GDPR i webstranice, webshopovi

Svaki vlasnik internetske stranice i webshopa dužan je pridržavati se relevantnih zakona (Zakon o trgovačkim društvima, Opća uredba o zaštiti podataka-GDPR, Zakon o elektroničkim komunikacijama, Zakon o zaštiti potrošača, Zakon o elektroničkoj trgovini) i industrijskih smjernica, etičkih pravila te pravila struke.

Takva pravila se trebaju primjenjivati od samog početka razvoja neke internetske stranice na način da budu ugrađena u osnovne postavke i dizajn.

Impresum

Kada posjetitelj dođe na internetsku stranicu mora na jednostavan i pregledan način znati tko je vlasnik stranice. U skladu s člankom 21. Zakona o trgovačkim društvima i čl. 6. Zakona o elektroničkoj trgovini, na internetskoj stranici društvo s ograničenom odgovornosti mora otisnuti:

  • tvrtku, sjedište,
  • sud kod kojega je upisano u sudski registar i broj pod kojim je to učinjeno,
  • tvrtku i sjedište pravnih osoba kod kojih se vode računi i brojevi tih računa,
  • iznos temeljnoga kapitala društva s naznakom je li u cijelosti uplaćen, a ako nije, s naznakom koji dio toga kapitala nije uplaćen,
  • prezimena i najmanje jedno ime članova uprave društva.

Sadržaj ovih informacija ovisi o kojem obliku trgovačkog društva se radi i o kojoj reguliranoj djelatnosti je riječ.

Sukladno čl. 630. st. 1. t. 2. Zakona o trgovačkim društvima, prekršaj čini pravna osoba ako u poslovanju ne upotrebljava tvrtku onako kako je upisana u sudskom registru ili na poslovnom papiru, odnosno internetskoj stranici društva ne navede propisane podatke te se može izreći novčana kazna do 50.000,00 kuna.

Sukladno čl. 23. Zakona o elektroničkoj trgovini, novčanom kaznom od 5.000,00 do 100.000,00 kuna kaznit će se za prekršaj pravna osoba davatelj usluga informacijskog društva ako prekrši odredbe o informiranju.

Kolačići

privola na webstraniciKod bilo kakvog pohranjivanja na terminalnoj opremi posjetitelja stranice (kolačići, pixeli, beaconi) potrebno je uzimati u obzir privatnost. To uključuje pažljiv odabir kolačića i trackera koje stranica koristi te je važno imati na umu da se IP adresa posjetitelja stranice smatra osobnim podatkom. Analitički kolačići prikupljaju mnogo podataka, stoga je bitno prilagoditi postavke za korištenje kolačića te se umjesto Google Analytics usluge mogu koristiti inačice, kao npr., Matomo, koji je ne koriste podatke u svoje svrhe. Priručnik kako izmijeniti postavke u Google Analytics možete pronaći u našem kratkom Priručniku kako uskladiti Google Analytics s GDPR-om.

U skladu sa Zakonom o elektroničkim komunikacijama (čl. 100. Tajnost elektroničkih komunikacija), za pohrane na terminalnoj opremi korisnika, koje su nužne za pružanje usluge informacijskog društva na zahtjev korisnika, nije potrebna privola. Stoga je bitno analizirati koji kolačići su nužni, a za koje je potrebno tražiti privolu. Kolačići za koje je potrebna privola se izdvoje i pop-up prozorčićem putem stranice se traži privola, odnosno aktivna dobrovoljna radnja. U skladu s Općom uredbom o zaštiti podataka (GDPR) i Zakonom o elektroničkim komunikacijama davanjem privole se ne smatra pregled stranice, nastavak korištenja stranice i sl.

Ako se kolačići pohranjuju protivno navedenim odredbama, vlasnik stranice čini prekršaj u skladu sa Zakonom o elektroničkim komunikacijama za koji je predviđena novčana kazna od 100.000,00 do 1.000.000,00 kuna te u isto vrijeme krši odredbe Opće uredbe o zaštiti podataka (GDPR) za koje je propisana kazna do 4 % ukupnog godišnjeg prometa na svjetskoj razini ili do 20.000.000,00 eura.

Pravila privatnosti

Pravila privatnosti su dokument kojim se osobe informiraju o obradama osobnih podataka putem stranice (IP adrese, kontakt obrasci, prijave, registracije, newsletter). Stavljanjem takvog dokumenta na stranicu ispunjava se obveza iz čl. 13. Opće uredbe o zaštiti podataka (GDPR). Pravila privatnosti moraju sadržavati i informacije o pohranama na terminalnoj opremi korisnika (npr. informacije o kolačićima) ili uputiti na dokument u kojem se to opisuje.

