Šta je GDPR i zašto je važan za online poslovanje? Posebno - zbog čega je značajan za kompanije u Srbiji? Kako uskladiti politiku privatnosti sa novom evropskom uredbom? Da li ste, kao vlasnik vebsajta, učinili sve što ste mogli sa zaštitite lične podatke svojih korisnika/kupaca/klijenata? I koje uslove morate da ispunite da ne biste platili astronomske kazne?
Pitanja u vezi sa GDPR-om je mnogo, a mi u nastavku odgovaramo na svako od njih, kao i na mnoge druge nedoumice u vezi sa ovom značajnom uredbom iz Evropske unije.
U tekstu ćemo približnije objasniti šta sve GDPR podrazumeva, koje novine donosi, koja su propisana prava korisnika interneta, a koje obaveze kompanija koje posluju onlajn, a zatim ćemo istaći i smernice i korisne alate za usklađivanje vašeg onlajn poslovanja sa ovim pravnim aktom.
S obzirom na to da svaka kompanija ima sebi svojstvenu politiku poslovanja, preporučujemo da se za svaku konkretnu nedoumicu koju imate konsultujete sa pravnim savetnicima, kako biste bili sigurni da ste adekvatno ispunili obaveze koje propisuje GDPR.
Šta je GDPR uredba?
Gone Deli; Phone Ricky – mogla bi to da bude rečenica na engleskom jeziku od koje je nastala skraćenica GDPR, a koristili bi je svi kojima se u blizini posla nalazi restoran sa delikatesima i imaju kolegu čije ime počinje slovom R. Tako su, šaljivo, zaključili u kompaniji Typeform iz Barselone, koja se bavi kreiranjem onlajn formulara.
Ipak, svesni su i oni šta je GDPR zapravo, a to je skraćenica od naziva General Data Protection Regulation.
U ovom tekstu, dakle, nije reč o pauzi za ručak, već govorimo o Opštoj uredbi o zaštiti podataka o ličnosti, koju su Evropski parlament i Savet EU usvojili u aprilu 2016. godine, a koja je stupila na snagu 25. maja 2018. godine.
Uredba se od datuma stupanja na snagu obavezno primenjuje u svim državama članicama Evropske unije, ali primenjiva je i na sve pravne subjekte u svim drugim zemljama koji na bilo koji način posluju sa EU i u svom onlajn poslovanju prikupljaju lične podatke građana EU.
Zašto su u pomenutoj kompaniji uopšte i pokušali da se šale sa tako ozbiljnom temom?
Naime, želeli su da na taj način privuku što veći broj već postojećih članova sa svoje liste pretplatnika kako bi što više njih i dalje želelo da dobija njihov bilten (eng. newsletter) na imejl adresu preko koje su se prvobitno i prijavili na listu.
Sigurni smo da je i vaše elektronsko sanduče u prethodnom periodu bilo okupirano mejlovima koji u svom naslovu pominju GDPR ili politiku privatnosti od strane raznih kompanija, organizacija ili preduzetnika koje iz nekog razloga već poseduju vašu imejl adresu i želeli su da vas obaveste o svim izmenama i usklađivanju sa novim evropskim propisima.
Mnogi od njih su zahtevali reviziju podataka koje već imaju o vama, tražili da pročitate nihovu novu politiku privatnosti, zahtevali vaš ponovni pristanak, ali i pružili vam mogućnost da se predomislite i odustanete.
Ali, ako ste već odabrali da vam neka kompanija redovno šalje svoje biltene, zašto morate to da uradite ponovo?
Zbog GDPR-a.
Imejl marketing je važan segment na koji se ova uredba odnosi. Na osnovu nje – svaki korisnik mora da pruži eksplicitan pristanak za korišćenje njegovih ličnih podataka od strane bilo koje kompanije u svrhu plasiranja marketinških oglasa ili prodaje robe i usluga putem imejla, najčešće putem biltena.
U čemu je suština GDPR-a?
Suština zakonskih izmena o zaštiti podataka o ličnosti, dakle, nalazi se u snažnijoj zaštiti prava na privatnost, imajući u vidu upotrebu novih tehnologija u digitalnoj eri.
