Implementacija zahtev GDPR za spletna mesta in servise

Ker opažam, da je okoli implemetacije zahtev uredbe GDPR za spletna mesta in servise kar nekaj zmede, bom z vami delil način moje tehnične in vsebinske implementacije na primeru tega foruma. Dodal bom še videnje glede nekaterih drugih tem, na katere sem naletel pri raziskovanju. O nejasnostih, na katere sem naletel pri raziskovanju, sem se posvetoval s pravniki iz JK Group. Bom v nadaljevanju posebej označil, kjer sem upošteval njihovo mnenje.

GDPR in piškotki?

Za začetek en debunk. V nasprotju z večinskim (po mojih opažanjih) mnenjem uredba GDPR v ničemer ne spreminja obvestil o rabi piškotkov. Torej, implementacija obvestila o piškotkih, ki bi bila GDPR compliant, ne obstaja, ker ta uredba o shranjevanju na terminalsko opremo uporabnika (157. člen ZEKom-1) ne govori nič. Obvestila o piškotkih bi morala ostati enaka. Lahko pa jih združite s pridobivanjem soglasij za obdelavo osebnih podatkov.

Osebni podatki, ki jih obdelujem sam

Uporabniški račun

V postopku registracije uporabnika zbiram naslednje podatke:

  • Uporabniško ime
  • E-poštni naslov

V svoj profil lahko opcijsko kasneje vnesete še naslednje podatke:

  • Spol
  • Kontaktne podatke

Uporabniško ime in e-poštni naslov

Uporabniško ime načeloma ni OP (osebni podatek), razen če veš, kdo ga uporablja. Ker ga uporabljamo v povezavi z IP naslovom, je OP, tudi če nimamo imena in priimka. E-poštni naslov potrebujemo za komunikacijo z uporabniki (primer: možnost ponastavitve gesla). To je tudi zakoniti interes za obdelavo teh osebnih podatkov. (mnenje JK Group) V postopku registracije za potrebe kasnejšega dokazovanja shranimo tudi IP naslov in čas registracije.

Spol

Podatek o spolu uporabnika uporabljamo striktno samo za prikazovanje pravilne slovnične spolne oblike obvestil na forumu. Osnovno segmentiranje za potrebe slovnice ni profiliranje, zato soglasja ne potrebujemo. (mnenje JK Group)

Kontaktni podatki

Vsak uporabnik lahko vnese svoje kontaktne podatke in jim določa stopnjo vidnosti. Kontaktne podatke, ki so vidni samo med povezanimi uporabniki, se drugemu uporabniku prikažejo samo po sistemu zahteve in potrditve. Tule beležim samo čas potrditve dostopa, ne pa IP naslova, ki verjetno ni potreben, glede na to, da lahko potrjujete te zadeve samo takrat, ko ste prijavljeni s svojim uporabniškim računom.

Dnevniški zapisi

Strežniški

V strežniške dnevniške zapise beležimo IP naslove dostopov, kot pač to počne vsak spletni strežnik - v našem primeru nginx.

Za beleženje IP naslova v dnevniške zapise imamo zakoniti interes zaradi zagotavljanja ustrezne stopnje varnosti spletnega strežnika in storitev, ki gostujejo na strežniku. (mnenje IP RS številka 0712-1/2018/96 - žal ni javno objavljeno, svoje vprašanje in odgovor nanj mi je posredoval kolega)

Forum

Na forumu beležimo tudi IP naslove posameznih prijav in objav.

Tu imamo enak zakoniti interes kot pri strežniških dnevniških zapisih. (mnenje JK Group)

Osebni podatki, ki jih obdelujejo pogodbeni obdelovalci

Spletna analitika

Za spletno analitiko uporabljamo servis Google Analytics (GA). Pri implementaciji tega sem se opiral na članek 5 Actionable Steps to GDPR Compliance with Google Analytics.

Nobenih OP

V GA ne shranjujte nobenih OP, kar pa je tako ali tako že prej bilo prepovedano po njihovih pravilih uporabe.

Anonimizirajte IP naslov

Za analytics.js kodo to storite tako:

ga('send', 'pageview', {
  'anonymizeIp': true
});

Več o tem in več možnosti v Googlovi dokumentaciji o IP Anonymization

Anonimizacija IP naslovov vam malenkost zmanjša pravilnost geografske segmentacije uporabnikov. Lahko se tudi odločite za pridobivanje soglasja za obdelavo tega OP, jaz se nisem.

Izključite Advertiser Features

Izključite Advertiser Features (AF).

Pridobivanje soglasja

Jaz bom od obiskovalcev pridobival soglasje za anonimno segmentiranje (demographics, interests).

Ko bom od obiskovalca imel soglasje, bom za tega obiskovalca ročno vključil AF v GA kodi.

