Ce trebuie să conțină o notă de informare privind prelucrarea datelor personale pe un site?
12 minute • Adina Miclăuș • 23 martie 2022
De aproape 4 ani de zile, avem un regulament la nivel european privind protecția datelor cu caracter personal sau, mai pe scurt, GDPR. Această normă ne spune, printre altele, că ar trebui să avem o notă de informare privind prelucrarea datelor personale sau, pe scurt, un document prin care spunem persoanelor cum anume le prelucrăm datele personale. Ce trebuie să conțină un asemenea document, în ce manieră trebuie să îl redactăm & so on, aflăm acum.
Ce este o notă de informare cu privire la prelucrarea datelor personale?
GDPR stabilește, printre altele, detaliile privind nota de informare către persoana vizată.
Acesta este un document care detaliază modul în care o companie prelucrează datele cu caracter personal ale utilizatorilor. Pe înțelesul tău, o notă de informare cu privire la prelucrarea datelor este acel document prin care spui persoanelor vizate (adică persoanelor cărora le prelucrezi datele), ce date le prelucrezi, ce faci cu ele mai departe și cum le ții în siguranță.
De aceea, o notă de informare bine scrisă trebuie să fie clară și ușor de înțeles. Acest ghid te ajută să navighezi cerințele complexe privind notele de informare, explicându-ți ce sunt datele personale, ce elemente trebuie să cuprindă nota de informare, de ce e important să ai o notă de informare bine pusă la punct, în ce limbaj să o scrii, dar și care sunt sancțiunile dacă nu ai o notă de informare bună.
PS: mai găsești nota de informare pe diverse site-uri sub denumirea de ”GDPR” sau ”politică de prelucrare date personale”. Nu este chiar cel mai corect lucru din lume deoarece GDPR este regulamentul care reglementează tot acest domeniu, iar politica de prelucrare este cea care există la nivelul companiei în general și nu se referă doar la modul în care informezi persoanele despre prelucrare.
Cui i se aplică GDPR?
Înainte de toate, trebuie să verifici dacă ți se aplică GDPR.
GDPR se aplică atunci când:
- operatorul de date (și/sau persoana împuternicită?) are sediul în UE, indiferent de locul unde sunt prelucrate datele;
- operatorul de date (și/sau persoana împuternicită?) nu are sediul în UE, dar prelucrarea datelor cu caracter personal se realizează în vederea:
- furnizării de bunuri sau servicii către persoane din UE;
- monitorizării comportamentului persoanelor fizice din UE.
Ce sunt datele cu caracter personal?
Datele cu caracter personal sunt orice informații care se referă la o persoană identificată sau identificabilă.
Astfel, persoana vizată este persoana identificată sau identificabilă căreia îi aparțin datele prelucrate. Practic, persoana vizată este orice persoană care poate fi identificată direct sau indirect, prin informații de tipul:
Aceste date le poți prelucra mai mult sau mai puțin fără bătăi de cap. Excepții de la categoriile de date care se pot prelucra ”ușor” sunt categoriile speciale, care necesită operațiuni suplimentare de securitate și de prelucrare, și anume datele care privesc:
- origine rasială sau etnică;
- orientare sexuală;
- opinii politice;
- convingeri religioase;
- date genetice;
- date biometrice;
- date privind condamnări sau infracțiuni penale, mai puțin atunci când legislația națională sau europeană permite acest lucru.
Atenție! Datele cu caracter personal care au fost anonimizate, pseudonomizate sau criptate sunt vizate de GDPR dacă totuși pot fi folosite pentru identificarea unei persoane.
Tocmai de aceea nu este de ajuns doar să spui că datele tale sunt pur și simplu anonimizate. Este important ca metoda prin care ajungi la această anonimizare, prin oferirea unor indicatori de clasificare specifici, să nu îți permită să identifici ulterior persoanele vizate. Sau ca această deanonimizare să aibă loc doar la nivel de senior executive sau senior management.
Ce elemente trebuie să cuprindă nota de informare?
Art. 13 GDPR prevede elementele pe care trebuie să le cuprindă nota de informare către persoana vizată, pe care le vom aborda și noi în cele ce urmează.
Identitatea operatorului și datele de contact ale administratorului
Datele cu caracter personal pot ajunge la mai multe companii în procesul de prelucrare. De aceea, este importantă distincția dintre operatorul de date și persoana împuternicită de operatorul de date. Identitatea acestora trebuie trecută în nota de informare.
