Kā uzlabot mājas lapu atbilstoši GDPR prasībām?
Kas ir GDPR?
No 2018. gada 25. maija visā Eiropas Savienībā stājas spēkā jauna vispārīgā datu aizsardzības regula - GDPR, kuras pamatmērķis ir izskaust nepamatotu personas datu lietošanu un noplūdi. Regula attiecas uz ikvienu uzņēmumu ES dalībvalstīs un tā nosaka jaunas prasības, kā turpmāk uzņēmējiem rīkoties ar personas datiem.
Kas ir personas dati?
Personas dati ir jebkura informācija, kas attiecas uz identificējamu fizisku personu, piemēram:
- vārds, uzvārds;
- e-pasts;
- dzīves vietas adrese;
- telefona numurs;
- atrašanās vieta;
- IP adrese;
- jebkuri citi dati, kas var identificēt personu.
99% gadījumu mājas lapa ir instruments ar kura palīdzību tiek ievākti un apstrādāti personas dati.
Kas liecina par to, ka mājas lapa iegūst datus par personu?
- Tiek izmantota kontaktu forma, kurā nepieciešams norādīt, vārdu, e-pasta adresi u.c.;
- Iespēja pieteikties jaunumiem;
- Mājas lapā ir uzstādīta analītika (piemēram, Google Analytics);
- Remārketinga kampaņas, kas turpina sekot klientam arī citās tīmekļa vietnēs pēc tam, kad lapa ir aizvērta;
- Dažādi rīki, kas nosaka klienta atrašanās vietu;
- Citas funkcijas, kas spēj identificēt personu.
Kas jums, kā uzņēmējam ir jādara, lai izpildītu GDPR prasības:
- Pieprasot datus, atklājiet, kas jūs esat. Paskaidrojiet, kāpēc jūs pieprasāt datus, cik ilgi tos glabāsiet un kas tos izmantos;
- Ļaujiet klientam atteikties no datu izmantošanas;
- Saņemiet skaidru piekrišanu apstrādāt personas datus;
- Esiet pārliecināts, ka klienta nodotie dati ir drošībā.
Kādus datus par klientu iegūst mājas lapa?
Brīdī, kad klients atver mājas lapu, klienta ierīcē tiek saglabātas dažāda veida sīkdatnes. Sīkdatņu saglabāšanai ir dažādi mērķi - tie palīdz atcerēties uzstādītos iestatījumus (piemēram, valodu, ielādētos attēlus, attēlošanas iestatījumus u.c.), ar kādiem klients izvēlējies skatīt mājas lapu, lai katru reizi tie nebūtu jānorāda un jāielādē no jauna, kā arī tie palīdz iegūt statististikas datus, lai noskaidrotu cik lietotāju ir atvēruši mājas lapu konkrētā laika periodā u.c.
Mājas lapās visbiežāk tiek izmantoti šādi sīkdatņu veidi:
- Sesijas sīkdatnes - ir pagaidu sīkdatnes, kas tiek saglabātas jūsu ierīcē uz laiku, līdz jūs pametat mājas lapu vai aizverat interneta pārlūku;
- Pastāvīgās sīkdatnes - tiek saglabātas jūsu ierīce uz laiku, kas norādīts faila parametros vai līdz brīdim, kad klients tās manuāli izdzēsīs;
- Reklāmas sīkdatnes - faili no piem., pakalpojumu sniedzējiem, kas nodrošina reklāmu un statistikas datus. Šie faili ļauj pielāgot reklāmu atbilstoši klienta vēlmēm un paradumiem. Tie arī sniedz iespēju novērtēt reklāmas efektivitāti (piemēram, saskaitīt, cik daudz cilvēku ir noklikšķinājuši uz reklāmas un atvēruši mājas lapu).
Kādas izmaiņas nepieciešams ieviest mājas lapā?
Turpmāk nedrīkstēs izmantot personas datus, ja klients nav devis nepārprotamu piekrisšanu, tāpēc esam izveidojuši dažus ieteikumus, kās palīdzēs pielāgot mājas lapu regulas prasībām un pierādīt, ka klients pats ir devis piekrišanu datu apstrādei.
Paziņojums par sīkdatņu izmantošanu.
Iesakām izvietot mājas lapā iznirstošo logu ar paziņojumu par sīkdatņu ievākšanu (No angļu val. Cookies) ar iespēju piekrist vai nepiekrist sīkdatņu izmantošanai. Šāda prasība nav jaunums, taču joprojām ir maz mājas lapu, kurās šī prasība tiek ievērota..
