Политика конфиденциальности — это базовый документ, определяющий обязанности контролёров данных, то есть то, как компании собирают, используют и защищают персональные данные, а также как они обеспечивают соответствие своих действий в этом отношении с законом.
В этой статье будет рассмотрена обязанности контролёров данных в отношении политики конфиденциальности, с особым вниманием к применимым в Сербии нормативным актам, а также на самом GDPR.
Мы также разъясним некоторые основные термины, с которыми сталкиваются компании в отношении защиты персональных данных своих пользователей, а также представим обзор шагов, которые ваша компания должна предпринять для обеспечения защиты конфиденциальности своих клиентов и, таким образом, выполнения своих юридических обязательств.
GDPR Сербия: Основные термин
Когда компании впервые сталкиваются с темой GDPR в Сербии, то есть с Законом о защите персональных данных, они сталкиваются с запутанными терминами, такими как «контролёр», «процессор» и «получатель», из которых не всегда понятно, о каких лицах идёт речь.
По этой причине мы решили начать эту статью с максимально простого пояснения этих терминов:
- Контролёр данных может быть физическим или юридическим лицом, либо государственным органом, который определяет цель и способ обращения с персональными данными. Когда мы говорим о политике конфиденциальности, то есть о документе, объясняющем, как ваша компания собирает, использует и защищает персональные данные, в данном контексте контролёром данных является ваша компания. Он обрабатывает данные ваших клиентов, поставщиков, сотрудников и других.
- Data Processor — если ваша компания является контроллером данных, можно сказать, что процессор — это процессор, которому компания поручила обработку данных от своего имени. Компания решает, что делать с данными и как, а процессор внутри компании делает то, что приказывает контролёр с этими данными. Это может быть конкретный человек в компании, который обрабатывает данные, или третья сторона.
- Получатель получает только личные данные и не обязательно что-либо с ними делает.
Давайте проиллюстрируем это на примере сайта электронной коммерции:
Оператором является сам интернет-магазин, стоящий за сайтом электронной коммерции, и он решает, какие данные собирать от клиентов, зачем и как их хранить. Процессор может быть, например, компанией, предоставляющей услуги онлайн-платежей и обрабатывающей данные клиентов, такие как данные платежных карт, для целей авторизации и обработки платежей. Получателем персональных данных, в этом примере, может быть служба доставки, которая получает доступ к адресным данным клиента, необходимым для доставки посылки. Любой, кому вы предоставляете чужие личные данные, является получателем. Этот получатель также может быть обработчиком, как это происходит в случае службы доставки.
Вся эта информация должна быть размещена в Политике конфиденциальности интернет-магазина, а также всех других компаний, которые имеют обязательства в отношении этой политики.
Права субъектов данных: обязательное содержание политики конфиденциальности относительно прав субъектов данных
Политика конфиденциальности вашей компании должна содержать не только определения терминов, таких как контроллер, процессор и получатель. Контролёры данных также обязаны точно указывать права физических лиц, то есть субъектов данных, по которым осуществляется обработка.
Учитывая, что несоблюдение прав субъектов данных может привести к высоким штрафам, давайте рассмотрим основные права субъектов данных, чьё включение в политику конфиденциальности подпадает под обязанности контролёров данных, то есть обязанностей вашей компании:
Право данных, подлежащих информации, на информацию об обработке персональных данных
Право субъектов данных быть информированы об их обработке — одно из основных прав, гарантированных законом для каждого физического лица, чьи персональные данные обрабатываются.
По сути, в политике конфиденциальности вашей компании следует указать, среди прочего, что физические лица, чьи данные вы обрабатываете, имеют право:
- Доступ к вашим данным
- Передача ваших данных (подробнее об этом ниже)
- Информация о целях обработки их данных
- Информация о периоде хранения этих данных
Теперь мы переходим ко второму праву, которое необходимо учитывать в политике конфиденциальности вашей компании — праве на изменение данных.
Право на изменение данных
Право изменять данные подразумевает право субъекта данных запросить их исправление, если собранные данные неточны.
Это также включает право на заполнение неполных данных.
Право на ограничение обработки документов
Право на ограничение обработки позволяет физическим лицам, чьи данные вы обрабатываете, в определённых случаях запросить остановку или ограничение обработки их личных данных.
К ним относятся случаи, когда физическое лицо — субъект данных:
- Сомнения в корректности собранных данных
- Он считает, что его данные обрабатываются незаконно
- Они считают, что их данные больше не нужны вашей компании для цели, для которой вы их собрали
- Возражать против обработки их данных
В таких случаях ваша компания может сохранять эти данные, но не иметь возможности использовать их для других целей.
Всё это должно быть включено в вашу политику конфиденциальности, указывая конкретные обстоятельства бизнеса вашей компании.
Право на переносимость данных
Право на переносимость данных — это право, которое позволяет физическим лицам — субъектам данных — принимать свои персональные данные, которые они передали вашей компании, и передавать их другой компании или другому контролёру.
Таким образом, лица, чьи данные обрабатываются вашей компанией, получают больший контроль над своими личными данными.
Право быть забытым
Одно из обязательств контролёров данных (то есть компаний) — информировать субъекта данных о его праве быть забытым, то есть на удаление своих персональных данных.
Поэтому в политике конфиденциальности должно быть указано, что субъект данных может попросить вашу компанию удалить все его персональные данные, особенно если:
- Вам больше не нужны ваши персональные данные для цели, для которой они были собраны.