Na osnovu GDPR-a, ne prihvata se takozvani podrazumevani pristanak, odnosno potrebno je da se svaki korisnik vebsajta jasno izrazi da prihvata da se njegovi podaci prikupljaju i obrađuju u svrhu unapređenja poslovanja jedne kompanije, korisničkog iskustva na sajtu, kao i za korišćenje od strane trećih lica sa ciljem statističkih analiza o načinu ponašanja posetioca na sajtu.
Napomena: Danas je praktično nemoguće naći sajt koji ne prikuplja neku vrstu podataka o korisnicima, te je stoga ova tema vrlo značajna za brojne kompanije širom sveta, pa i u Srbiji.
Razlozi za prikupljanje podataka mogu biti različiti: onlajn prodaja, popunjavanje formulara sa ciljem naručivanja usluga, unapređenje korisničkog iskustva, unapređenje poslovanja kompanije, povezivanje sa društvenim mrežama i mnogi drugi.
Razlikuju se i vrste podataka koji se prikupljaju, a mogu se svrstati u dve sveobuhvatne grupacije:
- lični podaci: ime, prezime, imejl adresa, adresa stanovanja, broj telefona, broj bankovnog računa, broj kreditne kartice, trenutna lokacija, IP adresa, kao i podaci o godinama starosti, polu, religiji, političkoj pripadnosti, zdravstvenom stanju i drugi.
- podaci o korišćenju sajta ili kolačići: mali skupovi jednostavnih datoteka koji se čuvaju u veb pregledaču korisnika dok pregleda neki vebsajt i ukazuju na način njegove interakcije sa sajtom (poseta određenim stranicama, vreme zadržavanja, pregled linkova i slično). Za ove podatke, svojim jasnim prihvatanjem određene politike korišćenja, korisnik daje svoj pristanak za prikupljanje.
Sa druge strane, GDPR precizno definiše i obaveze pravnih subjekata koji posluju onlajn.
Svaka od kompanija u obavezi je da na svom sajtu jasno istakne:
- koji se sve podaci prikupljaju
- ko ih prikuplja
- na koji način
- zbog čega
- da li podatke preuzimaju i koriste treća lica i na osnovu čega
- gde se podaci skladište
- koliko dugo se čuvaju
Ove podatke kompanije mogu istaći u sklopu politike privatnosti, politike o korišćenju kolačića, uslova korišćenja sajta ili nekog drugog dokumenta. Važno je samo da sve bude transparentno, da se korisnicima da mogućnost slaganja ili neslaganja sa određenom politikom, ali i da se obezbedi jednostavna putanja do određenih dokumenata ukoliko se korisnici predomisle i naknadno žele da promene preference. Obavezno je i da politika poslovanja bude napisana jednostavnim jezikom, razumljivim prosečnom korisniku.
Transparentnost je jedna od važnih stavki za zaštitu podataka, iako to nije potpuna novina u evropskom, pa i svetskom zakonodavstvu.
Opšta uredba o zaštiti podataka o ličnosti doneta je sa ciljem da se ažurira Direktiva o zaštiti podataka (DPD) Evropskog parlamenta i Saveta EU, koja je do 24. maja 2018. godine bila na snazi, a doneta je još 1995. godine.
Ta direktiva je takođe predviđala određenu transparentnost u prikupljanju ličnih podataka, zahtevala zaštitu privatnosti svakog korisnika, zabranjivala upotrebu ličnih podataka bez pristanka korisnika i, naravno, propisivala sankcije (odnosno novčane kazne) za svaku zloupotrebu.
Šta je GDPR doneo novo?
O ovoj temi već smo pisali na našem Blogu, u izveštaju sa konferencije DIDS, održane 6. i 7. marta u Beogradu, tokom koje je jedna od panel diksusija bila posvećena upravo zaštiti privatnosti na internetu i pitanjima koje otvara GDPR.
