Visi pastebime, kad interneto svetainėse, paprastai apatinėje jų dalyje, būna nuoroda į Privatumo politiką ar Privatumo pranešimą. Tačiau ne visi žinome, kokia iš tiesų yra Privatumo politikos paskirtis ir kas joje turi būti numatyta.
Advokatų kontoros Glimstedt advokatė Giedrė Rimkūnaitė-Manke teigia, jog praktika rodo, kad verslo atstovai taip pat ne visada žino, koks Privatumo politikos tikslas ir kas joje turi būti, tačiau žinodami, kad toks dokumentas reikalingas, bando jame atkartoti teisines formuluotes, kurias naudoja kiti, kartais ir „pasiskolindami“ tekstus iš kitų svetainių. Tai darantys, padaro bent dvi klaidas:
- Pirma, kopijuodami, pažeidžia asmens, kuris tą dokumentą kūrė, autoriaus teises. Gal ne visada suvokiame, kad originaliai sukurtas Privatumo politikos (ar kito dokumento) tekstas yra kažkieno kūrybinės veiklos rezultatas ir dažnu atveju saugomas autorių teisių. Kopijuojant be autoriaus leidimo, kaip ir kito kūrinio atveju, yra pažeidžiamos autoriaus teisės. Taigi taip darant, galima sulaukti nemalonumo – reikalavimo nutraukti neteisėtus veiksmus, o gal ir padengti nuostolius.
- Antra, „pasiskolinęs“ dokumentą, asmuo negali būti tikras, kad tas dokumentas tiks būtent jam, ir ar jis bendrai yra teisingas (gal konkurentas jį parašė neteisingai, o gal taip pat „pasiskolino“?).
Privatumo politika, kaip ir kitas dokumentas, bus tinkama tik tada, jeigu ji atitiks faktinę situaciją, bus pritaikyta konkrečiam verslui. Tai nereiškia, kad ji turi būti labai sudėtinga, priešingai – ji gali būti parašyta labai paprastai, tačiau turi atitikti konkrečią situaciją ir verslo modelį.
Tinkamą ir tinkančią privatumo politiką galima parengti ne taip sudėtingai, o tam reikia žinoti kelis svarbiausius dalykus.
Koks Privatumo politikos tikslas ir kam ji reikalinga?
Bendrasis duomenų apsaugos reglamentas (BDAR) reikalauja, kad duomenų valdytojas informuotų duomenų subjektus apie jo atliekamą asmens duomenų tvarkymą, duomenų subjektų teises ir kt. (visą sąrašą informacijos, kuri turi būti pateikta, rasite toliau šiame straipsnyje). Įsivaizduokite, kad vykdydami savo veiklą, turėtumėte visą šią informaciją pateikti asmeniškai kiekvienam asmeniui, kurio duomenis tvarkote. Jūsų komunikacija su klientais bei partneriais būtų perkrauta teisiniais BDAR reikalavimais, o dažnu atveju tokį reikalavimą įgyvendinti būtų net neįmanoma.
Tad pagrindinis Privatumo politikos tikslas ir yra informuoti (pateikti informaciją viešai) apie jūsų atliekamą duomenų tvarkymą ir įvykdyti BDAR numatytą informavimo pareigą. Privatumo politika turi būti lengvai pasiekiama jūsų svetainėje. Taip pat nuorodas į Privatumo politiką galite įterpti įvairiais atvejais rinkdami asmens duomenis tiek on-line (pavyzdžiui, prie naujienlaiškio užsakymo ar kontaktų formos), tiek gyvai (pavyzdžiui, renginio medžiagoje ar anketoje). Tokiu būdu įvykdysite pareigą informuoti, kartu nekartodami tos pačios informacijos daug kartų ir neapkraudami dokumentų ar komunikacijos.
Neretai tenka susidurti su klaidinga nuomone, kad Privatumo politika reikalinga tik elektroninei parduotuvei ar kitai veiklai internete. Tai netiesa. Taip, Privatumo politika skelbiama viešai, paprastai interneto svetainėje. Tačiau ji reikalinga ir tada, kai veikla yra vykdoma off-line. Nesvarbu, ar asmens duomenis renkate internete ar gyvai, Privatumo politika informuojate duomenų subjektus apie jų asmens duomenų tvarkymą bei jų teises. Taigi jeigu asmens duomenis renkate tiek internete, tiek gyvai, Privatumo politikoje turėtumėte informuoti apie visus šiuos asmens duomenų tvarkymo atvejus. Paprastai į Privatumo politiką netraukiame tik informacijos apie įmonės darbuotojų asmens duomenų tvarkymą, kadangi darbuotojai informuojami atskiru vidiniu įmonės dokumentu pagal Darbo kodekso reikalavimus.
Kokie asmens duomenys, kokiais tikslais ir kokiu pagrindu tvarkomi?
