Digitalno doba u kojem živimo je izmijenilo način na koji pojedinci i organizacije komuniciraju i razmjenjuju podatke. Putem interneta je moguće realizovati sve više usluga, a online usluge sve više zahtijevaju unos naših ličnih podataka. Pojedinci svoje lične informacije sve više čine dostupnima javno i globalno.
A šta je sa bezbijednosti?
Da li se ona dovodi u pitanje?
Kako istovremeno osigurati protok informacija i visok nivo zaštite ličnih podataka?
To su samo neka od pitanja na koje ćemo odgovoriti u ovom tekstu.
Pa počnimo!
Šta je GDPR?
U konkurentskoj utrci, što više podataka imate na raspolaganju, imate i više informacija na osnovu kojih se može predvidjeti tržište, donijeti strateške odluke i nadmašiti konkurencija kako biste zadržali mjesto pod suncem. Usljed sve veće izloženosti podataka u takvom okruženju, stvara se potreba pravne regulacije područja sa ciljem zaštite pojedinaca.
Zbog toga je Evropska unija (EU) donijela Opću uredbu o zaštiti ličnih podataka (General Data Protection Regulation – GDPR), koja je donesena 2016. godine, ali počinje važiti od 25. maja 2018. godine, datuma koji predstavlja i krajnji rok za prilagođavanje svih procesa i informatičkih sistema. Ovom Uredbom želi se doprinijeti uspostavi područja slobode, sigurnosti i pravde te privredne unije, privrednom i socijalnom napretku, jačanju i približavanju privrede na unutrašnjem tržištu te dobrobiti pojedinaca.
Mnoge kompanije i organizacije često koriste lične podatke svojih klijenata kao besplatan resurs i koriste ih bez pitanja, prikupljaju bez ograničenja i mjera zaštite.
GDPR predstavlja novi zakonski vid zaštite ličnih podataka građana EU. Pravni temelj GDPR-a je Ugovor o funkcionisanju Evropske unije i Povelja Evropske unije o temeljnim pravima, koji u svom sadržaju eksplicitno navode da svako ima pravo na zaštitu svojih ličnih podataka i to pravo ovim dokumentom EU namjerava beskompromisno braniti. GDPR je alat koji će natjerati kompanije da razmisle o tome i da urede prikupljanje, analizu i čuvanje podataka.
Područje primjene
GDPR se odnosi na bilo koju organizaciju koja pohranjuje ili obrađuje lične podatke o građanima EU na području EU, uključujući mikro, mala i srednja preduzeća, javne institucije, tijela i agencije koje prikupljaju lične podatke, nezavisno od toga ima li takva organizacija sjedište na području EU ili ne, bez obzira na veličinu organizacije, oblik osnivanja ili djelatnost kojom se bavi. Sve pravne osobe imaju obavezu pridržavati se propisanih pravila što obuhvata ne samo internetsko poslovanje već i sve one koji imaju uvid u Vaše lične podatke.
Neće biti dovoljno pokrivanje samo određenih fragmenata poslovanja, već cjelokupnog načina prikupljanja i korištenja ličnih podataka.
Lični podaci
Lični podatak je bilo kakav podatak/informacija ili njihova kombinacija koja osobu može identifikovati. To nije samo ime i prezime. To su između ostalog dob, spol, matični broj, broj telefona, e-mail adresa, IP adresa na računaru i telefonima, GPS lokacija, podaci o plati, kreditnom zaduženju, računima u banci, obrazovanju i stručnoj spremi, fotografije, video snimci pojedinaca, te popis najdraže literature ili pjesama, fizički, OIB, RFID tagovi i kolačići na web stranicama i mnogi drugi podaci.
Šta GDPR donosi pojedincima?