Pravila privatnosti moraju sadržavati informacije o:

  • voditelju obrade i službeniku za zaštitu podataka,
  • pravnoj osnovi obrade podataka, uz objašnjenje legitimnih interesa,
  • roku čuvanja podataka,
  • primateljima osobnih podataka,
  • prijenosu podataka u treće zemlje i informacije o zaštitnim mjerama koje se koriste za prijenos,
  • pravima ispitanika,
  • pravo podnošenja prigovora nadzornom tijelu,
  • tome je li se podaci pružaju dobrovoljno ili radi ugovornih obveza i koje su posljedice ako osoba ne želi dati svoje podatke,
  • postojanju automatiziranog donošenja odluka, što uključuje izradu profila, razne algoritme i strojna učenja, uz informacije o kojoj je logici riječ te koje posljedice obrade osoba može očekivati,
  • daljnjim svrhama obrade podatka koje su različite od one svrhe zbog koje su podaci inicijalno prikupljeni.

Pravila privatnosti bi trebala biti jasna i lako dostupna. Članak 13. je jedan od najvažnijih članaka Opće uredbe o zaštiti podataka. Transparetnost je ključna u odnosu vlasnika stranice i korisnika stranice kako bi razvijao odnos povjerenja. Ovdje možete pronaći smjernice Europskog odbora za zaštitu podataka o transparetnosti. Pravila privatnosti možete dizajnirati na način da budu praktična i zanimljiva te koristiti hodograme, grafičke prikaze i video sadržaje.

Uvjeti korištenja

Uvjetima korištenja se propisuju nužne informacije radi sklapanja ugovora na daljinu i pružanja usluge u skladu sa Zakonom o elektroničkoj trgovini, Zakonom o zaštiti potrošača i Zakonom o obveznim odnosima.

Zakoni određuju obavezan sadržaj uvjeta korištenja ovisno o tome kojom se djelatnošću bavite i što nudite putem internetske stranice.

Bitno je u uvjetima korištenja naglasiti koje su nužne informacije kojima korisnik mora raspolagati kada koristi stranicu ili sklapa ugovor putem stranice.

U takvim dokumentima se navode i ograničenja odgovornosti, obveze korisnika, obveza vlasnika stranice, mjerodavno pravo, način rješavanja prigovora, reklamacija i sporova. Preporučuje se, radi transparetnosti prema korisnicima stranice, odvojiti Uvjete korištenja od Pravila privatnosti.

Ugovori o obradi

Vlasnik stranice se smatra voditeljem obrade u skladu s Općom uredbom o zaštiti podataka (GDPR), a osobe koje angažira za izradu i održavanje stranice ili webshop-a se smatraju izvršiteljima obrade. Sa izvršiteljima obrade je potrebno sklopiti ugovor o obradi podataka koji sadrži nužne odredbe iz čl. 28. Opće uredbe o zaštiti podataka (GDPR), primjerice, opis tehničkih i organizacijskih mjera, vrste podataka, kategorije ispitanika, mogućnost angažiranja podizvršitelja i prijenosa podataka izvan Europske unije.

Sigurnost

Iako vlasnici stranice razne odredbe stavljaju u uvjete korištenja stranice, posjetitelj stranice ipak očekuje određenu razinu sigurnosti. U tom pogledu je objavljeni su standardi sigurnosti ISO 90003:2018 i ISO 27000. Poželjno je ugraditi DNNSEC kao odgovor na DNS upite te ugraditi HTTPS enkripciju prijenosa podataka. Content Security Policy  sloj se također može ugraditi radi sprječavanja vanjskih skripti, slika i napada. Deflect rješenje može pomoći kod DDOS napada.

FontKoji font odabrati?

U slučaju da se koriste Google fontovi, moguće ih je spremiti na server čime se sprječavaju third party request od strane Google-a te se izbjegava prihvaćanje Pravila privatnosti Google-a. Također se mogu instalirati alternativni fontovi Fork Awesome, Fontello, FontSquirrel ili Fontspring.

Captcha

Kako bi se spriječila neželjena elektronička pošta (spam), poželjno je implementirati Captcha rješenja. S obzirom na to da je za korištenje Google Captcha potrebno prihvatiti uvjete korištenja i pravila privatnosti Gooogle-a, alternativna opcija je instalirati Captcha, kao što su: Drupal, WordPress For Contact 7 with honeypot, Securimage, WordPress Secure Image Captcha ili IndyCaptcha.

U siječnju 2020. godine Europska udruga za digitalna prava objavila je koristan vodič za etički razvoj internetskih stranica.

Koristan alat za jednostavan i besplatan pregled svoje stranice, po određenim člancima Opće uredbe o zaštiti podataka (GDPR) i e-Privacy Direktive možete pronaći ovdje.

Za izradu dokumenta i savjete za vašu stranicu i webshop nam se možete obratiti na info@parser.hr.

Marija Bošković Batarelo