HRVATSKI CENTAR ZA ZAŠTITU PODATAKA FERALIS

Mini vodič za samostalno uređenje web stranice U SKLADU S GDPR-om

| Autor: Ines Bolkovac, službenica za zaštitu podataka

Kada se putem web stranice prikupljaju osobni podaci, takvo prikupljanje potrebno je urediti u skladu s Općom uredbom (GDPR).

Prema smjernicama Radne skupine za zaštitu podataka iz članka 29 potrebno je objaviti politiku privatnosti ili na drugi način pružiti obavijest o tome, a koja je jasno odvojena od drugih obavijesti npr. uvjeta poslovanja.

Smjernice upućuju na preporuku da se obavijest o obradi podataka nalazi pod pojmom koji se uobičajeno koristi primjerice "Politika privatnosti", "Obavijest o zaštiti podataka", "Privatnost" ili drugo.

Izravna poveznica na tu obavijest trebala bi biti jasno vidljiva na svakoj stranici te web stranice.

Sadržaj obavijest o pružanju informacija sadržana je u člancima 12-14. Opće uredbe (GDPR). Ovdje ćemo dati prikaz osnovnih elemenata na koje bi trebalo obratiti pozornost i od kuda s uređenjem zaštite podataka valja krenuti ona kada govorimo o jednostavnoj web stranici.

Informacije koje se pružaju o obavijesti o obradi osobnih podataka trebale bi biti specifične i odnositi se samo na prikupljanje i obradu podataka putem te web stranice. Politika privatnosti web stranice nije politika privatnosti društva.

Kad trebaju dodatne informacije

Međutim, ipak su moguće situacije kada je potrebno politiku privatnosti web stranice proširiti s dodatnim informacijama o prikupljanju i obradi drugih osobnih podataka koje se prikupljaju putem nekog od ostalih kanala poduzeća.

To će biti najčešće onda kada nema primjerene mogućnosti za upoznati ispitanika sa svrhom i obradom prikupljanja koja je različita od svrhe prikupljanja a što je najčešće u situaciji obrade osobnih podataka temeljem legitimnog interesa voditelja obrade.

Tada politika privatnosti na web stranici može u određenim situacijama poslužiti za upoznavanje ispitanika s legitimnim interesom i pravima koja može ostvariti i načinu isticanja prigovora na takvu obradu.

KORACI U UREĐENJU WEB STRANICE

Definiranje potrebnih podataka i svrhe prikupljanja

(pri tome se misli na svaki pojedini podatak a ne na skupinu podataka)

Primjer, "Kontakt forma". Na web stranici koristi se kontakt obrazac putem kojeg se prikupljaju podaci u svrhu odgovaranja na upit i slanja newslettera.

U većini slučajeva kao obvezni podatak za komunikaciju prikupljat će se samo ime radi razlikovanja korisnika i e-mail adresa radi dostave odgovora ili newslettera.

Vrlo često se susrećemo s prikupljanjem prezimena što je u većini slučajeva prekomjerna obrada osobnog podataka (time i kršenje GDPR) jer nam nije esencijalno potreban radi odgovaranja na upit i te ne pridonosi kvaliteti pružanja usluge. Zato je potrebno točno definirati zbog čega je potrebno prikupljanje određenog podatka i s time upoznati korisnike putem obavijesti o obradi osobnih podataka odnosno najčešće putem Politike privatnosti te web stranice.

Ines Bolkovac, službenica za zaštitu podataka

Pri tome je potrebno imati na umu da korištenje privole ne daje mogućnost da se prikupljaju bilo koji podaci bez obrazloženja već i za podatak koji se prikuplja putem privole treba postojati točno određena svrha i mora biti potreban za izvršenje te svrhe. U suprotnom privola nije važeća a samim time takva obrada onda nije zakonita.

