Fiecare site care colectează date cu caracter personal trebuie să dețină o Politică de confidențialitate inclusiv site-urile de prezentare care colectează date (prin formulare de contact, de exemplu), trebuie să dețină o Politică de confidențialitate (sau Notă de informare). Prin intermediul acestui document, site-ul trebuie să explice persoanei fizice care utilizează sau doar vizitează site-ul modul în care îi prelucrează datele cu caracter personal. Să scrii o Politică de confidențialitate la standardele cerute poate fi un proces complicat dacă ai în față doar un document Word și nu deții instrumentele și informațiile potrivite. În prezentul articol, îți voi explica pas cu pas cum poți redacta o Politică de confidențialitate chiar fără a avea cunoștințe de specialitate juridică și/sau tehnică.
Pasul 1. Înțelege scopul acestei Politici de confidențialitate
Scopul principal al Politicii de confidențialitate este informarea persoanei fizice vizate cu privire la modalitatea în care îi prelucrezi datele. Politica de confidențialitate trebuie să existe pentru a respecta dreptul la informare în temeiul GDPR al fiecărei persoane fizice vizate. Destinatarul mesajului este o persoană fizică fără cunoștințe tehnice și fără cunoștințe juridice. Prin urmare, trebuie să te asiguri că folosești limbajul potrivit astfel încât persoana fizică să poată înțelege cum anume îi prelucrezi datele.
Pasul 2. Folosește limbajul potrivit
Evită jargonul juridic și informațiile tehnice complicate și încearcă să explici persoanei, pe limbajul ei, cum anume îi prelucrezi datele. Nu da copy-paste de la alte site-uri deoarece documentele sunt protejate de drepturi de autor și este ilegal. În principiu, ar trebui să eviți să pasezi această sarcină către programator sau developer, deoarece majoritatea oamenilor tehnici nu sunt la curent cu legislația. Dacă ești jurist, evită jargonul juridic deoarece recomandările europene spun că limbajul trebuie să fie ușor de înțeles de către oricine. Atât noțiunile juridice (i.e. temeiul juridic), cât și noțiunile tehnice trebuie traduse într-un limbaj simplu, comun.
Pasul 3. Identifică ce trebuie să scrii și schițează un plan
Politica de confidențialitate trebuie să cuprindă, în mod obligatoriu, elementele de la art. 13 și art. 14 din GDPR, respectiv:
- identitatea și datele de contact ale operatorului;
- datele de contact ale responsabilului cu protecția datelor;
- categoriile de date;
- scopurile prelucrării;
- temeiurile juridice ale prelucrării;
- dacă este cazul, interesele legitime;
- destinatarii sau categoriile de destinatari;
- intenția de a transfera;
- perioada stocării;
- drepturile persoanei vizate;
- existența sau inexistența unui proces decizional automat.
Cel mai ușor este să creezi o secțiune pentru fiecare element de mai sus și să alegi un subtitlu potrivit. Imediat după ce ai tratat o secțiune, poți trece la următoarea.
Pasul 3. Redactarea propriu-zisă
Creează o introducere și tratează fiecare element separat, sub formă de subtitlu. Introducerea ar trebui să ofere câteva noțiuni preliminare despre site/companie, despre modalitatea de prelucrare și despre cuprinsul politicii de confidențialitate. Reține că recomandările europene sunt în sensul în care informația prezentată trebuie să fie stratificată, astfel încât utilizatorul să ajungă rapid la informația care îl interesează. Ai putea prezenta informația sub formă de acordeon. De exemplu, pe utilizator îl poate interesa doar modalitatea în care îpartajezi datele cu alte entități, de aceea ar trebui creată o secțiune specială dedicată fiecărei cerințe, ca de exemplu: „Cum și cu cine partajăm datele dvs?”. Ai grijă să nu omiți niciun element de la pct. 2. Dacă nu știi ce înseamnă vreun element de la punctul 2., poți căuta pe blogul nostru (utilizând funcția search) și vei afla mai multe informații.
Cu privire la categoriile de date cu caracter personal, ar trebui să ai grijă să acoperi o gamă cât mai largă de date prelucrate. Când îți pui întrebarea „ce date prelucrez?”, ar trebui să ai în vedere că datele cu caracter personal înseamnă orice informație cu privire la o persoană fizică identificată sau identificabilă.
O atenție deosebită trebuie să acorzi scopurilor prelucrării, care trebuie să fie prezentate specific persoanei fizice.
