto komunikacije med brskalnikom in strežnikom s pomočjo enkripcije.
  2. Uporabljajte močna gesla za admin dostope in poskrbite za redno posodabljanje teh gesel in omejitev dostopa.
  3. Uporabljajte antivirusno zaščito.
  4. Zbirajte le tiste osebne podatke, ki jih zares potrebujete.
  5. Vnaprej načrtujte obelavo osebnih podatkov in implementiratje ustrezne zaščitne ukrepe kot npr. anonimizacija in psevdonimizacija.
Vzpostavite in posodabljajte politiko zasebnosti

Politika zasebnosti je dokument, v katerem jasno opredelite kaj počnete z osebnimi podatki, ki jih obdelujete v okviru spletne strani kot tudi celotnega poslovanja vašega podjetja. Sem sodijo predvsem osebni podatki vaših kupcev, potencialnih kupcev, posameznikov, ki so oddali povpraševanja na vaši spletni strani pa tudi tistih, ki so naročeni na vaše e-novice ali pa zgolj uporabniki vaše spletne srani.

Temeljni del politike zasebnosti je opredelitev obdelave, ki jo izvajate. V tem delu naslovite ključne aspekte vsake obdelave in sicer: vrste osebnih podatkov, ki jih obdelujete, nameni, za katere obdelujete osebne podatke in pravna podlaga, ki jo za obdelavo uporabljate.

Nazadnje pa je posameznike potrebno obvestiti tudi o njihovih pravicah, ki jih lahko izvajajo v zvezi z obdelavo.

Vsebino politike zasebnosti določa GDPR v 13. in 14. členu. Pri pripravi politike zasebnosti je potrebno poskrbeti, da so informacije podane jasno, transparentno in v razumljivem jeziku. Politika zasebnosti mora biti hitro in lahko dostopna na vaši spletni strani.

Poskrbite za skladnost pri pošiljanju e-sporočil

Pošiljanje e-novic je ena najpogostejših marketinških praks, ki pa je neločljivo povezana z obdelavo osebnih podatkov. Preden se lotite pošiljanja e-novic, je potrebno določiti ustrezno pravno podlago. V kolikor e-novice že pošiljate, priporočam pregled izvedbe z vidika skladnosti z GDPR.

Ker je vaša “baza“ največkrat zlata vredna, se je vredno temu aspektu posvetiti s posebno pozornostjo. Pri e-novicah je torej potrebno osvetliti predvsem naslednja vprašanja:

  1. Katero pravno podlago za e-novice ste izbrali?
  2. Ali potrebujete soglasje vaših prejemnikov ali lahko uporabite katero izmed drugih podlag (npr. zakon ali zakoniti interes)?
  3. Če ste izbrali soglasje, ali ste zagotovili ustrezno informiranost posameznika? Je bilo soglasje prostovoljno in je vsebovalo vse potrebne vsebine? Poskrbite, da vaša soglasja ne bodo štela kot izsiljeno soglasje, saj tvegate obstanek vaše baze!
  4. Ste zagotovili možnost odjave od e-novic?
Preverite zunanje obdelovalce

Poleg zgornjih vprašanj pa se je potrebno poglobiti tudi v ponudnika mnžičnega pošiljanja e-pošte (med najbolj znane sodijo npr. MailChimp, Sendinblue, itd.). Ta ponudnik je obdelovalec osebnih podatkov, kar pomeni, da morae imeti sklenjeno ustrezno pogodbo o obdelavi osebnih podatkov. Ker gre v tem primeru ponavadi za večja podjetja, boste predlog pogodbe prejeli z njihove strani. Na vas pa je, da jo pozorno preberete in preverite ali je vsebina ustrezna, saj boste kot upravljavec osebnih pdoatkov odgovorni za morebitne kršitve na njihovi strani.

V kolikor na vaši spletni strani uporabljate programske rešitve tretjih oseb (npr. ponudnike online tečajev, ipd), prav tako preverite na kakšen način poteka obdelava osebnih podatkov, do katere dostopajo.

V kolikor kateri izmed ponudnikov izaža osebne podatke v tretje države, preverite:

  1. Ali je zagtovljena ustrezna varnost osebnih podatkov v tretji državi?
  2. Ali imate pravno podlago za veljaven prenos osebnih pdoatkov v tretjo državo?
Uredite uporabo piškotkov

V kolikor vaša spletna stran uporablja tudi ne-nujne piškotke, je potrebno zagotoviti pridobitev ustreznega soglasja od posameznikov, ki obiščejo vašo spletno stran. V praksi se soglasje uporablja z namestitvijo “cookie banner-ja“, ki obiskovalcu vaše spletne strani informira o uporabi piškotkov na vaši spletni strani in omogoči izbiro glede namestitve piškotkov.

Za uporabo piškotkov priporočamo pripravo politike piškotkov, kjer uporabnikom ponudite informacije o tem katere piškotke uporabljate in kakšna je njihova funkcija. Uporabniku mora biti na voljo tudi seznam upotabljenih piškotkov, njihov namen, trajanje in informacijo o tem ali gre za lastni piškotek (t.i. first party cookie) ali piškotek tretje osebe (t.i. third party cookie).

Pripravite se na morebitne kršitve varstva osebnih podaktov

Pomemben aspekt varnosti osebnih podatkov, je tudi priprava na najhujše; tj varnostni incident oz. kršitev varstva osebnih podatkov. V izogib nejasnostim, pripravite protokol za primere kršitve. Na ta način boste v primeru dejanske kršitve lažje  preprečili oz. zmanjšali škodo ter izpolnili svoje obveznosti nasproti nadoztnim organom kot tudi posameznikom.

V primeru kršitve ste namreč dolžni obvestiti nadzorni organ v 72h urah, odkar ste izvedeli za kršitev. Prav tako ste, v primeru hujših kršitev, dolžni obvestiti oškodovane posameznike. Roki za reagiranje so zelo kratki, zato bo vnaprej zamišljen protokol pomagal zamejiti škodo in izpolniti obveznost obveščanja. Saj vsi vemo, da gredo stvari vedno narobe v nedeljo, kajne? 🙂

Zakaj je skladnost z GDPR pomembna za vašo spletno stran?

Cilj GDPR je zagotoviti varnost osebnih pdoatkov posameznikov in omogočiti nadzor nad obdelavo, ki jo izvajajo podjetja. Neskladnost z GDPR prinese ne le tveganje za izrek globe ampak tudi tveganje za izgubo ugleda in dobrega imena na trgu. Upam, da ste z zgornjim seznamom našli smernice za ureditev vaših spletnih strani.

Ste pripravljeni na ureditev GDPR?

Na voljo smo vam na: ana@consilium.si in na telefonski številki: 064/ 229 – 447, lahko pa nas kontaktirate tudi preko spletnih obrazcev, ki so dostopni na naši spletni strani: www.consilium.si.