Osnovne razlike GDPR-a u odnosu na ranije zakone su davanje više prava pojedincima, koji imaju lakši pristup, veću kontrolu nad svojim podacima koji se uglavnom koriste u svrhe reklamiranja. Prava ispitanika o njegovim ličnim podacima su jasno definisana. Pojedinci imaju pravo da znaju za što se njegovi lični podaci koriste, da imaju pristup ličnim podacima, pravo na ispravku i brisanje ličnih podataka, na ograničavanje obrade, prenos ličnih podataka itd.
Upravo to omogućava primjena GDPR-a.
Da bi pohranili lični podatak korisnika, moramo dobiti privolu (pristanak, dozvolu, saglasnost). Kada neko da dozvolu za obradu svojih ličnih podataka, možemo obrađivati samo podatke u svrhe za koje je dozvola data. Dodatno osnaživanje prava vlasnika informacija obezbijeđeno je i procjenom uticaja koju prikupljanje i obrađivanje podataka ima na prava i slobode pojedinca, kao i obavještavanje nadležnih vlasti i vlasnika informacije ukoliko dođe do bilo kakve ugroženosti ili neadekvatne upotrebe podataka (u roku od 72 časa).
Jedna od novina GDPR-a se odnosi na način na koji će korisnici davati dozvolu za skupljanje i korištenje njihovih ličnih podataka. Uslovi moraju biti napisani jednostavno i razumljivo s jasnim objašnjenjem u koje se svrhe prikupljaju lični podaci.
Lični podaci moraju biti čuvani u obliku koji omogućava identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se lični podaci obrađuju. Izuzetak su lični podaci koji će se obrađivati isključivo u svrhe arhiviranja u javnom interesu, naučnog ili istorijskog istraživanja ili u statističke svrhe koji se moraju adekvatno osigurati shodno GDPR-u.
Kako bi se osiguralo da sve navedene stavke budu ispoštovane, zakonodavci su odredili i postojanje nezavisnog državnog organa u svakoj zemlji članici koji će voditi računa o prijavama iz ove oblasti, a čiji će rad koordinisati evropski organ.
Šta GDPR donosi firmama?
Veoma interesantno je da se GDPR ne odnosi samo na firme koje djeluju na području EU već i na sve one koje tretiraju podatke građana koji borave na teritoriji Unije, bez obzira na lokaciju i veličinu. Dakle, sve organizacije, institucije, preduzeća i svi drugi pravni subjekti koji imaju zaposlenike, kupce, korisnike usluga po bilo kojem osnovu koji su građani EU tj. imaju pasoš članice EU, dužni su ispoštovati GDPR uredbu u zaštiti ličnih podataka istih.
Od svih pojedinaca, institucija i organizacija koje na bilo koji način tretiraju lične podatke
GDPR zahtijeva popis, kategorizaciju i kodiranje svih informacija o korisnicima koje se definišu kao njihovi lični podaci. Pristanak osobe na korištenje njenih ličnih podataka smatra se jasnim činom odobrenja. Organizacijama se nameće jedinstveni standard zaštite ličnih podataka i privatnosti građana na području EU, gdje je s jedne strane riječ o jednom standardu sa čijim se zahtjevima potrebno uskladiti. S druge strane taj standard postavlja pred organizacije izuzetno visoke i rigidne zahtjeve, uz vrlo visoke kazne. Nepoštovanje odredbi povlači kazne, a predviđene kazne se kreću i do 20 miliona eura odnosno do 4% globalno ostvarenog prometa, zavisno koji iznos je veći. Za nadzor će vjerojatno kao i do sada biti zadužena Agencija za zaštitu osobnih podataka (AZOP).
Da biste osigurali usklađenost Vaše organizacije sa ovom Uredbom potrebne su Vam osobe koje dobro razumiju zahtjeve ove Uredbe, a u nekim slučajevima potrebno je imenovati i kvalifikovanog službenika za zaštitu ličnih podataka. Za ovaj dio poslovanja mogu se imenovati stručnjaci izvan organizacije, bilo ugovorom o izvršavanju usluga ili ugovorom o djelu. To mogu biti: Voditelj obrade podataka, Izvršitelj obrade podataka i Službenik za zaštitu ličnih podataka. Potrebno je da se organizacije pobrinu da imaju plan za zaštitu podataka, procjenu rizika kao i mjere za otklanjanje istih.
