Cum redactăm o politică de confidențialitate GDPR & user friendly

Article Cum redactăm o politică de confidențialitate GDPR & user friendly | Decalex

Deși pentru multe companii politica de confidențialitate pare a fi doar un document care trebuie să existe pe site, aceasta este de fapt prima dovada a modului în care o organizație a implementat GDPR. Este una dintre cele mai vizibile indicii a unei conformări superficiale și implicit unul dintre primele locuri în care autoritatea de supraveghere se uită când are o suspiciune privind alinierea la Regulamentul (EU) 2016/679 (GDPR)

Acest articol își propune să descrie principalele aspecte pe care trebuie să le aveți în vedere la redactarea politicii de confidentialitate, urmărind îndeaproape orientările Article 29 Working party (predecesorul EDPB-ului). Am inclus și câteva exemple de cum ar trebui să arate politica, pentru a fi mai simplu de parcurs de care utilizator și pentru a-i oferi o experiența cât mai plăcută acestuia.

Ce este o politica de confidențialitate?

O politică de confidențialitate este o declarație care descrie modul în care o companie, prin intermediul unui website, a unei aplicații mobile sau un smart gadget, colectează, gestionează și prelucrează datele cu caracter personal ale clienților și vizitatorilor săi. 

Practic, politica de confidențialitate este instrumentul prin care organizația informează utilizatorul asupra modului și scopul în care datele sale sunt prelucrate, pentru cât timp și cu cine sunt partajate. 

Prin intermediul acestei politici, compania demonstrează respectarea principiului responsabilității prevăzut de GDPR, în special în ceea ce priveste echitatea si transparenta prelucrării datelor cu caracter personal. 

Rolul principal al transparenței prelucrării datelor este de a consolida încrederea utilizatorilor în procesele care îi afectează, oferindu-le posibilitatea de a înțelege si, atunci cand este necesar, de a contestă aceste prelucrări.

Ce conține o politică de confidențialitate?

Articolele 12-14 din GDPR impun o serie de informații ce trebuiesc furnizate utilizatorilor atunci cand le sunt prelucrate datele.

Aceste informații sunt:

  • identitatea și datele de contact ale organizației 
  • date de contact ale responsabilului cu protectia datelor
  • scopurile și temeiul juridic al prelucrării 
  • interesele legitime urmărite (dacă este cazul)
  • categoriile de date cu caracter personal
  • destinatarii (sau categoriile de destinatari) ai datelor
  • detaliile privind transferurile către tari terte, acțiunile acestora și detaliile privind garanțiile relevante 
  • perioada de stocare 
  • drepturile persoanei vizate de: acces; rectificare; ștergere; restrictionare a prelucrarii; contestare a prelucrării și portabilitate
  • dreptul de a retrage consimțământul în orice moment (dacă este cazul)
  • dreptul de a depune o plangere in fata unei autoritati de supraveghere 
  • existența unui proces decizional automatizat incluzand profilarea

Atentie:

Calitatea, accesibilitatea și gradul de înțelegere a informațiilor sunt la fel de importante ca si conținutul efectiv al informațiilor care trebuie sa fie furnizate persoanelor vizate.

Ce criterii trebuie să respectăm la elaborarea politicii de confidentialitate?

În mod specific, articolul 12 prevede ca informarea sau comunicarea în cauză trebuie sa respecte următoarele norme: 

  • trebuie sa fie concisă, transparenta, inteligibilă și ușor accesibilă trebuie sa fie utilizat un limbaj clar și simplu 
  • să folosească un limbaj clar și simplu, în special atunci cand informațiile sunt adresate copiilor
  • sa fie realizata în scris „sau prin alte mijloace, inclusiv, atunci cand este oportun, în format electronic 
  • in cazul in care este solicitata de catre persoana vizată, aceasta poate fi furnizata oral 
  • aceasta trebuie asigurata, în general, cu titlu gratuit 

Câteva recomandări pentru a asigura respectarea criteriilor enumerate anterior

Intr-o forma concisă, transparentă, inteligibilă și ușor accesibilă

Informațiile trebuie comunicate în mod eficient și succint pentru a evita supraîncărcarea cu informații (adică scurt și la obiect)

Informațiile furnizate trebuie diferențiate în mod clar de alte informații care nu se referă la confidentialitate, cum ar fi condițiile generale de utilizare (ex. Termenii și condițiile)

Prin „inteligibile” se înțelege ca acestea ar trebui să fie înțelese de către un utilizator de nivel mediu, nu doar de specialisti 

“Ușor accesibil” înseamnă ca utilizatorul ar trebui să vadă imediat locul și modul în care pot fi accesate aceste informații. Chiar și în cazul unei aplicații, aceste informații nu trebuie sa se regaseasca la mai mult de 2 click-uri distanță.

Utilizând un limbaj clar și simplu

Nu ar trebui sa fie formulate în termeni abstracti sau ambivalenti ori sa lase loc unor interpretări diferite. 

Informațiile furnizate trebuie sa fie accesibile tuturor utilizatorilor. Cu alte cuvinte nu trebuie sa conțină un limbaj sau terminologie prea juridica, tehnica sau de specialitate (vocabularul avocatesc trebuie evitat)

Se vor evita sintagmele calificative precum „este posibil”, „s-ar putea”, „unele”, „deseori” si „posibil”

 

asa NU!

Este posibil sa utilizam datele dumneavoastra cu caracter personal pentru a dezvolta produse noi” -  nu este clar care sunt serviciile sau cum vor ajuta datele la dezvoltarea acestora)

 

asa Da!

