Maja 2018 prihaja v veljavo ‘Splošna uredba o varstvu osebnih podatkov’ oziroma GDPR (General Data Protection Regulation). Njen namen je določiti, kako lahko zbiramo informacije o naših uporabnikih/obiskovalcih spletne strani ter, kako morajo biti dobljene informacije shranjene. Kazni za kršitelje znašajo od 4% letnega prihodka podjetja do maksimuma 20 miljonov evrov.
Zakaj GDPR?
Vse več informacij o nas in našem vedenju na spletu se beleži. Spletne strani beležijo lokacijo obiskovalcev, njihov čas preživet na strani, vizualne predstavitve klikanja po strani ter celotne posnetke posameznega obiska. Pridobiti je možno celo vsebino ki jo je obiskovalec pričel vnašati v vnosna polja (kot je polje za pisanje komentarjev ali bančne kartice) a ga ni oddal/potrdil. Naprave pa omogočajo povezljivost povezane preko različnih spletnih računov (primer: Gmail), s čimer lahko pridobimo še večji vpogled v posameznikovo zasebnost.
Trenutno pretiranega nadzora nad zaščito osebnih informacij ni. Tako je mogoče podjetjem prodajati naše informacije v marketinške namene brez našega vedenja. Z uvedbo GDPR-ja se bodo postavili jasni predpisi, ki bodo začrtali pravice obiskovalcev spletne strani do zasebnosti.
Za koga velja?
GDRP se ne nanaša na podjetje ali spletno stran pač pa na prebivalce Evropske unije. Sama lokacija strežnika ali podjetja tako ne igra nobene vloge.
V kolikor ste prebivalec Evropske unije GDRP velja za vas! Tudi če je spletna stran v Ameriki se mora ta držati regulativ GDPR-ja za obiskovalce iz Evropske unije. Tako se morajo vse spletne strani držati GDPR-ja, razen če so onemogočene za obiskovalce znotraj Evropske unije.
GDPR – Po vrsti
GDPR je sestavljen iz 7 glavnih elementov: Strinjanje, Varnost informacij, Dostop do informacij, Možnost izbrisa informacij, Prenos informacij, Primerna arhitektura in Nadzornik.
Strinjanje
Beleženje informacij mora uporabnik eksplicitno potrditi. To pomeni, da strinjanje ne sme biti že vnaprej ‘obkljukano’. Jasno mora biti navedeno, za kaj se bodo njegove informacije uporabile, strinjanje o uporabi njegovih osebnih informacij pa ne sme biti navedeno le znotraj klasičnih ‘splošnih pogojev o uporabi spletne strani’. V kolikor se obiskovalec ne strinja, teh informacij ne smete beležiti. Obrazložitev uporabe pridobljenih informacij pa mora biti jasna in enostavna.
Varnost informacij
Shranjene informacije o naših obiskovalcih/uporabnikih morajo biti varno zaščitene pred krajo. V primeru suma vdora je potrebno v roku 72 ur, potrditi vdor ter ugotoviti ali so bile osebne informacije o naših uporabnikih kontaminirane. V kolikor je prišlo do vdora in kraje informacij je o tem potrebno obvestiti vse lastnike osebnih informacij znotraj teh 72 ur.
Možnost izbrisa informacij
Vsak obiskovalec spletne strani ali stranka mora imeti možnost izbrisa vseh informacij, ki jih o njem imamo. To vključuje blog objave, elektronske naslove, informacije o obisku strani, nakupih,…
Prenos informacij
Vse informacije, ki jih imamo o obiskovalcu, moramo omogočiti, da jih le ta prenese drugam. S tem je mišljen prenos v drugo (morda konkurenčno) podjetje. Ne vključuje pa prenosa informacij, ki jih imamo v fizični obliki kot so računi. Zajema le digitalne osebne informacije.
Primerna arhitektura
Ta del se nanaša na vizualni izgled strani. Stran mora omogočati enostaven in jasen dostop do dela spletne strani, kjer so navedene informacije o tem, katere osebne informacije spletna stran zbira, kako jih hrani ter v kakšne namene jih uporablja. Vsi pogoji oziroma potrditve o strinjanju morajo biti jasno pregledne in ne skrite ali dvoumljive.
