Политика за защита на лични данни

От Ралица Махони

Какво трябва да знаят потребителите на уебсайт за мерките, предприети за опазване на техните данни

Статията се прочита за
думи

В публикацията, посветена на условия за използване на уеб-сайт, беше засегната темата за поверителността на личните данни в интернет. Тя е породена от актовете на европейското законодателство, които регулират допустимата обработка на лични данни, включително от оператори на интернет-страници. Тези изисквания правят необходимо информирането на потребителите за предоставяните от тях данни при посещение на уеб-сайт, начина на съхраняване и защитата им. Това се случва именно чрез "политика за защита на личните данни" или "политика за поверителност".

Заявете Вашата индивидуална Политика за поверителност

тук

Обработване на лични данни

Обработването на лични данни е допустимо само при определени условия. Първо е важно да се знае, че терминът “обработване” включва всякакви действия с получена персонална информация на потребителите на даден уеб-сайт - от събирането и записването им, пред съхраняване, употреба, разкриване и предоставяне, до актуализиране, заличаване и унищожаване. Т.е., независимо какви действия се извършват с чужди лични данни, те попадат в обхвата на нормативните актове, регулиращи границите им. Тези нормативни актове защитават не само най-поверителната персонална информация, като ЕГН например, но обхват всякакви данни, на база на които едно лице може да бъде идентифицирано - това са също неговите имена, но и данните за местоположението, използваните устройства, адрес, в т.ч. електронен и пр.

Следователно, независимо каква информация получавате от своите потребители, необходимо е да ги уведомите за това, да им представите мерките, предприети за защита на данните и да определите границите, в които използвате така получените сведения.

Общи правила за обработване на лични данни

Лични данни не могат да бъдат събирани безразборно. Българското законодателство въвежда задължение за всеки, обработващ лични данни, да се регистрира като администратор на такива данни. Освен това то урежда и границите на допустимото боравене с чужда персонална информация. Затова личните данни могат да се събират само за конкретни цели (например създаване на профил в уеб-сайт, абониран за бюлетин) и обработването им е допустимо само, ако (1) физическото лице, за което се отнасят данните, е дало изрично своето съгласие или (2) обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане.

Ако събирате данни за Ваш потребител, които не са свързани със сключване и изпълнение на договор, необходимо е да получите изричното съгласие на физическото лице, чийто данни събирате.

Дори да получите такова съгласие обаче, недопустимо е да се събират прекалено много данни, ако реално не са необходими за дадената цел. Например, ако се касае за абонамент за нюзлетър, то достатъчно е да получите имейл-адрес. Да изисквате допълнително пощенски адрес, телефонен номер и други данни би било несъотносимо и забранено от закона.

Събираните данни освен това трябва да са точни и актуални и при установяване на непълнота или промяна, трябва да бъдат или коригирани, или унищожавани.

Не на последно място, нормативно уредени са сроковете за съхранение на лични данни. За някои професии например законово предвидени са архиви, в които такава информация да се съхранява за определен период от време и след като е приключила обработката. В останалите случаи обаче, администраторът е длъжен да унищожи данните, непосредствено след като е изпълнена целта, за която са събрани.

В заключение е важно да се отбележи, че веднъж получили достъп до такава персонална информация, законодателят Ви държи отговорни за методите на съхраняването й и предпазването й от неправомерен достъп на трети лица.

Тези мерки трябва да съответстват на техническия прогрес, на метода на обработване и на организацията на даденото предприятие, като съществува конкретна нормативна рамка, даваща насоки за конкретните начини за защита.

Указания за обработване на лични данни

В съответствие с гореизложеното, политиката за защита на личните данни, публикувана на сайта Ви, трябва да съдържа на първо място обща декларация за извършваната обработка и правата на потребителите в тази връзка.

Препоръчително е декларацията да съдържа поне указания за:

  • събиране на лични данни, при необходимост възможност за даване на изрично съгласие за получаване на такива данни от лицата, за които се отнасят;

  • какви данни се събират, кои от тях са необходимо задължително за преследваната цел и кои могат да бъдат предоставени опционално;

  • причините за събиране на лични данни, срокът на съхранение и обработка според преследваната цел;

  • методите за събиране, съхраняване, използване и друг вид обработване;

  • уверение за предприемане на необходимите мерки за предпазване на данните, както и информация, дали данните се предоставя на трети лица - ако това е така за цел, извън тази, за която данните са събрани, необходимо е отделно съгласие на лицето, чийто данни се разкриват на други администратори;

  • указание за правото на лицата до съхраняваните данни за тях и правото им да искат коригиране или унищожаване на тяхната персонална информация;

  • възможност за оттегляне на съгласие за обработване на личните данни, например отписване от абонамент за получаване на бюлетин.

Указания за използване на бисквитки и други средства за краткотрайно запаметяване на данни на потребителите

Операторите на интернет-сайтове имат право да съхраняват информация или получават достъп до данни, съхранени в крайното устройство на потребителите си, при условие че (1) са предоставили ясна и изчерпателна информация относно целите на съхраняването или достъпа до данните, както и за целите на обработването им, както и че (2) на потребителя е предоставена възможност да откаже съхраняването или достъпа до данните. Освен това на потребителите трябва да бъде дадена възможност по всяко време да получат информация за съхраняваните в крайното устройство данни.

Независимо, дали от собствения Ви сайт, или чрез използвани от него функции на други доставчици, потребителите трябва да знаят, че поведението им се следи при посещение на Вашия сайт. Затова, какъвто и да е видът на бисквитките, европейското законодателство Ви задължава да предоставяне на потребителите съответна информация чрез деклариране използването на такъв вид файлове, запаметяващи данни за поведението им при посещение на сайта.

Декларацията за използване на бисквитки трябва да съдържа:

  • указания за използването на бисквитки;

  • възможност за даване на съгласие за посещение на сайта при употреба на бисктивки;

  • информация за бисквитките - какво представляват, как функционират;

  • описание на процеса по събиране на данни чрез бисквитките;

  • цел на събиране на данните - за проследяване на потребителското поведение, за анализ на потреблението, за улесняване последващ достъп до същия сайт и пр;

  • срок на запаметяване на потребителски данни чрез използваните бисквитки;

  • указание за възможността за изключване чрез настройките на съответния браузър.

Как да изготвите Политика на поверителност в няколко стъпки?

  1. Информирайте потребителите за данните, които събирате - дали са относно личността им и/ или относно поведението им в интернет;

  2. По какъв начин личните данни стават достояние на оператора на сайта - чрез абониране за нюзлетър, регистрация на сайта, Гугул Аналитикс и пр.;

  3. Какви са целите на събирането на данните - за обработване на запитвания, изпълнение на договор, проследяване на потреблението, анализ на потребителското поведение и пр.;

  4. На кого могат да бъдат разкривани личните данни - дали се предоставят на трети лица или стават достояние само на оператора на сайта, чрез който се събират;

  5. Информирайте потребителите за правото им на достъп и правото на коригиране на събраните данни;

  6. Използвайте ясен и достъпен за потребителите език, избягвайте дълги изречения и сложни (юридически) термини;

  7. Уверете се, че сте предоставили на потребителите си цялата идентифицираща оператора на сайта, обработващ лични данни, информация;

  8. Актуализирайте политиката при промяна на обстоятелствата (или законодателството) в областта на защита на личните данни и информирайте засегнатите потребители за новосите.

Тази публикация беше изпратена първо на нашите абонати!

Ако желаете и Вие да сте сред първите читатели на нашия бюлетин: