Kada je riječ o Općoj uredbi o zaštiti podataka (GDPR) i mnoštvu drugih propisa o privatnosti, postoji jednostavno načelo koje treba slijediti u razvoju web stranica u vezi s kolačićima:

Reci što radiš i radi što si rekao. Ni više ni manje.

Evo nekih važnih načela koje trebate slijediti.

Nemojte tretirati politiku kolačića kao još jedan dokument

Zakon zahtijeva da prvo razmislite, a onda djelujete

Pogreške mogu biti vrlo skupe. Pohranjivanje kolačića na računalo, pametni telefon ili tablet neke osobe kažnjivo je ako ne dobijete pristanak posjetitelja web stranice. Funkcionalni kolačići (oni kolačići bez kojih web stranica ne može pravilno funkcionirati) izuzeti su od pravila o pristanku. Većina drugih kolačića zahtijeva pristanak. Neki bi tvrdili da se legitimni interes može dokazati za neke druge vrste kolačića. Ta rasprava još uvijek traje i izvan je opsega ovog blog posta. Vlasnici web stranica: pazite na sve kolačiće koje vaša web stranica pohranjuje i dobro ih poznajte, posebno prije nego što odlučite trebate li pristanak. Ovo nije pravna rasprava o tome može li se legitimni interes za pohranu kolačića dokazati, već da vas upozori da postoji razlika između kolačića i kolačića.

Upoznajte svoje kolačiće! Prije nego što implementirate bilo kakvu funkcionalnost na svoju web stranicu koja će pohraniti kolačiće na računala posjetitelja, pobrinite se da ste svjesni načela GDPR-a koje se najčešće naziva "privatnost dizajnom i prema zadanim postavkama", kako je propisano u članku 25. GDPR-a. Zakon vas obvezuje da prvo razmislite, a onda djelujete. Da, može se činiti da taj propis čini razvoj web stranica nepotrebno kompliciranim, ali to je zakon. Napravite popis svih kolačića i uključite ih u politiku kolačića. Uvijek zapamtite ovo: ako pohranjujete kolačić ili ga čitate, obrađujete podatke - često osobne podatke.

Svaka web stranica treba politiku kolačića. Također treba politiku privatnosti, ali to je izvan opsega ovog blog posta.

Riješite se nepotrebnih kolačića

Kako biste korisnicima pružili najbolje iskustvo, web stranice često pohranjuju podatke o podacima preglednika, IP adresama, geolokaciji i tako dalje. Ti podaci ne moraju nužno biti pohranjeni u kolačiću na način koji je lako čitljiv za ljude. Mogu se pohraniti kao niz GUID-ova ili druge vrste prividno izmiješanih podataka. Ponekad se ti podaci koriste za personalizaciju, ponekad se koriste za analitiku, ponekad za pružanje mrežama oglašavanja podataka korisnika. Bez obzira na svrhu pohrane podataka, trebala bi biti ograničena točno na ono što vam treba. Pohrana viška podataka kršenje je GDPR-a. Članak 5. GDPR-a kaže da podaci trebaju biti ograničeni na ono što je potrebno za svrhu. Ukratko, GDPR kaže ako ne možete dokazati da stvarno nešto trebate i da vam to treba zakonito, oslobodite se toga.

Glavno pitanje je: kako znati koji su kolačići stvarno potrebni? Odgovaranje na pitanja 5W+H jednostavan je način za određivanje koje kolačiće web stranica treba. Pitanja 5W+H su:

