Cum să înțelegeți practicile de confidențialitate ale unei afaceri online bazându-vă pe politica lor de confidențialitate

Petar Todorovski

By Petar Todorovski . 23 august 2023

Specialist în confidențialitatea datelor

Miklos Zoltan

Fact-Checked this

Dacă doriți să aflați mai multe despre practicile de confidențialitate ale unei companii, politica lor de confidențialitate este un bun punct de plecare.

O politică de confidențialitate este un document pe care legile privind protecția datelor îl impun afacerilor să-l publice pe site-urile lor pentru a informa utilizatorii despre ceea ce fac cu datele personale pe care le procesează.

În acest ghid veți afla despre:

  • Cum să înțelegeți practicile de confidențialitate ale unei afaceri online analizând politica lor de confidențialitate
  • Elementele de căutat într-o politică de confidențialitate
  • Înțelegerea elementelor unei politici de confidențialitate
  • Ce trebuie să divulge o afacere online în politica lor de confidențialitate
  • Cum să citiți și să evaluați o politică de confidențialitate

Acest ghid a fost redactat într-un limbaj simplu, destinat cititorilor obișnuiți. Fără termeni juridici complicati, așa că începeți lectura și bucurați-vă.

Nu vă va oferi toate răspunsurile, dar vă va arăta de ce o companie procesează date personale, ce procesează și cu cine le împarte.
Unele legi privind protecția datelor au o cerință explicită pentru o politică de confidențialitate. California Consumer Privacy Act (CCPA), de exemplu, solicită în mod explicit o politică de confidențialitate și enumeră fiecare element obligatoriu pentru o politică de confidențialitate conformă.

Înțelegerea practicilor de confidențialitate ale afacerilor

General Data Protection Regulation (GDPR) al UE, pe de altă parte, nu solicită în mod explicit una. Cu toate acestea, cere afacerilor să furnizeze utilizatorilor informații despre operațiunile lor de date în baza principiilor de transparență și responsabilitate.

Spre deosebire de CCPA, nu este explicit despre informațiile pe care utilizatorii ar trebui să le furnizeze. Cu toate acestea, include numeroase cerințe privind informațiile pe care o afacere trebuie să le furnizeze utilizatorilor în ceea ce privește transparența și responsabilitatea.

Rezumând, proprietarii de afaceri și de site-uri web care colectează și procesează date personale înțeleg că o politică de confidențialitate este cea mai practică modalitate de a se conforma cerințelor de transparență.

În beneficiul utilizatorilor de internet, aceștia pot folosi politica de confidențialitate ca un instrument de transparență și pot analiza practicile de confidențialitate ale oricărei afaceri online. Acest ghid are ca scop să vă arate cum să citiți politicile de confidențialitate și să trageți concluzii din ele.

Este important de menționat că presupunem că afacerea este transparentă în privința prelucrării datelor, dar nu toate politicile de confidențialitate sunt conforme cu GDPR. Companiile, uneori intenționat și alteori neștiind, ascund unele informații care ar trebui incluse în politica de confidențialitate.

Aceasta ar necesita o investigație ulterioară care depășește sfera acestui ghid. În acest scop, vom presupune că totul în politica de confidențialitate este precis.

Vă vom explica elementele obligatorii ale fiecărei politici de confidențialitate și cum să legați punctele între ele pentru a înțelege ce se face cu datele dvs.

Rezumat: În acest articol, explic cum să înțelegeți practicile de confidențialitate ale unei afaceri online examinând politica lor de confidențialitate.
Evidențiez elementele de căutat într-o politică de confidențialitate și ofer orientări despre cum să citiți și să evaluați o politică de confidențialitate.

De asemenea, discut despre importanța înțelegerii elementelor unei politici de confidențialitate și ce trebuie să divulge o afacere online în politica lor de confidențialitate.

Acest ghid este scris într-un limbaj simplu și este destinat cititorilor obișnuiți de zi cu zi.

