Ako zabezpečiť, aby boli vaše webové stránky v súlade s GDPR

Rok 2018 je rokom zmien, minimálne v súvislosti s redakčným systémom WordPress. Jednou z najväčších výziev je Všeobecné nariadenie na ochranu osobných údajov (GDPR), ktoré vstúpi do platnosti 25. mája 2018. Najnovšia verzia tejto smernice hovorí, že používatelia majú mať úplnú kontrolu nad svojimi údajmi. Musíte im preto povedať, na čo ich údaje potrebujete. Z praktického hľadiska je to trochu komplikovanejšie.

WordPress a GDPR

Redakčný systéme WordPress využíva momentálne 30% internetových stránok. Medzi stránkami a používateľmi dochádza k pretekaniu údajov. GDPR hovorí, že správcovia webu sú zodpovedný za to, aby boli všetky osobné údaje používateľov v bezpečí. Hoci bolo toto nariadenie prijaté v EÚ, týka sa skoro celého sveta. Pretože ak zhromaždíte čo i len minimálne údaje od osoby pochádzajúcej z EÚ (bez ohľadu na to, kde sa práve nachádzate), získavate informácie vlastnené občanom EÚ. Ak sa zistí, že vaše stránky nie sú v súlade s GDPR, hrozí vám pokuta až do výšky 20 miliónov eur.

To je pre mnoho ľudí odstrašujúce. Ale nemusí byť.

Dobrou správou je, že ešte pred 25. májom vznikla špeciálna stránka, ktorej úlohou je informovať o tom, čo je potrebné urobiť na to, aby neboli osobné údaje návštevníkov vášho webu a vašich klientov ohrozené. Tu je zoznam toho, za čo ste zodpovední:

  • Vysvetliť kto ste, ako dlho údaje uchovávate, prečo ich potrebujete a kto k nim môže pristupovať
  • Získať jasný súhlas na zhromažďovanie takýchto údajov
  • Umožniť používateľom prístup k vlastným údajom, s možnosťou ich stiahnutia, alebo úplného odstránenia
  • Ak dôjde k porušeniu bezpečnosti alebo narušenia bezpečnosti, informovať o tom svojich používateľov

Pre lepšie pochopenie GDPR sú k dispozícii predpisy týkajúce sa osobných údajov v roku 2018, oficiálna infografika Európskej komisie a oficiálne články spoločnosti Automattic o redakčnom systéme WordPress a GDPR. Uvádzame zopár konkrétnych krokov, ktoré musíte podniknúť na to, aby ste boli chránení a aby boli údaje používateľov v bezpečí.

GDPR Opt-In

Ideálnym riešením je zavedenie takzvaného Opt-In(u), teda súhlasu so zasielaním obchodných oznámení. Opt-In nie je za žiadnych okolností to isté ako Opt-Out. EU povedala, že ako prevádzkovateľ stránok musíte od používateľov dostať jednoznačný súhlas k tomu, aby ste mohli spracovávať ich osobné údaje. Nestačí dať používateľom možnosť povedať nie. Tu je príklad. Prevádzkujete online obchod využívajúci systém WooCommerce. Ak sa používateľ prekliká do košíka s objednaným tovarom, zobrazí sa mu informácia o tom, že jeho e-mail bude zaradení do firemnej databázy. V prípade, že je táto ponuka defaultne prednastavená a požívateľ nemá inú možnosť ako s ňou súhlasiť, máte problém.

Podľa pravidiel GDPR musíte vyslovene uviesť dôvod, na čo osobné informácie používateľa (v tomto prípade e-mail) potrebujete.

To isté platí aj pre komentáre u ktorých sa automaticky vyžaduje e-mailová adresa používateľa, alebo pre každú inú automatickú formu komunikácie, ktorá nebola zahájená používateľom. (Pop-up chatovacích okien sa to netýka, môže sa však na ne vzťahovať klauzula o pseudonymizácii GDPR). Treba dbať na to, aby nebola predvolená možnosť zberu akýchkoľvek osobných údajov. Požadujte iba také osobné údaje, ktoré skutočne potrebujete, a iba vtedy keď na to dostanete vyslovený súhlas.

Požadujte iba minimálne množstvo informácií

Veľa webových stránok, formulárov, doplnkov a elektronických obchodov požaduje informácie, ktoré v skutočnosti ani nepotrebuje. Zlatou strednou cestou je požadovať čo najmenej osobných informácií. Ak napríklad nepotrebujete mená používateľov, tak ich od nich nepýtajte. Častokrát vám postačí ich e-mail. Neznamená to však, že ďalšie informácie nemôžete požadovať. GDPR iba hovorí, že ľudia musia vedieť, na aký účel ich osobné informácie zbierate. Povedzte im prečo potrebujete ich meno a priezvisko. Ak sa pýtate na ich narodeniny, povedzte im, že by ste im napr. radi posielali kupóny ako darček k narodeninám.