Za analytics.js kodo to storitev tako, da med

ga('create', 'UA-XXXXXX-XX', 'example.com');`

in

ga('send', 'pageview');`

vključite vrstico:

ga('require', 'displayfeatures');

Nejasnosti

Nejasno je, kaj je z anonimnim tracking IDjem, če ga GA uporablja res samo za anonimizirano spremljanje posameznega obiska. Več o dilemi v zgoraj objavljenem članku.

Jaz sem se odločil, da tega ne smatram kot obdelavo OP in tu še naprej smiselno uporabljam smernice IP RS o piškotkih. (mnenje JK Group)

Spletno oglaševanje

Za serviranje oglasov na forumu uporabljam DoubleClick for Publishers (DFP). Opisal bom samo za ta primer, ker drugih ne poznam, vendar se zadeva lahko smiselno prenese tudi na ostale servise.

Izključite personalizirane oglase

To storite v DFP v menuju Admin -> EU user consent.

Pridobivanje soglasja

Jaz bom od obiskovalcev za prikazovanje personaliziranih oglasov pridobival soglasje.

To storite tako, da za tiste obiskovalce, od katerih še niste pridobili soglasja, uporabite naslednjo kodo:

googletag.pubads().setRequestNonPersonalizedAds(1);

Ko ste pridobili soglasje, samo vrednost parametra metodi .setRequestNonPersonalizedAds() nadomestite z vrednostjo 0.

Sledenje soglasjem

Soglasij ne shranjujte v piškotke, saj boste tako težko karkoli dokazovali, saj se piškotki shranjujejo pri uporabniku, ne pri vas. Shranite IP naslov in čas pridobitve soglasja. Za hranjenje teh informacij imate zakoniti interes z namenom dokazovanja soglasja. (mnenje JK Group)

Jaz sem tehnično to rešil tako, da vam ob pridobitvi prvega soglasja dodelim unikaten hash (v piškotek s trajanjem 10 let), posamezna soglasja (glede na namen), tudi vsako spremembo (torej morebitno umaknitev soglasja), pa potem beležim v bazo skupaj z IP naslovom in časom spremembe.

E-mail marketing

Tega se na forumu ne grem, sem pa med raziskovanjem naletel na nekaj informacij glede tega, pa jih bom tudi delil z vami.

Za obdelavo e-poštnih naslovov za namen pošiljanja, recimo, e-novic lahko smiselno uporabite pravno podlago (zakoniti interes) iz zakonov, ki ste jih uporabljali do sedaj. Primer, svojim strankam lahko še vedno pošiljate obvestila (zakona in člena ne vem ZEKom-1, 158. člen, 2. odstavek), naročnikom na vaše novice lahko te novice še vedno pošiljate, seveda pod pogojem, da imate od njih dokazljivo soglasje, ki pa ste ga tako ali tako po zakonu (zakona in člena ne vem ZEKom-1, 158. člen, 1. odstavek) morali imeti tudi pred uvedbo GDPR, in tako dalje.

Pred nekaj dnevi sem v Facebook skupini Slovenski developerji zasledil povezavo na zanimiv rant glede tega: GDPR: You’re Doing it All Wrong!

Ostalo

Ali imate primer svoje implementacije tudi za kakšno drugo področje, ki ga na forumu nimam? Imate za zgoraj opisane implementacije mogoče boljšo rešitev? Se po vašem mnenju kje motim? Opišite to v odgovoru na to objavo, pa bom povezave do teh vaših implementacij zaradi boljše preglednosti objavil tule spodaj v seznamu.

  • Vprašanje glede dobe hrambe OP? (Mika)

Pravila

Za odgovarjanje in komentiranje te objave smiselno uporabljajte pravila uporabe foruma. V odgovore pišite le konstruktivne odgovore, ki prispevajo k dobri debati. Komentarji, zahvale, zahtevki za dodatna pojasnila spadajo v komentarje objav. Za konkretna nova vprašanja odprite novo debato, ne hijackajte teme.

Seznam urejanj

  • 23. maj 17:13 - dodal sklice na zakone glede e-mail marketinga

Nazadnje urejal Vini (23. maj ob 17:13) - dodal sklice na zakone glede e-mail marketinga

Hvala za tole :)
Lahko bi kak dan prej tole spisal ampak vseeno super ;) –

11 odgovorov

hvala Vini za tole. Tole je moja popolnoma delovna verzija

https://docs.google.com/document/d/1B20wXAt0cHlqahLZGIYwCUQHTUKcQ9LfyzGXrIgUo/edit?usp=sharing

Nazadnje urejal jankoM (26. maj ob 17:15)

https://docs.google.com/document/d/1B20w_XAt0cHlqahLZGIYwCUQHTUKcQ9LfyzGXrIgU_o/edit?usp=sharing ta link bi moral delat –