Политика за защита на личните данни за уебсайт – какво трябва да включва?

Ако имам уебсайт, който събира каквито и да е лични данни – дори само имейл адрес за абонамент за бюлетин – трябва да имам политика за защита на личните данни. Това не е препоръка, а правно задължение по GDPR. В тази статия обяснявам какво представлява тази политика, как се различава от общите условия, какво задължително трябва да съдържа и как да я напиша на разбираем за потребителите език.

Какво е политика за защита на личните данни?

Политиката за защита на личните данни (позната и като privacy policy) е документ, в който обяснявам на потребителите на моя сайт как събирам, използвам, съхранявам и защитавам техните лични данни. Тя е задължителна за всеки администратор на уебсайт, който обработва лични данни на физически лица – граждани на Европейския съюз.

Основата е Регламент (ЕС) 2016/679, по-известен като GDPR. Той изисква обработването на лични данни да е прозрачно – хората трябва да знаят кой обработва данните им, защо и как. Политиката за лични данни е именно инструментът, чрез който осигурявам тази прозрачност.

Повече за правата на потребителите при обработка на лични данни мога да намеря в статията GDPR и лични данни - какви са правата на потребителите?

Каква е разликата между политиката за лични данни и общите условия?

Двата документа се бъркат често, но служат за различни цели:

• Общите условия уреждат договорните отношения между мен и потребителя – правила за ползване на сайта, отговорност, права и задължения на двете страни. За изготвяне на общи условия е добре да се обърна към специалист, тъй като съдържанието им зависи от конкретния бизнес модел.
• Политиката за лични данни е строго информационен документ – не регулира договорни отношения, а информира хората как се обработват данните им. Тя произтича от изискванията на GDPR, а не от договорното право.

На практика много сайтове публикуват и двата документа – единият урежда правилата за ползване, а другият – защитата на данните. Те могат да бъдат отделни страници или обединени в един документ, стига всичко необходимо да е ясно и достъпно.

Задължително ли е да имам политика за лични данни на сайта си?

Да – за всеки сайт, който събира лични данни. Ако сайтът ми:

• има формуляр за контакт,
• предлага абонамент за имейл бюлетин,
• ползва Google Analytics или Facebook Pixel,
• използва бисквитки (cookies), проследяващи потребителско поведение,
• позволява регистрация на потребители,
• приема поръчки или плащания,

– тогава събирам лични данни и политиката за лични данни е задължителна. Дори само IP адресът на посетителя може да се счита за лични данни при определени обстоятелства.

Санкциите при липса на политика или при непълна такава могат да достигнат до 20 милиона евро или 4% от глобалния годишен оборот на предприятието – каквото е по-голямо. Затова не трябва да пренебрегвам този документ.

За общите правила за регистрация като администратор на лични данни препоръчвам статията Общите указания за регистрация като администратор на лични данни.

Какво задължително трябва да съдържа политиката за защита на личните данни?

Член 13 и член 14 от GDPR изброяват изчерпателно информацията, която трябва да предоставя. Ето задължителните елементи:

1. Кой е администраторът на личните данни

Трябва да посоча пълното си наименование (като физическо или юридическо лице), адрес и данни за контакт. Ако сайтът се управлява от фирма, посочвам ЕИК, седалище и адрес на управление.

2. Какви лични данни се събират

Описвам конкретно какви данни събирам – имена, имейл адрес, телефон, IP адрес, данни за местоположение, история на поръчките, поведение при сърфиране и т.н. Принципът е минимизация на данните – събирам само това, което ми е необходимо.

3. Цели на обработването

Обяснявам защо събирам данните – за изпращане на бюлетини, за изпълнение на поръчки, за анализ на трафика, за реклама и т.н. Не мога да обработвам данни за цели, различни от декларираните.

4. Правно основание за обработването

GDPR изисква всяко обработване да има правно основание. Най-честите са:

• Съгласие – потребителят е дал изрично съгласие (напр. за маркетинг имейли)
• Изпълнение на договор – необходимо е за изпълнение на поръчката
• Законово задължение – напр. данъчно законодателство
• Легитимен интерес – напр. сигурност на сайта

5. Получатели на данните

Ако споделям данни с трети страни – куриерски фирми, платежни оператори, маркетинг платформи, облачни услуги – трябва да го декларирам. Ако трети страни се намират извън ЕС/ЕИП, трябва да посоча каква защита е осигурена.

