GDPR; zbiranje, varstvo osebnih podatkov, piškotki
19 naročnikov
19 naročnikov
Naslednje leto maja prične veljat uredba o varstvu osebnih podatkov - GDPR.
Zanima me, če ima kdo že pripravljena obvestila (ali če pozna kdo kak primer) za obiskovalce spletnih strani, od katerih zbirate/zbirajo podatke, kateri piškotki se uporabljajo ter ostale informacije, kar zahteva GDPR? Kot kaže, bo potrebno pripraviti cel kup obvestil in tehničnih rešitev v zvezi s tem...precej bolj obsežno, kot je bilo treba do sedaj, kazni so pa sploh visoke.
30 odgovorov
V grobem: sem preletel osnutek zakona in dobil občutek, da se za male ribe ne spremeni nič bistvenega, precej pa se bo zakompliciralo pri večjih ribah, ki profiliranjo kupce in njihove navade.
Kaj pravite na naslednje mnenje, ki sem ga slišal:
GDPR ni zakon, pač pa smernice. Zakonodajo sprejema vsaka država po svoje. Vsekakor gdpr zakonodaja ne more biti v nasprotju z obstoječo zakonodajo, kar pomeni recimo, da lahko ob zahtevi za izbris še vedno hraniš vse dokaze, da si delal po zakonu - kdaj se je nekdo prijavil, zahtevo za izbris in kdaj si ga izbrisal. Prav tako ni potrebe po brisanju podatkov, če bi ob tem nastali nerazumni stroški (recimo iskanje in brisanje določenega zapisa v vseh varnostnih kopijah, backupih... - namesto tega je razumen ukrep, da zapis izbrišeš v živi bazi in ga ne uporabljaš več.)
Skratka, prebrati je treba predlog zakona, nanj dati pripombe in upati/lobirati da jih sprejmejo. Je kdo prebral predlog zakona? Kje ga najdem?
GDPR je uredba, kar pomeni, da se neposredno prenese v pravni red države članice in se uporablja v celoti v takšni obliki kot je. ZVOP-2 bo tako "kopija" GDPR-a (če ne bomo bolj papeški od papeža, in še kaj svojega dodali...)
Direktiva pa določa samo zakonodajne cilje, države članice pa se same odločijo kakšen način bodo izbrale za uresničitev teh ciljev.
Eno vprašanje.... kako v primeru že neke zbrane e-mail baze za newsletter ustrezati GDPRju? Bi bilo dovolj, če pošljem nov mail vsem in obvestilo, da če se ne odjavijo iz liste, da se strinjajo z vodenjem statistike po GDPR? Upam da nism te debate že kje spregledal...
Ali bo res potrebno vse obstoječe naročnike na "starih mailing listah" spet pozvati, da potrdijo prijavo?
Na eni svoji spletni strani imam nekaj tisoč naročnikov in e-mail naslove sem dobil preko obrazca na spletni strani, ki je douple opt in že od samega začetka leta 2001. Skratka, bazo naročnikov se gradi izključno preko obrazca na spletni strani že od samega začetka.
Gledam komentar od OvcaX in se sprašujem ...
Bom sedaj zaradi GDPR-ja ostal brez večine naročnikov na obstoječi bazi, če je obstoječe spet potrebno pozvati k vpisu? :-(
P.S. Ko sem pred leti pozival k ponovnemu vpisu je bil odziv na ponovni vpis kljub petkrat poslanemu e-mailu le cca. 5 %.
Se mi zdi, da če je bil že sedaj jasen optin in imaš vse potrebne podatke glede tega, da ne bo potrebno še enkrat pošiljat. Težavne so bolj baze kupcev in podobno, kjer v večini primerov nimaš eksplicitnega optina. Vsaj jaz tako razumem zadevo. – LouD
Kupci? IMO je ravno tam najbolj jasno da so si zeleli postati tvoji uporabniki + so se strinjali s pogoji.
Ve kdo kdo bo to preverjal? Bo spet neka debilna brezzoba fora tipa cookies? – perunpro
Samo kupec ti ni nedvoumno dal tudi dovoljenja, da mu pošiljaš promocijske maile, razen če imaš optin checkbox pri nakupu/registraciji, ki pa ne sme biti vnaprej označen. Ampak ja, lahko da si narobe interpretiram zadeve. – LouD
IIRC lahko kupcu posljes promocijski mail, v katerem mora biti pa vedno jasno oznaceno kje se izpise, res pa da se lahko tudi motim – perunpro
Če imaš podporo v kakšnem od zakonov, zakaj pošiljaš maile, potem je to v redu. Svojim strankam lahko pošiljaš maile, ker ti to omogoča ZVPot. Če so se ti ljudje prijavili na newsletter, jim lahko še vedno pošiljaš newsletter, ker so se takrat prijavili nanj. Za kakršnokoli drugo uporabo/obdelavo osebnih podatkov, ki se razlikuje od namena, za katerega so bili zbrani, moraš pa pridobiti dovoljenje. – Vini
Vini, vendar če nimaš shranjenega tudi pooblastila poleg zbranega maila, nimaš dokazila o načinu pridobitve maila. Torej je kontakt neuporaben. Zato me tudi jezi, ker moram tudi aplikacijo, ki jo uporabljam naučit, da shrani take podatke v prihodnje. – DjJuvan
@DjJuvan: kaksno pooblastilo to govorimo? Nakup v trgovini, registracija v aplikacijo, vpis v nagradno igro - ni to dovolj? – perunpro
Povej mi, iz česa bo inšpektorju razvidno, da se je naročnik/stranka res strinjal z uporabo podatkov... če imaš kljukice le na pristajalni/vpisni strani, ne pa tudi v bazi ob vsakem uporabniku, to ne bo nič veljalo. Vsaj jaz tako razumem. – DjJuvan