Elemente ale unei Politici de Confidențialitate Conforme cu GDPR

Fiecare politică de confidențialitate, pentru a fi conformă cu GDPR, trebuie să conțină următoarele elemente.

1. Identitatea controlorului de date

Trebuie să le spuneți utilizatorilor dvs. cine sunteți – fără a intra în prea multe detalii sau a scrie prea mult. Furnizarea numelui dvs. de afaceri, adresei și statului sau țării de incorporare ar fi suficientă.

Dacă administrați o afacere sau un blog simplu ca persoană fizică, numele, locația sau adresa dvs. de e-mail ar fi suficiente.

2. Categoriile de date personale pe care le colectați și/sau le procesați

Categoriile de date personale pot fi numele unei persoane, pseudonimul, adresa de domiciliu, adresa de e-mail, codul poștal, numărul de telefon, numărul de identitate, numărul pașaportului, Numărul de Securitate Socială, etc.

Datele personale conform GDPR includ și datele de sănătate, informații despre viața privată, adresa IP, opiniile politice, convingerile religioase sau orice altă informație care ar putea fi direct sau indirect asociată cu o persoană. Prin urmare, orice poate fi o categorie de date personale atât timp cât poate identifica o persoană în sine sau în combinație cu alte date.

3. Cum colectați și/sau procesați datele personale

Aici ar trebui să descrieți metodele de procesare a datelor. În majoritatea cazurilor, fie:

  • Utilizatorii vă furnizează datele lor, cum ar fi atunci când vă oferă numele și adresa lor de domiciliu pentru livrarea produselor, sau
  • Colectați datele prin utilizarea de cookie-uri și alte instrumente de urmărire online, cum ar fi Facebook Pixel, Quora Pixel, instrumentele de marketing Google și așa mai departe.

4. Scopurile procesării datelor

Transparența în cadrul GDPR înseamnă că trebuie să dezvăluiți utilizatorilor de ce aveți nevoie de procesarea datelor lor. Scopurile procesării pot include:

  • Scopuri analitice, cum ar fi colectarea de statistici despre vizitele pe site cu Google Analytics sau utilizarea site-ului cu Hotjar,
  • Scopuri de marketing, cum ar fi atunci când colectați adresa lor de e-mail pentru a le trimite materiale de marketing sau urmăriți comportamentul lor online pentru a le prezenta reclame relevante pentru acest comportament,
  • Preferințe, cum ar fi procesarea datelor pentru a reține preferințele lingvistice ale unui anumit vizitator al site-ului,
  • Asistență pentru clienți, când colectați adresa de e-mail sau numărul de telefon al unui utilizator pentru a reveni la ei pentru a rezolva o problemă a clientului.

5. Cu cine împărțiți datele personale

Este probabil să utilizați instrumente terțe pentru a colecta și procesa date, cum ar fi Google Analytics, Facebook Pixel, Hotjar, Mailchimp și altele. Pentru a procesa datele utilizatorilor dvs. cu aceste instrumente, trebuie să dezvăluiți aceste date personale către ele.

Utilizatorii dvs. au dreptul să știe cu cine împărțiți datele lor și trebuie să dezvăluiți aceasta în politica dvs. de confidențialitate.

6. Drepturile subiecților de date

GDPR numește utilizatorii „subiecți de date”. Când colectați datele personale ale unui utilizator, acesta devine subiectul dvs. de date.

Controlorii de date, adică afacerile care colectează date și le procesează în numele lor, datorează subiecților de date anumite drepturi. Aceste drepturi includ dreptul de a fi informat despre procesare, dreptul de a avea datele șterse, obiecție la procesare, și așa mai departe.

Trebuie să listați drepturile pe care le au utilizatorii dvs. în politica dvs. de confidențialitate.

Dacă trebuie să vă conformați simultan mai multor legi privind protecția datelor, atunci trebuie să listați toate drepturile pe care fiecare lege le acordă subiecților de date.

De exemplu, conformarea la CCPA necesită furnizarea de informații privind vânzările de informații personale. Acest lucru este unic pentru CCPA și nu este cerut de GDPR, LGPD, PIPEDA sau alte legi.

