GDPR – Konkretni primeri
Uveljavitev GDPR-ja se vztrajno bliža, večina lastnikov spletnih strani pa še ni naredila prvih korakov v smeri prilagoditev spletne strani, da bo skladna z GDPR zakonodajo. Veliko je še zmede in nerazumevanja, kaj in kako je potrebno spletno stran prilagoditi, saj večina čaka, da vidi, kako bodo to storili drugi.
Glavni namen GDPR-ja je varovanje osebnih podatkov uporabnikov in obiskovalcev spletne strani. Jasno morajo biti seznanjeni s podatki, ki jih spletna stran o njih beleži ter imeti možnost njihovega izbrisa in/ali prenosa. Obenem pa se morajo z uporabo teh informacij eksplicitno strinjati. Kot primer lahko vzamemo kontaktni obrazec na spletni strani. Njegova uporabo je namenjena pošiljanju sporočil podjetju oz. lastnikom strani. V kolikor pa se zabeleženemu elektronskemu naslovu, ki je bil podan v kontaknem obrazu, kasneje pošilja promocijska sporočila, mora biti o tem ta oseba vnaprej jasno obveščena.
GDPR pa se ne dotika le novo pridobljenih podatkov (primer: elektronskih naslovov) pač pa vseh, ki se jih je do sedaj pridobilo. Dovoljenj za uporabo do sedaj zbranih informacij po GDRP-ju nimamo, kar pomeni, da je potrebno pridobiti (ponovno) soglasje lastnikov informacij ali pa jih izbrisati. Najbolj pereča tema so ravno elektonski naslovi oziroma mailing liste (email seznami, ki se jim pošilja promocijske maile). Vsem, ki jih imamo shranjene, je potrebno poslati ponovno prošnjo za prijavi na seznam za prejemanje promocijske pošte, pri čemer se morajo strinjati z namenom priključitve. V kolikor se s prijavo ne strinjajo, morajo biti s seznama odstranjeni.
Potrebno je poudariti, da GDPR velja za prebivalce Evropske unije, kar pomeni, da tudi če se spletna stran ali podjetje nahaja izven EU, GDPR zakon vseeno velja.
Kaj je potrebno prilagoditi?
Najprej je potrebno ugotoviti kje in kako se na spletni strani beležijo informacije obiskovalcev. Nato je potrebno raziskati, kako se te informacije uporabljajo. V kolikor pridobljenih informacij ne uporabljate je smiselno premisliti o uporabnosti shranjevanja podatkov in smotrnosti te funkcionalnosti na spletni strani. Primer tega je možnost komentiranja spletnih objav, kar ponuja veliko spletnih strani, le malo od teh pa ima to funkcionalnost resnično aktivno. Dodatno je potrebno poudariti, da morajo biti informacije, ki se s strani obiskovalcev zbirajo, smiselne, glede na namen spletne strani. Kot primer, spletna stran, katere namen je naročanje hrane preko spleta, nima nobenega razloga, da zbira informacije o svojih uporabnikih kot so velikost noge, hobiji, spolna usmerjenost in podobno.
Nekatere strani, ki omogočajo oddajo komentarjev s strani obiskovalcev ne dobijo veliko komentarjev in ne predstavljajo doprinosa k spletni strani in njenemu obisku. V kolikor presodite, da je neka funkcionalnost vaše spletne strani nepomembna ali neuporabna, jo je bolje odstraniti.
Oglejmo si nekaj tipičnih primerov, kjer se zbira informacije o obiskovalcih, ter kako morajo biti zastavljene, da so skladne z GDRP zakonodajo:
- Spletni piškotki
- Kontaktni obrazci
- Google Analytics
- Obrazci za oddajo povpraševanj
- Obrazci za komentiranje
- Seznam želja
- Prijava na novice
- Registracija
- Spletni nakup
- Facebook pixel
- Zunanji servisi (CrazyEgg, Fullstory,…)
Spletni piškotki
Spletni piškotki so datoteke, ki se shranijo na računalnike obiskovalcev spletne strani, preko katerih lahko, med drugim, prepoznamo obiskovalce, ki so že obiskali našo spletno stran. S pomočjo piškotkov lahko izvajamo spletne oglaševalske kampanije, izvajamo analize obiskovalcev ter obiska na strani, shranjujemo osebne nastavitve, gesla,… Ker pa to predstavlja poseg v varovanje osebnih informacij, je potrebno glede na GDRP zakonodajo dobiti s strani obiskovalcev za njihovo uporabo privoljenje.
