GDPR na web stranicama i web shopovima

Vjerojatno ste već čuli za GDPR regulativu o zaštiti podataka korisnika na internetu – to je tema koja svakodnevno zaokuplja medije i stvara glavobolje većini poslovnih subjekata u EU – pa tako i Hrvatskoj.

Što je točno GDPR regulativa?

Ukratko, riječ je o proširenju dosadašnjih zakonskih okvira na temu zaštite osobnih podataka na internetu, koja na razini EU stupa na snagu 25.5.2018. godine.

Ova regulativa obuhvaća niz tema, no, nama, kao pružateljima usluga digitalnog i internet marketinga zanimljivo je nekoliko njih – točnije, osjećamo dužnost informirati vas o onome što od vas kao vlasnika web stranica ili trgovina očekuju nadležna tijela koja će provoditi ovaj zakon (u Hrvatskoj je to Agencija za zaštitu osobnih podataka – azop.hr).

Što GDPR od vas očekuje?

Kad je riječ o web alatima putem kojih se prikupljaju i pohranjuju podaci vaših korisnika / kupaca, postoji nekoliko osnovnih pravila koja će se morati poštivati, i to sa sljedećim ciljevima:

a) vaši korisnici / kupci moraju biti svjesni da prikupljate njihove osobne podatke,

b) vaši korisnici / kupci  moraju odobriti prikupljanje njihovih osobnih podataka, i ukoliko je slučaj da njihove podatke koristite u svrhe promocije (npr. e-mail marketinga), vaši korisnici moraju eksplicitno pristati na to,

c) vaši korisnici moraju biti informirani o tome koliko dugo će njihovi podaci biti pohranjeni kod vas i na koji način im mogu pristupati i njima upravljati,

b) vaši korisnici / kupci moraju imati pristup bazi u kojoj se nalaze njihovi podaci, kako bi ih mogli obrisati ili urediti (promijeniti).

Kazne za nepoštivanje ove regulative su 2% godišnjeg profita ili 10 milijuna eura (ovisi o tome što je veće).

Kakve prilagodbe je potrebno napraviti na web dućanima da bi se zadovoljila GDPR regulativa?

Da bi se novi zakon zadovoljio na web stranicama i web trgovinama, potrebno je napraviti sljedeće prilagodbe:

Web formulari za upit

Na svim web formularima na vašoj web stranici treba biti ugrađena “kućica” putem koje će korisnik pristati na pohranu svojih podataka i odobriti njihovo korištenje za vašu promociju. Potrebno je informirati ih o tome na koji način će podaci biti korišteni, a ako je moguće i naglasiti podatak koliko dugo. Pritom bi ispravna praksa bila omogućiti svim korisnicima da svojim podacima što jednostavnije pristupe putem front-enda vaše web stranice / dućana i po potrebi urede svoje podatke ili ih izbrišu.

Klasičan formular za upit prilagođen za GDPR
Uređivanje podataka korisnika

Newsletter fomulari i integracija s e-mail marketing servisima

Neovisno o tome da li je riječ o standarnom, ili e-mail marketing formularu (newsletter i sl.), korisnik mora biti svjestan vaše prakse, te odobriti pohranu njegovih podataka. Pritom je korisno omogućiti mu samostalno uređivanje tih podataka, pa, kada birate e-mail marketing softver koji ćete koristiti za slanje promotivnih e-mailova, provjerite da li on ima ugrađenu ovakvu funkcionalnost.

Newsletter formular i primjer obavijesti uz njega
Primjer još jednog formulara i obavijesti o pohrani korisničkih podaka na njemu

Primjera radi, Mailchimp, jedan od najpoznatijih e-mail marketing servisa, je ovu problematiku glatko riješio – naime, svi primatelji newslettera imaju mogućnost putem linka u e-mailu pristupiti svojim podacima i urediti ih (po potrebi i obrisati se iz mailing liste).

Upravljanje korisničkim računom na e-commerce sustavu

Ovaj aspekt vrijedi započeti pričom oko registracije korisnika prilikom kupovine.

Naime, mnoga istraživanja su pokazala da forsiranje registracije kao uvjet kupovine odbija mnoge kupce, pa su novi CMS-ovi i e-commerce sustavi odustali od ove prakse – tj. daju mogućnost kupovine za registrirane i tzv. gostujuće kupce. To znači da je kupovinu moguće obaviti bez klasične registracije, a time i uz solidnu uštedu vremena. To također znači da neki moderni e-commerce sustavi (kao što je npr. WooCommerce) ne kreiraju korisnički račun za neregistrirane kupce, već podatke korisnika pohranjuju isključivo uz podatke o narudžbi. Podaci o narudžbi su važna stavka u radnim procesima svakog poslovanja i nije realno omogućiti kupcima da upravljaju (a to znači i brišu) ove podatke.

