Politika privatnosti kao kraj početka

Svaki sajt treba da ima objavljenu politiku privatnosti odnosno obaveštenje o obradi. To nije samo lep običaj, nego i zakonska obaveza. Kako formulisati ovaj dokument?

PCPress.rs Image

Autor: Nevena Ružić

Korisnik usluga želi da pročita našu Politiku privatnosti. U terminologiji Zakona o zaštiti podataka o ličnosti (ZZPL), a i GDPR-a (Opšte uredbe o zaštiti podataka EU), reč je o Obaveštenju o obradi. Bez obzira na terminologiju koju koristimo, reč je o dokumentu kojim objašnjavamo ko smo, zbog čega obrađujemo podatke, koje podatke obrađujemo, koliko dugo, kao i da li ih delimo s drugim licima (i kojim). Naravno, i koja prava ima lice na koje se odnose ovi podaci.

Ukoliko iznosimo podatke u države koje nisu na listi zemalja na koje upućuje ZZPL, možda je neophodno da imamo i dozvolu poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti

Ovo obaveštenje, iako prvi dokument/baner na sajtu s kojim se susreće pojedinac, za kompaniju, kao i svakog drugog rukovaoca podacima, zapravo je nešto što dolazi tek na kraju procesa usaglašavanja sa ZZPL-om ili GDPR-om. Tome prethodi set aktivnosti i cilj ovog kratkog teksta je da prikaže kojih.

Osnov obrade podataka

Svaki podatak o ličnosti obrađuje se u neku svrhu, koja će definisati i osnov obrade podataka. Ako je podatak neophodan da bi se realizovala neka transakcija, taj podatak je neophodan za izvršenje ugovora. Često su podaci neophodni radi ispunjavanja naše zakonske obaveze. Zakoni države propisuju niz obaveza čije sprovođenje podrazumeva obradu podataka. Podaci o zaposlenima samo su jedan primer, mada obimne, obrade podataka. Pristanak, iako ne baš tako čest osnov obrade podataka, takođe je potrebno navesti.

Pročitajte i:  Evropska komisija prekršila pravila EU o privatnosti korišćenjem Microsoft-ovog softvera

Pored ovih, podaci su nam neophodni i da bismo ostvarili i neke naše interese. Kako ih ZZPL (a i GDPR) naziva, reč je o legitimnom interesu rukovaoca ili treće strane. Primera radi, kada podatke o korisnicima naše onlajn platforme, ili uopšte nekih usluga, obrađujemo da bismo ustanovili neki trend, prilagodili naše poslovanje ili čak smanjili mogućnost zloupotrebe, to radimo upravo da bismo ostvarili neki naš legitimni interes. Da bismo mogli da u Obaveštenju o obradi navedemo ovaj legitimni interes, potrebno je da ga procenimo i dokumentujemo, a to je radnja koja prethodi pripremanju dokumenta. Važno je napomenuti da sama procena legitimnog interesa ipak nije sastavni deo Obaveštenja.

Iako ZZPL ne navodi obavezu navođenje spiska podataka koje obrađujemo, ovo navođenje je logična posledica ispunjavanja obaveze transparentnosti obrade. Koje podatke obrađujemo je pitanje na koje možemo da odgovorimo tek kada znamo zašto ih obrađujemo, dakle i svrha i osnov obrade su nam poznati. U nekim slučajevima ZZPL nameće obavezu izrade Evidencije radnji obrade. Savet je da ove evidencije treba voditi i u onim situacijama kada to nije kaznom zaprećena obaveza. Razlog je što ova evidencija pruža odličan uvid u celovitu obradu podataka i pomaže nam da imamo kontrolu.

Svaki podatak o ličnosti obrađuje se u neku svrhu, koja će definisati i osnov obrade podataka

Posebno pitanje je da li ih delimo s drugim licima i, ukoliko ih delimo, s kojim. Iako su prakse različite, važno je da znamo da ukoliko ih delimo s nekim drugim rukovaocima, to moramo i da navedemo. Činjenica da se podaci iznose iz države svakako se mora navesti. A da bi do toga uopšte došlo, potrebno je da već imamo adekvatni pravni osnov prenosa, koji se u velikom broju slučajeva svodi na ugovor. Dakle, ugovor sa obrađivačem podataka je takođe akt koji postoji pre pripreme Obaveštenja. Ukoliko iznosimo podatka u države koje nisu na listi zemalja na koje upućuje ZZPL, možda je neophodno da imamo i dozvolu poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti. I ovo je dokument koji je potrebno imati pre pripreme Obaveštenja o obradi.

Pročitajte i:  Evropska komisija prekršila pravila EU o privatnosti korišćenjem Microsoft-ovog softvera

Prava korisnika

U Obaveštenju o obradi obavezni smo da navedemo koliko dugo čuvamo podatke, rok ne mora biti izražen danima, već može biti i odrediv, kao i koje mere zaštite (organizacione i tehničke) primenjujemo. Od nas zavisi koliko ćemo detaljno opisati ove mere, ali se očekuje da su one dovoljne jasne licu koje čita Obaveštenje.

PCPress.rs Image

Nikako manje važna sadržina Obaveštenja o obradi jesu prava koja lica imaju prema rukovaocu, a čiji obim zavisi od osnova obrade. Primera radi, prigovor na obradu postoji u slučaju da se podaci obrađuju radi ostvarivanja našeg legitimnog interesa ili opoziv pristanka postoji samo ukoliko se obrađuju na osnovu pristanka lica. Posebno treba navesti podatke o načinu ostvarivanja prava, kao što je posebna e-mail adresa (pazite da omogućava bezbedan način komunikacije), kao i informacija da se mogu obratiti povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti.

Iako na početku našeg odnosa s klijentom, Politika privatnosti (Obaveštenje o obradi) zapravo je kraj početka našeg usaglašavanja sa ZZPL/GDPR za tu obradu. Promena u obradi (rokovi čuvanja ili iznošenje iz zemlje) mora biti naznačena, a lica o tome moraju biti obaveštena. Svaka nova obrada podrazumeva drugi početak.

Pročitajte i:  Nestaju mnoge web stranice nastale između 2013. i 2023.

Nevena Ružić je dugogodišnja konsultantkinja za zaštitu podataka o ličnosti i koautorka emisije „Šoljica privatnosti sa Jelenom i Nevenom“ (YouTube/Vimeo)

Facebook komentari:
SBB

Tagovi: , , , , , ,