Privatumo politikoje svarbu nurodyti, kokius asmens duomenis, kokiais tikslais ir kokiu teisiniu pagrindu tvarkote. Kad tai žinotumėte, reikia atlikti savo tvarkomų asmens duomenų „inventorizaciją“. Ją patarčiau atlikti taip:
- Pirma, reikėtų apgalvoti, kokiais tikslais ir kokius asmens duomenis tvarkote, kartu įvertinant, ar tvarkote tik tuos duomenis, kurie yra reikalingi. Pavyzdžiui, kliento, fizinio asmens, asmens duomenis (vardą, pavardę, gyvenamosios vietos adresą) galite tvarkyti keliais tikslais: siekiant sudaryti ir vykdyti sutartį (jeigu sudaroma rašytinė sutartis, nurodoma joje, galbūt išrašoma sąskaita, kurioje nurodomi šie duomenys, ir pan.), siekiant jam pristatyti prekes ir pan. Kliento el. pašto adresą galite tvarkyti tam, kad galėtumėte su juo komunikuoti dėl sutarties vykdymo (pavyzdžiui, pranešti apie užsakymo parengimą ar išsiuntimą ar pasitikslinti dėl užsakymo), taip pat siekiant jam pateikti naujienlaiškius ar pasiūlymus. Kiekvienu atveju reikia įvertinti, kokie duomenys yra reikalingi konkrečiu tikslu (pavyzdžiui, asmens gimimo data nereikalinga tam, kad galėtumėme jam išsiųsti naujienlaiškį) ir apsiriboti tik tokių duomenų rinkimu.
- Antra, kiekvienam asmens duomenų tvarkymo tikslui reikia parinkti tinkamą teisinį pagrindą. Ši dalis, ko gero, reikalauja daugiausia teisinių žinių. BDAR numato šešis asmens duomenų tvarkymo teisinius pagrindus:
(a) sutikimas,
(b) sutartis su duomenų subjektu,
(c) teisinė prievolė,
(d) gyvybiniai duomenų subjekto ar kito fizinio asmens interesai,
(e) viešos valdžios funkcijos,
(f) teisėtas interesas.
Verslui aktualiausi yra (a), (b), (c) arba (f) atvejai. Dažnai vadovaujamasi mitu, kad BDAR reikalauja tvarkyti asmens duomenis tik turint asmens sutikimą. Pavyzdžiui, pasirašant sutartį, prašoma kliento sutikimo, kad jo duomenys būtų tvarkomi sutarties vykdymo, pirkinio garantinio aptarnavimo ar pan. tikslu. Iš tiesų, kaip minėta, sutikimas ((a) punktas) yra tik vienas iš šešių teisėto asmens duomenų tvarkymo pagrindų. Minėtu atveju duomenys gali būti tvarkomi sutarties vykdymo pagrindu ((b) punktas), o prašomas sutikimas, kurį asmuo yra priverstas duoti, prieštarauja BDAR reikalavimams. Tuo tarpu tiesioginė rinkodara beveik visais atvejais galima tik turint asmens sutikimą.
Atlikus tokią „inventorizaciją“, svarbu tai tinkamai ir aiškiai pateikti Privatumo politikoje. Tai galima padaryti labai paprastai, apibendrintai, pavyzdžiui, lentelės forma.
Ar reikia nurodyti slapukus?
Slapukų pagalba yra renkami asmens duomenys. Todėl apie slapukų naudojimą reikia informuoti interneto svetainės lankytojus, o tam tikrų slapukų (analitinių, rinkodaros) atveju taip pat būtina gauti ir lankytojo sutikimą. Vienas iš informavimo apie slapukus būdų yra informacijos nurodymas Privatumo politikoje arba atskiro slapukų politikos ar slapukų sąrašo pateikimas. Tačiau geriausias būdas tinkamai susitvarkyti su slapukais yra tam skirto įrankio įdiegimas. Slapukų įrankiai padeda tiek teisingai surinkti reikiamus sutikimus, tiek informuoti apie juos. Todėl jeigu naudojate tinkamą slapukų įrankį, Privatumo politikoje apie juos rašyti nereikia.
Galerijoje pavaizduoti informavimo apie naudojamus slapukus pavyzdžiai.
Kokią informaciją reikia pateikti?
Toliau pateiksime sąrašą informacijos, kurią pagal BDAR reikalavimus duomenų valdytojas turi pateikti asmeniui duomenų gavimo metu. Šis sąrašas ir yra tai, kas privalo būti Privatumo politikoje.
BDAR reikalavimas: Duomenų valdytojo ir, jeigu taikoma, duomenų valdytojo atstovo tapatybė ir kontaktiniai duomenys.
Ką tai reiškia? Nurodykite savo (įmonės) rekvizitus bei kontaktinius duomenis.
BDAR reikalavimas: Duomenų apsaugos pareigūno, jeigu taikoma, kontaktiniai duomenys.
