BDAR reikalavimai internetinei svetainei

Nors didžioji dalis verslo įmonių yra pasirengę informaciją ir skelbia ją internetinėje svetainėje, praktika rodo, kad 80 proc. privatumo pranešimų ar informacinių pranešimų dėl slapukų naudojimo, deja, bet neatitinka BDAR reikalavimų.

Tikimės, kad mūsų patarimai padės jums atlikti jūsų internetinės svetainės auditą ir pažiūrėti, ar yra kokių nors neatitikimų, kuriuos reikėtų koreguoti.

Internetinės svetainės privatumo politikos turinys

Primename, kad turiniui reikalavimus nustato BDAR 13 ir 14 straipsniai, kurie kalba apie skaidrų duomenų subjektų informavimą.

Privatumo politikoje turi būti pateikta tokia informacija:

  • Duomenų valdytojo ir, jei taikoma, jo atstovo kontaktiniai duomenys.
  • Duomenų apsaugos pareigūno, jei toks paskirtas, kontaktiniai duomenys, kurie turėtų apimti informaciją, kuria naudodamiesi duomenų subjektai ir priežiūros institucijos galėtų lengvai susisiekti (pašto adresas, telefono numeris ir (arba) el. pašto adresas). Duomenų apsaugos pareigūno vardo ir pavardės nebūtina nurodyti.
  • Duomenų tvarkymo tikslai ir teisinis pagrindas. Turi būti nustatyti ne tik tikslai, kuriais ketinama tvarkyti asmens duomenis (kaip paprastai ir yra daroma), bet ir nurodytas konkretus teisinis pagrindas asmens duomenis tvarkyti nurodytu tikslu.
  • Jei duomenų tvarkymo teisinis pagrindas yra teisėti interesai, kurių siekia duomenų valdytojas arba trečioji šalis, duomenų subjektui turi būti nurodytas konkretus susijęs interesas.
  • Susijusių asmens duomenų kategorijos, jei asmens duomenys buvo gauti ne iš duomenų subjekto.
  • Asmens duomenų kilmės šaltinis, ir jei taikoma, ar tie duomenys gauti iš viešai prieinamo šaltinio. Turėtų būti nurodytas konkretus duomenų šaltinis, išskyrus atvejus, kai to padaryti neįmanoma.
  • Asmens duomenų gavėjai (arba jų kategorijos), t. y. kiti duomenų valdytojai, bendri duomenų valdytojai ir duomenų tvarkytojai, kuriems perduodami arba atskleidžiami duomenys. Pagal sąžiningumo principą duomenų valdytojai privalo pateikti informaciją apie gavėjus, kuriuos duomenų subjektams yra prasmingiausia žinoti.
  • Kai asmens duomenys perduodami už ES ribų, turėtų būti pateikta išsami informacija apie duomenų perdavimo trečiosioms šalims faktą (turėtų būti konkrečiai įvardytos trečiosios šalys) ir apie atitinkamas apsaugos priemones. Turėtų būti nurodytas susijęs BDAR straipsnis, pagal kurį leidžiama perduoti duomenis, ir atitinkamas mechanizmas. Taip pat turėtų būti pateikta informacija apie tai, kur ir kaip susipažinti su atitinkamu dokumentu arba jį gauti.
  • Saugojimo laikotarpis (arba jo nustatymo kriterijai) turi būti konkretus (pvz., 1 metai nuo duomenų subjekto sutikimo gavimo); arba apibrėžtas tam tikrų aplinkybių atsiradimu ar išnykimu (pvz., 10 metų nuo sutarties galiojimo pabaigos). Nepakanka, kad duomenų valdytojas bendrai nurodytų, kad asmens duomenys bus saugomi tiek, kiek reikia siekiant teisėtų duomenų tvarkymo tikslų.
  • Duomenų subjektų teisės. Duomenų valdytojas privalo ne tik perrašyti BDAR įvardintas duomenų subjektų teises (dažniausia klaida), bet ir pateikti trumpą kiekvienos iš teisių aprašymą bei informaciją apie tai, kokių veiksmų duomenų subjektas turėtų imtis norėdamas ja pasinaudoti ir tai teisei taikomus apribojimus.
  • Teisė pateikti skundą priežiūros institucijai. Pateikiant šią informaciją, turėtų būti paaiškinta, kad duomenų subjektas turi teisę pateikti skundą priežiūros institucijai, pirmiausia – valstybės narės, kurioje yra nuolatinė jo gyvenamoji vieta, darbo vieta arba kurioje buvo padarytas įtariamas BDAR pažeidimas.
  • Tai, ar informacijos pateikimas yra teisės aktais arba sutartyje numatytas reikalavimas, ar reikalavimas, kurį būtina įvykdyti norint sudaryti sutartį, arba ar yra nustatyta prievolė pateikti šią informaciją, ir informacija apie galimas tokių duomenų nepateikimo pasekmes (pvz., darbo santykių srityje gali būti taikoma sutartinė prievolė pateikti tam tikrą informaciją dabartiniam ar būsimam darbdaviui).
  • Duomenų subjektas privalo būti informuojamas apie tai, kad esama automatizuoto sprendimų priėmimo, įskaitant profiliavimą. Ir, jei taikoma, prasminga informacija apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.
  • Jei asmens duomenų tvarkymas yra grindžiamas sutikimo pagrindu, turi būti nurodyta informacija apie teisę bet kada atšaukti sutikimą ir pateikta informacija, kaip tai padaryti lengvai ir greitai.

