Opću uredbu o zaštiti osobnih podataka (eng. General Data Protection Regulation ili “GDPR”) je gotovo nepotrebno posebno predstavljati. Primjenjuje se na brojne aspekte poslovanja i privatnog života i izravno se primjenjuje od 25. svibnja 2018. U ovom članku ćemo se osvrnuti na GDPR obveze poduzetnika koji svoje proizvode i usluge nude putem web trgovine. Te se obveze posebno tiču web trgovaca čiji su kupci fizičke osobe.
Međutim, teško je očekivati da će obveze koje nameće GDPR u potpunosti zaobići web trgovce čiji su kupci pravne osobe jer će i pravne osobe u najvećem broju slučajeva u web trgovinu unijeti osobne podatke. Najčešće će to biti podaci osobe za kontakt, njezina službena email adresa ili telefonski broj koje GDPR svrstava u kategoriju osobnih podataka neovisno o tome što se odnose na poslovni, a ne privatni aspekt života tih osoba.
Osobni podaci koje smijete prikupljati putem web trgovine i svrhe u koje ih smijete obrađivati
Od kupaca možete prikupiti sve osobne podatke koji su Vam nužni da biste mu prodali i dostavili proizvod. Ako želite prikupljati i neke druge osobne podatke za ispunjenje nekih drugih svrha, poput marketinga, istraživanja tržišta ili ispitivanja zadovoljstva kupaca, to možete učiniti ako ste o tome informirali kupca u svojoj izjavi o privatnosti ili nakon što ste od kupca za to dobili privolu, ovisno o situaciji.
Prilikom definiranja koje ćete osobne podatke kupaca prikupljati putem web trgovine, potrebno je voditi računa o zahtjevima koje GDPR postavlja kroz načela ograničenja svrhe i minimizacije osobnih podataka. U suprotnom se može dogoditi da prikupite osobni podatak koji Vam nije nužno potreban ili ga koristite u svrhu u koju ga niste prikupili. To su situacije za koje GDPR predviđa sankciju. Načelo ograničenja svrhe znači da osobni podaci, u pravilu, smiju biti korišteni samo za ispunjenje one svrhe u koju su inicijalno prikupljeni. Tipičan primjer kod prodaje putem web trgovine bi bio korištenje kontakt podataka kupca.
Ako je telefonski broj kupca prikupljen samo kako bi dostavljač mogao kontaktirati kupca radi dogovora o točnom vremenu dostave, tad se taj telefonski broj ne smije “usput” obrađivati radi naknadnog kontaktiranja kupca u svrhe marketinga. Minimizacija osobnih podataka znači da smijete prikupljati samo one podatke koji su Vam nužno potrebni za ispunjenje definiranih svrha, a nikako više od toga. Na primjer, ako jedna od svrha prikupljanja osobnih podataka nije istraživanje tržišta, tad nije vjerojatno da će Vam biti potrebni podaci o spolu i dobi kupca pa te podatke onda ne smijete prikupljati.
Transparentnost i izjava o privatnosti
Kupac u svakom trenutku treba biti informiran o svim relevantnim okolnostima glede prikupljanja i obrade njegovih osobnih podataka, a posebno o tome tko, koliko dugo, u koju svrhu i na koji način ih obrađuje. Drugim riječima, prikupljanje i obrada osobnih podataka trebaju biti transparentni.
Prije nego što kupac potvrdi nalog za kupnju proizvoda putem web trgovine, trebate biti sigurni da ste Vi njega uputili na izjavu o privatnosti i da ste mu dali dali priliku da je pročita i razumije. Izjava o privatnosti treba biti sažeta, razumljiva i lako dostupna. Kod izjava o privatnosti koje se daju online, kao primjer dobre prakse se navode tzv. “višeslojne” izjave o privatnosti (eng. multi-layered privacy notice) koje kupcu daju općeniti pregled sadržaja izjave te mu omogućuju da detaljnije prouči dio sadržaja koji ga posebno zanima.
Bitan element transparentnosti je jezik kojim je izjava sastavljena. To je bitno kod prodaje proizvoda uz koje se vežu, laicima nerazumljivi, stručni izrazi ili kratice. Te izraze i kratice ne treba koristiti ili ih treba koristiti uz objašnjenje njihovog značenja.