Exemple de informări greșite:
- „putem folosi datele dvs. să dezvoltăm noi servicii” (informarea este greșită deoarece nu este clar despre ce servicii este vorba);
- „putem folosi datele dvs pentru a vă oferi servicii personalizate” (informarea este greșită deoarece nu este clar despre ce servicii personalizate este vorba);
- „putem folosi datele dvs în scopuri de cercetare” (informarea este greșită deoarece nu este clar despre ce fel de cercetare este vorba);
Exemple de informări corecte:
- „Vom analiza istoricul de cumpărături şi vom folosi detalii despre produsele pe care le-aţi achiziţionat anterior pentru a vă face sugestii pentru alte produse de care aţi putea fi interesat” (este clar ce tipuri de date vor fi prelucrate şi că datele vor fi prelucrate astfel încât reclamele personalizate să ajungă la persoana vizată);
- „Vom păstra informaţiile privind vizitele tale recente pe site-ul nostru şi felul cum vă deplasaţi în diferite secţiuni ale site-ului pentru a analiza modul în care oamenii utilizează site-ul pentru a-l face mai intuitiv” (este clar ce tip de date vor fi procesate şi scopul).
Pasul 4. Implementarea politicii de confidențialitate pe site
Sunt foarte multe lucruri de discutat în privința acestui pas. În primul rând, trebuie să te asiguri că urci Politica într-un loc vizibil pe site pentru că, indiferent de cât de bine ar fi scrisă, dacă este ascunsă, nu își va îndeplini scopul. Politica ar trebui să existe în cât mai multe locuri pentru a fi cât mai aproape de conformitate, de exemplu:
- în funcția de meniu de pe site;
- în footer;
- în semnătura din e-mail;
- pe pagina de Facebook;
- dacă vei comunica cu potențialii clienți inițial prin telefon, ar trebui să îi inviți să consulte politica de confidențialitate de pe site;
- dacă vei comunica cu potențialii clienți inițial prin Facebook messenger, ar trebui să le furnizezi link-ul către Politica de confidențialitate, împreună cu invitația de a o lectura;
- dacă utilizezi chatboți, trebuie să prezinți și această informație;
Te-ar putea interesa și:
-
10.000 lei – daune morale. Prelucrarea excesivă a datelor personale. Judecătoria Sectorului 5.
- Manual implementare GDPR.
Obligatoriu, la fiecare colectare de date (i.e. formulare de contact, formulare pentru înscriere la newsletter, formulare de comandă), trebuie să existe o căsuță nebifată prin care utilizatorul să își dea acordul că a citit și că este de acord cu Politica de confidențialitate. Această operațiune prin care utilizatorul își dă acordul trebuie stocată pentru a putea dovedi faptul că ai informat corespunzător și să te pui la adăpost în eventualitatea unui control sau al unui litigiu în instanță. Persoana fizică neinformată sau informată necorespunzător poate depune atât plângere la ANSPDCP, dar poate intenta și litigiu împotriva ta pentru a solicita despăgubiri.
Politica de confidențialitate trebuie separată în mod clar de Termeni și Condiții prin intermediul unor link-uri/pagini diferite. Termenii și Condițiile nu au legătură cu GDPR, existența lor pe site este cerută de legislația comerțului electronic.
La formularul de comandă, utilizatorul trebuie să accepte atât Termenii și Condițiile, dar și Politica de confidențialitate prin intermediul unor căsuțe/link-uri diferite.
Pentru aplicaţii, nota de informare ar trebui, de asemenea, să fie disponibilă înainte de download. Odată ce aplicaţia este instalată, informaţiile trebuie să fie uşor accesibile în interiorul aplicaţiei. O modalitate de a îndeplini această cerinţă este să se asigure că pentru accesarea informaţiilor nu se utilizează niciodată mai mult de două click-uri şi funcţia de meniu utilizată în aplicaţii ar trebui să includă întotdeauna o secţiune pentru protecţia datelor.
Pasul 5. Actualizarea și/sau modificarea
Politica de confidențialitate ar trebui revizuită cel puțin de două ori pe an pentru a fi actualizată dacă au intervenit ceva modificări în prelucrarea datelor. Este posibil ca în viitor o afacere să colecteze alte date, să transmită diferit datele sau să prelucreze datele în alte scopuri. Aceste modificări trebuie să se regăsească și în Politica de confidențialitate. Noile modificări trebuie aduse la cunoștința utilizatorilor (dacă aceștia au conturi create pe site) sau pot fi aduse la cunoștință prin afișare pe site.
