GDPR, oziroma Splošna uredba o varstvu osebnih podatkov (v angleščini: General Data Protection Regulation), je zakonodaja Evropske unije, ki je začela veljati 25. maja 2018. Namenjena je zaščiti zasebnosti posameznikov in regulaciji načina, kako organizacije zbirajo, shranjujejo in uporabljajo osebne podatke.
V času digitalizacije, kjer podjetja zbirajo ogromne količine podatkov, je GDPR odgovor na naraščajoče potrebe po večji preglednosti, odgovornosti in varnosti osebnih podatkov.
Kaj so osebni podatki?
Pod GDPR spadajo pod “osebne podatke” vsi podatki, ki lahko identificirajo posameznika, med drugim:
- Ime in priimek
- Email naslov
- Telefonska številka
- Naslov prebivališča
- IP naslov
- Identifikatorji piškotkov
- Bančni podatki, zdravstveni podatki, in celo fotografije
To pomeni, da vsakič, ko podjetje zbere kakršnekoli informacije o osebi, mora spoštovati pravila GDPR.
Glavna načela GDPR
GDPR temelji na nekaj ključnih načelih, ki jih morajo spoštovati vse organizacije:
Zakonitost, poštenost in preglednost – Podatke je treba zbirati zakonito in jasno komunicirati, zakaj se zbirajo.
Namen zbiranja – Podatki se smejo zbirati samo za določen in legitimen namen.
Minimizacija podatkov – Zbirajo se naj samo tisti podatki, ki so res potrebni.
Točnost – Podatki morajo biti točni in posodobljeni.
Omejitev hrambe – Podatke je treba izbrisati, ko niso več potrebni.
Zaupnost in varnost – Podatki morajo biti zaščiteni pred nepooblaščenim dostopom ali izgubo.
Pravice posameznikov po GDPR
GDPR daje posameznikom (kot si ti ali jaz) več pravic glede lastnih podatkov:
- Pravica do obveščenosti (kdo ima moje podatke in zakaj)
- Pravica do dostopa (vpogled v podatke, ki jih ima podjetje o tebi)
- Pravica do popravka (če so podatki napačni)
- Pravica do izbrisa (pravica do pozabe)
- Pravica do omejitve obdelave
- Pravica do prenosljivosti podatkov
- Pravica do ugovora (npr. proti profiliranju za oglaševanje)
Vsako podjetje mora imeti tudi jasno možnost za odjavo (opt-out), zlasti v email marketingu.
Kaj pomeni GDPR za podjetja in spletne strani?
Vsako podjetje ali posameznik, ki zbira podatke ljudi iz EU, mora delovati v skladu z GDPR – ne glede na to, ali je podjetje s sedežem v Evropi ali ne.
To pomeni:
- Pridobivanje izrecnega soglasja pred zbiranjem podatkov (npr. pri prijavi na e-novice)
- Možnost odjave brez zapletov
- Jasna politika zasebnosti, ki pove, katere podatke zbirajo in kako jih uporabljajo
- Uporaba šifriranja, zaščite z gesli in drugih varnostnih ukrepov
- Obveznost prijave kršitev (v 72 urah, če pride do vdora ali izgube podatkov)
Če podjetje krši GDPR, so globe lahko zelo visoke – do 20 milijonov evrov ali 4 % letnega prometa podjetja.
GDPR in email marketing
GDPR je močno vplival tudi na email marketing. Danes mora biti vsak obrazec za prijavo na e-novice jasen, z možnostjo soglasja. Pogosta praksa je tako imenovani double opt-in, kjer uporabnik najprej vnese email, nato pa mora to še potrditi s klikom v potrditvenem sporočilu.
Emaili ne smejo vsebovati skritih prijav, checkboxi za soglasje ne smejo biti vnaprej obkljukani, podjetja pa morajo dokazati, da so soglasje res prejela.
Zaključek
GDPR ni le pravni dokument, temveč pomemben korak k bolj poštenemu in varnemu internetu. Za uporabnike pomeni večjo zaščito in nadzor nad lastnimi podatki, za podjetja pa obvezo k odgovornemu ravnanju in transparentnosti.
Spoštovanje GDPR-ja gradi zaupanje med podjetji in uporabniki, kar je dolgoročno koristno za obe strani.