Privola
Privola je dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želje ispitanika (kupca) kojim kupac daje pristanak za obradu osobnih podataka u točno određenu svrhu. U kontekstu prodaje putem web trgovine, od kupca ćete najčešće trebati ishoditi privolu prije nego što njegovo ponašanje počnete pratiti upotrebom kolačića (eng. cookies), ako njegove podatke želite obrađivati u svrhu ispitivanja zadovoljstva kupljenim proizvodom, ako mu želite slati newsletter, uključiti ga u program vjernosti i sl.
Iz aspekta privole je posebno osjetljiva djelatnost marketinga, pogotovo kad se vrši putem sredstava elektroničkog komuniciranja. Upotreba telefonskih poziva s unaprijed nasnimljenim glasovnim porukama, upotreba telefaksa i elektroničke pošte uključujući SMS i MMS u svrhu marketinga je dopuštena bez prethodno dane privole kupca samo u slučaju kad kupca želite kontaktirati u svrhu promidžbe proizvoda koji je isključivo Vaš (a ne Vaših poslovnih partnera) i koji je sličan onome koje je kupac od Vas već kupio.
U takvim slučajevima kupac u izjavi o privatnosti treba biti informiran da će se njegovi osobni podaci obrađivati u marketinške svrhe i da se ima pravo tome usprotiviti. Kod kontaktiranja kupaca telefonskim putem trebate voditi računa o postojanju Registra “NE ZOVI”. Telefonske brojeve evidentirane u Registru smijete kontaktirati u svrhu marketinga samo ako su Vam korisnici tih brojeva nakon upisa u Registar dali privolu za to.
Davanje privole ne smije biti ničim uvjetovano. Kupac mora biti u mogućnosti povući privolu u bilo kojem trenutku i na jednostavan način, i to bez negativnih posljedica. Na primjer, ako Vam kupac ne da privolu za upotrebu kolačića ili za kontaktiranje u svrhu marketinga, ne biste mu zbog toga smjeli onemogućiti kupnju Vašeg proizvoda. Ako Vam je kupac dao privolu pa ju je nakon toga povukao, ne biste mu zbog toga smjeli uskratiti pogodnosti koje je inače imao zbog toga što je kupovao putem Vaše web trgovine.
Privola ne bi smjela biti dio izjave o privatnosti ili općih uvjeta poslovanja, već samostalan dokument. Trebala bi biti dana aktivnom radnjom, na primjer stavljanjem kvačice u znak prihvaćanja. Kvačice koje biste Vi stavili unaprijed (eng. pre-ticked boxes), a koje bi kupac mogao naknadno odznačiti se ne bi smatrale valjano danom privolom.
Ako već obrađujete osobne podatke postojećih kupaca u svrhu za koju je potrebna privola, potrebno je provjeriti imate li za to privole čiji sadržaj propisan GDPR-om. Naime, GDPR izričito propisuje da su “stare” privole valjane samo ako odgovaraju standardima koje je postavio GDPR. Ako nemate takve privole i ako ih ne ishodite do 25. svibnja 2018., osobne podatke za koje Vam je potrebna privola nećete biti ovlašteni dalje obrađivati, a ni pohranjivati.
Ostale obveze web trgovca
Web trgovac treba voditi računa o informatičkoj sigurnosti sustava, a posebno s obzirom na to da prikuplja podatke poput adresa kupaca te brojeva kreditnih kartica. U slučaju hakerskog napada ili drugih povreda osobnih podataka (na primjer, dugotrajnijeg pada informatičkog sustava), o tome je potrebno obavijestiti Agenciju za zaštitu osobnih podataka u roku od 72 sata od trenutka saznanja za povredu, a kupce čiji su osobni podaci obuhvaćeni napadom bez odgode.
Provjerite imate li s poslovnim partnerima sklopljene ugovore kojima regulirate pitanja zaštite osobnih podataka. Kod prodaje putem web trgovine ćete takve ugovore najčešće trebati sklopiti ako uslugu dostave i/ili marketinške aktivnosti ne vrše Vaši zaposlenici, već za to angažirate vanjske suradnike. Naime, okolnost da ste osobne podatke kupaca proslijedili svojim poslovnim partnerima ne znači da Vi za te podatke više ne odgovarate u onom dijelu poslovnog procesa koji izvršava Vaš poslovni partner.