Utvrđivanje zakonitosti obrade za svaki podatak koji se prikuplja

U primjeru kontakt forme zakonitost obrade naći ćemo u članku 6. stavak 1 točka (b) Opće uredbe (GDPR) jer je prikupljanje podataka potrebno radi pružanja usluge koja se traži - odgovaranja na postavljeni upit ili dostava newslettera. Međutim, ako se vrši npr. oglašavanje malih oglasa, tada je potrebno prikupiti ime, prezime, adresu i OIB osobe koja oglašava i tada zakonitost obrade proizlazi iz članka 6. stavak 1 točka (c) Opće uredbe (GDPR) jer je obrada nužna radi poštovanja pravnih obveza.

Utvrđivanje roka pohrane

U primjeru "Kontakt forme" uobičajeno biti će potrebno pohraniti podatak samo za slučaj odgovaranja na upit te se po završetku konverzacije, onda kada ne dolazi do daljnje suradnje, isti briše iz sustava i ne koristi se u bilo koje druge svrhe. Moguće je odrediti i duži rok pohrane, primjerice 30 dana od postavljenog upita kada za to postoje opravdani razlozi. O utvrđenom roku pohrane potrebno je informirati korisnika stranice.

Proslijeđivanje podatka

Da li je će se neki od podataka prosljeđivati trećim osobama, kojima i zbog čega o tome kao i o prednje navedenom zajedno s ostalim potrebnim informacijama potrebno je obavijestiti korisnike te web stranice kroz obavijest o obradi osobnih podataka, odnosno u Politici privatnosti.

Pružanje podataka putem obavijesti o obradi (politike privatnosti)

Putem politike privatnosti potrebno je pružiti obavijest:

- o voditelju obrade, sjedištu, kontaktu i o predstavniku (ako je primjenjivo)

- kontakt službenika za zaštitu podataka (ako je primjenjivo)

- svrhe obrade i pravnu osnovu za obradu svakog podatka koji se prikuplja

- navesti kategorije podataka o kojima je riječ

- primatelje ili kategorije primatelja podataka ako se podaci prosljeđuju

- da li postoji namjera da se podaci transferiraju u treće zemlje i obavijest o tome

- razdoblje u kojem će se podaci pohranjivati i kriteriji kojima se utvrdilo to razdoblje

- obavijestiti i obraditi temeljem legitimnog interesa (ako je primjenjivo)

- postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika i prava na ulaganje prigovora na obradu te prava na prenosivost podataka;

- ako se pojedina obrada temelji na privoli tada je potrebno pružiti obavijest o postojanju prava da se u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena;

- pravo na podnošenje prigovora nadzornom tijelu;

- izvor osobnih podataka i, prema potrebi, dolaze li iz javno dostupnih izvora

Zahtjev za ostvarivanje prava

Kao dobru praksu predlaže se omogućiti preuzimanje zahtjeva za ostvarivanje prava ispitanika uz politiku privatnosti. Isto se može urediti kroz kontakt obrazac s poljima za upis potrebnih podataka. Primjer: ime i prezime, adresa, e-mail, ostvarivanje prava koje se traži s ponudom već unaprijed preddefiniranih mogućih prava i informacija koje se mogu tražiti, oznaka željenog načina dostave i omogućiti privitak osobnog dokumenta radi identifikacije.

Utvrdite da li se koriste kolačići koji nisu esencijalni

Obavijest o kolačićima nije potrebno prikazivati ukoliko se kolačići koristite samo za spremanje informacija nužnih za funkcioniranje stranice, poput login informacija ili proizvoda u košarici. Ukoliko se kolačići koristite za neesencijalne potrebe, poput praćenja statistike ili kontekstualnog oglašavanja, obavijest je potrebno prikazati, odnosno zatražiti dozvolu korisnika. Pri dobivanju dozvole korisnika potrebno je istom pružiti informacije o kolačićima koji se koriste, zašto se koriste, na koji rok se pohranjuju i kako se mogu isključiti te je dobra praksa pružiti opće informacije o njima.

Definiranjem politike privatnosti, politike kolačića i njihovim postavljanjem zajedno sa zahtjevom za ostvarivanje prava ispitanika, napravljeni su osnovni koraci u uređenju jednostavnije stranice bez većeg opsega prikupljanja osobnih podataka. Ostali koraci usklađenja ovisit će o samoj stranici i podacima koji se putem iste prikupljaju.

