Ukoliko u proteklom periodu niste živeli ispod kamena, sasvim je sigurno da ste u nekom obliku čuli za Opštu uredbu o zaštiti podataka o ličnosti (General Data Protection Regulation – GDPR) čiji se početak primene očekuje 25. maja 2018. godine. Takođe, pretpostavljamo da je ovih dana i vaše prijemno sanduče bilo preplavljeno porukama koje se tiču izmena i dopuna raznih Polisa privatnosti i Uslova korišćenja.
Kako se početak primene ove Uredbe očekuje krajem ovog meseca, u ovom tekstu pokušaćemo da bliže objasnimo – šta je GDPR, kakav uticaj ova Uredba može imati na nas, sa akcentom na sve one koji se bave WordPressom, bez obzira da li na njemu rade kao kreatori sadržaja, programiraju svoj web sajt ili sajt za klijenta ili se pak radi o vlasnicima WordPress sajta.
Usled dužine teksta, klikom na izabranu stavku možete lako doći do informacija koje vas zanimaju:
- Šta je GDPR?
- GDPR i Republika Srbija
- Kako GDPR može uticati na vlasnike sajtova?
- Google Analytics i GDPR
- Kako GDPR može uticati na programere?
Šta je GDPR?
Opšta uredba o zaštiti podataka o ličnosti (GDPR) zapravo predstavlja novi pravni okvir koji uređuje način na koji će se prikupljati, koristiti i čuvati podaci o ličnosti građana Evropske unije. GDPR se odnosi na sve one organizacije koje obrađuju podatke građana Evropske unije, kao i onih lica koji nisu državljani, ali stanuju u njenim okvirima. Takođe, uredba važi i za one kompanije koje ne posluju na teritoriji Evropske unije, a koje za potrebe svog rada vrše prikupljanje podataka o građanima Evropske unije ili nude robu ili usluge licima u Evropskoj uniji.
Osnovne stavke na kojima se bazira Uredba o zaštiti podataka o ličnosti (detaljno predstavljena na zvaničnom GDPR portalu), a mogu se ticati vlasnika web sajtova ili programera su sledeće:
- Široka teritorijalna primenjivost. To znači da se GDPR odnosi ne samo na kompanije i firme koje posluju u okviru Evropske unije, već i na one koji “procesiraju lične podatke” građana Evropske unije, a pritom se ne nalaze na teritoriji EU.
- Saglasnost. Svako lice čiji se podaci prikupljaju mora se saglasiti sa prikupljanjem podataka. Ovo se ne odnosi samo na podatke prikupljene putem formi, već i na podatke prikupljene u pozadini poput IP adresa, ukoliko se te informacije koriste za indentifikaciju lica.
- Pravo na pristup. Svaki pojedinac ima pravo da pristupi svojim podacima, kao i informacijama o načinu na koji su podaci prikupljeni.
- Pravo na brisanje podataka. Svako lice će imati pravo da zahteva brisanje podataka iz baze i mogućnost da zahteva da se njegovi podaci dalje ne distribuiraju.
Kazne koje su propisane za nepoštovanje odredbi iz GDPR-a idu čak do 20 miliona eura ili 4% ukupnog godišnjeg obrta (šta god je veće od ta dva).
GDPR i Republika Srbija
U ovom momentu postavlja se pitanje na koji način će primena GDPR-a uticati na Srbiju i domaće kompanije? Široka teritorijalna primenjivost Uredbe ukazuje da i privredna društva koja imaju poslovno središte u našoj zemlji moraju da poštuju odredbe GDPR-a ukoliko obrađuju podatke o ličnosti lica u Evropskoj uniji pod sledećim uslovima:
“Uredba se primenjuje i na obradu podataka o ličnosti lica koja se nalaze u Evropskoj uniji, a koju obavlja rukovalac ili obrađivač podataka koji nema poslovno sedište u Evropskoj uniji, ako su aktivnosti povezane s nuđenjem roba i usluga licima u Evropskoj uniji (bez obzira na to da li to lice treba da izvrši plaćanje) ili praćenjem njihovog ponašanja dokle god se njihovo ponašanje odvija unutar Unije.”