Ukoliko ste kompanija ili organizacija, vaš plan da zaštitite lične podatke može zavisiti od nekoliko faktora poput nivoa osjetljivosti i količine podataka ili složenosti vaše digitalne infrastrukture. Minimum koji u svakom slučaju trebate preduzeti je da sagledate kakve lične podatke imate i mapirate gdje ih čuvate, napravite procjenu rizika, određujući najlakše moguće izvore nedozvoljenog pristupa ili curenja informacija, limitirate ko ima pristup podacima, provjerite da li su podaci na sigurnom i da li su enkriptovani i slično.
Kako primjeniti GDPR u BiH?
Najsveobuhvatnija promjena u evropskoj politici zaštite podataka u zadnjih nekoliko decenija, odnosi se i na Bosnu i Hercegovinu, iako nije članica EU. Potpisivanjem Sporazuma o stabilizaciji i pridruživanju EU, Bosna i Hercegovina preuzela je obavezu usklađivanja domaćeg zakonodavstva sa pravnom stečevinom Evropske unije za što je krajnji rok sredina 2021.godine i tada će i građani BiH biti pod zaštitom. Ipak, već od 25. maja BiH mora početi štititi građane EU u svojim granicama i van njih.
Veoma je važno da se firme u Bosni i Hercegovini, koje rade sa podacima građana što prije moraju prilagoditi zahtjevima GDPR Uredbe. BiH će morati poštovati GDPR, prvo radi građana EU, a potom i radi sebe kada jednom postane članica.
Ono što je osnovni korak za svaku organizaciju u BiH, jeste da urade „Procjenu usklađenosti“ zaštite ličnih podataka sa važećim Zakonom o zaštiti ličnih podataka u BiH i GDPR Uredbom.
Kaznene odredbe iz Zakona o zaštiti ličnih podataka će se primjenjivati u BiH sve do stupanja na snagu novog zakona koji treba biti usklađen s Uredbom. BiH je u ovoj priči specifična, jer značajan dio njenih građana ujedno spada u građane EU.
Kako Vam ED Vision može pomoći da uskladite poslovanje sa GDPR-om?
Primjenite ovu Uredbu u Vašoj organizaciji i pohvalite se klijentima da im pružate punu kontrolu nad njihovim ličnim podacima!
Veoma važan segment prikupljanja ličnih podataka o klijentima je Vaša web stranica. Ukoliko imate web stranicu, obrađujete lične podatke, šaljete redovno newsletter, isplaćujete plate, imate web shop i procesuirate svakodnevno hrpu narudžbi…ako imate u bazi podataka ljude (bilo kupce ili zaposlenike) koji su građani EU, mi ćemo Vam pomoći da prilagodite poslovanje firme odredbama GDPR-a.
Iako je GDPR veoma jasna o zaštiti ličnih podataka, ona ne opisuje procese i tehnologije koje firme moraju koristiti da bi obezbijedile tu zaštitu. Mnogi vlasnici i menadžeri firmi nisu u potpunosti svjesni prepreka koje moraju savladati u implementaciji zahtjeva Uredbe, za čiju je primjenu ostalo vrlo malo vremena. Oni moraju da znaju da prilagođavanje nije jednostavan proces i da će se u njihovo poslovanje uvesti značajne promjene. Stoga, što prije krenu sa procesom, bit će bezbolniji. Mi Vam možemo pomoći u tome.
Šta zapravo GDPR predstavlja za Vašu web stranicu? Od kada GDPR ulazi u naš svijet poslovanja, skupljanje informacija o korisnicima putem web stranice postaje značajno složeniji proces. Mi ćemo Vam pomoći da korisnicima date potpunu kontrolu nad njihovim ličnim podacima te im ponudite jasne, neobavezujuće i razumljive smjernice za davanje ili povlačenje njihovih ličnih podataka iz Vašeg sistema.
