[GDPR] Splošna uredba o varstvu osebnih podatkov kmalu stopa v uporabo! Ste pripravljeni?

2153

Prihajajoča Splošna uredba o varstvu podatkov (GDPR), ki bo stopila v uporabo 25. maja, v zadnjem času dviguje veliko prahu med vsemi, ki se ukvarjajo s spletno trgovino in spletnim poslovanjem nasploh. Čeprav bo nova ureditev pomembno vplivala na vse, ki zbirate in obdelujete osebne podatke strank, se v javnosti pojavljajo številne netočne in izkrivljene informacije. V nadaljevanju preberite, kaj je ozadje nove zakonodaje in kako bo vplivala na vas.

Dejstvo je, da se je obseg zbiranja osebnih podatkov zaradi digitalizacije praktično vseh vidikov vsakdanjega življenja izjemno povečal in posledično prihaja tudi do zlorab. Zelo nazoren je primer podjetja Yahoo, ki je bil leta 2016 podvržen kraji rekordne pol milijarde podatkov, med katerimi so bila tudi imena, e-poštni naslovi in nešifrirana varnostna vprašanja in odgovori. Kazalo je, da nihče ne more preseči tega, a kasneje v istem letu je zloglasni River City Media poleg ostalih osebnih podatkov javno objavil 1,4 milijardne e-poštnih naslovov.

EU se je odločila temu narediti konec …

Evropska unija je s ciljem preprečevanja zlorabe podatkov sprejela nov zakonodajni okvir, ki posameznikom omogoča večji nadzor nad uporabo njihovih osebnih podatkov. Trenutna evropska direktiva je namreč stara 21 let in je s tem popolnoma neprilagojena sodobni tehnologiji, ki je v tem času praktično spremenila svet do samih temeljev. Prišlo je do popularizacije spleta, različnih mobilnih tehnologij, družbenih omrežij ter shranjevanja osebnih podatkov v oblaku.

Od vseh uporabnikov spleta se danes pričakuje, da delimo svoje osebne podatke. To počnemo, ko dostopamo do svojih bančnih računov, družbenih omrežij ali ko preko spleta rezerviramo let. Pogled EU je, da smo kot potrošniki to sprejeli kot del sodobnega življenja, vendar to ne pomeni, da nam je lahko vseeno, kaj se dogaja z našimi osebnimi podatki, ki jih delimo na raznih spletnih mestih. Prav zato je bila sprejeta Splošna uredba o varstvu osebnih podatkov (angl. General Data Protection Regulation oz. GDPR), ki bo državljanom EU zagotavljala večjo preglednost in nadzor nad tem, kdo upravlja z njihovimi podatki in kateri pravzaprav sploh so ti podatki.

GDPR je obvezujoča uredba EU in je kot taka nad lokalnimi zakoni ter se neposredno uporablja v vseh državah članicah. V uporabo stopi 25. maja 2018, ko bo nasledila obstoječi Zakon o varstvu osebnih podatkov. Veljala bo tudi za vse države izven EU, ki uporabljajo podatke evropskih državljanov ali jim prodajajo izdelke in storitve.

Na kaj se GDPR sploh nanaša?

Uredba obravnava izključno osebne podatke. Kaj točno so osebni podatki? To so:

  • ime, priimek
  • naslov
  • e-pošta
  • IP naslov
  • telefonska številka
  • oodatki o geolokaciji
  • identifikatorji naprave, preko katere se uporabnik poveže na splet
  • piškotki
  • biometrični podatki in podobno

Gre torej za kateri koli podatek, ki se nanaša na posameznika in na podlagi katerega je ta določljiv. Uredba se dotika tudi določenih psevdonimiziranih osebnih podatkov, odvisno od tega, kako težko je identificirati, čigavi so ti podatki.

Kako bo GDPR vplival na vas?

Uredba opredeljuje številne ukrepe, katerih cilj je povečanje preglednosti in nadzora nad osebnimi podatki:

  • vaši kupci bodo morali po novem dati soglasje oziroma privolitev za uporabo njihovih osebnih podatkov, ki ga bodo lahko kasneje tudi umaknili
  • imeli bodo pravico zahtevati informacije o tem, kako, kje in zakaj se obdelujejo njihovi osebni podatki
  • glede na novo ureditev bo moral biti proces varstva podatkov vključen že v najzgodnejše faze razvoja izdelkov in storitev
  • tista podjetja, ki obdelujejo velike količine podatkov, bodo morale imenovati pooblaščeno osebo za varstvo osebnih podatkov
  • vsak primer odtujitve informacij bo potrebno prijaviti v roku 72 ur

Za podjetja, ki ne bodo upoštevala novih predpisov, so predvidene globe do 4 % celotnega prometa oziroma do 20 milijonov € (odvisno, kaj nanese več).

