GDPR: Kako veste, ali so vaša stara soglasja že skladna z novo zakonodajo?

216

Splošna uredba o varstvu podatkov (GDPR) je stopila v uporabo že 25. maja, še vedno pa veliko podjetij, ki upravljajo z osebnimi podatki, pridobiva privolitve uporabnikov za nazaj. Ste med njimi tudi vi? Počakajte, morda so vaša trenutna soglasja že skladna z GDPR!

Veliko podjetij še ni skladnih

Nekaj dni, preden je uredba stopila v uporabo, je raziskava v izvedbi analitičnega podjetja SAS pokazala, da manj kot polovica podjetij na globalni ravni pričakuje, da bodo v roku poskrbeli za celotno skladnost. Delež je bil znatno manjši v ZDA, saj je le tretjina tamkajšnjih podjetij pričakovala, da bodo ujeli rok. Na drugi strani je bila Evropa nekoliko bolje pripravljena, saj je več kot polovica podjetij povedala, da bodo do 25. maja poskrbeli za vse potrebno.

Kaj ni tako, da po 25. maju ne smem več pridobivati soglasij?

Ni res, tudi po uveljavitvi uredbe lahko še vedno pridobivate privolitve od vaših uporabnikov. Nastopilo je namreč prehodno obdobje, v katerem boste lahko kot upravljavec osebnih podatkov poskrbeli za 100-odstotno skladnost z GDPR.

Zagrožene kazni – najvišje znašajo 20 milijonov € ali 4 odstotke letnega prometa, kar pač nanese več – so med upravljavci osebnih podatkov vzbudile veliko strahu, vendar uredba pred podeljevanjem teh visokih glob predvideva kar nekaj vmesnih stopenj in opominov.

Namen nadzornih inštitucij namreč ni to, da podeljujejo vrtoglave kazni, temveč izobraževanje in svetovanje podjetij o tem, kako naj sledijo zakonodaji. V prvi vrsti se bodo tako poslužili ustnih in pisnih opozoril za odpravljanje napak. 

Kako preverite, ali že izpolnjujte pogoje uredbe?

Nova soglasja uporabnikov za pošiljanje e-novic in ponudb morate pridobiti le v primeru, da stara niso bila pridobljena na način, ki ga določa GDPR. Če ste pri pridobivanju starih soglasij posameznika na preprost in razumljiv način obvestili o naslednjih področjih, ki jih navajajo na portalu Data.si, vam ni potrebno pridobiti novih privolitev:

  • komu daje svojo privolitev – jasno morata biti navedena identiteta in kontaktni podatki upravljavca podatkov
  • kakšen je namen zbiranja njegovih osebnih podatkov
  • kakšno je obdobje hrambe podatkov – jasno mora biti zapisano, koliko časa se bodo podatki posameznika hranili

Posameznik mora biti seznanjen tudi s tem, da lahko od upravljavca zahteva dostop do njegovih osebnih podatkov ali izbris le-teh.

»» GDPR: 5 ključnih vprašanj in odgovorov o osebnih podatkih

Da se prepričate, ali so vaše obstoječe privolitve veljavne, poglejte vse pogoje, ki jih določa 13. člen GDPR.

Primeri, v katerih vam ni potrebno pridobiti novih privolitev:

  • vsi splošni e-poštni naslovi (marketing@…, info@ …)
    Ti emaili ne veljajo za osebni podatek.
  • od uporabnikov, ki so že dali svojo privolitev
    Tisti, ki so se prijavili preko vašega prijavnega obrazca, pojavnega okna ali na vaš newsletter, so že skladni z GDPR, saj so vam s prijavo na vaše vsebine na ekspliciten način dali dovoljenje za pošiljanje. Te prejemnike morate le obvestiti o tem, da ste spremenili splošne pogoje/politiko zasebnosti, ni pa potrebno, da pridobite novo privolitev.

Še vedno niste prepričani?

Za navodila, kako najlažje preverite, ali so vaše obstoječe privolitve skladne z novo zakonodajo, smo povprašali Stjepana Perka, direktorja podjetja lolongo in Chief Privacy Compliance Officer-ja, ki je številnim podjetjem pomagal pri prilagoditvi poslovanja v skladu z uredbo.

Kako lahko spletni trgovec najhitreje preveri, ali so njegove obstoječe privolitve za pošiljanje e-novic in ponudb skladne z GDPR?

“Preverite, če v prijavi za newsletter obstaja jasna povezava, ki vodi do politike zasebnosti, in če je naveden kontakt pooblaščene osebe za varstvo osebnih podatkov. Kljukica ali gumb za newsletter mora biti ločena od katere koli vrste splošne registracije, uporabnik, ki se prijavlja, pa mora biti na jasen način informiran o namenu zbiranja in obdelave podatkov.

Torej, preverite:
– jasen namen
– ločeno kljukico/gumb
– politiko zasebnosti
– kontakt pooblaščene osebe za varstvo podatkov, če to določa GDPR

E-mail informativne narave lahko pošljete enkrat do dvakrat letno, ne sme pa iti za prodajno vsebino.”

POMEMBNO! Bodite pozorni na aktivno ravnanje posameznika

GDPR določa, da je za pridobitev privolitve potrebno aktivno ravnanje posameznika, kar konkretno pomeni, da mora svojo privolitev za obdelavo osebnih podatkov sam obkrožiti ali obkljukati. Vnaprej označena okenca, ki so zelo pogosta v različnih spletnih obrazcih, torej ne pomenijo privolitve. V primeru, da ste pri pridobivanju starih soglasij zadostili vsem prej navedenim kriterijem, vendar so bila okenca vnaprej označena, morate od svojih uporabnikov pridobiti novo privolitev.

»» GDPR prinaša 4 ključne novosti za spletne trgovce – poglejte, katere …