Deci, dacă trebuie să vă conformați CCPA și tuturor celorlalte elemente, trebuie să adăugați acele elemente specifice acestei legi.

7. Cum pot utilizatorii să-și exercite drepturile de subiect de date

Afacerile trebuie să ofere subiecților de date mijloacele de a-și exercita drepturile de subiect de date, care trebuie să fie stipulate în politica de confidențialitate.

În majoritatea cazurilor, furnizarea unei adrese de e-mail ar fi suficientă. Unele afaceri pot oferi, de asemenea, un formular de contact, un număr de telefon sau orice alte mijloace pentru exercitarea acestor drepturi.

8. Transferuri de date către țări terțe

Transferurile de date către țări terțe sunt, fără îndoială, cea mai complicată problemă pentru afacerile care trebuie să se conformeze GDPR. Transferurile în cadrul Uniunii și către țări adecvate sunt libere, dar orice alt transfer necesită instrumente de transfer adiționale și posibil măsuri de protecție.

Indiferent cum și unde gestionați datele personale, utilizatorii au dreptul să știe dacă acestea sunt transferate către țări terțe și, dacă da, unde sunt trimise.

9. Datele personale ale copiilor

Dacă colectați și procesați în mod conștient date ale copiilor, acestea trebuie incluse în acest document.

10. Informații de contact

Dacă aveți un Ofițer de Protecție a Datelor sau un reprezentant legal în UE, numele și informațiile lor de contact vin aici. Altfel, orice mijloc de contact cu dvs. ar fi suficient pentru a fi inclus în această secțiune.

Aruncă o privire la ghidul nostru care listează toate amenzile GDPR pentru a obține o imagine despre consecințele nerespectării GDPR.

Cum să Citești Politica de Confidențialitate

Dacă dorești să știi cum să trasezi liniile și să completezi imaginea practicilor de confidențialitate ale unei companii pe baza politicii lor de confidențialitate, mai întâi trebuie să înveți cum să o citești.

Presupunem că niciodată nu ți-ai luat timpul să citești politicile de confidențialitate și mereu accepți cookie-urile.

Dacă acum te interesează, suntem pe cale să explicăm cum să navighezi printr-o politică de confidențialitate și să înțelegi ce a intenționat GDPR să impună în acestea.

Ca să îți oferim o idee despre ce discutăm, vom parcurge împreună cu tine elementele cheie ale politicii de confidențialitate a Shopify. Este o companie canadiană care respectă GDPR. Mai mult, legea canadiană PIPEDA (legea federală de protecție a datelor) este similară cu GDPR.

Politica lor de Confidențialitate Include Toate Elementele Esențiale?

Companiile care sunt serioase în ceea ce privește conformitatea cu GDPR și cu orice altă lege de protecție a datelor au politici de confidențialitate cuprinzătoare.

Unele nu colectează prea multe date personale, așa că au o politică de confidențialitate scurtă și simplă. Asta nu înseamnă neapărat că nu sunt conforme. Ele nu se preocupa prea mult de datele personale și, prin urmare, nu au mult de comunicat în această privință.

Astfel de site-uri sunt însă rare. Majoritatea afacerilor online colectează multe date, inclusiv date pe care nu sunt conștiente că le colectează și le procesează.

Dacă observi mai multe widget-uri de social media pe un site web, aceasta este de obicei un semn al colectării de date.

Dacă nu ești sigur ce face site-ul pe care îl vizitezi cu informațiile tale personale, poți să-l scanezi gratuit pe WebCookies.org și să obții răspunsurile de care ai nevoie.

Raportul de scanare îți va spune și cu cine împărtășesc datele tale. O afacere online nu poate face totul de unul singur, astfel că externalizează multe procese către terțe părți, adică companii SAAS care gestionează unele operațiuni în numele lor.