Operatorul este persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal pe care le-a colectat, în timp ce persoana împuternicită de acesta este persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care doar prelucrează datele cu caracter personal în numele operatorului, fără a avea putere decizională cu privire la scopurile și mijloacele de prelucrare.
Uite, de exemplu, un fragment din politica de confidențialitate Uber.
Tipurile de date personale colectate
Este important să identifici toate tipurile de date personale pe care site-ul le colectează. Asigură-te că înțelegi ce date se colectează, în ce fel sunt colectate și cum sunt prelucrate. Explică acest proces cât de clar și detaliat se poate.
Aici poți vedea, ca exemplu, fragmentul relevant din politica de confidențialitate Microsoft.
Aceasta este versiunea scurtă a poveștii. Nu prea te lămurești, nu? Tocmai de aceea ai și variantă lungă, pe care o vezi mai jos.
Scopul prelucrării datelor cu caracter personal și temeiul legal
Odată ce ai clarificat ce date personale se colectează, trebuie să explici care este scopul colectării și temeiul legal.
Scopul prelucrării răspunde la întrebarea ”de ce?” prelucrezi respectivele date, care este obiectul tău cu ele.
Microsoft redă pe scurt motivele pentru care prelucrează datele cu caracter personal, oferindu-ți opțiunea de a afla mai multe cu un click (vei vedea mai jos de ce poate fi chiar folositor pentru utilizator să îi expui mai întâi elementele esențiale, în loc să îl copleșești din prima cu date complexe).
Dar nu poți prelucra aceste date fără un temei legal. Temeiul legal, care nu este doar legea, este ceea ce-ți dă voie să prelucrezi respectivele date. Poți afla mai multe despre temeiurile legale aici.
Politica privind protecția datelor cu caracter personal
Aici vei explica felul în care sunt protejate datele cu caracter personal pe care le colectezi și prelucrezi. Vei satisface principiile generale ale GDPR, și anume faptul că prelucrarea datelor trebuie să fie legală, echitabilă și transparentă, iar colectarea este explicită și se realizează pentru utilizări specifice, în scopuri legitime. Tot aici vei trece și datele de contact ale Autorității Naționale de Supraveghere.
Nivelul de protecție pe care trebuie să îl oferi depinde și de tipul de date colectate. Spre exemplu, informațiile bancare necesită mai multă protecție. Ca să înțelegi mai bine acest aspect, compară politica Visa cu cea Apple.
Transmiterea datelor cu caracter personal către terți
Partea terță este persoana fizică sau juridică, autoritatea publică, agenția sau organismul, altul decât persoana vizată, operatorul de date, persoana împuternicită de operator sau persoanele autorizate să prelucreze datele cu caracter personal.
Dacă site-ul tău se bazează pe instrumente de analiză web, de exemplu, este esențial să prezinți cum sunt transmise și prelucrate datele în acest scop – altfel, încălcarea prevederilor GDPR în acest sens poate duce la sancțiuni de până la 4% din cifra de afaceri.
Uite un exemplu detaliat din politica Apple.
Utilizarea modulelor cookie și a altor tehnologii de urmărire
Un site poate utiliza doar module cookie originale, care sunt instalate în site-ul respectiv și pot fi citite doar de către acesta, sau module cookie de la terți. În orice caz, folosirea acestora trebuie menționată în nota de informare. Acest lucru nu trebuie făcut în detaliu, însă, deoarece vei avea o politică separată privind utilizarea modulelor cookie.
Uite, de exemplu, fragmentul din politica Microsoft, care și explică ce sunt modulele cookie.
Perioada de stocare a datelor cu caracter personal
De exemplu, Spotify a inclus în această secțiune a politicii de confidențialitate nu doar perioada de stocare, dar și câteva modele de scopuri pentru care Spotify stochează datele.
Drepturile persoanelor vizate și modalități de exercitare
Nota de informare trebuie să surprindă o secțiune care detaliază cum persoanele vizate pot accesa datele personale prelucrate. Ține cont de faptul că GDPR asigură dreptul persoanelor vizate de a li se șterge datele cu caracter personal, fără întârziere nejustificată, cu excepția situațiilor în care ștergerea datelor personale împiedică exercitarea dreptului la liberă exprimare și informare, respectarea unei obligații legale, interesul public, cercetarea științifică, istorică sau statistică, sau constatarea, exercitarea sau apărarea unui drept în instanță.
Tot în această secțiune poți include un link către formularul tău pentru cererea pentru exercitarea dreptului de acces.
Politica de confidențialitate Apple explică, prin referire la exemple concrete, care sunt drepturile utilizatorilor cu privire la confidențialitatea datelor.
De ce e important să ai o notă de informare pusă la punct?
