O firmă din Spania a fost amendată cu 5000 euro pentru că nu avea afișată pe site o politică de confidențialitate.
O firmă spaniolă a fost amendată recent cu 5000 euro pentru că nu afișase pe site o politică de confidențialitate prin care să informeze vizitatorii cu privire la felul în care sunt colectate și prelucrate datele personale.
Conform Regulamentul general privind protecția datelor (GDPR), firmele sunt obligate să informeze utilizatorii site-ului despre felul în care le prelucrează datele personale colectate. Deși nu este specificat nicăieri termenul „politică de confidențialitate”, în rândul companiilor care prelucrează date personale s-a format o practică de a-i informa pe vizitatorii site-ului despre metodele pe care le aplică pentru a respecta legislația de protecție a datelor personale, prin politicile de confidențialitate.
Sancțiunea aplicată de către autoritățile spaniole nu a fost acordată pentru lipsa efectivă a unei politici de confidențialitate, ci pentru că firma nu își îndeplinea obligațiile de informare a vizitatorilor de pe site cu privire la stocarea și prelucrarea datelor personale, așa cum este prevăzut în GDPR.
Totuși, este important de reținut că politica de confidențialitate nu este suficientă pentru a demonstra conformitatea GDPR. Firmele trebuie să dețină documente care să ateste concret cum se face prelucrarea și stocarea datelor personale.
Ce trebuie să conțină o politică de confidențialitate:
Pentru a fi corectă, politica de confidențialitate trebuie adaptată în funcție de specificul activității companiei și de felul în care sunt prelucrare și gestionate datele personale. Totuși, deși nu există o „rețetă”, există o serie de informații care nu trebuie să lipsească:
- cine este operatorul de date personale: denumirea și informațiile de contact ale companiei care prelucrează datele colectate, o listă cu site-urile pentru care se aplică politica de confidențialitate în cauză, informațiile de contact ale responsabilului cu protecția datelor (unde este cazul);
- ce date personale sunt prelucrate: categoriile de date personale pe care le colectează sau le obține firma despre persoanele fizice (de exemplu, IP-urile dispozitivelor vizitatorilor, informațiile de localizare a vizitatorilor), inclusiv datele sensibile;
- cum au fost obținute datele personale (cele date direct de utilizatori, cele obținute indirect de la terți etc.);
- din ce motive legale sunt folosite datele personale (de exemplu, interesul legitim, obligația legală sau consimțământul dat de vizitatori);
- cum sunt folosite datele personale (de exemplu, în scopuri de marketing și publicitate);
- dacă datele personale sunt împărtășite cu terțe entități (de exemplu, regii de publicitate, servicii de tip „analytics”, rețele sociale, procesatori de plăți online);
- ce se poate întâmpla dacă un vizitator refuză să ofere datele personale (de exemplu, nu poate crea un cont pe site-ul înc auză);
- dacă vizitatorii site-ului sunt profilați;
- dacă prelucrarea datelor personale se face în condiții de siguranță, așa cum impune GDPR;
- dacă vizitatorii sunt informați despre drepturile pe care le au și dacă li se oferă căile necesare pentru a le exercita (de exemplu, dreptul la ștergerea datelor personale).
Existența unei politici de confidențialitate are ca scop îndeplinirea obligației de informare și reprezintă, în același timp, cel mai eficient și la îndemână mod prin care această îndatorire poate fi îndeplinită de către firme.