U svojstvu kandidata za članstvo u Evropskoj uniji Republika Srbija ima obavezu da uskladi svoje nacionalno zakonodavstvo sa ovom Uredbom.
Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti Rodoljub Šabić, na međunarodnoj konferenciji koja se ticala Opšte uredbe EU o zaštiti podataka o ličnosti (GDPR), održanoj u aprilu ovde godine izjavio je sledeće:
“Što se Srbije tiče, uredbu ne dočekujemo spremni i kako valja. Dosta vremena je potrošeno, a da nisu obezbeđene ni elementarne pretpostavke koje bi nas u toj trci učinili koliko-toliko kvalitetnim i popuno je jasno da će ta biti potpuno relevantna za građane Srbije i pogotovo za privredne subjekte. Svi oni koji imaju ideju da rade na evropskom tržištu bilo šta, da se bave marketingom, istraživanjem…, kakve god poslovne ambicije imali, treba da znaju da EU ima instrumente kojima će da obezbedi primenu standarda, pa i sankcija” – rts.rs
GDPR i WordPress
Ukoliko se bavite WordPressom i na bilo koji način ste u dodiru sa prikupljanjem ili procesiranjem ličnih informacija građana Evropske unije u nastavku teksta pokušaćemo bliže da objasnimo na koji način se WordPress sajt i kod mogu uskladiti sa odredbama GDPR-a.
Iskoristite ekskluzivni promokod BLOG10 za 10% popusta na sve Web Hosting pakete, posebno kreiran za naše čitaoce. Upišite promokod BLOG10 na checkout stranici i ne propustite priliku da unapredite svoj online prostor uz pouzdan i siguran hosting!
Kako GDPR može uticati na vlasnike sajtova?
Odredbe GDPR-a tiču se vlasnika sajtova i to u sledećim segmentima:
- Način na koji se podaci prikupljaju putem formi (kontakt forme, prijava na newsletter itd.)
- Način na koji se prikupljaju podaci za analitiku
- Šta se radi sa prikupljenim podacima
- Gde se prikupljeni podaci čuvaju
- Način na koji se komunicira sa kontaktima i korisnicima
- Kod koji se koristi – dodaci (plugins) i teme
Kontakt forme
Iako su lične informacije prikupljene putem forme deo zaštite podataka o ličnosti u okviru domaćeg zakonodavstva zemlje u kojoj se primenjuju, odredbe GDPR-a podacima dodaju još jedan sloj zaštite, pa tako pored imena i adresa, GDPR obuhvata i fotografije pojedinaca, poput avatara ili slika koje se podižu na sajt.
Krucijalna stvar jeste transparentnost. Prilikom prikupljanja podataka kroz web formu na sajtu neophodno je navesti detalje o načinu na koji će se prikupljeni podaci koristiti, o tome da li će podaci biti deljeni i na koji način, ali i navesti kako korisnici mogu doći do svojih podataka ili ih izbrisati ukoliko to žele.
Glavne smernice:
- U okviru forme navesti zašto se prikupljaju podaci i način na koji će biti korišćeni
- Omogućiti “double opt-in” kako biste bili sigurni da ste dobili saglasnost za prikupljanje podataka
- Prilikom slanja e-maila, navedite razlog za kontraktiranje i način na koji ste došli do kontakt podataka
- Prilikom slanja e-maila, omogućite opciju za odjavljivanje, kao i “zaboravi me” opciju. Ukoliko lice zahteva da bude “zaboravljeno” obrišite podatke, nemojte samo prestati sa slanjem e-mail poruka
- Ukoliko delite podatke sa trećim licima, tražite saglasnost od vlasnika podataka
- Koristite dodatke za generisanje forme i provajdere za kreiranje e-mail lista koji su u skladu sa GDPR odredbama
- U okviru sajta morate imati Polisu privatnosti sa informacijama o podacima koje prikupljate i čuvate, načinu njihove obrade, da li ih delite sa drugim licima, kao i načinu na koji korisnici mogu doći do svojih podataka i zahtevati njihovo brisanje iz baze
Prodaja proizvoda ili usluga
Ako govorimo o e-commerce sajtovima, skup podataka koji se u ovakvim situacijama prikuplja se širi. Pored imena i e-mail adresa, često je neophodna i informacija o kreditnoj kartici ili adresi stanovanja ukoliko se proizvod dostavlja na kućnu adresu.