6. Срок на съхранение на данните

Трябва да посоча колко дълго ще пазя данните – или конкретен срок, или критериите, по които го определям. Не мога да пазя данни „завинаги" без основание.

7. Права на субектите на данни

Хората, чиито данни обработвам, имат следните права, за които трябва да ги информирам:

• Право на достъп до данните
• Право на коригиране
• Право на изтриване („право да бъда забравен")
• Право на ограничаване на обработването
• Право на преносимост на данните
• Право на възражение срещу обработването
• Право на оттегляне на съгласието

За повече информация относно правото на изтриване от търсачките виж Правото ми да бъда забравен от търсачките в интернет.

8. Данни за контакт с длъжностното лице по защита на данните (DPO)

Ако съм задължен да имам DPO (длъжностно лице по защита на данните), трябва да посоча неговото данни за контакт. Малкият бизнес обикновено не е задължен да назначава DPO, но ако реша да имам такова лице, посочвам контактите му.

9. Право на жалба до КЗЛД

Задължително трябва да информирам потребителите, че имат право да подадат жалба до Комисията за защита на личните данни (КЗЛД) – надзорния орган в България. Адрес: бул. „Проф. Цветан Лазаров" № 2, 1592 София; уебсайт: www.cpdp.bg.

Как да напиша политиката за лични данни на ясен и достъпен език?

GDPR изрично изисква политиката да е написана на „ясен и разбираем език". Ето практически съвети:

• Избягвам правния жаргон. Вместо „обработване на лични данни на основание чл. 6, ал. 1, б. а от Регламент (ЕС) 2016/679" пиша: „Използвам имейл адреса ти, за да ти изпращам бюлетин, само ако си дал съгласие за това."
• Структурирам с ясни заглавия. Хората трябва да могат да намерят конкретна информация бързо.
• Посочвам конкретни примери. Вместо „трети страни" пиша „куриерска фирма Speedy, платежна система Stripe".
• Добавям дата на последна актуализация. Политиката трябва да се обновява при промени в практиките по обработване на данни.

Трябва ли политиката за лични данни да е видима на сайта?

Да – трябва да е лесно достъпна. Стандартната практика е да добавя линк към нея в:

• Долното меню (footer) на всяка страница
• Всяка форма, в която събирам данни (контактна форма, формуляр за поръчка)
• Cookie банера при влизане в сайта

Препоръчвам да прочета и статията Как законосъобразно да използвам бисквитки (cookies) в своя уебсайт?, тъй като политиката за бисквитки е тясно свързана с политиката за лични данни.

Кога да актуализирам политиката?

Политиката трябва да се актуализира при:

• Промяна в събираните данни или целите на обработване
• Нови партньори или обработващи лица
• Промени в законодателството
• Промяна в сроковете на съхранение

Добра практика е да преглеждам политиката поне веднъж годишно.

Как мога да получа помощ?

Изготвянето на коректна политика за защита на личните данни изисква познания за специфичните практики на конкретния сайт и приложимото законодателство. За персонализиран GDPR наръчник, включващ политика за лични данни, съобразена с дейността на моя сайт, мога да се обърна към Advokatami.bg.

Ако имам онлайн магазин или по-сложна бизнес структура, препоръчвам да разгледам и професионалните общи условия и политики, предлагани от Advokatami.bg, тъй като политиката за лични данни трябва да е в съответствие с останалите правни документи на сайта.

Намирам полезна информация и в статията Какви са новите правила за защита на лични данни (GDPR)?, която обяснява общата рамка на регулацията. За цялостно въвеждане на GDPR – от политика за лични данни до регистри на обработването – се обръщам към Advokatami.bg.

Накратко

Политиката за защита на личните данни не е просто правен формализъм – тя е знак на уважение към потребителите на моя сайт и условие за доверие в онлайн пространството. Добре написана, на достъпен език, тя защитава едновременно хората, чиито данни обработвам, и мен като администратор – от санкции, жалби и правни рискове. Ако сайтът ми събира каквито и да е данни, инвестицията в коректна политика за защита на лични данни е задължителна и абсолютно оправдана.