Ni več dovolj, da stran vsebuje obvestilo o piškotkih, da ‘Spletna stran za pravilno delovanje uporablja piškotke’, z že vnaprej potrjenim strinjanjem. Uporabniki bodo moralči imeti možnost se sami odločiti, če dovolijo uporabo piškotkov. V kolikor se morajo s tem eksplicitno strinjati. Pri tem pa je pomembno, da so jasno obveščeni tudi kakšni piškotki se bodo na njihov računalnik shranili oziroma, katere informacije o njih se bo beležilo. Obiskovalci morajo imeti možnost izbire, katere piškotke oziroma informacije dovolijo da se beležijo in katere ne. Seveda pa tudi ko se že strinjajo z uporabo (če se), morajo imeti možnost, da se kadarkoli tekom svojega obiska premislijo.
V tej točki je pomembno poudariti, da mora biti vizualni izgled obrazcev za pridobivanje soglasja jasen in pregleden, besedilo, kjer je razloženo katere informacije se shranjujejo ter kako in kako pogosto bodo uporabljene, shranjene in varovane pa napisano v enostavno razumljivem jeziku ter ne znotraj dolgih in obsežnih pogojev uporabe.
Kontaktni obrazci
Večina kontaktnih obrazcev ima poleg svoje osnovne funkcionalnosti (pošiljanja elektronske pošte preko spletne strani) še shranjevanje elektronskih naslovov. Ko obiskovalec izpolni kontaktni obrazec (ali kakršenkoli drug obrazec) mora običajno izpolniti polje za ime, njegovo sporočilo/vprašanje ter njegov elektoronski naslov. Čeprav je obiskovalec poslal elektronsko sporočilo preko obrazca in pričakuje z duge strani odgovor, to ne pomeni, da se je prijavil na reklamne novice ali kakršnakoli druga promocijska obvestila.
Uporabnik obrazca mora biti jasno obveščen o namenu uporabe njegovih informacij pridobljenih preko kontaktnega obrazca in imeti možnost da se odloči, ali se s tem strinja. Ta možnost pa seveda ne sme biti že vnaprej potrjena (torej, da se strinja z uporabo njegovega elektronskega naslove za kasnejše promocijske kampanije).
Pogosto pa se elektronski naslovi dodatno beležijo tudi v bazah, saj ni vedno 100% garantirano, da sporočila dosežejo končno točko. Zato se vsa poslana sporočila pred tem shrani na strežniku, da se lahko preveri, ali je bilo sporočilo dostavljeno ali ne ter da se ohrani varnostna kopija. Te funkcionalnosti so že vgrajene v nekaterih ‘vtičnikih’ za CMS sisteme WordPress, Shopify in Magento. Uporabniki obrazca morajo biti tudi o tem jasno obveščeni.
Google Analytics
Najprej je potrebno razumeti, kako Google Analytics deluje. Preko skripte (kode), ki jo vgradimo v spletno stran, pošiljamo informacije o obiskanosti v ‘naš’ Google Analytics račun. Znotraj uporabiškega vmesnika lahko razberemo statistične informacije o obiskanosti naše strani, njenih obiskovalcih, poteku posameznih sej in podobno.
Potrebno je razumeti, da v tem primeru osebne informacije niso zabeležene na naši spletni strani ali stežniku, pač pa popolnoma drugje. V tem primeru so informacije shranjene na Googlovih strežnikih. To pa pomeni, da mora biti Google oziroma Google Analytics storitev v skladu z zakonodajo GDRP-ja.
