Штитите ли приватност корисника? Водич за израду Политике приватности - Naučno-tehnološki park Beograd

Štitite li privatnost korisnika? Vodič za izradu Politike privatnosti

Posted on by NTPteam

S obzirom na sve veću zabrinutost korisnika u pogledu privatnosti i sigurnosti na internetu, Politika privatnosti je neophodna komponenta svakog online poslovanja koja može pomoći u izgradnji poverenja kod korisnika i zaštiti poslovanja od potencijalnih pravnih problema.

Svaki web sajt, bilo da se radi o kompanijskoj web stranici, blogu ili online prodavnici, prikuplja određene lične podatke od svojih posetilaca. Politika privatnosti predstavlja dokument koji definiše kako se prikupljaju, obrađuju i koriste tako prikupljeni lični podaci korisnika na web stranicama.

Sadržaj Politike privatnosti u našem zakonodavstvu regulisan je Zakonom o zaštiti podataka o ličnosti, dok se u državama Evropske unije na ovaj dokument primenjuje General Data Protection Regulation (GDPR). Za svaki online biznis, koji iz Republike Srbije targetira kao svoje korisnike, državljane država članica Evropske unije, dužan je da svoje online poslovanje prilagodi i GDPR-u. Srećna okolnost je što je naš Zakon o zaštiti podataka o ličnosti vrlo sličan GDPR-u, te se usklađivanjem sa njim, u velikoj meri postaje usklađen i sa GDPR-om.

Kako napisati Politiku privatnosti?

Politika privatnosti mora biti jasna i razumljiva, pisana stilom koji može da razume svaki prosečan korisnik online usluga. Savet je da se izbegavaju dugi, zbunjujući tekstovi puni pravne terminologije. Ovakva Politika treba da bude sažeta, razumljiva i transparentna. Mora biti lako dostupna na web stranici, u vidu posebnog dokumenta, odvojenog od npr. Uslova korišćenja ili dokumenta koji su obavezni prema Zakonu o zaštiti potrošača (reklamacija, ugovor na daljinu i sl.).

Potrebno je da obezbedite na neki način dokaz da su korisnici upoznati sa Politikom privatnosti, što se najčešće radi kroz Pop-up obaveštenja. Za mobilne aplikacije, neophodno je da Politika privatnosti bude dostupna i u prodavnici pre skidanja aplikacije, kao i u samoj aplikaciji.

Koraci pre izrade Politike privatnosti

1. Utvrđivanje ličnih podataka koji se prikupljaju

Nije svaki podatak, koji naša web stranica prikuplja – podatak o ličnosti.
Naš Zakon o zaštiti podataka o ličnosti je to definisao na sledeći način: Podatak o ličnosti je svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili se može odrediti, direktno ili indirektno, posebno na osnovu oznake identiteta, kao što je ime i identifikacioni broj, podataka o lokaciji, identifikatora u elektronskim komunikacionim mrežama ili jednog, odnosno više obeležja njegovog fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identiteta. Najčešće će to u praksi biti: ime, prezime, broj mobilnog telefona, email adresa, lokacija, adresa i sl.

2. Utvrđivanje pravnog osnova za obradu podataka o ličnosti

U skladu sa zakonskim propisima, svaka obrada podataka o ličnosti mora biti zasnovana na jednom od ovih pravnih osnova. U našem Zakonu o zaštiti podataka o ličnosti, to su sledeći osnovi:
1) lice na koje se podaci o ličnosti odnose je pristalo na obradu svojih podataka o ličnosti za jednu ili više posebno određenih svrha;
2) obrada je neophodna za izvršenje ugovora zaključenog sa licem na koje se podaci odnose ili za preduzimanje radnji, na zahtev lica na koje se podaci odnose, pre zaključenja ugovora;
3) obrada je neophodna u cilju poštovanja pravnih obaveza rukovaoca;
4) obrada je neophodna u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica;
5) obrada je neophodna u cilju obavljanja poslova u javnom interesu ili izvršenja zakonom propisanih ovlašćenja rukovaoca;
6) obrada je neophodna u cilju ostvarivanja legitimnih interesa rukovaoca ili treće strane, osim ako su nad tim interesima pretežniji interesi ili osnovna prava i slobode lica na koje se podaci odnose koji zahtevaju zaštitu podataka o ličnosti, a posebno ako je lice na koje se podaci odnose maloletno lice.