U nastavku ćemo Vam predstaviti izmjene u skladu sa GDPR-om koje se odnose na Vašu web stranicu, te biste ih trebali početi primjenjivati što prije.
Izjava o privatnosti
Ako nemate izjavu o privatnosti, mi ćemo Vam je uvesti. Izjava o privatnosti je veoma važan dokument, stranica na Vašoj domeni koji svaka web stranica treba imati. Izjava predstavlja bitan dio usklađivanja s GDPR-om kojom ispunjavate načelo trasparentnosti. Pomoći ćemo Vam da Vaša izjava o privatnosti bude ispravno sročena i time dozvole za korištenje podataka koje dobijete budu važeće. Stoga ćemo jednostavnim i razumljivim rječnikom informisati Vaše korisnike tako da precizno, jasno i nedvosmisleno razumiju koja su im prava, kako obrađujete podatke, kako oni mogu promijeniti ili zatražiti brisanje svojih podataka te koje sigurnosne standarde imate.
Mi ćemo Vam pomoći, dati smjernice da napravite ili prilagodite Izjavu o privatnosti koja će sadržajem zadovoljavati sve uslove GDPR-a. Time ćete bezbijedno prikupljati podatke o svojim korisnicima, komunicirati i poslovati u skladu sa GDPR-om.
Kolačići/cookies
Kolačić ili cookie je informacija spremljena na računar korisnika od strane web stranice koju posjeti. Kolačići obično spremaju postavke za web stranicu, kao što su preferirani jezik ili adresa. Kasnije, kada korisnik otvori istu web stranicu kolačići omogućavaju stranici da prikaže informacije prilagođene klijentovim potrebama.
GDPR donosi promjenu kod kolačića i svega povezanog s njima. Više nije dozvoljen natpis „Ova stranica koristi kolačiće“ odnosno za svaki kolačić kojeg želimo spremiti u internetski preglednik posjetitelja moramo dobiti njegovu dozvolu za to. Ovo se ne odnosi samo na kolačiće koji su neophodni za rad web stranice, već i za sve ostale vrste kolačića.
Mi Vam možemo implementirati rješenje s kojim će posjetitelji biti u mogućnosti prihvatiti ili odbiti upotrebu kolačića, ili kako GDPR nalaže prihvatiti samo određenu vrstu kolačića.Također u skladu sa GDPR-om, posjetitelji će u svakom trenutku biti slobodni povući dozvolu za upotrebu kolačića.
Obrasci
Prema GDPR-u svaki podatak koji Vam korisnik ostavi, možete koristiti samo u svrhu za koju je dao pristanak odnosno dozvolu. Naprimjer, e-mail adresu koju ste primili od kupca putem web shopa, ako ste dobili pristanak možete koristiti isključivo za realizaciju te narudžb, a ne za slanje promotivnih ponuda. Ako to želite, ispod kontakt obrasca mora biti kućica (koja nije unaprijed označena) i pored koje piše „Slažem se da mi šaljete promotivne ponude“. Dakle, da biste tu e-mail adresu koristili u newsletter kampanji, korisnik mora dodatno dati svoj pristanak.
Mi ćemo provjeriti Vašu web stranicu te u dogovoru s Vama, dodati sve potrebne obavijesti i objašnjenja te neoznačene kućice za dozvolu kako bi Vaši obrasci na web stranici bili u skladu s GDPR-om.
Prije klika na dugme „Registruj se“, najbolje je kod svake dozvole dodati prazan kvadratić gdje klijent može dodati kvačicu. Dozvole će biti zapisane digitalno te u slučaju dolaska inspekcije ili spora s nekim kupcem, možete pokazati da imate dozvolu za spornu namjenu korištenja ličnog podatka. GDPR regulativa se odnosi samo na lične podatke, a ostali podaci koji ne ulaze u kategoriju ličnih (anonimizirani – iz kojih nije moguće utvrditi identitet osobe), zaštićeni su nacionalnim zakonodavstvom pojedine članice.