Google Analytics se nadgrajuje, da bo skladen z evropsko zakonodajo, vendar je še v razvoju. Kljub temu pa so že sedaj nekatere nastavitve znotraj Google Analyticsa, ki jih je potrebno spremeniti, saj so v samih osnovnih nastavitvah nesklande z GDRP-jem. Med te nastavitve spada vključitev anonimizacije IP naslovov, ki do sedaj ni bila aktivna. Vsak lastnik Google Analytics računa pa ima svoje lastne preference in nastavitve, zaradi česar je potrebno prečesati te nastavitve in jih skladno na GDRP zakonodajo primerno urediti.
Pravilno beleženje informacij o obisku strani in njenih obiskovalcih je možno le z uporabo piškotkov, za katere pa je potrebno pridobiti ustrezo soglasje. V kolikor se obiskovalec z beleženjem informacij za te namene ne strinja, delovanje Google Analyticsa ne sme biti omogočeno.
Obrazci za oddajo povpraševanj
Veliko spletnih strani, ki delujejo kot katalogi (ali spletne trgovine), omogočajo oddajo povpraševanj o specifičnem izdelku/storitvi. Pogosto so informacije tako o povpraševalcu kot tudi produktu bolj podrobne kot pri klasičnih kontaktnih obrazcih in zajemajo zbiranje informacij kot so mobilni telefon, naslov, starost in podobno.
Zaradi različnega nabora pridobljenih informacij, ki se jih lahko uporablja na različne marketinške načine je potrebno jasno obrazložiti, s kakšnimi nameni se bo pridobljene podatke uporabilo. Torej, če želimo shraniti telefonsko številko osebe, ki želi poslati povpraševanje preko obrazca, je potrebno pod poljem (sama lokacija ni pomembna, dokler je jasno razvidna) podati informacije, čemu se bo dobjena informacija shranila in zakaj ter kako pogosto se bo uporabljala.
Obrazci za komentiranje
Spletni portali, blog strani, spletne trgovine in še vrste drugih različnih spletnih strani omogočajo, da njihovi obiskovalci na strani pustijo komentarje in mnenja. Na ta način se poveča vključenost obiskovalcev na spletni strani in dvigu obiskanosti strani.
Klasičen primer obrazca za oddajo komentarja zajema vnos imena, elektronskega naslova in sporočila. Tako kot pri kontaktnem obrazcu, se elektronski naslovi pogosto shranjujejo v baze za pošiljanje masovne pošte. Prav tako omogočajo, da so osebe, ki so že oddale svoj komentar, obveščene o novih komentarjih. Pri tem pa ni bil nihče, ki je komentar oddal, o prijavi na različna obveščanja obveščen.
Obe točki, torej shranjevanje elektronskega naslova v seznam za pošiljanje promocijskih mailov ter obveščanje o novih komentarjih, morata biti odobreni s strani osebe, ki je komentar oddala.
Ne smemo pa pozabiti na dve pomembni funkciji komentiranja. V kolikor oddamo komentar na spletni strani, si nas stran ‘zapomni’ in naslednjič, ko jo zopet obiščemo, ne potrebujemo ponovno vnašati osebnih informacij, le vsebino komentarja. Slednje je realizirano s pomočjo piškotkov kar je potrebo urediti ob prihodu obiskovalca na spletno stran.
Zabeležene informacije se običajno shranjujejo na spletni strani (primer: če uporabljate WordPress se shranijo v WordPress bazah). Lastniki teh informacij morajo imeti možnost, da vse informacije, ki jih imamo kot lastniki spletne strani/strežnika o njih zabeležene, vidijo, zbrišejo in/ali prenesejo drugam.
Enako seveda velja za katerekoli druge informacije, ki jih imamo o njih zabeležene. V kolikor pa so informacije shranjene na drugih strežnikih (v primeru Google Analytics-a na Googlovih strežnikih) pa morajo ti ponuditi enako možnost. Mailchimp, sistem za masovno pošiljanje elektronskih sporočil, to omogoča že dlje časa. Vendar več o tem v nadaljevanju.
Seznam želja
Seznam želja omogoča, da obiskovalci spletne strani shranijo izdelke, ki so jim všeč, za kasnejši ogled ali nakup. Funkcionalnost je priljubljena pri spletnih straneh, kjer se ponujajo večje število izdelkov zaradi česar je iskanje pravega lahko oteženo.