Vom retine istoricul dumneavoastra de cumparaturi si vom utiliza detalii despre produsele pe care le-ati cumparat anterior pentru a va face sugestii de alte produse de care consideram ca veți fi, de asemenea, interesat(a)” - este clar ce tip de date vor fi prelucrate, faptul ca persoana vizată va face obiectul unor anunturi vizate pentru produse si ca datele sale vor fi utilizate pentru a permite acest lucru

Informarea copiilor 

În cazul în care site-ul/aplicația/gadget se adresează copiilor sub 16 ani sau știe ca este utilizată în special de către copii (în baza pe consimțămantul tutorelui), acesta ar trebui să se asigure că vocabularul, tonul și stilul limbajului utilizat sunt adecvate si adaptate copiilor copiii, astfel incat copilul sa constientizeze faptul ca informațiile îi sunt adresate.

Furnizate în scris sau prin alte mijloace

De regula, politica de confidentialitate se constituie în scris, în format letric sau digital și poate contine clipurile video, benzi desenate, infografice, diagrame sau altele asemenea, în special cand se adresează copiilor.

Este important de analizat modul în care operatorul și utilizatorul interacționează pentru a alege metoda adecvata de furnizare a informațiilor. Spre exemplu, în cazul unui dispozitiv inteligent, politică de confidentialitate poate fi inclusă în manualul de utilizare, sub forma unui link sau sub forma unui cod QR.

Abordare stratificată în mediul digital

În mediul online, utilizarea unei politici de confidentialitate stratificate va permite persoanei vizate sa navigheze imediat la secțiunea specifică care îl interesează, nu sa fie nevoită să parcurgă un volum mare de text în căutarea unor aspecte specifice. Iar acest lucru cu siguranta va fi foarte apreciat!

Cu alte cuvinte, implementarea unui meniu de tip acordeon în dezvoltarea politicii de confidentialitate este una dintre cele mai practice și mai elegante moduri prin care sa transmiteti utilizatorului informația. 

Iată și un exemplu de cum credem noi ca ar trebui sa arate toate politicile de confidentialitate, pentru a nu mai fi “chestia aia lungă și plictisitoare pe care nimeni nu se sinchisește să o citească”

exemplu de politica de confidentialitate structurata

sursa: https://www.outbrain.com/legal/privacy#privacy-policy

 

Ai avut vreodată răbdare să citești integral o politică de confidențialitate?

Ne-am obișnuit să dăm by default click pe accept politica de confidentialitate fără să aruncăm măcar un ochi, încă de pe vremea în care chiar dacă o citeai și te luai cu mainile de cap, nu aveai la indemana instrumentele necesare sa te opui. Însă de la intrarea in vigoare a GDPR-ului, online-ul este într-o continuă schimbare. Poate nu atât de rapidă pe cât ar trebui, am spune noi, însă importantă este direcția în care se îndreaptă.

 

Dacă tot începe lumea să citească aceste politici, atunci hai să le facem mai digerabile. Noi recomandăm clienților noștri ca, în locul celebrei bife 🗹 care confirma “citirea politicii”, să implementăm o fereastra pop-up (care sa apară atunci cand utilizatorul da click pe butonul care consfințește trimiterea datelor) care sa descrie, succint prelucrarea si angajamentul organizației privind securitatea si confidențialitatea datelor personale. Practic un preview al politicii de confidențialitate.

 

Întrebări frecvente privind politica de confidențialitate

Am nevoie de politica de confidențialitate dacă nu prelucrez date prin intermediul site-ului?

Este greu de crezut că un business prezent in online nu prelucrează date cu caracter personal. Chiar dacă nu există integrat în site un formular prin care care să colecteze date, existând pe site doar o adresa de e-mail la care utilizatorii te pot contacta, se recomandă să ai o politică de confidențialitate prin care să explici ce vei face cu datele utilizatorului după ce acesta te-a contactat.  

Unde afișez politica de confidențialitate

Într-un loc vizibil, ușor de accesat și intuitiv, cum este, spre exemplu, footer-ul site-ului, sau în secțiunea „Meniu”. Nu uitați ca aceasta nu trebuie să se regăsească niciodată la mai mult de două click-uri distantă! 

Am nevoie de un specialist  GDPR pentru a redacta politica de confidentialitate?

De principiu oricine poate redacta o politică, atâta timp cât deține toate cunoștințele necesare pentru a se apuca de redactat. 

Foarte important este sa vă cunoasteti compania, sa intelegeti fluxurile de date implicate și să le transpuneți, pe toate, cat mai transparent posibil in politica. 

Iata cateva exemple de prelucrari de date, intalnite in practica, in mediul online:

  • înregistrarea unui cont de utilizator
  • solicitarea suportului tehnic
  • contactarea companiei prin intermediul canalelor de contact disponibile in site sau social media

Trebuie sa înregistrez acordul utilizatorului cu privire la politica de confidentialitate?

Operatorul trebuie sa poată demonstra respectarea principiului transparenței, ceea ce înseamnă ca trebuie să poată demonstra ca utilizatorul a avut acces la aceste informații. 

Cat de des trebuie să actualizez politica de confidențialitate?

Nu exista o perioadă definită în care trebuie actualizata politica. Aceasta trebuie actualizată ori de câte ori exista o modificare în fluxurile de date, cum ar fi apariția unei prelucrari noi.

Cu toate acestea, recomandăm ca măcar odata pe an sa analizati daca au existat modificari interne sau externe care impun actualizarea politicilor.

Compania ta are nevoie de o politica de confidentialitate sau actualizarea ei?

Pentru mai multe detalii vă invităm pe site-ul nostru decalex.ro sau ne puteți contacta la adresa de email office@decalex.ro. Vom răspunde cu drag tuturor întrebărilor voastre!

 

Share:
Cristian Donciu
Autor: Cristian Donciu

Junior Privacy & Data Protection Consultant

PUNE O INTREBARE