GDPR Ce trebuie să conțină politica de confidențialitate de pe site-ul magazinului tău online

(Timp estimat pentru citirea acestui articol: 1 min)

Persoanele fizice au dreptul de a fi informate cu privire la colectarea și utilizarea datelor lor personale, potrivit Art. 13 și 14 din Regulamentul General privind Protecția Datelor (GDPR). Ca și până acum, pe site-ul magazinului tău online trebuie să oferi persoanelor, în politica de confidențialitate, informații cu privire la:

  • scopurile prelucrării datelor personale;
  • perioadele de păstrare ale datelor personale;
  • cu cine vor fi împărtășite (cu ce terți).

Trebuie să furnizezi informații privind confidențialitatea persoanelor fizice în momentul în care colectezi datele personale de la acestea. Există câteva circumstanțe în care nu este nevoie să oferi persoanelor informații cu privire la confidențialitate, cum ar fi dacă o persoană are deja informațiile sau dacă ar implica un efort disproporționat de a le furniza.

Dacă ai creat o pagină de confidențialitate pe site, nu trebuie să te culci pe o ureche, ci trebuie să o revizuiești în mod constant și, dacă este necesar, să actualizezi informațiile. Trebuie să aduci la cunoștința utilizatorilor noile utilizări ale datelor personale, înainte de a începe prelucrarea.

IMPORTANT! Informațiile pe care le oferiți oamenilor trebuie să fie concise, transparente, inteligibile, ușor accesibile și trebuie să utilizeze un limbaj clar și clar. Deci, fără limbaj juridic sau tehnic!

Mai concret, iată informațiile obligatorii pe care trebuie să le incluzi în politica de confidențialitate de pe site, conform Art. 13 și 14 GDPR:

(Ești pe mobil? Rotește telefonul, ca să vezi mai bine tabelul!)

Tipul de informație necesară Articolul relevant (dacă datele personale sunt colectate direct de la utilizator) Articolul relevant (dacă datele personale NU sunt colectate direct de la utilizator) Comentarii de la Grupul de Lucru Articolul 29
Identitatea și datele de contact ale operatorului Art. 13.1(a) Art. 14.1(a) Aceste informații ar trebui să permită identificarea ușoară a operatorului și, de preferință, să permită diferite forme de comunicare cu operatorul de date (de exemplu, numărul de telefon, adresa de e-mail, adresa poștală etc.)
Datele de contact ale responsabilului cu protecția datelor, după caz Art. 13.1(b) Art. 14.1(b)
Scopurile și temeiul juridic al prelucrării Art. 13.1(c) Art. 14.1(c) Pe lângă stabilirea scopurilor prelucrării pentru care sunt destinate datele cu caracter personal, temeiul juridic relevant invocat în temeiul Art. 6 sau Art. 9 trebuie specificat
În cazul în care interesele legitime (Art. 6.1 litera (f)) constituie temeiul juridic al prelucrării, interesele legitime urmărite de către operator sau de către un terț Art. 13.1(d) Art. 14.2(b) Interesul specific în cauză trebuie identificat în beneficiul persoanei vizate.Ca o bună practică operatorul ar trebui să furnizeze, de asemenea, persoanei vizate, informațiile de la testul de echilibru, care ar fi trebuit să fie efectuat de către operator, pentru a permite invocarea articolului Art. 6.1 (f) ca bază legală pentru prelucrare, înainte de colectarea datelor personale ale persoanelor vizate.
Categoriile de date personale vizate Neobligatoriu Art. 14.1(d) Aceste informații sunt solicitate într-un scenariu al Art. 14, deoarece datele personale nu au fost obținute de la persoana vizată care, prin urmare, nu are cunoștință de categoriile de date cu caracter personal pe care le-a obținut de la ea operatorul.
Destinatarii (sau categoriile de destinatari) ai datelor personale Art. 13.1(e) Art. 14.1(e) Termenul "destinatar" este definit în Art. 4.9 în așa fel încât el nu fie necesar să fie un terț. Prin urmare, operatorii cărora le sunt transferate sau dezvăluite datele sunt acoperiți de termenul "destinatar" și trebuie furnizate informații cu privire la acești destinatari în plus față de informațiile privind destinatarii terțe părți.