Informacije o shranjenih izdelkih so običajno zabeležene preko piškotkov ali pa so omejene le na registirane uporabnike. V kolikor se shranjujejo preko piškotkov, morajo biti o tem jasno obveščeni (kar vključuje tudi informacijo o tem, koliko časa bodo te informacije ostale shranjene). V primeru, da pa je ta funkcionalnost omejena na registirane uporabnike je to potrebno navesti v pogoje registracije novih uporabnikov.
Prijava na novice
Čeprav je bila prijava na novice oziroma mailing liste do sedaj že nekajkrat omenjena in obrazložena, jo je zaradi pogostosti uporabe smiselno izpostaviti. Obrazci za prijavo na novice so na spletnih straneh pogosti. Najpogosteje pa se zamaskirani v obliki akcijske ponudbe (primer: ‘prijavi se na naše novice in prejmi popust’) ali brezplačne nagrade/popusta/e-knjige v zameno za vaš elektronski naslov.
Kadarkoli ponudimo obiskovalcem naše spletne strani možnost za oddajo osebnih informaci (primer: elektronski naslov) morajo biti obveščeni kako oziroma s kakšnim namenom se bodo njihove informacije uporabljale. Seveda je o tem potrebno pridobiti njihovo strinjanje.
Pogosto se za namene shranjevanja elektronskih naslovov uporablja spletni servis Mailchimp. Slednji ima že vse vgrajene funkcionalnosti, ki so skladne z GDPR zakonodajo, zahteva le pravilne nastavitve.
Težava pa ni v samem Mailchimpu pač pa bazi elektronskih naslovov, ki so bili zbrani do sedaj, vendar pa niso skladni z GDRP-jem (osebe, ki so odddale svoj elektronski naslov se niso jasno strinjale z njihovo uporabo v te namene). Vsem je potrebno poslati prošnjo po ponovni prijavi na seznam prejemnikov elektronske pošte, pri čemer morajo biti seznanjeni o čem bodo obveščeni in s kakšnim namenom. Kdorkoli se s tem ne strinja bo moral biti s seznama odstranjen.
Registracija uporabnikov
V primeru registracije obiskovalcev običajno na spletni strani ne shranjujemo le informacij o njegovem elektronskem naslovu pač pa konkretnih osebnih informacijah kot so ime, priimek, leto rojstva in tako dalje. Registriranim uporabnikom omogočamo pisanje blog objav, urejanju vsebine na strani, komentiranju, oddajanju objav,… Na strani imamo tako zabeležene njegove osebne informacije ter aktivnost na strani. Vse te informacije pa morajo biti urejene skladna z GDRP zakonodajo.
To pomeni, da morajo biti vsi uporabniki, preden se registrirajo, seznanjeni z beleženjem njihovih informacij in namenom uporabe le teh. Čeprav je način implementacije enak kot v drugih primereh, je registracija uporabnikov nekaj, kar se pogosto spregleda. Ponovno pa je potrebno poudariti smiselnost podatkov, ki se jih od uporabnikov zbira.
Obenem ne gre pozabiti na nujnost obvestila lastnikov osebnih informacij, v primeru, da je prišlo do vdora v spletno stran oziroma baze informacij. Znotraj 72 ur je potrebno sum vdora potrditi ali ovršti ter lastnike informacij obvestiti.
Spletni nakup
Nakupovanje preko spleta je vedno bolj pogost način nakupovanja zaradi enostavnosti, prihranka časa in konkurenčnih oz. celo nižjih cen. Pri tem mora oseba za oddajo nakupa vnesti osebne informacije (ime, priimek, naslov bivališča, elektronski naslov,…). Te informacije se shranjujejo na strežniku (v primeru WordPressa znotraj baz) in so v primeru vdora enostavno dostopne. Varnost in redno posodobljena programska oprema je v tem primeru nujna. 
Pogosto se elektronski naslovi pri oddaji nakupa shranjujejo v baze za pošiljanje množične elektonske pošte (primer: integracija z Mailchimpom). O tem morajo biti po GDRP-ju uporabniki obveščeni in imeti možnost, da se odločijo ali se s tem strinjajo. Pri tem pa je potrebno poudariti, da strinjanje s prijavo ne sme biti vnaprej potrjeno, pač pa se mora obiskovalec s tem eksplicitno strinjati.