Mnohé formulárové pluginy umožňujú vkladať poznámky pod, alebo vedľa primárneho políčka s požadovanou informáciou. V prípade že chcete od používateľov získať telefónne číslo, vedľa tohto políčka môžete umiestniť blok s informáciou: „Vaše telefónne číslo požadujeme na to, aby vás mohli naši zástupcovia kontaktovať v prípade ťažkostí s objednávkou.“

Okrem toho musíte zverejniť „kto ste […], ako dlho budete osobné informácie archivovať a kto k nim získa prístup.“ Pokiaľ ide o to, kedy a akým spôsobom je potrebné tieto informácie zverejniť, ten sa môže líšiť. Prvou vecou je, že musíte povedať, kto ste v tom istom čase, keď osobné informácie zbierate.

Podobná situácia nastáva v prípade zasielania e-mailových správ. V päte takejto správy stačí uviesť jednu vetu s nasledovnou informáciou. „Osobné údaje z tejto webovej stránky spracováva pán XY, CEO spoločnosti XX a jej dcérskych spoločností. Každý jeden kontaktný formulár, registračný formulár, stránka s košíkom, alebo akákoľvek iná stránka zbierajúca osobné údaje, musí jasne identifikovať vašu firmu a kompetentnú osobu.

Vaše zmluvné podmienky a ochrana osobných údajov

Pokiaľ ide o ostatné časti a doložky týkajúce sa uchovávania osobných údajov GDPR, môžete sa o osobných údajoch rozpísať vo vašich Všeobecných obchodných či Zmluvných podmienkach. Odporúča sa to, nakoľko tieto doložky sú súčasťou explicitného GDPR Opt-in.

Nezabudnite sa uistiť o tom, že sú vaše Zmluvné podmienky a Zásady ochrany osobných údajov v súlade s GDPR. Následne vytvorte pre každý formulár povinné pole na akceptovanie oboch dokumentov pred spracovaním čohokoľvek. Zaškrtávacie políčka sú v poriadku a textové polia, do ktorých môžu používatelia napísať „Súhlasím“, sú ešte lepšie (ale pre používateľov dosť nepríjemné).

Chcete sa dozvedieť o problematike GDPR viac? Pozrite sa ako správne zakomponovať dokumenty do formulárov. Ak si neviete rady s tým ako vytvoriť dokument Zásady ochrany osobných údajov, skúste sa inšpirovať týmto článkom.

Do Zmluvných podmienok sa odporúča pridať odsek pojednávajúci o ochrane osobných údajov a v dokumente Zásady ochrany osobných údajov následne odkázať na Zmluvné podmienky. Nezabudnite informujte o tom, že je vaša stránka v súlade s GDPR. Vo vašom dokumente Pravidlá ochrany osobných údajov budete musieť vysvetliť, resp. objasniť nasledujúce skutočnosti.

  • Ako získať prístup ku všetkým poskytnutým osobným údajom a ako možno súhlas odvolať
  • Objasnenie procesu, prostredníctvom ktorého bude môcť používateľ úplne vymazať svoje údaje z vašej databázy (a nie iba jednoduché odhlásenie sa atď.)
  • Upresnenie toho, ako budete používateľov informovať v prípade zneužitia osobných údajov, ak k nemu dôjde
  • Podrobné vysvetlenie toho, kto ste, na čo osobné údaje používate, kto má k nim prístup a ako dlho ich budete archivovať

Čo dodať na záver?

Aj napriek fantastickej snahe komunity a vývojárov, hľadajúcich stále nové spôsoby ako sa vysporiadať s dodržiavaním pravidiel, sa budete musieť o problematiku GDPR zaujímať aj naďalej. V nadchádzajúcich mesiacov sa očakáva, že budú k dispozícii nové doplny alebo rozšírenia, ktoré významným spôsobom uľahčia prácu.

Prispôsobovaním vašich stránok požiadavkám GDPR sa v podstate zbližujete s ľudmi a hovoríte im, že ste transparentní. Dajte im preto vedieť o tom, čo robíte, nepýtajte si od nich zbytočné informácie a umožnite im aby sa sami rozhodli, či vám osobné údaje poskytnú. Aké kroky ste doteraz vykonali v súvislosti s novým nariadením Európskej Únie o ochrane osobných údajov? Uvítame vaše reakcie a postrehy v komentároch.

Obrázok: finance.sk

Prihlásiť sa k odberu noviniek

Pridajte sa do nášho mailing listu a získajte najnovšie správy a aktualizácie od nášho tímu.

Úspešne ste sa prihlásili na odber