Španjolsko nadzorno tijelo u području zaštite osobnih podataka, kao jedno od najaktivnijih u EU, pokrenulo je aktivnosti provjere web stranica pravnih subjekata i izreklo kaznu od 2.000 EUR tvrtki koja je propustila izvršiti temeljno usklađivanje web stranice, odnosno, izostanak Politike privatnosti i mogućnosti odbijanja kolačića.
 
Prilično visoka kazna koja se mogla i morala izbjeći od strane te tvrtke.
 
Tim više što neusklađenost web stranice izravno ukazuje na nepoznavanje ili zanemarivanje obveza iz GDPR-a i drugih propisa koji reguliraju to područje te se samim time tvrtka prelako odaje da ni u njenom poslovanju GDPR nije zaživio.
 
Više o španjolskom slučaju:
 
https://gdprhub.eu/index.php?title=AEPD_-_PS/00268/2020&mtc=today
 
 
A što najmanje moramo učiniti da bi naša web stranica bila usklađena?
 
1. Informirati posjetitelje web stranice o svim detaljima kako prikupljamo i nadalje obrađujemo osobne podatke posjetitelja.
 
Svakako je dobrodošlo da se daju i osnovne i sažete informacije o svim obradama osobnih podataka koje provodimo nad gostima, poslovnim suradnicima, posjetiteljima poslovnog prostora, kandidatima za posao, klijentima, kupcima i sl., kao npr. prilikom zapošljavanja, vezano uz video nadzor prostora, prikupljanje evidencija posjetitelja ili klijenata i sl.
 
To se radi kroz javno objavljenu Politiku privatnosti ili Pravila privatnosti ili Izjavu o privatnosti ili Obavijest o zaštiti podataka, uglavnom kombinacijama ovih riječi možemo lako izabrati naslov.
 
Primjer je Politike privatnosti AZOP-a:
 
https://azop.hr/politika-privatnosti/
 
Mora biti lako uočljiva i lako dostupna jednim klikom s naslovne i svake podstranice, najbolje u headeru ili footeru web stranice. Ne smije biti skrivena tako da je posjetitelj web stranice mora tražiti.
 
Mora biti sažeta, jednostavna, pisana normalnim jezikom bez pravnih fraza, tako da bude razumljiva i čitljiva svakome. Ako se obraćamo djeci, tada se i riječnik mora prilagoditi.
 
No, ključan je sadržaj koji zadovoljava obveze iz članka 13. i 14. GDPR-a a istovremeno je dovoljno sažet i pregledan.
 
U sadržaju moramo navesti
- TKO smo,
- KOJI su naši kontakti ili kontakti službenika za zaštitu podataka,
- ZBOG ČEGA prikupljamo osobne podatke,
- KOJIM pravnim temeljem,
- ČIJE osobne podatke prikupljamo,
- KOJE osobne podatke prikupljamo
- NA KOJI rok ih držimo
- KOME ih prosljeđujemo ili dajemo na daljnju obradu
- KOME i ZAŠTO izvan EU/EEA ih šaljemo, ako već to činimo
- KOJA su nam prava iz GDPR-a i KAKO ih ostvariti
 
Vrlo pozitivna praksa je ako se na uvodu u Politiku privatnosti navedu vrlo sažete uvodne informacije, a nakon toga se ponudi i sadržaj s linkovima na pojedine tesktove od interesa čitatelja.
 
Izrazito je pogrešna praksa ako se Politika privatnosti sastoji od ogromnog i nečitljivog teksta ispunjenog stručnim i pravnim frazama, samim time se odajemo da ne poznajemo GDPR i pripadajuće Smjernice o transparentnosti, ali i impliciramo da želimo nešto sakriti ili odvratiti čitatelja od daljnjeg proučavanja našeg teksta.
 
 
2. Ispravno upravljati kolačićima na web stranici
 
- web stranice ne smiju instalirati ni koristiti kolačiće i slične "tracking" alate za analitiku, statistiku ili marketing bez jasne prethodne informacije posjetitelju web stranice i bez njegovog jasnog pristanka kao jasne aktivnosti "klika", a ne samo skrolanja mišem ili ignoriranja privole
- tzv. cookie banner mora biti dizajniran na način da su ponuđene opcije pristanka ili odbijanja kolačića prikazane i naglašene na jednak način kao ravnopravne mogućnosti
- velika većina web stranica, sa ili bez znanja njihovih vlasnika, koristi Google Analytics ili Facebook Pixel i posjetitelj web stranice to mora znati. Istovremeno vlasnik web stranica mora znati da su takve tehnologije od srpnja 2020. praktički postale nezakonite presudom Europskog suda
- polje za klik za "Prihvati samo neophodne kolačiće" mora biti jednako uočljivo za posjetitelja kao i polje "Prihvati sve kolačiće"
- posjetitelju web stranice ponuđeni odabir kolačića za statistiku, marketing ili druge ne-neophodne svrhe ne smije biti unaprijed označen kvačicom, jer se time krši GDPR
- ukoliko je izostala jasna aktivna privola, kolačić se ne smije instalirati, porazno je koliko web stranica, bez obzira na naše odbijanje kolačića, iste automatski instalira ili ima "predoznačene privole" za marketinške i analitičke kolačiće
 
- bez privole se smiju instalirati samo izričito neophodni kolačići bez kojih web stranica ne može biti raditi
 
 
3. Staviti sažetu i vrlo kratku obavijest o privatnosti ili link na Politiku privatnosti pored web formi u koje svoje osobne podatke unose posjetitelji web stranice, kako bi mogli još jednom uvjeriti se u naše postupanje s osobnim podacima
 
 
4. Ako imamo web stranicu čija adresa započinje s http://, čim prije kontaktirajmo svoje web administratore ili pružatelje web hostinga kako bise prebacili na https:// i time osigurali minimalno potrebnu razinu enkripcije web stranice i zaštite osobnih podataka koji se njom prenose