U slučaju da prikupljate e-mail adrese ljudi koji su nešto kupili na sajtu i iste koristite u svojim e-mail listama, oni moraju biti obavešteni o tome i dati saglasnost za korišćenje e-mail adrese u te svrhe.
Za korisnike WooComerce-a, može biti korisno njihovo uputstvo o primeni GDPR-a.
Glavne smernice:
- Pratite sve savete navedene u listi koja se odnosi na kontakt forme
- Ukoliko planirate da koristite prikupljene podatke za slanje preporuka ili posebnih ponuda, navedite tu informaciju i pružite mogućnost korisnicima da se odjave sa liste
- Ukoliko je moguće, izbegavajte prikupljanje finansijskih podataka i koristite posebne servise za naplatu poput Stripe-a ili PayPal-a
- Dodajte posebnu “Moj Nalog” stranu na sajtu gde korisnici mogu imati pristup svojim podacima uz mogućnost da podatke obrišu
- U slučaju da se dogodi gubitak podataka obavestite korisnike u najkraćem roku i omogućite im da obrišu svoje podatke ukoliko žele
- Koristite e-commerce dodatak koji je u skladu sa GDPR-om
Podaci iz analitika
Ako se ozbiljno bavite optimizacijom sajtova za internet pretraživače (SEO) ili koristite Google Analitku, šansa je da podaci koji se prikupljaju iz ovih i raznih drugih softvera za praćenje ponašanja korisnika jesu deo GDPR regulative, ali samo ukoliko se direktno mogu povezati sa pojedincem poput informacija o IP adresi, userID-ju i slično.
Glavne smernice:
- Nemojte koristiti softvere za analitiku koji prikupljaju informacije o IP adresama i drugim ličnim podacima
- Nemojte prikupljati podatke o ponašanju na websajtu koji uključuju lične podatke
Google Analytics i GDPR
U proteklom mesecu Google Analitika je preduzela određene korake sa ciljem da korisnicima ovog servisa omogući lakše usklađivanje sa GDPR pravilima. Svim administratorima poslat je e-mail vezan za period čuvanja podataka (data retention), odnosno, period tokom kojeg Google može čuvati podatke korisnika na svojim serverima.
U okviru Google Analytics naloga u sekciji Admin > Property > Tracking Info > Data Retention može se odabrati period (14, 26, 38 i 50 meseci) nakon kog će Google Analitika automatski brisati sve user-level i event-level informacije koje se odnose na kolačiće, podatke koji se odnose za identifikaciju korisnika (User-ID) i identifikaciju oglašavanja (Double Click kolačići, Android i Apple ID-jevi i sl.). Odabrana podešavanja će postati aktivna 25. maja 2018. godine.
Takođe, Google je najavio i poseban tool za brisanje podataka o korisnicima (user deletion tool) čija se objava očekuje u periodu pre 25. maja (za više informacija pratite ovaj link). User deletion tool omogućiće brisanje svih informacija koje se mogu povezati sa pojedinačnim korisnicima poput Analytics Client ID-a, User ID-a ili APP Instance ID-a.
Pored ovih novina, savetujemo vam da se informišete i o već postojećim podešavanjima i opcijama koje Google Analitika nudi svojim korisnicima, kada je u pitanju prikupljanje, čuvanje i korišćenje prikupljenih podataka poput cookie podešavanja, informacija o tome kako GA čuva privatnost podataka, podešavanja o deljenju podataka, brisanju podataka nakon terminacije naloga i anonimizaciji IP adrese.
Kako GDPR može uticati na programere
GDPR ne utiče samo na vlasnike sajtova koji procesiraju određene podatke o ponašanju posetilaca na sajtu. I web developeri su u obavezi da usklade njihov kod sa pravilima GDPR-a i to kako oni koji prave sajtove za klijente, tako i programeri koji se bave pravljenjem namenskih tema i dodataka za širu distribuciju.