Jei nuspręsite savarankiškai įgyvendinti BDAR reikalavimus savo privatumo politikoje, rekomenduojame susipažinti su šiuo dokumentu: 29 straipsnio darbo grupės Skaidrumo užtikrinimo pagal Reglamentą (ES) 2016/679 gairės.

 

Sutikimas dėl slapukų naudojimo

Slapukas yra nedidelis failas, atsiųstas į įrenginį naudotojui besilankant atitinkamoje interneto svetainėje. Slapukų pagalba interneto svetainė atpažįsta naudotojo įrenginį. Slapukai gali būti naudojami siekiant „sekti“ naudotoją, jo elgesį, įpročius internete ir taip sukurti jo profilį. Turint naudotojo profilį, jam gali būti pateikiama naudotojo elgesiu grindžiama internetinė reklama.

Slapukų rūšys:

  • „Seanso slapukas“ (angl. session cookies) automatiškai ištrinamas naudotojui uždarius naršyklę (laikoma, kad šie slapukai kelia mažesnę grėsmę privatumui).
  • „Nuolatinis slapukas“ (angl. persistent cookies) saugomas naudotojo galiniame įrenginyje tol, kol baigiasi nustatytas jo galiojimo laikas (kuris gali trukti keletą minučių, dienų ar metų).
  • „Trečiosios šalies slapukas“ naudojamas asmens, kuris nėra tos interneto svetainės, kurioje lankosi naudotojas, valdytojas.

Visais atvejais, kai yra naudojami slapukai, būtina gauti išankstinį internetinės svetainės lankytojo sutikimą, išskyrus tuos atvejus, kai slapukas yra techninio pobūdžio, pvz.:

  • Jei slapukas naudojamas internetinės parduotuvės svetainėje pirkėjo pasirinktų prekių krepšeliui formuoti, prisijungusio naudotojo tapatybei nustatyti (pvz., internetinės bankininkystės svetainėje), naudotojo pasirinkimams prisiminti (pvz., pageidautinai svetainės kalbai, rezultatų rodymo skaičiui puslapyje).
  • Dėl multimedijų grotuvo seanso slapukų naudojimo („Flash“ slapukų). Pažymėtina, kad šie slapukai paprastai yra „sesijos slapukai“ arba galioja labai trumpai po naršyklės uždarymo (pvz., keletą valandų). Tačiau naudotojai apie tai turi būti informuojami.

Tinkamas informavimas:

  • Asmuo, ketinantis naudoti slapukus, turi informuoti naudotojus apie tai, kad yra naudojami slapukai, paaiškinti, kaip jie veikia, kokiu tikslu yra naudojami, kokia jų veikimo trukmė, ir tada gauti sutikimą dėl tokio naudojimo.
  • Naudotojas turi aiškiai suprasti, kad jis duoda sutikimą dėl slapukų naudojimo, be to, jam privalo būti sudaryta galimybė šį sutikimą bet kada atšaukti taip pat paprastai, kaip ir buvo suteikta galimybė sutikti.

Sutikimas laikomas negaliojančiu, jei yra grindžiamas:

  • „Slapukų sienomis“ (angl. cookie walls). Kad sutikimas būtų duodamas laisva valia, galimybė naudotis paslaugomis ir funkcijomis neturi priklausyti nuo vartotojo sutikimo dėl informacijos saugojimo arba nuo gautos galimybės naudotis vartotojo galiniuose įrenginiuose jau saugoma informacija (vadinamosios slapukų sienos). Pvz., internetinėje svetainėje yra blokuojamas ir neberodomas turinys, išskyrus prašymus priimti slapukus ir informaciją apie tai, kokie slapukai nustatomi ir kokiais tikslais bus tvarkomi asmens duomenys. Kitaip tariant, nėra galimybės naudotis turiniu, nepaspaudus mygtuko „priimti slapukus“. Tai nėra galiojantis sutikimas, nes duomenų subjektui nepateikiamas realus pasirinkimas
  • Tolesniu naršymu. Tokie veiksmai kaip tolesnis naršymas ar kiti panašūs naudotojo veiksmai interneto svetainėje neatitinka duomenų subjekto sutikimui keliamų reikalavimų. Duomenų subjekto tylėjimo arba neveikimo, taip pat vien tolesnio naudojimosi tam tikra paslauga negalima laikyti aktyviu pareiškimu apie savo pasirinkimą.

 

Patarimai trumpai:

  • Informuokite lankytojus apie slapukus.
  • Slapukus pradėkite naudoti tik tuomet, kai turite vartotojo sutikimą.
  • Suteikite vartotojams galimybę duoti sutikimą dėl tam tikrų slapukų kategorijų (pvz., funkcinių, statistinių ar rinkodaros).
  • Nesužymėkite iš anksto sutikimo laukelių (pre-ticked boxes).
  • Suteikite lankytojams galimybę atsisakyti slapukų (opt-out).
  • Pateikite paprastą būdą atšaukti slapukus.
  • Rinkite ir saugokite informaciją, patvirtinančią, kada asmuo sutiko dėl slapukų naudojimo.

 

O pabaigoje pateikiame sąrašą dažniausiai užduodamų klausimų dėl internetinės svetainės atitikties BDAR reikalavimams ir atsakymus į juos. Peržiūrėkite ir galbūt rasite atsakymą į jums rūpimą klausimą. Skaityti čia.

 

Mūsų patirtis