Политиката за защита на лични данни на потребители на даден уебсайт е документ, който обяснява на потребителите с каква цел и по какъв начин администраторът на уебсайта управлява техните данни. Документът се публикува на сайта, за да бъдат спазени законовите изисквания на Закона за защита на личните данни относно информираност на потребителите.
Ето какви части обикновено съдържа една политика за защита на личните данни:
- Основания за обработка на данни;
- Начин на обработка на данните;
- Мерки за защита;
- Права на потребителите
Основания за обработка на лични данни на потребители на уебсайт
За да обработвате лични данни на потребители е необходимо да имате основание за това. Основанията са посочени изчерпателно в закона и са, както следва:
- Законово задължение за обработка;
- Договорно задължение;
- Изрично съгласие на потребителя;
- Защита на лични или обществени интереси;
- При правен интерес на самия администратор.
По-долу ще опишем всяко от основанията.
Законово задължение
В някои случаи обработването на лични данни се налага от разпоредбите на закона. Такъв е примерът с AML и KYC правилата, които задължават търговеца да идентифицира крайните си клиенти. В тези случаи потребителят не може да откаже обработката на неговите данни.
Изпълнение на договорно задължение
Това е често срещана хипотеза при онлайн магазините. Ако търговецът следва да достави поръчана от потребителя стока, по необходимост той трябва да работи с неговите лични данни като име, адрес и телефон. Подобна обработка на данни обаче може да бъде приложима и при всякакви услуги.
За защита на личните и обществени интереси
Това основание рядко намира приложение в една Политика за защита на личните данни. То съществува за други случаи като например спешната медицина.
При интерес на самия администратор
Лицето, което управлява уебсайта може да има свой легитимен интерес. Това би могло да бъде хипотезата, в която се събират данни за потребителите и начина, по който те използват интерфейса на уебсайта. Потребителят следва да може да откаже обработката на неговите данни на това основание.
При изрично съгласие от потребителя
Ако няма налице друго основание, може да се поиска съгласие от потребителя за всеки случай на обработка на лични данни. Това съгласие следва да бъде недвусмислено и дадено изрично, а не като част от общи условия или по мълчалив начин. Съгласието трябва да може да се отегли по всяко време.
Начин на обработка на личните данни
Има определени методи на работа с лични данни, за които потребителят следва да бъде уведомяван. Такива са основно следните:
- Автоматизирана обработка на данни и профилиране;
- Обработване за целите на директния маркетинг;
- Предоставяне на данните на трети лица.
Това са особени действия, срещу които потребителят би могъл да възрази и такава възможност трябва да му бъде дадена.
Друг важен аспект на обработката е срока на съхранение. По закон данните могат да бъдат обработвани само доколкото това наистина е необходимо и не следва да бъдат съхранявани след отпадане на тази необходимост.
Мерки за защита на данните
Добра практика е в политиката а защита на личните данни да се посочат техническите и физически мерки за защита, които администраторът прилага, за да защити данните на потребителите. Не е необходимо да се изпада в излишни технически детайли, но не би било грешно да се посочат мерки като криптиране, анонимизиране, ограничение на достъпа и физическа защита.
Права на потребителите
Съгласно ЗЗЛД администраторът на лични данни следва да уведомява потребителите за правата, които те имат по отношение на своите лични данни. Тези права са посочени в закона и са, както следва:
- Информираност (във връзка с обработването на личните му данни от администратора);
- Достъп до собствените си лични данни;
- Коригиране (ако данните са неточни);
- Изтриване на личните данни (право „да бъдеш забравен“);
- Ограничаване на обработването от страна на администратора или обработващия лични данни;
- Преносимост на личните данни между отделните администратори;
- Възражение спрямо обработването на негови лични данни;
- Право и да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен;
- Защита по съдебен или административен ред, в случай, че правата на субекта на данни са били нарушени.
Важно е на потребителя да бъда дадена възможност да упражни своите права. За целта трябва да бъде дадена актуална информация за контакт, включително телефон и имейл адрес, на който потребителите да отправят съответните искания. Задължително в политиката за защита на личните данни да присъства и информация за самия търговец.