Da podsetimo, tom prilikom je Tomas Rikert (Thomas Rickert), predsednik Foruma za nazive i brojeve u Udruženju internet industrije Eco iz Nemačke, govorio o značaju razumevanja svega što donosi nova uredba i istakao da GDPR podrazumeva nekoliko stavki:
- veću transparentnost u upravljanju ličnim podacima klijenata/kupaca/korisnika
- veću bezbednost podataka
- veću odgovornost od strane kompanija koje prikupljaju lične podatke
- pravo korisnika da njihovi podaci budu izbrisani i da oni kao korisnici budu zaboravljeni
- pravo na prenos sopstvenih podataka iz jedne kompanije u drugu
- isključivanje podrazumevanog pristanka na deljenje podataka
- privatnost na osnovu dizajna
Osim toga, GDPR propisuje i da svaka javna ustanova ili veća kompanija koja prikuplja i rukuje velikom količinom podataka, treba da imenuje lice za zaštitu podataka (eng. data privacy officer), odnosno osobu koja će u sklopu firme biti zadužena, a samim tim i odgovorna, za zaštitu podataka.
Novost je i to da je svaka kompanija, kojoj sedište nije u Evrpskoj uniji, ali prikuplja podatke građana EU, dužna da imenuje predstavnika, po mogućnosti pravnog predstavnika, u nekoj od zemalja EU.
Pravo na prenos sopstvenih podataka
Jedna od potpuno novih stavki jeste i pravo pojedinaca na prenos podataka (eng. data portability). To znači da svako od korisnika ima mogućnost da od jedne kompanije zatraži sve podatke kojima ta firma raspolaže o njima, a zatim i da ih kao takve prenese, recimo, u neku drugu kompaniju. U tom slučaju, obaveza kompanije od koje se traže podaci jeste da podatke isporuči objedinjene, u prenosnoj elektronskoj formi.
Pravo korisnika da budu zaboravljeni
Još jedna novina je i pravo korisnika da budu zaboravljeni (eng. right to be forgotten). To podrazumeva da svako od korisnika ima pravo da traži da svi dodatašnji podaci koje je jedna kompanija o njima do tog trenutka sakupila budu izbrisani i da, samim tim, oni kao korisnici budu zaboravljeni.
Privatnost na osnovu dizajna
Privatnost na osnovu dizajna (eng. privacy by design) još je jedan značajan novitet koji donosi GDPR. To podrazumeva da bi već tokom izrade vebsajta, ili prilagođavanja postojećih veb stranica, u programskom kodu trebalo uneti izmene u implementaciji određenih elemenata koje će korisnicima omogućiti ostvarivanje svih digitalnih prava, a samoj kompaniji obezbediti usklađivanje sa GDPR-om i veću pravnu sigurnost.
Isključivanje podrazumevanog pristanka, recimo, takva je stavka. U praksi bi to značilo da korisnici za sve treba sami da označe svoj pristanak, a veb dizajnom takvi formulari treba da budu obezbeđeni.
U sklopu procesa izrade sajta trebalo bi obezbediti i formulare koji će od maloletnih lica zahtevati pristanak roditelja ili staratelja, budući da GDPR propisuje da mlađi od 16 godina ne mogu samostalno da daju pristanak o priklupljanju svojih podataka.
Isto važi i za obaveštenja o korišćenju kolačića. Ukoliko se, recimo, dizajnira iskačući prozor sa obaveštenjem o korišćenju kolačića na sajtu, trebalo bi da korisnike jasno upoznaje sa vrstom podataka koji se prikupljaju, da ih pozove da pročitaju politiku privatnosti ili politiku o korišćenju kolačića i da se u tom prozoru kreira dugme Slažem se ili Prihvatam, čijim bi pritiskom korisnik dao svoj jasan pristanak. Ukoliko prikuplja podatke bez pristanka, kompanija će podleći sankcijama propisanim uredbom.
Kakve kazne propisuje GDPR?
Utvrđivanje nepoštovanja propisa i svaka namerna, pa i slučajna, zloupotreba ili pronevera podataka o ličnosti korisnika podležu novčanim kaznama koje ni malo nisu zanemarljive.
- Za blaže prekršaje, kazna propisana GDPR-om iznosi 10 miliona evra ili 2% godišnjeg prihoda kompanije, u zavisnosti od toga koja je vrednost veća.
- Za ozbiljniju zloupotrebu podataka i veće krivične prekršaje, poput utvrđene krađe identiteta, GDPR predviđa kaznu od 20 miliona evra ili 4% godišnjeg prihoda kompanije. I u ovom slučaju, naplatiće se vrednost koja je u konkretnom slučaju veća.