Nadzornik
Vse javne ustanove in podjetja z več kot 250 zaposlenimi morajo imeti dodeljenega nadzornika. Ta številka pa še ni natančno določena niti ni garantirano, da bo številka tista, ki naj bi določala ali podjetje/organizacija potrebuje dodeljenega nadzornika.Slednji naj bi bil zahtevan v odvisnosti od vrste in količine informacij, ki jih podjetje/organizacija shranjuje ozirama posreduje.
Kaj pa vse dosedanje informacije, elektronski naslovi,…?
Vse informacije, ki ste jih pridobili, brez da bi se osebe s tem strinjale strinjale, niso dovoljene. Vse osebne podatke, ki pa ste pridobili s strinjanjem obiskovalcev pred uvedbo GDPR-ja so prav tako neveljavne, saj se osebe niso strinjale znotraj okvirov, ki jih GDPR določa. Pridobiti morate strinjanje uporabnikov za namene, ki jih imate in obliki kako so informacije shranjene ter zavarovane.
To pomeni, da morate vsem, ki so prijavljeni na vaše elektronske novice poslati ponovno potrditev na vaše novice, pri čemer se jasno strinjajo z uporabo njihovih informacij za namene, ki ste jih navedli. Enostavno rečeno: vse informacije, ki ste jih do sedaj zbrali o svojih uporabnikih, so neveljavne. Ponovno boste morali pridobiti njihovo dovoljenje.
GDPR – na primeru
Da razumemo kaj vse to pomeni za lastnike spletnih strani, si oglejmo na primeru. Spletna stran je izdelana v sistemu WordPress in deluje kot novičkarska stran (blog stran). Na strani najdemo objave, ki jih je možno komentirati. Pri tem je komentiranje možno le, če oseba vnese veljaven elektronski naslov in svoj vzdevek. Ob objavi komentarja se torej zabeleži njegov vzdevek, elektronski naslov in njegov komentar.
Shranijo pa se še druge informacije, kot je njegov IP naslov, datum in čas nastanka komentarja. Da je stran skladna z GDPR-jem mora biti obiskovalec jasno seznanjen s to informacijo, obenem pa mora biti obveščen, v kakšne namene se bodo njegove informacije, ki jih je vnesel, uporabile. Najpogosteje se iz teh informacij uporabi elektronske naslove za oglaševalske namene.
Kaj pa spremljanje obiska spletne strani?
Običajno spremljamo obiskanost spletne strani preko Google Analytics-a. Razberemo pa lahko tudi starostno razporeditev naših obiskovalcev, njihova zanimanja, naše najbolj obiskane objave,… To je možno zaradi uporabe piškotkov. Zakon o piškotkih zahteva jasno opozorilo obiskovalcem spletne strani, katere piškotke stran ‘uporablja’.
Do sedaj je bila večina teh obvestil samo obvestilo, v nekaterih redkejših primerih lahko izklopiš njihovo delovanje znotraj obvestila. Potrditev pa je bila vedno vnaprej potrjena, potrebno je bilo le še klikniti ‘Strinjam se’. Sedaj temu ne bo tako. Obiskovalec bo moral označiti da se strinja z uporabo piškotkov in to potrditi. Slednje bo moralo biti na strani jasno razvidno. Ko smo imeli možnost preprečiti beleženja naših informacij in se nam ni ‘ljubilo’ odkljukati, je varno pričakovati, da se nam sedaj, ko lahko to omogočimo, to nikakor ne bo pogost dogodek. Enako velja za podobne storitve, kot sta CrazyEgg in Fullstory. Imamo pa seveda tudi večje spletne strani, spletne trgovine, ki omogočajo shranjevanje izdelkov v seznam želja, uporabniške račune, afiliacijske programe,…
Kako se lotiti?
Potrebno je premisliti, kje vse se informacije o uporabnikih in obiskovalcih shranjujejo, na kakšen način in kam. Svetujemo pogovor z razvijalcem spletne strani ali podjetjem, ki vam bo podalo dodaten vpogled v vašo spletno stran. Sami boste namreč težje razumeli kje in kako se osebne informacije o vaših obsikovalcih shranjujejo. Veliko število lastnikov spletnih strani ima stran izdelano v sistemu WordPress, ker je dodajanje funkcionalnosti spletni strani poenostavljeno z namestitvijo t.i. vtičnikov.
Ti pogosto shranjujejo informacije o obiskovalcih, ne da bi sploh o tem pomislili. Tako je potrebno celotno stran natančno pregledati, razumeti namen shranjenih informacij točke, kjer se informacije shranjujejo in rezultate predstaviti svojim obiskovalcem.