Politike je potrebno redovito pratiti da li odražavaju usklađenost i stanje s trenutnim prikupljanjem podataka, ažurirati ih u skladu s time i o tome pružati obavijest kroz iste.

Preporuka SSL certifikat

Inače je preporuka ali posebice onda kada vodite web shop ili vršite drugu sličnu obradu.

SSL certifikat (Secure Socket Layer) je metoda kriptiranja web stranice, odnosno dio programskog koda koji omogućuje enkripciju razmijenjenih podataka između browsera i servera. Tako osiguravamo primjerice, sigurnost korisnicima prilikom online plaćanja u web shopu. Korisnici koji unose svoje osobne podatke u obrazac za plaćanje, sigurni su od presretanja tih informacija i neovlaštenog korištenja.

PODSJETNIK

Politika privatnosti

- onda kada se prikupljaju podaci (npr. kontakt forma) obavijest: navesti svaki podatak koji se prikuplja, zašto se prikuplja, zakonitost prikupljanja, razdoblje pohrane, da li se/kome/zašto prosljeđuje - ostale informacije kroz politiku.

Pružiti podatke o:

- politika privatnosti web stranice nije politika privatnosti poduzeća

- može se iskoristiti za pružanje informacija o određenom legitimnom interesu onda kada je primjenjivo

- obratiti pozornost da li se koriste poveznice na profile na društvenim mrežama

- potrebno da je jasno vidljiva sa svih stranica (header/footer)

- jasan, jednostavan i razumljiv tekst prilagođen skupini kojoj je stranica namijenjena

- politiku privatnosti treba odvojiti od drugih pravila npr. uvjeta poslovanja

- privola ne može biti sastavni dio prihvaćanja bilo politike privatnosti ili bilo kojih drugih pravila

- privolom se ne prikupljaju podaci koji nisu nužni i opravdan za svrhu za koju se prikupljaju

Politika kolačića

- onda kada se koriste kolačići koji nisu nužni za funkcioniranje stranice

Zahtjev za ostvarivanje prava

- dobra praksa

Dodatne napomene

Svaka informacija i obavijest o obradi osobnih podataka koja se pruža treba biti sažeta, transparentna, razumljiva i lako dostupna a jezik koji se upotrebljava mora biti jasan i jednostavan.

U tekstu trebalo bi izbjegavati i jezične kvalifikatore kao što su "može", "možda", "neki", "često" i "moguće". Ako se vlasnik web stranice odluči za upotrebu nejasnog jezika u obavijesti o privatnosti, tada u skladu s načelom odgovornosti, treba moći dokazati zašto nije mogao izbjeći upotrebu takvog jezika i da se time ne dovodi u pitanje poštenost obrade podataka.

Tekst ili poveznica koji su teško uočljivi zbog položaja na internetskoj stranici ili sheme boja kojima su označeni ili koje je teško pronaći na internetskoj stranici ne smatraju se lako dostupnima i time ne udovoljavaju zahtjevima GDPR.

Kad je riječ o aplikacijama, potrebne informacije trebale bi biti dostupne i u internetskoj trgovini prije njihova preuzimanja. Nakon što se aplikaciju instalira, te informacije i dalje moraju biti lako dostupne unutar aplikacije.

Ako se radi o web stranicama namijenjenim djeci trebalo bi i razmotriti koje bi vrste mjera mogle biti posebno pristupačne toj skupini djece (npr. to bi, među ostalim, mogli biti stripovi/crteži, piktogrami, animacije itd.).

Radna skupina iz članka 29. preporučuje upotrebu slojevitih izjava/obavijesti o privatnosti kojima se posjetiteljima internetskih stranica omogućuje da pristupe određenim aspektima odgovarajuće izjave/obavijesti o privatnosti koji ih najviše zanimaju. Međutim, cjelokupne informacije trebale bi biti dostupne i na jednom mjestu ili u jednom cjelovitom dokumentu (u digitalnom ili papirnatom obliku) kojem posjetitelj te web stranice mogu lako pristupiti.

****

Više informacija i članaka na temu GDPR-a možete naći na stranicama Feralisa.

Povezane vijesti


Podijeli: Facebook Twiter