Svarīgi ir zināt, ka ar pogu “piekrist” nav pietiekami, lai prasības būtu ievērotas. Jums ir jānodrošina iespēja izvēlēties, kādiem mērķiem tiks izmantotas sīkdatnes vai atteikties no sīkdatņu izmantošanas pilnībā.
Klienta apstiprinājums tālākai datu izmantošanai.
Informējiet, kur tiks izmantoti klienta dati, izstrādājot mājas lapas lietošanas noteikumus, kuros visiem viegli saprotamā valodā ir paskaidrots, kādus datus ievāc mājas lapa, kādiem mērķiem un cik ilgi tie tiks izmantoti.Esiet godīgs pret savu klientu un dariet visu, lai klients būtu informēts, kā jūs izmantosiet iegūto informāciju.
Viens no pierādāmiem apstiprinājumiem ir klienta ielikts ķeksītis, piekrītot savu datu izmantošanai. Svarīgi - ķeksīši, kas tiek ielikti pēc noklusējuma nav pieļaujami un netiks atzīti, kā labas prakses princips.
- Svarīgi! Neuzglabājiet informāciju, kas jums nav nepieciešama - nejautājiet klienta adresi, personas kodu, dzimumu un citu informāciju, kuru jūsu uzņēmumam nav pamata izmantot.
Esi drošs, ka dati, kas iegūti caur mājas lapu nav pieejami trešajām personām nevēlamai apskatei!
SSL sertifikāts, jeb šifrētais HTTPS protkols ir kā garantija, ka mājaslapā nododamie dati tiek aizsargāti ar šifrētu algoritmu un nav pieejami trešajām personām nevēlamai apskatei.
Vai jūsu mājas lapai ir nepieciešams SSL sertifikāts?
Ja jums pieder mājas lapa, kurā nav kontaktu, pieteikuma vai reģistrācijas formas caur, kuru lapas lietājs nodod informaciju, tad varat nesteigties ar SSL sertifikāta uzstādīšanu. Ja mājas lapā ir kontaktu forma vai pieteikuma anketa, kurā klientam ir nepieciešams atstāt par sevi svarīgu informāciju, tad aicinām nodršināt drošu datu apmaiņu un uzstādīt mājas lapai SSL sertifikātu.
Regulā nav minēts, ka uzņēmuma mājas lapai ir nepieciešams uzstādīt SSL sertifikātu, taču sertifikāta funkcionalitāte liek skaidri saprast, ka tas ir piemērots veids, kā parūpēties par datu drošību!
- Svarīgi! Uzstādot SSL sertifikātu veiciet redirektus. Sakarā ar to, ka sertifikāts fatiski maina mājas lapas domēnu, ir nepieciešams veikt korektu mājas lapas linku pāradresēšanu uz jaunajiem lapas linkiem, kuros http vietā ir parādījies papildus burts “S”, https, tas palīdzējs saglabāt esošās pozīcijas Google.
Rūpējieties par datu aizsardzību!
Regulā galvenais uzsvars tiek likts uz personas datu apstrādes procedūru, kuras mērķis ir maksimāli novērst uzņēmumam nevajadzīgu datu ievākšanu, uzlabot datu drošību un mazināt to noplūdi. Tāpēc tuprmāk nereģistrētus datus uzglabāt būs aizliegts, kā arī reģistrētos datus nevarēs uzglabāt mūžīgi, ja vien tam nebūs atbilstoša pamatojuma.
Katra uzņēmumuma uzdevums ir izveidot savu datu reģistrācijas un uzglabāšanas kārtību, norādot sekojošu informāciju:
- uzņēmuma nosaukums un kontaktinformācija;
- pamatojums datu apstrādei;
- Informācija par personām, kas var piekļut datiem;
- datu subjektu un personas datu kategoriju apraksts;
- to organizāciju kategorijas, kas saņem datus;
- laika termiņš datu dzēšanai, ja iespējams;
- apstrādei izmantoto drošības līdzekļu apraksts, ja iespējams.
Nav noteiktas metodes ar kādiem līdzekļiem apstrādāt un uzglabāt datus, tāpēc dažādas kompānijas piedāvā savus risinājumus, kas palīdz ievērot GDPR prasības, piemēram, Pipedrive, Tildes Jumis, Trust Arc un citi, kas izstrādāti atbilstoši dažādu klientu profiliem.
Mēs palīdzēsim uzlabot jūsu mājas lapu, lai tā atbilstu GDPR prasībām.
Atbildēsim uz jebkuru jautājumu un nepieciešamības gadījumā noorganizēsim konsultāciju ar sertificētu GDPR speciālistu.
Rakstiet mums, lai uzzinātu vairāk!
Blogā izvietotajai informācijai ir tikai informatīvs raksturs.