Če vaše poslovanju vključuje hrambo in obdelavo osebnih podatkov, čimprej pričnite s prilagoditvijo poslovanja uredbi. S tem so povezani nekateri pomembni ukrepi, o čemer pišemo v nadaljevanju članka, nova ureditev pa prinaša tudi veliko pozitivnih stvari. Od konca maja dalje boste morali skrbeti za skladnost zgolj z eno uredbo namesto 28 različnimi predpisi. Po nekaterih ocenah naj bi prihranki podjetij znašali tudi do 2,3 milijarde € letno.

MNENJE STROKOVNJAKA: “Obstajajo štiri ključne kategorije, ki prinašajo največje spremembe in s tem izzive za spletne trgovce in oglaševalce!”

Strokovno mnenje o tem, katera področja morate spletni trgovci in oglaševalci urediti pred 25. majem, je za Shopper’s Mind podal Stjepan Perko, direktor podjetja lolongo in Chief Privacy Compliance Officer, ki številnim strankam pomaga pri prilagoditvi poslovanja v skladu z uredbo.

Kaj so v povezavi z GDPR ključni izzivi za upravljavce osebnih podatkov, še posebej za spletne trgovce?

“Neupoštevanje postopkov in pravil uredbe lahko predstavlja tveganje predvsem zaradi potencialnih kazni, ki so zastavljene zelo strogo. Osnovni izziv, s katerim se sedaj soočajo spletni trgovci, je ureditev privolitve uporabnikov v okviru obstoječe baze. Praktično vsak spletni trgovec je z dosedanjo prakso izkoriščal možnost uporabe naslova za dostavo (in nekaterih drugih osebnih podatkov) za celo vrsto namenov. GDPR pa med drugim predpisuje, da mora biti privolitev uporabnika ločena od strinjanja s splošnimi pogoji, določa tudi ločevanje od promocijskih ponudb in celo dostave, za katero velja specifična ureditev (ta privolitev se lahko koristi samo enkrat, zatem pa se podatki avtomatsko izbrišejo).

Naslednje pomembno področje je, da bodo morali po novem vsi partnerji (ali specifični upravljavci, nadzorniki in naročniki osebnih podatkov), ki so vključeni v postopek targetiranja uporabnikov, imeti prilagojen dostop. Z drugimi besedami – obstajati mora možnost „ne-izbire“ promocijske sekcije in partnerja, ki ne izpolnjuje kriterijev za izmenjavo podatkov, obstajati mora tudi jasen zapis kdaj, kako, do kdaj in v kakšen namen je uporabnik dovolil hrambo in obdelavo njegovih osebnih podatkov. Če upravljavec podatkov do 25. maja ne uspe pridobiti nove privolitve, se lahko v nekaterih primerih, predvsem zaradi časovnega pritiska, zgodi, da ne bo zadostil pogojem za komunikacijo z dosedanjimi uporabniki. Poslovanje tistih, ki se ne zavedajo potrebe po prilagoditvi obstoječe baze, je zato lahko po tem datumu postavljeno pod vprašaj.”

Katere spremembe prinaša GDPR za poslovanje spletnih trgovcev in oglaševalcev?

“Obstajajo štiri ključne kategorije, ki prinašajo največje spremembe in s tem izzive za spletne trgovce in oglaševalce: zahteva uporabnikov za nadzor nad zbiranjem njihovih osebnih podatkov; jasen postopek obveščanja uporabnikov o izgubi ali odtujitvi osebnih podatkov; uvedba kvalificiranih strokovnjakov za varstvo podatkov (Data Protection Officer in člani delovne skupine za prilagoditev poslovanja GDPR), zadnji element pa je soglasje uporabnika, t.i. privolitev. Gledano širše lahko govorimo o problematiki novega načina email komunikacije z uporabniki, novi dinamiki serviranja oglasov ter spremenjenem načinu retargetinga in targetiranja na osnovi osebnih podatkov. Vse to nakazuje na potrebo po globlji edukaciji in ozaveščenosti o zahtevnosti postopka prilagoditve uredbi, čemur se v lolongu v okviru izobraževanj jasno in fokusirano posvečamo.”

Vas zanima več?

Redno spremljajte portal Shopper’s Mind – smind.si, kjer bomo še naprej objavljali ključne informacije o GDPR in nasvete strokovnjakov, kako se pravočasno pripraviti na novo ureditev.