Newsletter
Prije dolaska GDPR-a, newsletter liste su popunjavane na razne načine. Ukoliko su newsletter liste kupljene, potrebno je da se prestanu koristiti, jer postoji rizik od kažnjavanja. Većina današnjih obrazaca na web stranici kojima se sakupljaju e-mail adrese za newsletter, kreirani su tako da imaju tekst koji poručuje da se ostavi e-mail adresa da biste preuzeli besplatnu elektronsku knjigu ili ostvarili popust na kupovinu. Zatim se ta adresa koristi za redovno slanje newsletter-a.
GDPR prekida ovu praksu te ako korisniku želite redovno slati newsletter, on Vam za to mora dati svoje dopuštenje. Dolaskom GDPR-a, newsletter smijete slati samo onima od kojih ste dobili dozvolu za slanje newslettera. Dakle, ako dobijete dopuštenje na obrascu na kojem piše da ćete Vašem korisniku dostaviti promo kod, njegovu adresu smijete koristiti samo da mu pošaljete taj promo kod i ništa drugo.
Naše najjednostavnije rješenje koje možemo implementirati na Vašoj web stranici je dodatna „kućica“ (check box) u kojoj on može staviti kvačicu za primanje newsletter-a , ali kvačica neće biti automatski stavljena. Jedna od opcija kod novih newsletter pretplatnika je double opt-in prijava tj. korisnik dobije na e-mail adresu koju je ostavio potvrdni mail, u kojem je navedeno u koje sve svrhe će se koristiti njegov e-mail na što on daje svoju konačnu potvrdu.
Ako imate newsletter listu koju ste sakupljali tako što ste korisnike jasno informisali za šta ćete koristiti njihovu e-mail adresu, onda bi bilo dobro da što prije pripremite newsletter u kojem ćete tražiti dozvolu od pretplatnika, da li i dalje želi da prima newsletter sadržaje od Vas. Na listi će ostati samo oni koji su prihvatili da i dalje budu Vaši pretplatnici, a sve ostale ćete brisati.
Mogućnost pregleda podataka
Ukoliko su se korisnici ostavili svoje lične podatke na Vašoj web stranici, za Vas možemo kreirati funkcionalnost korisničkih profila. Tako oni na jednom mjestu brzo i jednostavno dobijaju pregled svih svojih ličnih podataka koje su Vam ostavili te ih u tom slučaju mogu sami promijeniti ili izbrisati. Time će se smanjiti broj mailova s takvim zahtjevima. Na svakom korisničkom profilu (naprimjer kod web shopa…) mora biti mogućnost da klijent sam izbriše profil, izbriše dozvole, zajedno sa svim podacima koji su na njemu (lični podaci, istorija narudžbi…).
Ostali obavezni podaci
Ukoliko se zbog GDPR-a poveća nadzor nad web stranicama sigurno će se provjeravati jesu li navedeni i ostali bitni podaci. Mi ćemo provjeriti imate li navedene sve potrebne podatke i upozoriti Vas na one koji Vam nedostaju. Sve navedeno u ovom tekstu je opće prirode i predstavlja našu interpretaciju GDPR regulative. Mi Vam nudimo ono što smo i sami sebi napravili kako bi naše web stranice uskladili s GDPR regulativom te Vam pravno ne garantujemo da će sve navedeno osigurati potpunu usklađenost s GDPR-om. Za detaljna uputstva Vam preporučujemo da se konsultujete sa pravnikom.
Ukoliko želite uskladiti Vaše internetsko poslovanje sa GDPR-om, kontaktirajte nas putem naše kontakt forme koja je usklađena sa pravilima GDPR-a.