Činjenica je, međutim, da te kazne važe za pravna lica sa teritorije EU, dok postoji pretpostavka da će se u Srbiji za prekršaje propisivati znatno manje novčane kazne.
U svakom slučaju, GDPR predviđa veću odgovornost subjekata ili pravnih lica koja učestvuju u proizvodnji, prikupljanju i distribuciji podataka na internetu. Ubuduće će biti moguće da se podnese tužba i protiv onih pravnih subjekata koji se bave zaštitom podataka na internetu i podatke čuvaju na serveru.
Osim toga, svaka kompanija dužna je da obavesti nadležne službe o utvrđenom napadu na bazu podataka i svakom evidentiranom pokušaju zloupotrebe, i to što je brže moguće, a najkasnije u roku od 72 sata od trenutka neovlašćenog pristupa podacima.
Cilj ovakvih propisa je nedvosmislen – zaštita privatnosti korisnika mora da bude najvažnija stavka svima koji posluju onlajn.
Šta to znači za kompanije u Srbiji?
Jasno je da će sve kompanije koje direktno posluju sa EU ili nekom od država članica morati da povedu računa o pravilima koje propisuje GDPR i da svoje onlajn poslovanje usklade sa novom uredbom. To važi i za sve one čiji je sajt dostupan građanima EU, a koji putem veb stranice mogu kupiti određene proizvode ili naručiti usluge koje kompanija pruža, pa i prijaviti se za imejl bilten.
Što se tiče pravnog okvira, poslovanje kompanija u Srbiji prvenstveno mora da bude u skladu sa domaćim zakonima, poput Zakona o zaštiti podataka o ličnosti iz 2008. godine, a zatim i svim drugim zakonima koji pokrivaju teritorijalne oblasti na kojima posluje.
Na već pomenutoj konferenciji DIDS govorila je i Nevena Ružić, pomoćnik generalnog sekretara u Službi poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti u Srbiji, koja je tada istakla da će za usklađivanje domaćih zakonskih akata sa evropskim biti potrebno vreme.
Već nekoliko godina u Srbiji je u toku reforma zakonodavstva iz oblasti zaštite podataka o ličnosti i donošenje novog zakona. Poslednja javno dostupna verzija je Model zakona o zaštiti podataka o ličnosti, koji je Poverenik predstavio 2017. godine. Ipak, zakon do danas još nije donet.
U međuvremenu, svi oni koji posluju sa EU biće obavezani novom evropskom uredbom.
Da li je vaše online poslovanje usklađeno s GDPR-om?
Vlasnik vebsajta, odnosno kompanija u čijem su sajtovi vlasništvu, na osnovu GDPR-a smatra se rukovaocem podacima (eng. data controller), odnosno pravnim subjektom koji prikuplja i rukuje podacima u određene svrhe.
Osim toga, uredba prepoznaje i kategoriju obrađivača podataka (eng. data processor), koja se odnosi na pravne entitete koji procesuiraju podatke za potrebe kompanija i vlasnika sajtova. To su često treća lica povezana sa sajtom, i to najčešće oni koji pružaju uslugu hostovanja i skladištenja podataka na serveru ili takozvanom oblaku. Obaveze koje su propisane odnose se i na rukovaoce i na obrađivače podataka.
S obzirom na veliki broj kompanija koje obrađuju podatke, putem sajta GDPR Tracker moguće je pronaći potrebne informacije o tim servisima i videti da li je njihovo poslovanje usklađeno sa evropskom uredbom.
A kako da znate da li ste vi pravilno uskladili svoj sajt i onlajn poslovanje sa GDPR-om?
Evo nekoliko smernica.
Ukoliko potvrdno odgovorite na svako od sledećih pitanja, moglo bi se reći da ste na dobrom putu da u potpunosti prilagodite svoje onlajn poslovanje GDPR-u.
- Da li vaša kompanija sadrži spisak svih vrsta ličnih podataka koje prikuplja i koje poseduje o korisnicima?
- Znate li zbog čega prikupljate podatke korisnika i na koji način?