Odaberi 100% optimizovan hosting za WordPress. Svaki WordPress hosting paket donosi besplatne PREMIUM teme i dodatke za tvoj sajt (Asta Pro, Elementro Pro, WPML, WP Portoflio i dr.)WORDPRESS HOSTING
Idealno rešenje za WordPress sajtove
Odredbe GDPR-a mogu uticati na njihov način rada u sledećim situacijama:
- Pri korišćenju tema i dodataka drugih proizvođača prilikom kreiranja sajtova za klijente
- Ukoliko tema ili dodatak uključuju formu koja zahteva unos ličnih podataka
- Prilikom povezivanja na third-party API za prikupljanje i procesiranje podataka
- Kod kodiranja funkcionalnosti za analitiku ili bilo čega što može identifikovati korisnike preko IP adrese, lokacije ili drugih sredstava
Korišćenje third party tema i dodataka
Osnovno uputstvo za korišćenje third party tema i dodataka za programere koji prave sajtove slično je kao i za same vlasnike sajtova – neophodno je osigurati kompatibilnosti tema i dodataka sa odredbama GDPRP-a. Pored toga, preporuka je da sam klijent bude u određenoj meri upoznat sa novim propisima i odredbama, kao i tome da li određene funkcionalnosti njegovog sajta podležu GDPR regulativi.
Pojedini prizvođači tema i dodataka, poput JetPack i Gravity Froms već rade na usklađivanju sa ovom Odredbom o zaštiti podataka o ličnosti i pružaju savete o korišćenju njihovih dodataka na način koji je u skladu sa GDPR-om.
Glavne smernice:
- Pratite smernice koje se odnose na vlasnike sajtova navedene gore prilikom instaliranja i podešavanja tema i dodataka
- Obavestite klijenta ukoliko websajt poseduje određene funkcionalnosti koje podležu GDPR regulativi
- U slučaju da prilikom razvoja i testiranja prikupljate određene lične informacije, obrišite ih po završetku test perioda
Razvoj WordPress tema i dodataka
Bilo da se radi o razvoju teme ili dodatka za specifične projekte ili za širu distribuciju, regulativa GDPR-a može uticati na kod ukoliko isti uključuje mogućnost prikupljanja ličnih podataka.
Neophodno je da utvrdite da li kod vašeg sajta ispunjava propisom postavljene uslove, a koji se odnose na prikupljanje podataka kroz forme, cookies ili API-je.
Glavne smernice:
- Ukoliko kroz kod prikupljate lične podatke (poput imena, adresa, e-mail adresa, informacija o društvenim mrežama, fotografijama i dr.) omogućite vlasniku sajta da doda informacije o tome kako će se podaci koristiti uz uključivanje “double opt-in” opcije
- Ukoliko kod prati podatke preko kolačića, proverite da li se kolačići ne mogu iskoristiti za direktnu identifikaciju pojedinaca
- U slučaju da se kod povezuje na third party API – API mora biti u skladu sa GDPR odredbama
- Ako kod podleže pravilima GDPR-a, informacije o tome se trebaju naći u dokumentaciji, uz uputstvo na koji način WordPress temu ili dodatak vlasnici sajtova mogu koristiti na način koji je usklađen sa Opštom uredbom o zaštiti podataka o ličnosti (GDPR)
Više informacija o tome kako se WordPress usklađuje sa GDPR-om možete saznati ovde.
GDPR stupa na snagu uskoro
Možda razmišljanje o prilagođavanju novim propisima i zakonima nije stvar o kojoj ste razmišljali ove godine, međutim, ukoliko na bilo koji način prikupljate podatke ignorisanje novih propisa i procedura možda u ovom momentu nije pametno rešenje.
Informacije i saveti navedeni u ovom tekstu namenjeni su kao početna tačka za dalje informisanje. Za sve ostale informacije vezane za primenu ovog zakonskog propisa predlažemo vam da posetite neki od korisnih linkova navedenih u nastavku ili kontaktirate advokate ili pravnike koji bi sa pravne tačke gledišta mogli da odgovore na sva vaša pitanja.
Korisni linkovi:
- GDPR info portal
- GDPR Wikipedia
- Najčešće postavljana pitanja
- Konferencija „OPŠTA UREDBA EU O ZAŠTITI PODATAKA O LIČNOSTI“
- Šta je to GDPR i zašto se tiče i srpskih kompanija koje posluju sa ličnim podacima?
- Predavanje “Domaća preduzeća i primena GDPR-a”