Za internet stranice najčešće će se upotrebljavati pravni osnovi: pristanak, legitimni interes, obrada podataka o ličnosti neophodna radi izvršavanja ugovora ili radi izvršavanja pravnih obaveza.

3. Svrha obrade podataka o ličnosti

Za svaki podatak koji prikupljate i obrađujete morate utvrditi svrhu zbog koje se podaci prikupljaju, obrađuju i koriste. Ona može biti različita u zavisnosti od vrste posla i konteksta, a neki od primera su i personalizacija korisničkog iskustva, poboljšanje prodaje i marketinga, upravljanje kupcima i plaćanjima, kao i sprečavanje prevare i zloupotrebe.

Šta bi Politika privatnosti trebalo da sadrži

Kada utvrdite koje lične podatke prikupljate, u koju svrhu i po kom pravnom osnovu, sledi izrada samog teksta Politike privatnosti. Kada se radi o sadržaju Politike privatnosti, ne postoji univerzalni obrazac. Ipak, postoje određeni elementi, koje ona mora da sadrži.

Identitet rukovaoca podacima o ličnosti – Ovde ćete navesti identifikacione podatke vašeg privrednog društva: naziv, MB, PIB, adresu i odgovorno lice.

Lični podaci, svrha i pravni osnov obrade – Neophodno je opisati za svaki poseban podatak, u koju svrhu se prikuplja i po kom pravnom osnovu. Npr. email adrese prikupljaju se radi slanja marketinških poruka putem e-pošte, na osnovu pristanka korisnika, koja se može povući u bilo kom trenutku.

Primaoci ličnih podataka i transfer podataka van Srbije – Ovde je potrebno opisati sa kim se van vašeg privrednog društva i vaših zaposlenih dele podaci. Npr. dele se sa kurirskim službama radi dostave proizvoda na označenu adresu. Zatim morate napisati da li se vrši transfer podataka van Republike Srbije. Npr. da li se podaci skladište na serverima koji se nalaze van Srbije, ili da li podatke delite sa majkom firmom ili ćerkom firmom, čije je sedište npr. u Nemačkoj.

Rok čuvanja podataka i osnov – Utvrditi rok čuvanja ličnih podataka i opis zbog čega se čuvaju baš toliko.

Obrada na osnovu legitimnog interesa (ukoliko je primenjivo) – Obrada na osnovu legitimnog interesa je postupanje sa ličnim podacima koje se radi na osnovu opravdanog interesa rukovaoca ličnih podataka, a koje nije potrebno odobriti od strane korisnika. Najčešći primer za to će biti newsletter: “Obrađujemo vaše lične podatke za slanje newsletter-a na temelju našeg legitimnog interesa kako bi vas obaveštavali o novostima, događajima i ponudama u vezi sa našim poslovanjem. Naš interes za ovu obradu temelji se na našem cilju da održavamo dobre odnose sa našim klijentima i da vam pružimo korisne informacije. U svakom trenutku imate pravo na prigovor na ovu obradu podataka, te se možete odjaviti iz naših newsletter-a klikom na odgovarajući link u svakoj e-pošti koju vam pošaljemo ili nas kontaktirajte na našu email adresu [navedite adresu e-pošte].”

Obaveštenje o pravima fizičkih lica u odnosu na obradu ličnih podataka – Objašnjenje prava korisnika u vezi s njihovim ličnim podacima, kao što su pravo na pristup, ispravku, brisanje ili ograničenje obrade podataka, prigovor i prenos podataka. Kod prava na prigovor potrebno je da ih obavestite da prigovor mogu podneti i Povereniku za informacije od javnog značaja i zaštitu podatka o ličnosti.

Datum donošenja i stupanja na snagu Politike privatnosti – Politika privatnosti je dinamičan dokument, te bi trebalo redovno da se ažurira kako bi se osigurala usklađenost sa zakonima i novim tehnološkim rešenjima.

Politika privatnosti i startapi

Politika privatnosti može pomoći startapima u prikupljanju vrednih informacija o svojim korisnicima, uz istovremeno poštovanje njihove privatnosti i pozitivnih zakonskih propisa. To često može biti i ključno za razvoj proizvoda i usluga prilagođenih potrebama korisnika.

Autor teksta: Jovana Joksimović, advokat i IP officer na projektu „Tehnopark Srbija 2 – Podsticanje izvoza kroz razvoj tehnoloških parkova“, koji sprovodi Naučno-tehnološki park Beograd uz podršku Vlade Švajcarske.