- Možete li da navedete izvor svih ličnih podataka, kao i sa kim ih sve delite i šta se dalje dešava sa njima?
- Imate li spisak mesta (npr. servera) na kojima se čuvaju lični podaci, znate li na koji su način osigurani, da li su podaci šifrovani prilikom transfera, kako se skladište i koliko dugo?
- Da li je vaša politika privatnosti javno dostupna svakome ko uđe na vaš sajt, da li je napisana jednostavnim jezikom razumljivim prosečnom korisniku i da li je u tom dokumentu detaljno navedeno sve o procesima u vezi sa prikupljanjem i čuvanjem podataka?
- Ako je sedište vaše kompanije izvan EU, imate li imenovanog predstavnika na teritoriji EU?
- Da li ste svoje zaposlene obučili o zaštiti podataka o ličnosti?
- Da li ste učinili sve potrebne mere kako biste sprečili zloupotrebu prikupljenih ličnih podataka unutar firme, od strane zaposlenih?
- Da li vaši korisnici mogu lako da zatraže pristup svojim ličnim podacima koje posedujete o njima, mogu li lako da ažuriraju te podatke i mogu li na jednostavan način da zatraže da sve podatke o njima izbrišete?
- Da li ste korisnicima dali mogućnost da, na sopstveni zahtev, od vas dobiju objedinjene podatke u prenosnom formatu?
- Ukoliko se podaci koje prikupljate procesuiraju i skladište na serverima u zemljama van EU, da li ste sigurni u stepen njihove zaštite, možete li da garantujete bezbednost podataka?
Ako želite da prođete kroz kompletnu listu aktivnosti potrebnih za usklađivanje sa propisima, možete to učiniti na sajtu pod nazivom GDPR Checklist. Ovu listu, napominjemo, nisu kreirali pravnici, razvijena je na platformi GitHub i zasnovana na otvorenom kodu, što znači da svako sa određenim znanjem može da doprinese njenom razvoju.
Korisni alati za usklađivanje sa novim propisima
Ukoliko, pak, niste još sve regulisali i niste sigurni odakle da počnete, evo nekoliko korisnih alata koji vam mogu biti od pomoći prilikom usklađivanja biznisa sa GDPR-om.
SSL sertifikat
Onlajn bezbednost je i te kako bitna stavka za vaše poslovanje, čak i bez osvrtanja na GDPR. Zbog toga je važno da vaš vebsajt bude siguran za korisnike i da podaci koje ostavljaju putem formulara za onlajn kupovinu ili narudžbenica ne mogu tek tako da budu zloupotreljeni. To je posebno značajno za onlajn prodavnice koje prikupljaju veliki broj ličnih podataka.
Najbolje je da sav saobraćaj između vašeg sajta i veb pretraživača bude enkriptovan i isporučen putem sigurnosnog HTTPS protokola, koji ćete najlakše osigurati implemenatcijom SSL sertifikata. Na taj način ćete obezbediti enkripciju ličnih podataka korisnika, poput broja kreditne kartice, adrese stanovanja i drugih, što će omogućiti bezbednu i privatnu vezu između pojedinaca i vašeg vebsajta, odnosno servera.
Dodatak za Wordpres
Ako je vaš sajt postavljen na platformi Vordpres, može vam biti od koristi implementacija dodatka za Vordpres koji je kreiran sa ciljem da olakša usklađivanje sa GDPR-om. Uz pomoć tog dodatka, između ostalog, moći ćete da:
- upravljate saglasnošću korisnika
- konfigurišete izmene za politiku privatnosti, računajući i ponovni pristanak korisnika
- upravljate preferencama privatnosti za kolačiće i obaveštenja o tome
- olakšate korisnicima reviziju podataka uz pomoć namenskog dugmeta
- upravljate zahtevima korisnika za brisanje podataka na veb sajtu
- kreirate dvostruku potvrdu imejl adrese korisnika za veću bezbednoist podataka
- obezbedite prenosivost podatak i njihov izvoz u XML ili JSON formate
Formular za upotrebu kolačića
Ukoliko vam je potreban formular kojim ćete posetioce vašeg sajta obavestiti o korišćenju kolačića i pozvati ih da to prihvate, koristan može da bude besplatan JavaScript dodatak pod nazivom Cookies Consent.