• Tko - Tko treba ovaj kolačić? Je li to vlasnik web stranice ili treća strana? Odgovor na ovo pitanje dat će vam popis procesora podataka i upravitelja podataka prema GDPR-u
• Što - Što web stranica (ili treća strana) radi s ovim kolačićem? To će osvijetliti jasnoću svrhe obrade podataka, također je potrebno prema GDPR-u.
• Kada - Kada se kolačić pohranjuje, čita, koristi i briše? Odgovor na ovo pitanje usmjerit će vas u smjeru određivanja politike zadržavanja koju ste dužni objaviti posjetitelju web stranice. Ne čuvajte podatke duže nego što je potrebno. Nikada ne čuvajte kolačiće za koje je potrebno korisnikovo pristanak prije nego što posjetitelj web stranice stvarno nije dao izričit pristanak. Provjerite svoju web stranicu i provjerite radite li to.
• Gdje - Gdje podaci (pohranjeni u kolačiću) idu nakon što se pročitaju? Je li posjetitelj web stranice jedini koji ga koristi? Možda ne. Što ako je posjetitelj web stranice građanin EU-a i podaci idu u SAD? Odgovor na ovo pitanje dat će vam jasno usmjerenje o prijenosu podataka na koji ste također dužni obavijestiti korisnika web stranice. Pazite, Europski sud pravde poništio je Europsko-američki štit za privatnost.
• Zašto - Zašto web stranica uopće koristi ovaj kolačić? Odgovor na ovo pitanje pomoći će vam da odlučite o jasnoj svrsi korištenja kolačića. Svi vlasnici web stranica dužni su objaviti te svrhe obrade podataka. Tako kaže GDPR.
• Kako - Kako se podaci obrađuju i prenose? Jesu li te metode sigurne? Kako korisnik može povući pristanak za pohranu kolačića? Svi ti podaci dat će vam jasan uvid u to što web stranica radi u skladu s punim obimom zakona, posebno GDPR-a.

Ovaj popis primjera pitanja 5W+H skraćen je radi sažetosti ovog blog posta i bit će pokriven u kasnijem postu s primjerima iz stvarnog života.

Ako ne možete odgovoriti na sva njihova pitanja, ne znate dovoljno o kolačićima koje vaša web stranica koristi. Posljedično, mogli biste se izložiti nepotrebnom riziku kazni, a ne da ne spominjem reputacijsku štetu koju biste mogli pretrpjeti.

Kao bilješka, ako je vaša web stranica certificirana prema ISO 27001 i ne pridržavate se GDPR-a, to je jasan nepoštivanje kontrole A.18.1.4 (Privatnost i zaštita osobno prepoznatljivih informacija): možete izgubiti certifikat.

Upoznajte prava korisnika vaše web stranice

Kada je riječ o pravima korisnika, koja im daje GDPR, trebate biti svjesni njih. Ta prava su:

1. Pravo na informacije - morate objaviti politiku kolačića
2. Pravo na pristup - ako dobijete korisnikove podatke (npr. ponašanje na web stranici i koristite ih u nekom od svojih analitičkih softvera, korisnik treba imati neku vrstu pristupa)
3. Pravo na ispravak - samoobjašnjivo - morate osigurati da možete ispraviti bilo koji podatak
4. Pravo na povlačenje pristanka - najveća greška koju mnoge web stranice čine - lako obavještavaju o korištenju kolačića (s prozorom koji svi previše puta vidimo), ali ne nude način povlačenja tog pristanka na način koji je jednako lak kao kad su dali pristanak
5. Pravo na prigovor - korisnik može prigovoriti obradi bilo kojih podataka. Ako se korisnik usprotivi, morate se pridržavati ili se suočiti s rizikom kazni
6. Pravo na prigovor na automatiziranu obradu - često se koristi za oglašavanje i personalizaciju - korisnici bi trebali moći ne pristati na obradu njihovih podataka
7. Pravo na prenosivost podataka - ako korisnik zatraži bilo koje osobne podatke koje ste dobili iz kolačića, morate im moći to dostaviti - ovo je jedno od najčešće zaboravljenih pravila u dizajnu web stranica

Tek nakon što završite sve ove korake, možete početi pisati politiku kolačića i tehnički je implementirati.

Obratite nam se ako vam je potrebna pomoć u postavljanju ili implementaciji vaše politike kolačića.

Ovaj blog post dostupan je od strane autora koji je licencirani interni auditor za ISO 27001 i ima bogato iskustvo u upravljanju privatnošću. Ovaj blog namijenjen je isključivo u edukacijske svrhe kao i za prikaz stajališta autora o tome kako poslovanje shvaća zakon, a ne za pružanje konkretnog pravnog savjeta. Koristeći ovu blog stranicu, razumijete da ne postoji odnos odvjetnika i klijenta između vas i izdavača ovog bloga. Blog ne bi trebao biti korišten kao zamjena za stručni pravni savjet od strane licenciranog profesionalnog odvjetnika. Stajališta autora ne moraju nužno predstavljati stajališta Infraneta (vidi naše podatke o osnivanju) niti predstavljaju obećanje. Fotografije: Pexels.com