PRAVNI OKVIR EU

Ukoliko u proteklom periodu niste živeli potpuno neobavešteni, sasvim je sigurno da ste u nekom obliku čuli za Opštu uredbu o zaštiti podataka o ličnosti (General Data Protection Regulation – GDPR) čiji se početak primene očekuje 25. maja.

 

Kako se početak primene ove Uredbe očekuje krajem ovog meseca, u ovom tekstu pokušaćemo da bliže objasnimo – šta je GDPR, kakav uticaj ova Uredba može imati na nas, sa akcentom na sve one koji se bave WordPress-om, bez obzira da li na njemu rade kao kreatori sadržaja, programiraju svoj web sajt ili sajt za klijenta ili se pak radi o vlasnicima WordPress sajta.

gdpr

Šta je GDPR?

Opšta uredba o zaštiti podataka o ličnosti (GDPR) predstavlja novi pravni okvir koji uređuje način na koji će se prikupljati, koristiti i čuvati podaci o ličnosti građana Evropske unije. GDPR se odnosi na sve one organizacije koje obrađuju podatke građana Evropske unije, kao i onih lica koji nisu državljani, ali stanuju u njenim okvirima. Takođe, uredba važi i za one kompanije koje ne posluju na teritoriji Evropske unije, a koje za potrebe svog rada vrše prikupljanje podataka o građanima Evropske unije ili nude robu ili usluge licima u Evropskoj uniji.

Osnovne stavke na kojima se bazira Uredba o zaštiti podataka o ličnosti (detaljno predstavljena na zvaničnom GDPR portalu), a mogu se ticati vlasnika web sajtova ili programera su sledeće:

  • Široka teritorijalna primenjivost. To znači da se GDPR odnosi ne samo na kompanije i firme koje posluju u okviru Evropske unije, već i na one koji “procesiraju lične podatke” građana Evropske unije, a pritom se ne nalaze na teritoriji EU.
  • Saglasnost. Svako lice čiji se podaci prikupljaju mora se saglasiti sa prikupljanjem podataka. Ovo se ne odnosi samo na podatke prikupljene putem formi, već i na podatke prikupljene u pozadini poput IP adresa, ukoliko se te informacije koriste za indentifikaciju lica.
  • Pravo na pristup. Svaki pojedinac ima pravo da pristupi svojim podacima, kao i informacijama o načinu na koji su podaci prikupljeni.
  • Pravo na brisanje podataka. Svako lice će imati pravo da zahteva brisanje podataka iz baze i mogućnost da zahteva da se njegovi podaci dalje ne distribuiraju.

Kazne koje su propisane za nepoštovanje odredbi iz GDPR-a idu čak do 20 miliona eura ili 4% ukupnog godišnjeg obrta (šta god je veće od ta dva).

GDPR i Republika Srbija

U ovom momentu postavlja se pitanje na koji način će primena GDPR-a uticati na Srbiju i domaće kompanije? Široka teritorijalna primenjivost Uredbe ukazuje da i privredna društva koja imaju poslovno središte u našoj zemlji moraju da poštuju odredbe GDPR-a ukoliko obrađuju podatke o ličnosti lica u Evropskoj uniji pod sledećim uslovima:

“Uredba se primenjuje i na obradu podataka o ličnosti lica koja se nalaze u Evropskoj uniji, a koju obavlja rukovalac ili obrađivač podataka koji nema poslovno sedište u Evropskoj uniji, ako su aktivnosti povezane s nuđenjem roba i usluga licima u Evropskoj uniji (bez obzira na to da li to lice treba da izvrši plaćanje) ili praćenjem njihovog ponašanja dokle god se njihovo ponašanje odvija unutar Unije.”

U svojstvu kandidata za članstvo u Evropskoj uniji Republika Srbija ima obavezu da uskladi svoje nacionalno zakonodavstvo sa ovom Uredbom.

Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti Rodoljub Šabić, na međunarodnoj konferenciji koja se ticala Opšte uredbe EU o zaštiti podataka o ličnosti (GDPR), održanoj u aprilu ovde godine izjavio je sledeće:

“Što se Srbije tiče, uredbu ne dočekujemo spremni i kako valja. Dosta vremena je potrošeno, a da nisu obezbeđene ni elementarne pretpostavke koje bi nas u toj trci učinili koliko-toliko kvalitetnim i popuno je jasno da će ta biti potpuno relevantna za građane Srbije i pogotovo za privredne subjekte.

Svi oni koji imaju ideju da rade na evropskom tržištu bilo šta, da se bave marketingom, istraživanjem…, kakve god poslovne ambicije imali, treba da znaju da EU ima instrumente kojima će da obezbedi primenu standarda, pa i sankcija”

GDPR i WordPress

Ukoliko se bavite WordPress-om i na bilo koji način ste u dodiru sa prikupljanjem ili procesiranjem ličnih informacija građana Evropske unije u nastavku teksta pokušaćemo bliže da objasnimo na koji način se WordPress sajt i kod mogu uskladiti sa odredbama GDPR-a.