Reč je o besplatnom alatu koji kreira formulare na osnovu otvorenog koda, dizajniranom tako da bude usklađen sa propisima koje donosi GDPR. Svaki od formulara lako možete da prilagodite svojim potrebama, birajući boju, stilove, tekst, a možete ga i slobodno kopirati u više primeraka.
Napomena: Iako je prvobitno bilo planirano da izmenjena i dopunjena verzija takozvanog evropskog Zakona o kolačićima (eng. ePrivacy Directive) iz 2012. godine stupi na snagu istog dana kad i GDPR, ovaj pravni akt još uvek je u fazi revizije. Tim propisom, kada bude donet, detaljnije će biti propisana prava i obaveze u vezi sa korišćenjem kolačiča.
U slučaju da korisnici ne pristanu na prikupljanje podataka
Brojne opcije se pružaju i u slučaju da neko od korisnika odluči da ne pristane na dalje prikupljanje podataka i praćenje njihovog ponašanja na vašem sajtu.
U tom slučaju, koristan alat može biti, recimo, aplikacija za kreiranje digitalnog dugmeta za podelu sadržaja na društvenim mrežama, koje u sebi neće imati uključenu i mogućnost praćenja korisnika. Jedna o dostupnih opcija za tako nešto jeste upotreba dodatka pod nazivom Sharing Buttons. Dugme kreirano na ovaj način ne koristi JavaScript, a njegova najveća prednost jeste to što se učitava veoma brzo, ne opterećuje sajt i – ne prikuplja podatke o posetiocima sajta.
Zaključak
Da ne bude zabune – i do sada su brojni sajtovi, onlajn prodavnice i društvene mreže koje svakodnevno posećujemo prikupljali podatke na osnovu naših klikova, lajkova, onlajn interakcije sa drugim korisnicima, pregleda proizvoda ili ostvarene kupovine i na taj način kreirali našu onlajn personu – odnosno zaključivali o našim interesovanjima, poslu kojim se bavimo, hobiju, prijateljima i njihovim afinitetima… Ti podaci su korišćeni u svrhe upotpunjavanja ponude i pružanja boljeg iskustva, ali neretko su i deljeni sa trećim licima koja su nam na osnovu toga plasirala oglase.
Takav je, recimo, nedavno bio slučaj sa kompanijama Facebook i Cambridge Analytica. Nije baš bila tajna da Facebook prikuplja i deli podatke, ali ipak, mnogi korisnici nisu bili svesni da se njihovi podaci zloupotrebljavaju i prodaju trećim licima u svrhu sticanja profita.
Upravo takve situacije bi GDPR trebalo da spreči. Zbog toga se pruža mogućnost izbora i traži se eksplicitan pristanak korisnika ili, pak, povlačenje sopstvenog pristanka na obradu podataka koji na bilo koji način mogu da otkriju njihov identitet.
Cilj pooštrenih propisa jeste da svako od korisnika interneta u svakom trenutku zna ko sve prikuplja podatke o njima, koje tačno podatke i zbog čega i da zatim, na osnovu tog saznanja, svako može da da svoj jasan pristanak na obradu sopstvenih podataka ili odluči da na tako nešto ne pristane.
Niko ne može da tvrdi da će primena GDPR-a obezbediti apsolutnu zaštitu privatnosti na internetu.
Niko to i ne tvrdi.
Ipak, evidentno je da je novom uredbom akcenat stavljen na značaj zaštite ličnih podataka pojedinaca. Kompanije i vlasnici sajtova stoga treba da se prilagode i da i sami povedu više računa o obezbeđivanju sigurnog prenosa podataka između korisnika, njihovog sajta i servera na kom se podaci čuvaju.
Jer, zaštita podataka o ličnosti nije šala.
Nadamo se da će ove informacije i smernice o GDPR-u biti od koristi za vaše onlajn poslovanje. Ukoliko i dalje imate nedoumica ili nejasnoća u vezi sa nekim stavkama, ne ustručavajte se da nam postavite pitanje putem komentara na sajtu ili na našoj stranici na društvenoj mreži Facebook.
Mogu vam biti zanimljivi i slični tekstovi: