PRAKTIČNI VODIČ ZA UREĐENJE POLITIKE PRIVATNOSTI WEB STRANICE
Za većinu konzumenata, ali i klijenata, upravo je web stranica polazna točka s kojom se upoznaje tvrtka. Bez obzira da li se potražuje usluga, proizvod ili partnerski odnos web stranica sudjeluje u kreiranju općeg dojma o tvrtki i njenog imidža na tržištu. Da je web stranica ogledalo poslovanja svjesna je odavno većina tvrtki pa je ulaganje u moderne vizualne trendove i visoke tehnološke mogućnosti za mnoge važan konkurentski element.
Kod kreiranja povjerenja u digitalnom okruženju i bez fizičke impresije privatnost se u sve većoj mjeri pozicionira u percepciji poslovnih partnera i kupaca. Web stranica je ujedno i prvo mjesto gdje potencijalnim partnerima i kupcima tvrtka pokazuje kako postupa sa njihovim podacima. Upravo zato je važno na web stranicama jasno, točno i potpuno informirati posjetitelje o načinu kako prikupljate i obrađujete osobne podatke.
Na većini web stranica možemo vidjeti politiku privatnosti i politiku kolačića različitih sadržaja. Politika privatnosti je obavijest o prikupljanju i obradi osobnih podataka putem web stranice. Koje informacije je nužno pružiti određuje Opća uredba u dijelu u kojem određuje koje se sve informacije pružaju onda kada se prikupljaju osobni podaci.
Bitno je imati na umu da politika privatnosti web stranice nije i politika privatnosti organizacije.
To znači da se pružaju informacije samo o prikupljanju i obradi osobnih podataka putem te web stranice i ne pružaju se informacije o prikupljanju i obradi osobnih podataka koje organizacije prikuplja drugim kanalima npr. prilikom zapošljavanja.
Naime, onda kada je to moguće obavijest o prikupljanju i obradi osobnih podataka potrebno je pružiti u trenutku prikupljanja osobnih podataka te u skladu s načelom transparentnosti pružaju se informacije samo o obradi onih podataka koji se i prikupljaju. Gomilanje informacija koji se ne odnose na konkretno prikupljanje podataka smatra se „zamaranje“ ispitanika i odvraćanje od bitnih informacija o konkretnom prikupljaju i obradi čime dolazi do otežanog ostvarivanja transparentnosti kao jednog od temeljnih načela obrade sukladno Smjernicama o transparentnosti Radne skupine za zaštitu podataka iz čl. 29.
1. INFORMACIJE KOJE JE POTREBNO PRUŽITI PUTEM POLITIKE PRIVATNOSTI WEB STRANICE
VODITELJ OBRADE
Identitet i kontakt podatke voditelja obrade.
SLUŽBENIK ZA ZAŠTITU PODATAKA
Kontakt podatke službenika za zaštitu podataka ako je imenovan.
SVRHE OBRADE I ZAKONITOST
Svrhe radi kojih se prikupljaju i upotrebljavaju osobni podaci i zakonita osnova za takvu obradu.
Zakonite obrade mogu biti: obrada temeljem pristanka (privola); obrada radi izvršenja ugovora (usluge); radi poštovanja pravnih obaveza; kako bi se zaštitili ključni interesi ispitanika ili treće osobe; obrada je nužna za izvršavanje zadaća od javnog interesa ili pri izvršavanju službene ovlasti; obrada temeljem legitimnog interesa voditelja obrade (više: čl. 6. GDPR).
Primjer: web shop prikuplja adresu kupca u svrhu dostave kupljenih proizvoda. Takva obrada je zakonita jer je obrada nužna za pružanje usluge dostave (čl .6. st. 1 t. (b) GDPR).
LEGITIMNI INTERESI
Onda kada se neka od obrada osobnih podataka temelji na „legitimnom interesu voditelja obrade“, takve obrade je potrebno posebno istaknuti i navesti. Važno je istaknuti da kada govorimo o legitimnim interesima onda u politici web stranice možemo navestii sve one obrade koje temeljimo na našem legitimnom interesu a nisu vezane samo za web stranicu već za organizaciju općenito kao npr. u slučaju videonadzora. Razlog tome je što organizacija treba osigurati širu informiranosti i dostupnost informacija kada prikuplja i obrađuje osobne podatke temeljem svojih „legitimni interesa“ a web stranica onda može biti prikladno sredstvo za osiguranje takve šire obavijesti.
PRIVOLA
Onda kada se obrada osobnih podataka temelji na privoli potrebno je informirati o postojanju prava da se u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena.
PRIMATELJI OSOBNIH PODATAKA
Pojmom „primatelj” obuhvaćeni su ostali voditelji, zajednički voditelji i izvršitelji obrade podataka kojima su podaci preneseni ili otkriveni. Navode se stvarni (imenovani) primatelji osobnih podataka ili kategorije primatelja.
U skladu s načelom poštenosti, voditelji obrade trebaju pružiti informacije o primateljima koje imaju najviše smisla za ispitanike.
U praksi će to općenito biti imenovani primatelji kako bi ispitanici točno znali tko ima njihove osobne podatke. Ako se voditelji obrade odluče na pružanje informacija o kategorijama primatelja, te bi informacije trebale biti što konkretnije tako da se u njima navede vrsta primatelja (tj. upućivanjem na aktivnosti koje provodi), industrija, sektor i podsektor te lokacija primatelja. (Smjernice o transparentnosti)
Tijela javne vlasti kojima se otkrivaju osobni podaci u skladu s pravnom obvezom izvršavanja njihovih službenih zadaća, poput poreznih i carinskih tijela, jedinica za financijsku istragu, neovisnih upravnih tijela ili tijela za financijska tržišta, odgovorna za reguliranje i nadzor tržišta vrijednosnih papira, ne smatraju se primateljima.
OBVEZA PRUŽANJA INFORMACIJA
Informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže. Obavijest o tome nije potrebno pružiti ukoliko ispitanik već raspolaže s takvom informacijom.
AUTOMATIZIRANO DONOŠENJE ODLUKA
Onda kada kada postoji automatizirano donošenje odluka, uključujući i moguću izradu profila o tome je potrebno informirati. Onda kada se takva obrada ne provodi isto nije potrebno posebno navoditi.
DRUGE SVRHE
Ako se prikupljeni podaci namjeravaju dodatno obrađivati u druge svrhe od svrhe za koju su prikupljeni, tada je potrebno pružiti informacije o toj drugoj svrsi. Onda kada se podaci ne namjeravaju dodatno obrađivati iu druge svrhe isto nije potrebno posebno navoditi.
PRIJENOST PODATAKA U TREĆE ZEMLJE ILI MEĐUNARODNE ORGANIZACIJE
Onda kada se vrši prijenos osobnih podataka u treće zemlje ili međunarodne organizacije potrebno je navesti informacije o takvom prijenosu.
Primjer takve obavijesti je često u slučaju kada se podaci pohranjuju na serverima izvan EU).
RAZDOBLJE POHRANE PODATAKA
Razdoblje u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje.
Primjerice: kada prikupljamo e-mail adresu radi odgovaranja na upit tada rok pohrane može biti onoliko koliko je potrebno za izvršenje svrhe prikupljanja podataka tj. odgovaranja na postavljeni upit.
OSTVARIVANJE PRAVA
Potrebno je pružiti informacije o postojanju prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na na ispitanika ili prava na ulaganje prigovora na obradu.
O pravu na prenosivost podataka potrebno je informirati samo onda ako se osobni podaci obrađuju na temelju privole ili automatiziranim putem.
O postojanju prava na dobivanje kopije osobnih podataka koji se o ispitaniku obrađuju nije nužno obavještavati već može biti oblik dobre prakse, posebno onda kada se zaračunava određeni administrativni troška za dodatne kopije.
PRIGOVOR NADZORNOM TIJELU
Pravo na podnošenje prigovora nadzornom tijelu, uključujući naziv i adresa tijela.
DRUGE OBAVIJESTI
Druge obavijesti mogu se pružati se u skladu sa Smjernicama o transparentnosti prema ocijeni Voditelja obrade, kao primjerice:
- obavijest o promjenama politike privatnosti
- obavijest o sigurnost podataka
- informacije o provedenoj procjeni učinka na zaštitu podataka (ako je primjenjivo)
- druge informacije koje po ocijeni voditelja obrade mogu biti od značaja za ispitanike
2. VAŽNE NAPOMENE PRI IZRADI POLITIKE PRIVATNOSTI WEB STRANICE
Pri izradi pravila privatnosti web stranice potrebno je obratiti pozornost i na dodatne zahtjeve koji su iskazani u Smjernicama o transparentnosti Radne skupine za zaštitu podatka iz članka 29.
Posebno je važno obratiti pozornost:
- da su sve informacije koje se pružaju sažete, transparentne, razumljive
- da se informacije o prikupljanju i obradi osobnih podataka pružaju pod prepoznatljivim nazivom (npr. politika privatnosti, pravila privatnosti ili slično)
- da su pravila privatnosti odvojena od bilo kojih drugih pravila (npr. odvojena od općih uvjeta korištenje),
- da su lako dosupne i na vidljivom mjestu (npr. u zaglavlju ili podnožju stranice)
- da su jednostavnog i jasnog teksta bez stručne terminologije.
Onda kada je to moguće osigurati, pravila privatnosti trebala bi biti u videokrugu korisnika za cijelo vrijeme njegova boravka na web stranici i trebala bi biti pružena u slojevitom obliku (harmonika) sukladno zahtjevima Smjernica o transparentnosti.
Ovaj vodič odnosi se na klasične web stranice i web trgovine bez posebnih obrada.
Autori: Ines & Marko Krečak, Službenik za zaštitu podataka - Feralis
Naše kolumne:
Glas Istre Novine - Praktični vodič za uređenje politike privatnosti
Glas Istre Novine - GDPR i postupak nabave: kako ugovarati poslovanje s dobavljačima vanjskih usluga
SEEbiz - najčešći znakovi da poslovanje nije usklađeno s GDPR
Povezane teme:
Vodič za uređenje web stranice u skladu s GDPR
Uloga Službenika za zaštitu podataka u organizaciji
Kriteriji u određivanju korektivnih mjera i upravnih novčanih kazni kod kršenja GDPR
Povezane usluge:
Usklađivanje poslovanja s GDPR
Vanjska usluga Službenik za zaštitu podataka