Upravo suprotno, u toj situaciji u najvećem broju slučajeva za osobne podatke odgovarate i Vi i Vaš podizvođač. GDPR propisuje obvezan sadržaj ugovora kojeg morate sklopiti s Vašim podizvođačem, a cilj tog ugovora je osigurati sustav kontrole i jednaku kvalitetu zaštite osobnih podataka kad ih posjedujete isključivo Vi i kad ih prosljeđujete drugim poslovnim subjektima. Okolnost da sa svojim podizvođačima niste sklopili takav ugovor sama po sebi predstavlja kršenje odredbi GDPR-a.
Trebate voditi računa o tome imate li obvezu imenovati službenika za zaštitu osobnih podataka i/ili voditi evidenciju obrade osobnih podataka. Jedan od glavnih zadataka službenika je briga o usklađenosti poslovanja sa zahtjevima koje postavlja GDPR. Imate ga obvezu imenovati, između ostalog, kad se Vaša osnovna poslovna djelatnost sastoji od postupka obrade koji zbog svoje prirode, opsega ili svrhe iziskuje sustavno praćenje ispitanika (kupaca) u velikoj mjeri.
Evidencija obrade je svojevrstan pregled svih bitnijih okolnosti u vezi s prikupljanjem i obradom osobnih podataka. Obveza vođenja evidencije postoji, između ostalog, kad se obrada vrši na redovnoj razini, a ne tek povremeno. Stoga za web trgovce postoji veliki stupanj vjerojatnosti da imaju obvezu imenovanja službenika i obvezu vođenja evidencije.
Web trgovci će u nekim slučajevima biti dužni izvršiti i procjenu učinka na zaštitu osobnih podataka. Riječ je o posebnoj analizi čiji je glavni cilj utvrditi rizike nekih vrsta obrada te utvrditi tehničke i organizacijske mjere pomoću kojih će se ti rizici minimizirati i kontrolirati. U kontekstu djelatnosti web trgovaca, ova procjena se treba izvršiti ako se služite kolačićima ili na bilo koji drugi način pratite ponašanje kupaca ili potencijalnih kupaca kako biste na temelju dobivenih rezultata odlučili koje ćete im proizvode ponuditi.
I za kraj …
GDPR naglasak stavlja na procjenu što je potrebno učiniti u konkretnoj situaciji i u odnosu na konkretne okolnosti. Zaštita osobnih podataka je cjelokupna kultura ponašanja, a ne samo dokumentacija koju je potrebno kreirati na početku poslovnog procesa. Tako i Vaš dostavljač prilikom isporuke proizvoda treba voditi računa o načelu minimizacije osobnih podataka pa, ako želi identificirati kupca, može izvršiti uvid u njegov identifikacijski dokument, dok bi se uzimanje preslike tog dokumenta sa stajališta GDPR-a vrlo vjerojatno smatralo prekomjernim prikupljanjem podataka.
Također, ako procijenite da prikupljanje i obrada osobnih podataka putem web trgovine u ovom trenutku nisu dovoljno opsežni da biste trebali imenovati službenika za zaštitu osobnih podataka ili voditi evidenciju obrade, to ne znači da biste isti zaključak donijeli i po proteku nekog vremena nakon kojeg bi se prodaja putem web trgovine povećala, nakon što biste je proširili na inozemno tržište ili nakon što biste počeli pratiti ponašanje kupaca upotrebom kolačića.
Osim toga, Vaši zaposlenici i poslovni partneri trebaju znati kako postupiti kad im se netko od kupaca obrati radi zaštite nekog od prava koje im jamči GDPR i trebaju znati prepoznati i reagirati u situacijama povrede osobnih podataka. Stoga bilo koji sustav u kojem se prikupljaju i obrađuju osobni podaci, uključujući i web trgovine, ima puno veću šansu dosegnuti zadovoljavajući stupanj usklađenosti s GDPR-om ako su sve osobe uključene u poslovni proces u dovoljnoj mjeri osviještene i educirane o zaštiti osobnih podataka u onom dijelu koji se odnosi na njihove radne zadatke.
Autor: Maja Šutalo, odvjetnica, Information Privacy Professional/ Europe (CIPP/E).
Foto: Unsplash/Pexels