Priprava spletnega mesta v skladu z določbami GDPR

Poleg sprememb našega življenja je epidemija koronavirusa prinesla tudi spremembe v poslovanju ter pospešila prehod številnih podjetij na spletno poslovanje, kot je npr. spletna trgovina ali priprava spletnega mesta za namen prodaje storitev. Pri postavitvi spletne trgovine ali spletnega mesta je treba določeno pozornost usmeriti tudi v opremo spletnega mesta z ustrezno dokumentacijo z namenom zagotovitve skladnosti z določbami Splošne uredbe o varstvu podatkov (GDPR) in veljavne nacionalne zakonodaje na področju varstva osebnih podatkov (ZVOP-1). V nadaljevanju vam podajamo nekaj nasvetov, na kaj morate biti pozorni pri postavljanju novega spletnega mesta za zagotavljanje skladnosti z zakonodajo na področju varstva osebnih podatkov.

Najprej ugotovite, katere osebne podatke boste obdelovali

Splošno znani rek je, da moramo najprej ugotoviti kje smo, da se lahko odločimo, v katero smer bomo šli. Navedeno velja tudi za obdelavo osebnih podatkov v podjetju. Vsako podjetje, ki se odloči za postavitev novega spletnega mesta, mora najprej ugotoviti, katere vrste osebnih podatkov bo obdelovalo ter v kakšne namene obdelave. GDPR v svojem 5. členu določa, da morajo biti podatki obdelani v skladu z načelom najmanjšega obsega podatkov, kar v osnovi pomeni, da lahko obdelujete minimalno količino in tiste vrste osebnih podatkov, ki so nujno potrebni za dosego določenega namena.

Iz navedenega razloga je pomembno, da že ob postavljanju spletnega mesta najprej pomislite, za katere namene boste obdelovali osebne podatke ter katere osebne podatke potrebujete, da boste te namene lahko dosegli. Vzemimo primer podjetja, ki se ukvarja s prodajo računalniških komponent in se odloči za postavitev novega spletnega mesta, kjer se bodo imeli obiskovalci možnost naročiti na prejemanje e-novic z novostmi na področju strojne in programske opreme ter posebnimi ponudbami podjetja. Prav tako se podjetje odloči postaviti spletno trgovino za prodajo računalniških komponent in programske opreme posameznikom, pri čemer se bodo obiskovalci za pridobitev posebnega popusta morali registrirati in ustvariti uporabniški profil. V navedenem primeru lahko ugotovimo nekaj različnih namenov obdelave osebnih podatkov, in sicer: pošiljanje e-novic uporabnikom, ki se na novice prijavijo; kreiranje uporabniškega profila; izvedba spletnega nakupa; dostava blaga; reševanje reklamacij in vračilo blaga ter izdaja računa za opravljeno storitev.

Ko podjetje ugotovi vse namene obdelave osebnih podatkov, mora ugotoviti še, katere vrste osebnih podatkov potrebuje za dosego namenov. Za pošiljanje e-novic bo zadostovalo le zbiranje elektronskih naslovov uporabnikov. Pri registraciji profila bo podjetje verjetno zbiralo ime in priimek, naslov in elektronski naslov ter mogoče telefonsko številko posameznika. Za izvedbo nakupa, dostavo blaga in podobno, bo podjetje nujno potrebovalo ime in priimek kupca, elektronski naslov in/ali telefonsko številko ter naslov za dostavo. Ob takem pregledu bo podjetje hitro ugotovilo, da pri registraciji ne potrebuje npr. EMŠO ali davčne številke posameznika, ki ju je prvotno želelo pridobiti. Zelo pomembno je, da se razvijalci spletnega mesta že ob razvijanju strani vprašajo, katere osebne podatke bodo potrebovali za dosego namena obdelave. Osebnih podatkov podjetje ne sme zbirati na zalogo.

Ugotovite zakonite podlage obdelave

Ko določite namene, za katere boste obdelovali osebne podatke ter vrste osebnih podatkov, ki jih potrebujete za dosego namenov, morate ugotoviti, na kateri zakoniti podlagi boste navedene osebne podatke obdelovali. Če se vrnemo na naš primer, ugotovimo, da bo podjetje v primeru namena obdelave podatkov za pošiljanje e-novic in posebnih ponudb (oglaševanje) in registracije profila kupcev, obdelovalo osebne podatke posameznikov na podlagi privolitve posameznikov. Za namen izvedbe nakupa in dostave blaga bo podjetje osebne podatke obdelovalo na podlagi zakonite podlage sklenitve in izvajanja pogodbe, v primeru izdaje računa pa na podlagi zakonske zakonite podlage.

