Cum să faci o politică de confidențialitate în 5 pași?

Indiferent că ești autoritate publică, companie, ONG sau persoană fizică care prelucrează date cu caracter personal, obligațiile din domeniul datelor cu caracter personal ți se aplică. Iar dacă prelucrezi date cu caracter personal unul dintre documentele pe care trebuie să le ai este politica de confidențialitate.

Politica de confidențialitate este un document de informare pentru utilizatori/clienți prin care arăți într-un mod transparent pentru ce scop prelucrezi date personale, la cine ajung datele, cât timp le ții și ce măsuri de securitate iei pentru protecția datelor.

Dacă nu știi de unde să începi creionarea unei politici de confidențialitate, urmează pașii de mai jos:

# 1. Citește Legea 677/2001, Legea 506/2004 și  deciziile Autorității pentru Protecția Datelor (ANSPDCP).

Dacă vrei să fii cu un pas în față vezi și noul Regulament privind Protecția Datelor Personale (GDRP) care o să fie adoptat până cel mai probabil până la sfârșitul anului 2016. Legat de Regulament, Autoritatea Europeană de Protecția a Datelor (EDPS) a lansat o aplicație prin care poți compara textul propus de Comisia Europeană, de Parlament, de Consiliu European și amendamentele propuse de EDPS. Pentru mai multe informații despre aplicație vezi aici.

# 2. Alcătuiește un inventar cu toate datele cu caracter personal pe care le colectezi, scopul pentru care le prelucrezi și la cine ajung datele.

La finalul exercițiului ar trebui să iasă un tabel cu cel puțin 3 coloane (date colectate, scop, la cine ajung datele) și mai multe rânduri, în funcție de câte date cu caracter personal colectezi.

Datele cu caracter personal sunt orice tipuri de date care pot duce la identificarea unei persoane. De exemplu, pe lângă nume, prenume, CNP, adresă, numărul de telefon și etnia, rasa, orientarea politică, religioasă și date privind sănătate sunt date personale. Mai multe informații vezi și în ghidul despre prelucrarea datelor personale din categoriile speciale.

# 3. Verifică tabelul cu principiile de prelucrare a datelor: să ai consimțământul persoanei, să fie un scop determinat, explicit, legitim și neexcesiv

De exemplu, dacă unul dintre scopurile prelucrării datelor este trimiterea de mesaje promoționale și nu ai consimțământul persoanei, atunci e un indicator că trebuie să faci niște modificări la felul în care colectezi și prelucrezi date.

# 4. Măsuri de protecție și notificarea la ANSPDCP, dacă este cazul.

Până de curând regula generală era că toți operatorii de date cu caracter personal trebuie să se notifice la autoritate. Recent, prin Decizia ANSPDCP nr. 200/2015 se limitează obligația notificării operațiunilor de prelucrare a datelor personale la o serie de situații specifice. Așadar, regula generală cum că orice prelucrare de date personale trebuie notificată la Autoritatea pentru Protecția Datelor a fost restrânsă.

Câteva dintre situațiile când este necesară notificarea (lista completă la art. 1 din Decizia nr. 200/2015):

  • prelucrarea datelor legate de rasă, etnie, sex, convingeri politice, religie, starea de sănătate, apartenența sindicală
  • prelucrarea datelor genetice și biometrice
  • prelucrarea datelor care permit localizarea geografică
  • prelucrarea datelor care duc la monitorizarea comportamentului, competenței profesionale sau personalității sau a creării de profile despre utilizatori

În orice caz, mai important decât notificarea (sau nu – după caz) este să se implementeze un sistem care să ofere măsuri tehnice și organizatorice de siguranță. De exemplu: personalul care prelucrează date să fie instruit corespunzător, dispozitivele pe care se țin date personale să fie securizate (acces pe bază de parolă, datele să se țină criptat etc).

# 5. Scrie pe scurt și într-un limbaj ușor de înțeles ce date prelucrezi, pentru ce scop, la cine ajung datele, cât timp sunt păstrate datele și ce măsuri de securitate ai luat pentru protecția datelor.

Publică politica de confidențialitate undeva vizibil și ușor lizibil pe site și desemnează o persoană responsabilă care să primească solicitările legate de protecția datelor și să se ocupe de soluționarea lor. Iar dacă este cazul, menționează pe site și numărul de operator de date cu caracter personal pe care îl obții de la ANSPDCP.

Notă: În funcție de ce cookie-uri colectezi, e posibil să fie nevoie să incluzi informații despre cookie-uri în politica de confidențialitate fiindcă cookie-urile pot fi folosite pentru monitorizarea comportamentului și a preferințelor online și pot avea un impact asupra vieții private. Mai mult, dacă prelucrezi date personale prin mijloace video (camere de supraveghere), ai o serie de obligații specifice despre care poți citi mai multe aici.

Leave a Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>