În conformitate cu principiul corectitudinii, poziția implicită este aceea că un operator ar trebui să furnizeze informații cu privire la beneficiarii efectivi (numiți) ai datelor cu caracter personal. În cazul în care un operator optează doar pentru informarea despre categoriile de destinatari, acesta trebuie să poată demonstra de ce este corect să aibă această abordare. În astfel de circumstanțe, informațiile privind categoriile de destinatari ar trebui să fie cât mai specifice, cu indicarea tipului de destinatar (cu referire la activitățile pe care le desfășoară), industria, sectorul și subsectorul și locul de activitate al destinatarilor.
Detaliile privind transferurile către țările terțe și detaliile garanțiilor relevante (inclusiv existența sau absența unei decizii de adecvare a Comisiei) și mijloacele de obținere a unei copii a acestora sau indicații privind locul unde au fost puse la dispoziție Art. 13.1(f) Art. 14.1(f) Trebuie specificat articolul relevant din GDPR care permite transferul și precizat mecanismul corespunzător (de exemplu, decizia de adecvare în conformitate cu Art. 45 / normele corporative obligatorii în conformitate cu Art. 47 / clauzele standard privind protecția datelor de la Art. 46.2 / derogări și garanții prevăzute la Art. 49 etc.). Dacă este posibil, ar trebui să se furnizeze, de asemenea, o legătură către mecanismul utilizat sau către informațiile privind locul și modul în care documentul relevant poate fi accesat sau obținut. În conformitate cu principiul corectitudinii, informațiile ar trebui să menționeze în mod explicit toate țările terțe cărora le vor fi transferate datele.
Perioada de stocare (sau, dacă nu este posibil, criteriile utilizate pentru determinarea acestei perioade) Art. 13.2(a) Art. 14.2(a) Acest lucru este legat de cerința de minimizare a datelor din Art. 5.1 (c) și cerința de limitare a stocării în Art. 5.1 (e).

Perioada de stocare (sau criteriile de determinare a acesteia) poate fi dictată de factori precum cerințele legale sau bunele practici ale industriei, dar ar trebui să fie formulată astfel încât să permită persoanei vizate să evalueze, pe baza situației sale proprii, care va fi perioada pentru diverse scopuri specifice. Nu este suficient ca operatorul să spună în mod generic că datele cu caracter personal vor fi păstrate atâta timp cât este necesar pentru scopurile legitime ale prelucrării. Dacă este cazul, ar trebui prevăzute diferite perioade de stocare pentru diferite categorii de date cu caracter personal și / sau scopuri diferite de prelucrare, inclusiv, după caz, perioadele de arhivare.
Drepturile persoanelor vizate:
- acces;
- rectificare;
- ștergere;
- restricționarea procesării;
- obiecții privind prelucrarea și
- portabilitatea.
Art. 13.2(b) Art. 14.2(c) Aceste informații ar trebui să cuprindă un rezumat a ceea ce implică dreptul respectiv și modul în care persoana vizată poate lua măsuri pentru a și-l exercita.

În special, dreptul de a se opune prelucrării trebuie să fie în mod explicit vizat de persoana vizată cel târziu în momentul primei comunicări cu persoana vizată și trebuie prezentat în mod clar și separat de orice alte informații.
În cazul în care prelucrarea se bazează pe consimțământ (sau consimțământ explicit), dreptul de a retrage consimțământul în orice moment Art. 13.2(c) Art. 14.2(d) Aceste informații ar trebui să includă modalitatea de retragere a consimțământului, ținând cont de faptul că ar trebui să fie la fel de ușor pentru o persoană să-și retragă consimțământul cum a fost când l-a acordat.
Dreptul de a depune o plângere la o autoritate de supraveghere Art. 13.2(d) Art. 14.2(e) Aceste informații ar trebui să explice că, în conformitate cu Art. 77, persoana vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, locul de muncă sau unde are loc o presupusă încălcare a GDPR.
Dacă există o cerință legală sau contractuală de a furniza informațiile sau dacă este necesar să se încheie un contract sau dacă există o obligație de a furniza informațiile și posibilele consecințe ale nerespectării Art. 13.2(e) Neobligatoriu De exemplu, în contextul ocupării forței de muncă, ar putea fi o cerință contractuală de a furniza anumite informații unui angajator actual sau potențial. Formularele online ar trebui să identifice cu claritate domeniile care sunt "necesare", care nu sunt și care vor fi consecințele necompletării câmpurilor obligatorii.
Sursa de la care provin datele personale și, dacă este cazul, dacă provin dintr-o sursă accesibilă publicului Neobligatoriu Art. 14.2(f) Informațiile ar trebui să includă: natura surselor (adică surse publice / private, tipurile de organizație / industrie / sector și unde au fost păstrate informațiile (în UE sau în afara UE) etc. Trebuie furnizată sursa specifică a datelor, cu excepția cazului în care nu este posibil să se facă acest lucru.
Existența unui proces automat de luare a deciziilor, inclusiv al profilării și, dacă este cazul, existența unor informații semnificative cu privire la logica utilizată și semnificația și consecințele preconizate pentru persoana vizată ale unei astfel de prelucrări Art. 13.2(f) Art. 14.2(g)

(Descărcați tabelul în format PDF)

Sursa: Grupul de Lucru Articolul 29

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.