Nota de informare este unul din cele mai importante documente pe care le afișezi pe site. Nu doar că prezența notei de informare este prevăzută de lege și adesea cerută de terți cu care interacționezi, cum ar fi Google, dar ajută și la crearea unei relații bazată pe încredere între site-ul tău și utilizator. Transparența pe care nota de informare o asigură este esențială pentru ca utilizatorii site-ului tău să se simtă în siguranță navigându-l.
În plus, cu cât este mai bine scrisă nota de informare, cu atât ești mai protejat de posibile amenzi și vizite în instanță.
Limbajul atunci când scrii nota de informare
Un paradox al legilor privind confidențialitatea datelor este că, deși notele de informare au scopul de a proteja utilizatorul, foarte puțini utilizatori într-adevăr citesc aceste documente. Un experiment realizat de firma de avocatură Linklaters demonstrează că sub 1% din vizitatori au citit notele de informare pentru platformele vizate. Un mod de a îmbunătăți aceste date este de a scrie nota de informare într-un mod accesibil. Folosește limbaj friendly, imagini și video-uri acolo unde este posibil și asigură-te că informația esențială este ușor și rapid de identificat – pentru că oricât de accesibilă ai face nota de informare, tot nu va fi citită în întregime de către toți utilizatorii.
Uite, de exemplu, cum începe politica de confidențialitate Google, cu limbaj user-friendly, imagini, icoane, ilustrații, dar și video-uri pentru a-ți explica într-un mod cât mai accesibil cum îți sunt prelucrate datele.
Ține cont și de publicul țintă al site-ului tău și verifică frecvent statisticile pentru a putea optimiza, printre altele, și nota de informare. Dacă te adresezi unor copii, pe lângă elementele impuse de lege privind consimțământul (copilul trebuie să aibă peste 16 ani, Statele Membre putând modifica vârsta minimă până la 13, iar părinții trebuie să își dea acordul pentru copiii cu vârsta sub 16 ani), ține cont de acest aspect și atunci când scrii nota de informare.
Privește cum abordează Apple această temă.
Pentru a te asigura că nota de informare este ușor de citit, ai grijă și la aspect și structură. Folosește headlines, link-uri către alte documente (cum ar fi formularul pentru cererea pentru exercitarea dreptului de acces, sau politica separată privind modulele cookie) și include un cuprins.
Aruncând o privire tot la politica de confidențialitate Google, observă cât de aerisit este textul, cum poți vedea explicații adiționale în partea dreaptă odată ce selectezi textul subliniat cu albastru, dar și cuprinsul trecut în partea stângă.
Sancțiuni
Ca să înțelegi și mai bine importanța unei note de informare puse la punct, ai aici o listă cu sancțiunile pentru încălcarea prevederilor GDPR:
- avertismentul;
- amenda contravențională de până la 10 mil. EUR, sau, în cazul unei întreprinderi, până la 2% din cifra de afaceri, care este mai mare, pentru încălcarea:
- obligațiilor operatorului și ale persoanei împuternicite de operator în conformitate cu art. 8, 11, 25-39, 42-43;
- obligațiile organismului de certificare în conformitate cu art. 42 și 43;
- obligațiile organismului de monitorizare în conformitate cu art. 41, alin. (4);
- amenda contravențională de până la 20 mil. EUR, sau, în cazul unei întreprinderi, până la 4% din cifra de afaceri, care este mai mare, pentru încălcarea:
- principiilor de bază pentru prelucrarea, inclusiv condițiile privind consimțământul, în conformitate cu art. 5-7 și 9;
- drepturile persoanelor vizate în conformitate cu art. 12-22;
- transferurilor de date cu caracter personal către un destinatar dintr-o țară terță sau o organizație internațională, în conformitate cu articolele 44-49;
- oricăror obligații adoptate în temeiul legislației naționale;
- nerespectării unui ordin sau a unei limitări temporare sau definitive asupra prelucrării, sau a suspendării fluxurilor de date, emisă de către autoritatea de supraveghere;
- încălcării unui ordin emis de autoritatea de supraveghere în conformitate cu articolul 58 alineatul (2).Pentru mai multe informații privind GDPR și nota de informare, consultă ghidul GDPR.
La Avocatoo.ro suntem specialiști în GDPR, DPO autorizați și prima companie din România care a făcut un toolkit pentru GDPR de tip DYI și am mai și câștigat prima amendă din România în instanță. Scrie-ne azi și hai să vedem cum poți să-ți protejezi cel mai bine afacerea.
Poză de Fernando Arcos pe Pexels