Privatumo politika — kas joje turi būti ir kaip pasirengti?

Jums pritaikytą privatumo politiką galite lengvai susikurti Doko pagalba (jeigu veikiate nevyriausybiniame sektoriuje, rinkitės specialią NVO internetinės svetainės privatumo politiką), o toliau skaitykite apie tai, kam ji reikalinga ir kas joje turi būti. Su Doku taip pat galite susikurti Slapukų politiką, o apie ją ir slapukų valdymą plačiau skaitykite Naujienų skiltyje: Interneto tinklapio lankytojų informavimas apie slapukus.

Visi pastebime, kad interneto svetainėse, paprastai apatinėje jų dalyje, būna nuoroda į Privatumo politiką ar Privatumo pranešimą, kuriame dažniausiai galime rasti daug teisinio teksto. Tačiau ne visi žinome, kokia iš tiesų yra Privatumo politikos paskirtis.

Bendrasis duomenų apsaugos reglamentas (BDAR) reikalauja, kad duomenų valdytojas informuotų duomenų subjektus apie jo atliekamą asmens duomenų tvarkymą, duomenų subjektų teises ir kt. Įsivaizduokite, kad vykdydami savo veiklą, turėtumėte visą šią informaciją pateikti asmeniškai kiekvienam asmeniui, kurio duomenis tvarkote. Jūsų komunikacija su klientais bei partneriais būtų perkrauta teisiniais BDAR reikalavimais, o dažnu atveju tokį reikalavimą įgyvendinti būtų net neįmanoma.

Tad pagrindinis Privatumo politikos tikslas ir yra informuoti (pateikti informaciją viešai) apie jūsų atliekamą duomenų tvarkymą ir įvykdyti BDAR numatytą informavimo pareigą. Privatumo politika turi būti lengvai pasiekiama jūsų svetainėje. Taip pat nuorodas į Privatumo politiką galite įterpti įvairiais atvejais rinkdami asmens duomenis tiek on-line (pavyzdžiui, prie naujienlaiškio užsakymo ar kontaktų formos), tiek gyvai (pavyzdžiui, renginio medžiagoje ar anketoje). Tokiu būdu įvykdysite pareigą informuoti, kartu nekartodami tos pačios informacijos daug kartų ir neapkraudami dokumentų ar komunikacijos.

Taip pat neretai tenka susidurti su klaidinga nuomone, kad Privatumo politika reikalinga tik elektroninei parduotuvei ar kitai veiklai internete. Tai netiesa. Taip, Privatumo politika skelbiama viešai, paprastai interneto svetainėje. Tačiau ji reikalinga ir tada, kai veikla yra vykdoma off-line. Nesvarbu, ar asmens duomenis renkate internete ar gyvai, Privatumo politika informuojate duomenų subjektus apie jų asmens duomenų tvarkymą bei jų teises.

Kaip rodo praktika, verslo atstovai ne visada žino, kas turi būti numatyta Privatumo politikoje, tačiau žinodami, kad toks dokumentas reikalingas (na, nes juk visi jį turi), bando jame atkartoti teisines formuluotes, kurias naudoja kiti, kartais ir „pasiskolindami“ tekstus iš kitų svetainių. Tai darantys, padaro bent dvi klaidas:

• Pirma, kopijuodami, pažeidžia asmens, kuris tą dokumentą kūrė, autorių teises. Kopijuojant be autoriaus leidimo, kaip ir kito kūrinio atveju, yra pažeidžiamos autoriaus teisės. Taigi taip darant, galima sulaukti reikalavimo nutraukti neteisėtus veiksmus, o gal ir padengti nuostolius.
• Antra, „pasiskolinęs“ dokumentą, asmuo negali būti tikras, kad tas dokumentas tiks būtent jam, ir ar jis bendrai yra teisingas (gal konkurentas jį parašė neteisingai, o gal taip pat „pasiskolino“?).

Privatumo politika, kaip ir kitas dokumentas, bus tinkama tik tada, jeigu ji atitiks faktinę situaciją, bus pritaikyta konkrečiam verslui. Tai nereiškia, kad ji turi būti labai sudėtinga, priešingai – ji gali būti parašyta labai paprastai, tačiau turi atitikti konkrečią situaciją ir verslo modelį.

Tinkamą ir tinkančią privatumo politiką galima parengti ne taip sudėtingai, o tam pakanka žinoti kelis svarbiausius dalykus ir padaryti kelis namų darbus.