Opremite spletno mesto z ustrezno dokumentacijo

Podjetje mora svoje novo spletno mesto v nadaljevanju opremiti tudi z ustrezno dokumentacijo, ki jo GDPR zahteva. Kadar podatke pridobite od posameznika, morate v skladu z 12. in 13. členom GDPR posamezniku v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku podati informacije o tem, kdo upravlja z osebnimi podatki, njegove kontaktne podatke in kontaktne podatke pooblaščene osebe za varstvo podatkov, če le-ta obstaja. Prav tako morate jasno opredeliti namene, za katere se bodo osebni podatki obdelovali, zato je pomembno, da jih predhodno ugotovite. Navesti morate, kateri bodo uporabniki osebnih podatkov posameznikov, ki jih obdelujete (pogodbeni obdelovalci), informacijo o tem, ali nameravate podatke pošiljati v tretje države (t.j. države izven Evropske Unije ali Evropskega gospodarskega prostora), opredeliti obdobje hrambe osebnih podatkov in posameznike obvestiti o njihovih pravicah (pravica do omejitve obdelave, pravica do izbrisa, pravica do pritožbe pri nadzornem organu, pravica do ugovora obdelavi …). V obvestilu posameznikom morate navesti še vrste osebnih podatkov, ki jih boste obdelovali. Kot stalna praksa obveščanja posameznikov, se je uveljavila praksa objavljanja izjave o varstvu osebnih podatkov ali bolj znana kot politika zasebnosti (ang. privacy policy). Politiko zasebnosti podjetja objavijo v nogi spletnega mesta, tako da je jasno vidna in lahko posameznik vse informacije pridobi z enim klikom na zavihek “Politika zasebnosti”, “Splošni pogoji” ali “Varstvo osebnih podatkov” – poimenovanje zavihka je v vaši domeni. Prav tako morate ob prvi komunikaciji s posamezniki (kupci) le-te opozoriti, da lahko vse informacije v zvezi z varstvom osebnih podatkov pridobijo v politiki zasebnosti ter dodati povezavo do politike zasebnosti. Politika zasebnosti naj bo posodobljena, odražati mora dejansko stanje obdelave osebnih podatkov v podjetju, zato je smiselno v politiko zasebnosti vsakokrat navesti veljavno verzijo politike (ver. 1.0, 2.0…).

V primerih, ko za obdelavo osebnih podatkov potrebujete privolitev posameznikov, morate pri kreiranju privolitev upoštevati 4. in 7. člen GDPR. Smiselno je, da tudi pripravljene smernice nadzornega organa. Privolitev posameznika mora biti veljavna. Veljavnost privolitve pomeni, da mora biti:[1]

• dokazljiva (upravljalec mora biti sposoben dokazati, da je posameznik dal privolitev),
• prostovoljna (posameznik mora imeti prosto izbiro pri tem, ali bo privolitev dal in jo lahko kadarkoli svobodno umakne, pri čemer umik ne prinaša nobenih negativnih posledic),
• specifična (podana mora biti za konkretno opredeljen namen in ne za vse nedoločne namene hkrati, v smislu: “Posameznik podajam privolitev v obdelavo osebnih podatkov za vse namene”),
• informirana (posameznik mora vedeti, kdo je upravljalec, poznati mora namene obdelave in vrste osebnih podatkov … Navedeno upravljalec navede v politiki zasebnosti),
• nedvoumna (privolitev mora biti podana z aktivnim dejanjem posameznika – npr. obkljuka obrazec za privolitev pri ustreznih namenih, podpiše obrazec, klikne na določene namene in podobno).

Najlažja in najbolj primerna je pridobitev privolitve s strani posameznikov v elektronski obliki. Pripravite obrazec, v katerem jasno navedete namene obdelave osebnih podatkov ter obvestilo, da posameznik podaja privolitev. Za dosego elementa prostovoljne privolitve morate omogočiti enostaven preklic privolitve. Posameznike opozorite, da lahko privolitev kadarkoli prekličejo in opišite postopek preklica privolitve. Npr. v elektronskem sporočilu posamezniku opišite, kako lahko privolitev prekliče. Pri preklicu privolitve bodite pozorni, da pridobljene preklice privolitev tudi dejansko upoštevate in podatkov ne obdelujete za namene, za katere ste preklic privolitve prejeli.

Torej kot navedeno, pri postavitvi novega spletnega mesta je treba upoštevati tudi področje varstva osebnih podatkov ter spletno mesto opremiti s politiko zasebnosti, ustreznimi privolitvami in načinom za preklic privolitev. Pri tem pa upoštevajte, da morate v skladu z GDPR zbrane osebne podatke tudi ustrezno varovati, in sicer na način, da zagotavljate njihovo zaupnost, celovitost in razpoložljivost.

Jaka Uršič Mag. prava, ISO 27001 – vodilni presojevalec

[1] Privolitev, Informacijski pooblaščenec, Dunajska cesta 22, 1000 Ljubljana, URL: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/, obiskano dne 15. avgust 2020.

Več podatkov s področja informacijske varnosti je na voljo na spletni strani Varnost podatkov.