Stoga, ako vaš e-commerce sustav ne kreira korisnički račun za neregistrirane kupce, da bi se zadovoljila GDPR regulativa moguće je napraviti sljedeće:

  • ubuduće forsirati registraciju kupaca uz rizik da će broj kupovina zbog ove prakse biti smanjen, ali to će omogućiti legitiman odnos prema kupcima i njihovim podacima,
  • na stranici košarice jasno informirati kupce da, ukoliko žele moći samostalno upravljati svojim podacima, moraju biti registrirani, ukoliko to nisu, upravljanje njihovim podacima je moguće uz vaše posredovanje (kontaktirajući vas u te svrhe, nakon čega ćete im poslati uvid u podatke koje o njima pohranjujete).

Ono što korisnicima vašeg web dućana također trebate omogućiti, jeste brisanje njihovog korisničkog računa – ako to žele.

Naime, nisu svi moderni e-commerce sustavi ovo predvidjeli, a razlog za to je sličan priči s narudžbama – CMS mnogim vlasnicima web trgovina služi kao svojevrstan CRM i brisanje esencijalnih podataka iz njega može predstavljati nepremostiv problem za radne procese tvrtke koja je iza web trgovine. Na koncu, državne institucije očekuju od vlasnika poslovanja da određene podatke čuvaju i nekoliko godina, a koje im je po potrebi vlasnik poslovanja / web trgovine dužan staviti na raspolaganje.

Dakle, vrlo je diskutabilno do koje mjere kupci trebaju moći upravljati svojim podacima i što im točno omogućiti da samostalno brišu. Ukoliko želimo biti do kraja korektni, funkcionalnost za brisanje korisničkog računa bi trebala biti sastavni dio e-commerce sustava, pa ako ju vaš web shop nema, svakako predlažemo da ju date integrirati. To će omogućiti da račun s podacima korisnika bude obrisan, a podaci o narudžbi ipak ostanu pohranjeni.

Kolačići, Analytics, remarketing alati

Ako je vaša web stranica integrirana s Google Analyticsom, Google Maps servisom, društvenim mrežama, YouTube kanalom, remarketing alatima, ako imate kontakt obrazac, newsletter formular i mnoge druge uobičajene web alate, to znači da se na njoj koriste tzv. kolačići (cookies). A to ujedno znači i da pohranjujete određene podatke korisnika, o čemu ste ih dužni informirati.

Nakon stupanja GDPR-a na snagu, korisnik će na ovo morati eksplicitno pristati – dakle, ispravnom praksom se više neće smatrati puka obavijest o korištenju kolačića na web stranici, pozicionirana u bilo kojem kutu web stranice. U tom smislu najbolje služe tzv. popup-ovi i alatne trake koji se pojavljuju prilikom korisnikovog dolaska na web i koji mu pružaju izbor – pristanak ili blokiranje kolačića. U slučaju da ne želi pristati na njihovo korištenje, na vašoj web stranici ili web dućanu mora postojati funkcionalnost koja će blokirati kolačiće Google Analytics-a, Facebook-a i sličnih servisa koji skupljaju podatke o ponašanju korisnika na web stranci, a ujedno omogućiti korisniku daljnje surfanje.

Primjer alatne trake s kolačićima

Formuliranje napomena i istaknuti Uvjeti korištenja

Kao što ste mogli pročitati u prethodnim ulomcima, kupci na vašim web dućanima moraju biti eksplicitno informirani o mnogim aspektima prikupljanja njihovim podataka, a ako je moguće, te napomene u vidu istaknutih upozorenja trebaju stajati uz svaki web alat putem kojeg se podaci prikupljaju (newsletter, formular za upit, košarica i sl.).

Također, aspekt privatnosti korisničkih podataka treba biti obrađen u okviru Uvjeta korištenja na vašoj web stranici, i njih je u vidu linka potrebno istaknuti na za to predviđenim mjestima (najčešće navigacijama i izbornicima). U njima bi bilo korisno naglasiti sve ono što se po običaju spominje u kontekstu zaštite korisnika i prikupljanja njegovih podataka, ali se osvrnuti i na određene specifičnosti po pitanju vašeg dućana, ako one postoje – npr. putem kojih alata i na kojim točno linkovima korisnici mogu upravljati svojim podacima na vašem web dućanu, napomene za neregistrirane korisnike, način na koji vas mogu kontaktirati kako bi dobili uvid u svoje korisničke podatke i sl..

Imajte na umu da datum stupanja na snagu GDPR regulative (25.5.2018.) nije daleko kako se možda čini, jer pripreme za ispunjenje uvjeta zahtijevaju vrijeme. Naš je savjet da se kod pravnih stručnjaka raspitate o vašim obvezama, kako biste utvrdili što u vašem poslovanju morate napraviti i prilagoditi, kako bi GDPR regulativa bila zadovoljena. Informacije iznesene u ovom članku predstavljaju naša saznanja i osobna stajališta na temu GDPR-a, te se ne ne mogu tumačiti kao jedine smjernice za zadovoljenje zakonskih okvira.

Želite da pogledamo vašu web trgovinu i damo svoje mišljenje o njenoj prilagođenosti GDPR-u?

 Možete nam se obratiti putem e-mail adrese info@webizrada.org ili broja telefona +385 91 455 1066 – naš tim vam stoji na raspolaganju.