Slapukų pagalba yra renkami asmens duomenys. Todėl apie slapukų naudojimą reikia informuoti interneto svetainės lankytojus, o tam tikrų slapukų (analitinių, rinkodaros) atveju taip pat būtina gauti ir lankytojo sutikimą. Vienas iš informavimo apie slapukus būdų yra informacijos nurodymas Privatumo politikoje arba atskiro slapukų politikos ar slapukų sąrašo pateikimas. Tačiau geriausias būdas tinkamai susitvarkyti su slapukais yra tam skirto įrankio įdiegimas. Slapukų įrankiai padeda tiek teisingai surinkti reikiamus sutikimus, tiek informuoti apie juos. Todėl jeigu naudojate tinkamą slapukų įrankį, Privatumo politikoje apie juos rašyti nebūtina.

Jeigu jūsų pasirinktas slapukų valdymo įrankis nepateikia visos informacijos apie naudojamus slapukus arba norite papildomai apie juos informuoti lankytojus, taip pat galite patalpinti Slapukų politiką arba jos tekstą integruoti į Privatumo politiką.

Privatumo politikoje svarbu nurodyti, kokius asmens duomenis, kokiais tikslais ir kokiu teisiniu pagrindu tvarkote. Kad tai žinotumėte, reikia atlikti savo tvarkomų asmens duomenų „inventorizaciją“. Ją patartumėme atlikti taip:

• Pirma, reikėtų apgalvoti, kokiais tikslais ir kokius asmens duomenis tvarkote, kartu įvertinant, ar tvarkote tik tuos duomenis, kurie yra reikalingi. Pavyzdžiui, kliento, fizinio asmens, asmens duomenis (vardą, pavardę, gyvenamosios vietos adresą) galite tvarkyti keliais tikslais: siekiant sudaryti ir vykdyti sutartį (jeigu sudaroma rašytinė sutartis, nurodoma joje, galbūt išrašoma sąskaita, kurioje nurodomi šie duomenys, ir pan.), siekiant jam pristatyti prekes ir pan. Kliento el. pašto adresą galite tvarkyti tam, kad galėtumėte su juo komunikuoti dėl sutarties vykdymo (pavyzdžiui, pranešti apie užsakymo parengimą ar išsiuntimą ar pasitikslinti dėl užsakymo), taip pat siekiant jam pateikti naujienlaiškius ar pasiūlymus. Kiekvienu atveju reikia įvertinti, kokie duomenys yra reikalingi konkrečiu tikslu (pavyzdžiui, asmens gimimo data nereikalinga tam, kad galėtumėme jam išsiųsti naujienlaiškį) ir apsiriboti tik tokių duomenų rinkimu.
• Antra, kiekvienam asmens duomenų tvarkymo tikslui reikia parinkti tinkamą teisinį pagrindą. Ši dalis, ko gero, reikalauja daugiausia teisinių žinių. BDAR numato šešis asmens duomenų tvarkymo teisinius pagrindus: (a) sutikimas, (b) sutartis su duomenų subjektu, (c) teisinė prievolė, (d) gyvybiniai duomenų subjekto ar kito fizinio asmens interesai, (e) viešos valdžios funkcijos, (f) teisėtas interesas. Verslui aktualiausi yra (a), (b), (c) arba (f) atvejai. Dažnai vadovaujamasi mitu, jog asmens sutikimas yra viskas, ir jeigu jau jį turi, esi įvykdęs visus BDAR reikalavimus. Pavyzdžiui, pasirašant sutartį, prašoma kliento sutikimo, kad jo duomenys būtų tvarkomi sutarties vykdymo, pirkinio garantinio aptarnavimo ar pan. tikslu. Iš tiesų, kaip minėta, sutikimas ((a) punktas) yra tik vienas iš šešių teisėto asmens duomenų tvarkymo pagrindų. Minėtu atveju duomenys gali būti tvarkomi sutarties vykdymo pagrindu ((b) punktas), o prašomas sutikimas, kurį asmuo yra priverstas duoti, prieštarauja BDAR reikalavimams.

Atlikus tokią „inventorizaciją“, svarbu tai tinkamai ir aiškiai pateikti Privatumo politikoje. Tai galima padaryti labai paprastai, apibendrintai, pavyzdžiui, lentelės forma.

Atlikus namų darbus, paprasčiausias būdas – susikurti Privatumo politiką su Doku. Jeigu veikiate nevyriausybiniame sektoriuje, rinkitės specialią NVO internetinės svetainės privatumo politiką. Taip pat nepamirškite, kad internetinei svetainei greičiausiai bus reikalingos ir taisyklės, o jeigu jūsų svetainė yra elektroninė parduotuvė, taisykles taip pat galite susikurti su Doku.

O jeigu ketinate privatumo politiką rengti patys, toliau pateiksime sąrašą informacijos, kurią pagal BDAR reikalavimus duomenų valdytojas turi pateikti asmeniui duomenų gavimo metu. Šis sąrašas ir yra tai, kas privalo būti Privatumo politikoje.