Kako GDPR može uticati na vlasnike sajtova?

Odredbe GDPR-a tiču se vlasnika sajtova i to u sledećim segmentima:

  • Način na koji se podaci prikupljaju putem formi (kontakt forme, prijava na newsletter itd.)
  • Način na koji se prikupljaju podaci za analitiku
  • Šta se radi sa prikupljenim podacima
  • Gde se prikupljeni podaci čuvaju
  • Način na koji se komunicira sa kontaktima i korisnicima
  • Kod koji se koristi – dodaci (plugins) i teme

Kontakt forme

Iako su lične informacije prikupljene putem forme deo zaštite podataka o ličnosti u okviru domaćeg zakonodavstva zemlje u kojoj se primenjuju, odredbe GDPR-a podacima dodaju još jedan sloj zaštite, pa tako pored imena i adresa, GDPR obuhvata i fotografije pojedinaca, poput avatara ili slika koje se podižu na sajt.

Krucijalna stvar jeste transparentnost. Prilikom prikupljanja podataka kroz web formu na sajtu neophodno je navesti detalje o načinu na koji će se prikupljeni podaci koristiti, o tome da li će podaci biti deljeni i na koji način, ali i navesti kako korisnici mogu doći do svojih podataka ili ih izbrisati ukoliko to žele.

Glavne smernice:

  • U okviru forme navesti zašto se prikupljaju podaci i način na koji će biti korišćeni
  • Omogućiti “double opt-in” kako biste bili sigurni da ste dobili saglasnost za prikupljanje podataka
  • Prilikom slanja e-maila, navedite razlog za kontraktiranje i način na koji ste došli do kontakt podataka
  • Prilikom slanja e-maila, omogućite opciju za odjavljivanje, kao i “zaboravi me” opciju. Ukoliko lice zahteva da bude “zaboravljeno” obrišite podatke, nemojte samo prestati sa slanjem e-mail poruka
  • Ukoliko delite podatke sa trećim licima, tražite saglasnost od vlasnika podataka
  • Koristite dodatke za generisanje forme i provajdere za kreiranje e-mail lista koji su u skladu sa GDPR odredbama
  • U okviru sajta morate imati Polisu privatnosti sa informacijama o podacima koje prikupljate i čuvate, načinu njihove obrade, da li ih delite sa drugim licima, kao i načinu na koji korisnici mogu doći do svojih podataka i zahtevati njihovo brisanje iz baze

Prodaja proizvoda ili usluga

Ako govorimo o e-commerce sajtovima, skup podataka koji se u ovakvim situacijama prikuplja se širi. Pored imena i e-mail adresa, često je neophodna i informacija o kreditnoj kartici ili adresi stanovanja ukoliko se proizvod dostavlja na kućnu adresu.

U slučaju da prikupljate e-mail adrese ljudi koji su nešto kupili na sajtu i iste koristite u svojim e-mail listama, oni moraju biti obavešteni o tome i dati saglasnost za korišćenje e-mail adrese u te svrhe.

Za korisnike WooComerce-a, može biti korisno njihovo uputstvo o primeni GDPR-a.

Glavne smernice:

  • Pratite sve savete navedene u listi koja se odnosi na kontakt forme
  • Ukoliko planirate da koristite prikupljene podatke za slanje preporuka ili posebnih ponuda, navedite tu informaciju i pružite mogućnost korisnicima da se odjave sa liste
  • Ukoliko je moguće, izbegavajte prikupljanje finansijskih podataka i koristite posebne servise za naplatu poput Stripe-a ili PayPal-a
  • Dodajte posebnu “Moj Nalog” stranu na sajtu gde korisnici mogu imati pristup svojim podacima uz mogućnost da podatke obrišu
  • U slučaju da se dogodi gubitak podataka obavestite korisnike u najkraćem roku i omogućite im da obrišu svoje podatke ukoliko žele
  • Koristite e-commerce dodatak koji je u skladu sa GDPR-om

Podaci iz analitika

Ako se ozbiljno bavite optimizacijom sajtova za internet pretraživače (SEO) šansa je da podaci koji se prikupljaju iz raznih analitika jesu deo GDPR regulative, ali samo ukoliko se direktno mogu povezati sa pojedincem poput informacija o IP adresi, userID-ju i slično.

Glavne smernice:

  • Nemojte koristiti softvere za analitiku koji prikupljaju informacije o IP adresama i drugim ličnim podacima
  • Nemojte prikupljati podatke o ponašanju na websajtu koji uključuju lične podatke

Kako GDPR može uticati na programere

GDPR ne utiče samo na vlasnike sajtova koji procesiraju određene podatke o ponašanju posetilaca na sajtu. I web developeri su u obavezi da usklade njihov kod sa pravilima GDPR-a i to kako oni koji prave sajtove za klijente, tako i programeri koji se bave pravljenjem namenskih tema i dodataka za širu distribuciju.