- Субъект данных отзывает согласие на обработку данных
- Субъект данных считает, что вы незаконно обработали его персональные данные
- Существует ещё одна юридическая обязанность, требующая удаления определённых персональных данных
В целом, если физическое лицо предоставляет свои персональные данные при использовании сервиса в Интернете, оно имеет право запросить удаление этих данных, при условии, что существуют определённые ограничения, когда реализация этого права невозможна (например, если существует другое юридическое основание для обработки данных, например, законный интерес или осуществление свободы выражения мнений и информации).
Чтобы ваша компания правильно обрабатывала запросы на удаление данных и избегала суровых штрафов из-за нарушений, мы рекомендуем нанять юриста по защите персональных данных.
Право на согласие субъекта данных
Право на согласие субъекта данных, также известное как право на информированное согласие, подразумевает, что субъект данных — физическое лицо, чьи данные вы обрабатываете, — должно дать на него свободное (бесплатное), информированное и однозначное согласие.
Практика институтов Европейского Союза такова согласность должна считаться активным действием (opt-in), так что, например, поле на вашем сайте, где посетитель должен нажать «Я согласен» (Я согласен) Согласен) нельзя снимать галочку заранее, но посетителю необходимо снять галочку и затем кликнуть, чтобы согласиться.
Очень важно включить это право в деятельность вашей компании, поскольку ваша компания должна иметь возможность доказать, что физическое лицо дало своё согласие, то есть Должно быть, есть какие-то записи об этом.
Это право сопровождается правом отзывать согласие в любое время, хотя само отзыв не влияет на законность обработки, которая уже была произошедшей на основе информированного согласия.
Право возражать и право жаловаться
Политика конфиденциальности вашей компании также должна предусматривать право возражать субъекту данных — физическому лицу.
Таким образом, если субъект данных не хочет получать рекламные материалы, например, считает, что вы незаконно используете его персональные данные для профилирования или что способ обработки его данных нарушает его права, он имеет право подать жалобу.
В этом случае ваша компания может быть обязана прекратить обработку собранных данных, если у неё нет веских причин продолжать обработку.
Право жаловаться — это дополнение к праву жалобы. Поэтому, если человек, чьи данные вы обрабатываете, недоволен тем, как ваша компания отреагировала на его жалобу, он может связаться с комиссаром по информации общественного значения и защите персональных данных по этому вопросу.
Включение этих прав в политику конфиденциальности — ещё одна обязанность контролёров данных.
Право на получение информации при сборе персональных данных от субъектов данных
Когда компания собирает персональные данные от субъекта данных, она обязана предоставить этому лицу следующую информацию при их сборе:
- О личности и контактной информации контролёра
- О контактных данных сотрудника по защите данных (DPO)
- Что касается цели обработки данных (например, в случае электронной коммерции целью может быть осуществление доставки)
- О юридической основе обработки (например, согласия пользователя)
- О третьих лицах, которым компания предоставит эти персональные данные (например, служба доставки)
- О получателе данных
- О международных передачах данных
- О периоде хранения данных или о критериях их определения
- О вышеупомянутых правах субъектов данных
- О том, является ли предоставление персональных данных юридическим или договорным обязательством или необходимым условием для заключения контракта
- Обязан ли субъект данных предоставлять данные о своих личных данных и возможные последствия, если данные не будут предоставлены
- Автоматизированное принятие решений, если компания ими пользуется, с гарантией права на вмешательство человека.
Вся эта информация должна быть включена в политику конфиденциальности вашей компании.
Штрафы за утечку персональных данных
Существует 3 основных наказания за нарушение защиты персональных данных, и все три имеют денежный характер:
- Суд по проступкам может назначить штраф от 50 000,00 до 2 000 000,00 динаров для юридических лиц, нарушающих защиту персональных данных. Это наказание может быть вдвое выше при большем числе травм.
- Физические лица, не хранящие личные данные в профессиональной тайне, могут быть оштрафованы на сумму от 5 000 до 150 000 динаров.
- Комиссар по информации общественного значения и защите персональных данных может оштрафовать юридические лица дополнительными 100 000,00 динарами за несоблюдение обязательств по Закону о защите персональных данных.
Примечание : Из-за комментариев о том, что действующие предписанные наказания недостаточно высокие для «гигантов», профессиональная общественность Сербии, а также сам комиссар согласились, что необходимы изменения в действующем законодательстве в этой части. В этом отношении план — гармонизировать наше законодательство с GDPR по размеру штрафов, что означает, что штрафы для крупных компаний могут составлять до 20 000 000 евро или 4% от их годового оборота, в зависимости от того, что выше.
Чтобы избежать того, чтобы ваша компания стала объектом крупных штрафов за ненадлежащее обращение с персональными данными, как можно скорее обратитесь к юристу по защите персональных данных, чтобы он составил для вас политику конфиденциальности в соответствии с законом и другими применимыми нормативными актами.
Юрист по защите персональных данных
После ряда скандалов, связанных с конфиденциальностью, включая скандал с Facebook (ныне Meta), когда миллионы данных пользователей попали не в те руки, онлайн-конфиденциальность стала необходимостью, которую пользователи требуют от компаний и вынуждены предоставлять, чтобы сохранить доверие потребителей.
Политика конфиденциальности, которая раньше была незначительным юридическим документом, теперь стала ключевым элементом доверия между бизнесом и пользователями и является «обязательным» для всех компаний, обрабатывающих персональные данные своих клиентов.