Ką tai reiškia? Jeigu esate paskyrę duomenų apsaugos pareigūną (DAP), nurodykite jo kontaktinius duomenis.
BDAR reikalavimas: Duomenų tvarkymo tikslai ir teisinis pagrindas; kai duomenų tvarkymas atliekamas teisėto intereso pagrindu, teisėti duomenų valdytojo arba trečiosios šalies interesai.
Ką tai reiškia? Pateikite informaciją, kurią identifikavote, atlikdami „inventorizaciją“. Turi būti aiškiai išskirta: (i) tikslas; (ii) tuo tikslu tvarkomi duomenys; (iii) teisinis pagrindas. Jeigu nustatėte, kad duomenys tvarkomi teisėto intereso pagrindu ((f) punktas), nurodykite, koks tas teisėtas interesas (pavyzdžiui, vaizdo stebėjimas gali būti vykdomas teisėto intereso užtikrinti pastato ir darbuotojų saugumą pagrindu).
Jeigu duomenis tvarkote sutikimo pagrindu, taip pat turite informuoti, kad asmuo turi teisę bet kuriuo metu atšaukti sutikimą.
BDAR reikalavimas: Jei yra, asmens duomenų gavėjai arba asmens duomenų gavėjų kategorijos.
Ką tai reiškia? Nurodykite, kokiems tretiesiems asmenims galite perduoti asmens duomenis ar suteikti prieigą prie jų, ar bent tokių asmenų kategorijas (pavyzdžiui, buhalterines, IT paslaugas teikiančios įmonės, mokėjimo paslaugų teikėjai, pristatymo paslaugų teikėjai).
BDAR reikalavimas: Kai taikoma, apie duomenų valdytojo ketinimą asmens duomenis perduoti į trečiąją valstybę arba tarptautinei organizacijai.
Ką tai reiškia? Aktualu, jeigu duomenis perduodate už Europos Ekonominės Erdvės ribų. Jeigu neperduodate, galite taip ir nurodyti.
BDAR reikalavimas: Asmens duomenų saugojimo laikotarpis arba, jei tai neįmanoma, kriterijai, taikomi tam laikotarpiui nustatyti.
Ką tai reiškia? Patartina šią informaciją pateikti kiekvieno tikslo atžvilgiu, nes priklausomai nuo asmens duomenų tvarkymo tikslo, šis terminas skirsis (pavyzdžiui, kliento vardą ir pavardę sutarties vykdymo tikslu galite saugoti 10 metų, nes tiek saugosite popierinę sutartį, o tuos pačius duomenis tiesioginės rinkodaros tikslu galite saugoti tik tol, kol galioja asmens sutikimas (pavyzdžiui, 1 metus)).
BDAR reikalavimas: Informacija apie duomenų subjektų teises: teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, arba teisę nesutikti, kad duomenys būtų tvarkomi, taip pat teisę į duomenų perkeliamumą; teisę pateikti skundą priežiūros institucijai.
Ką tai reiškia? Turite informuoti apie tai, kokias teises asmenys turi ir kaip jas gali įgyvendinti. Nurodoma, kaip su jumis galima susisiekti (galbūt turite specialų el. pašto adresą), taip pat turite nurodyti priežiūros institucijos (Valstybinės duomenų apsaugos inspekcijos) kontaktus.
BDAR reikalavimas: Tai, ar asmens duomenų pateikimas yra teisės aktais arba sutartyje numatytas reikalavimas, ar reikalavimas, kurį būtina įvykdyti norint sudaryti sutartį, taip pat tai, ar duomenų subjektas privalo pateikti asmens duomenis, ir informaciją apie galimas tokių duomenų nepateikimo pasekmes.
Ką tai reiškia? Aiškiai nurodykite, jeigu asmens duomenis pateikti yra privaloma, ir kokios bus nepateikimo pasekmės.
BDAR reikalavimas: Tai, kad esama automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.
Ką tai reiškia? Aktualu, jeigu atliekamas automatizuotas sprendimų priėmimas arba vykdote profiliavimą. Atkreipkite dėmesį, kad šiais atvejais gali būti reikalingas ir atskiras aiškus asmens sutikimas ir vien informacijos pateikimas Privatumo politikoje gali būti nepakankamas.
Pabaigai reikėtų pasakyti, kad svarbiausia – ne dokumento ilgis ar sudėtingumas, o tai, kad jis atitiktų jūsų verslo modelį. Taip pat svarbu, kad tai, ką nurodote Privatumo politikoje, įgyvendintumėte praktikoje.
Publikaciją parengė Giedrė Rimkūnaitė-Manke, advokatų kontoros Glimstedt advokatė, ekspertė, duomenų apsaugos, intelektinės nuosavybės, technologijų, žiniasklaidos ir komunikacijų praktikos vadovė, projekto „Glimstedt jaunam verslui” iniciatorė.