Odredbe GDPR-a mogu uticati na njihov način rada u sledećim situacijama:

  • Pri korišćenju tema i dodataka drugih proizvođača prilikom kreiranja sajtova za klijente
  • Ukoliko tema ili dodatak uključuju formu koja zahteva unos ličnih podataka
  • Prilikom povezivanja na third-party API za prikupljanje i procesiranje podataka
  • Kod kodiranja funkcionalnosti za analitiku ili bilo čega što može identifikovati korisnike preko IP adrese, lokacije ili drugih sredstava

Korišćenje third party tema i dodataka

Osnovno uputstvo za korišćenje third party tema i dodataka za programere koji prave sajtove slično je kao i za same vlasnike sajtova – neophodno je osigurati kompatibilnosti tema i dodataka sa odredbama GDPRP-a. Pored toga, preporuka je da sam klijent bude u određenoj meri upoznat sa novim propisima i odredbama, kao i tome da li određene funkcionalnosti njegovog sajta podležu GDPR regulativi.

Pojedini prizvođači tema i dodataka, poput JetPack i Gravity Froms već rade na usklađivanju sa ovom Odredbom o zaštiti podataka o ličnosti i pružaju savete o korišćenju njihovih dodataka na način koji je u skladu sa GDPR-om.

Glavne smernice:

  • Pratite smernice koje se odnose na vlasnike sajtova navedene gore prilikom instaliranja i podešavanja tema i dodataka
  • Obavestite klijenta ukoliko websajt poseduje određene funkcionalnosti koje podležu GDPR regulativi
  • U slučaju da prilikom razvoja i testiranja prikupljate određene lične informacije, obrišite ih po završetku test perioda

Razvoj WordPress tema i dodataka

Bilo da se radi o razvoju teme ili dodatka za specifične projekte ili za širu distribuciju, regulativa GDPR-a može uticati na kod ukoliko isti uključuje mogućnost prikupljanja ličnih podataka.

Neophodno je da utvrdite da li kod vašeg sajta ispunjava propisom postavljene uslove, a koji se odnose na prikupljanje podataka kroz forme, cookies ili API-je.

Glavne smernice:

  • Ukoliko kroz kod prikupljate lične podatke (poput imena, adresa, e-mail adresa, informacija o društvenim mrežama, fotografijama i dr.) omogućite vlasniku sajta da doda informacije o tome kako će se podaci koristiti uz uključivanje “double opt-in” opcije
  • Ukoliko kod prati podatke preko kolačića, proverite da li se kolačići ne mogu iskoristiti za direktnu identifikaciju pojedinaca
  • U slučaju da se kod povezuje na third party API – API mora biti u skladu sa GDPR odredbama
  • Ako kod podleže pravilima GDPR-a, informacije o tome se trebaju naći u dokumentaciji, uz uputstvo na koji način WordPress temu ili dodatak vlasnici sajtova mogu koristiti na način koji je usklađen sa Opštom uredbom o zaštiti podataka o ličnosti (GDPR)

Više informacija o tome kako se WordPress usklađuje sa GDPR-om možete saznati ovde.

GDPR stupa na snagu uskoro

Možda razmišljanje o prilagođavanju novim propisima i zakonima nije stvar o kojoj ste razmišljali ove godine, međutim, ukoliko na bilo koji način prikupljate podatke ignorisanje novih propisa i procedura možda u ovom momentu nije pametno rešenje.

Informacije i saveti navedeni u ovom tekstu namenjeni su kao početna tačka za dalje informisanje. Za sve ostale informacije vezane za primenu ovog zakonskog propisa predlažemo vam da posetite neki od korisnih linkova navedenih u nastavku ili kontaktirate advokate ili pravnike koji bi sa pravne tačke gledišta mogli da odgovore na sva vaša pitanja.

Dodatak:

Sama GDPR regulativa je doneta 2016. godine, a kažnjavanje treba da počne od 25. maja. Prethodne dve godine su firme imale dovoljno vremena da se usklade sa GDPR regulativom. Posle diskusije ovde sam pratio informacije jer je Srbija trebala da donese zakon u skladu sa tim, ali je to kao i sve ostalo izostalo, te je Poverenik za informacije od značaja dao preporuku da firme same to uvedu na svoju ruku. To se posebno odnosi na veće igrače. Ipak, ono što je sasvim sigurno jer da treba istaći na sajtu Izjavu o privatnosti i zaštiti podataka (aka Privacy Policy), postaviti opt in za cookies, i na svim mestima gde se ostavljaju podaci (kontakt forme, forme za prijave, newsletter, registracione forme i sl) treba istaći check in opciju o prihvatanju Privacy Policy i opciju za opt out ukoliko neko ne želi da se njegovi podaci koriste za svrhu marketinga, remarketinga itd. Privacy Policy svakako da treba da sadrži izjavu o načinu na koji će se voditi računa o zaštiti podataka, nedeljjenju sa trećim licima i ne korišćenju u svrhe marketinga, osim ako to nije posebno drugačije naznačeno.

Izvor: Mint.rs