Spletne trgovine imajo za boljšo prodajo vgrajene dodatne skripte, ki omogočajo targetiranje kupcev tudi na drugih družabnih omrežjih in spletnih straneh. V koliko obiskovalec nakupa ni opravil do konca, obstajajo načini, da se kupcu na drugih spletnih straneh in omrežjih ta produkt pogosto prikazuje, s čimer se možnost nakupa poveča.
Slednje temelji na piškotkih. Skladno z GDPR-jem mora biti vsak obiskovalec spletne strani jasno seznanjen s piškotki, ki jih spletna stran uporablja in namešča na obiskovalčev računalnik. S strani uporabnika mora spletna stran dobiti eksplicitno potrdilo, da se s tem strinja (več o tem je bilo že zapisano zgoraj), v nasprotnem primeru, pa do tega ne sme priti. To pa pomeni, da je velika verjetnost, da ta način večanja spletne prodaje ne bo več prinašal rezultatov.
Oglaševanje preko facebooka ne deluje le znotraj njega, pač pa je pogosto povezan s spletno stranjo preko tako imenovanega facebook pixla. Preko njega se targetira obiskovalce spletne strani na facebook platformi. Na facebooku pa se lahko tudi drugače oglašujemo, izključno znotraj njega. Slednji način oglaševanja ne vpliva na GDPR zakonodajo saj je omejen na Facebook in nastavitve posameznega uporabnika znotraj njega. Enostavno obrazloženo, Facebook je tisti, ki mora poskrbeti za skladnost z GDPR-jem, mi samo koristimo njegove storitve.
Vse kar pa je zunanjih servisov, kot je povezava spletne strani s Facebook-om preko pixla, pa je znotraj domene lastnika strani, da to uredi v skladu z GDPR zakonodajo. Obiskovalci morajo biti o tem obveščeni in imeti možnost izbrati, ali se s tem strinjajo ali ne. Obenem morajo imeti obiskovalci v vsaki točki možnost, da svoje odločitve spremenijo (torej podobno kot pri drugih dosedanjih primerih).
Zunanji servisi (CrazyEgg, Fullstory,…)
Do sedaj so že bili omenjeni zunanji servisi kot sta Mailchimp in Google Analytics, ki sta že (Mailchimp) ali pa še (Google Analytics) nadgradila sisteme, da omogočajo enostavnejšo implementacijo GDPR zakonodaje znotraj uporabe njihovih storitev.
Kaj pa ostale storitve, ki jih na spletnih straneh uporabljamo, za beleženje informacij s strani naših obiskovalcev? Med njih spadajo skripte za beleženje vedenja uporabnikov na spletni strani, kot sta Crazy Egg in Fullstory. Vsekakor je pred začetkom beleženja informacij potrebno pridobiti dovoljenje obiskovalcev, kar se realizira s pomočjo spletnih piškotkov. Vendar GDPR ne pokriva le privoljenja za beleženje informacij, pač pa tudi pravico do pozabe oziroma izbrisa vseh dosedanjih informacij, pridobivanju vpogleda v zbrane informacije, ter prenosu drugam.
Zunanji servis, ki se ga dodatno uporablja na spletni strani mora to omogočati, saj drugače ni skladen z GDPR zakonodajo, posledično pa tudi ne spletna stran. Tako se je potrebno vse dodatne zunanje servise preučiti, ali so skladni z novo prihajajočo zakonodajo, jih primerno urediti ter o tem obvestiti obiskovalce naše strani.
Zaključek
GDPR zakonodaja bo imela velik vpliv na številne spletne strani in njihov način oglaševanja. Čeprav so na prvi pogled prilagoditve spletne strani videti kot negativen napredek, je potrebno upoštevati dejstvo, da bodo informacije, ki bodo zabeležene, toliko bolj relevantne. Elektronski naslovi, ki se jim bo pošiljalo promocijske maile, bodo imeli imeli najverjetneje višji odstotek konverzije, podatki o naših obiskovalcih bodo bolj specifični, organski rezultati pa bodo zopet igrali pomembno vlogo.