În multe cazuri, externalizarea presupune împărtășirea datelor utilizatorilor. De exemplu, împărtășirea adresei IP cu Google Analytics, adresele de email cu Mailchimp și așa mai departe.

Referitor la politica de confidențialitate a Shopify, aceștia au o politică de confidențialitate foarte bine proiectată, care include toate elementele esențiale.

Elementele Politicii de Confidențialitate

În această imagine, poți vedea secțiunile pe care le are politica lor de confidențialitate. Numărul secțiunilor este mai mic decât cel descris în acest articol, dar restul informațiilor necesare sunt integrate în celelalte secțiuni ale politicii.

Este redactată într-un limbaj simplu, este ușor de navigat și ușor de înțeles. Aceasta indică faptul că compania dorește să fie transparentă cu utilizatorii săi.

Mai mult, aceștia au o politică de confidențialitate separată pentru fiecare grup de utilizatori care utilizează site-ul sau serviciile în vreun fel.

Exemplu de Politică de Confidențialitate

Verificați scopurile prelucrării datelor

Secțiunea referitoare la scopurile prelucrării datelor dezvăluie motivele din spatele prelucrării datelor personale. Afacerile trebuie să le comunice utilizatorilor ce îi determină să dorească să colecteze și să prelucreze date.

Cele mai frecvente scopuri pentru prelucrarea datelor includ, dar nu se limitează la:

Furnizarea de produse sau servicii. Acestea vând ceva, iar dvs. trebuie să furnizați datele dvs., cum ar fi numele personal, adresa de email, adresa de domiciliu, codul poștal sau alte date de care au nevoie pentru a livra produsul sau serviciul. Executarea unui contract este o bază legală pentru prelucrarea datelor conform GDPR și nu necesită consimțământ suplimentar.

Scopuri de Marketing/Publicitate. Când o afacere colectează și procesează date personale în scopuri de marketing, acestea targetează clienții pe baza datelor pe care le împart cu serviciile terțe.

Exemple de astfel de servicii sunt rețelele sociale. Toate oferă advertiserilor pixeli de urmărire. Acesti pixeli urmăresc paginile web pe care le vizitați online, corelează această activitate cu datele pe care le-ați împărtășit cu ei prin profilul dvs. de social media și vă prezintă profilul ca un potențial cumpărător către afacere.

Folosirea de cookie-uri sau a unui pixel care v-ar putea corela cu mai multe puncte de date face parte din procesarea datelor în scopuri de marketing, deoarece informația este utilizată pentru marketingul produselor și serviciilor.

Scopuri de Analiză. Practic, fiecare site web de pe internet folosește un instrument de analiză, cum ar fi Google Analytics, Plausible, Mixpanel și altele. Unele dintre ele colectează date personale; altele nu.

Verificați cu ce instrument de analiză împart datele în secțiunea în care divulgă instrumentele terțe pe care le utilizează.

Preferințe. Afacerile pot colecta informațiile dvs. personale pentru a ajusta site-ul web conform preferințelor dvs. și pentru a îmbunătăți experiența dvs. ca utilizator. Acest lucru poate include ajustări de accesibilitate, limba și altele.

Acestea sunt de obicei cookie-uri utile care fac viața utilizatorului mai ușoară, dar colectează date personale oricum, deci consimțământul este necesar înainte de a le utiliza.

Acestea sunt cele mai comune scopuri de procesare, dar nu sunt singurele. Diferite activități de afaceri conduc la scopuri suplimentare de procesare, așa că este imposibil să le includem aici. Cu toate acestea, majoritatea aparțin acestor categorii.
De exemplu, Shopify folosește un limbaj mai descriptiv pentru a-și descrie scopurile.

Scopurile Colectării Datelor

În loc de analize, ei afirmă „furnizarea de raportări și analize” și „testarea de caracteristici și servicii suplimentare.”

În loc de a executa un contract, ei spun „răspundere la întrebări sau furnizare de alte tipuri de suport” (ceea ce face parte din executarea unui acord).

Scopurile de marketing includ „asistență în marketing, publicitate și alte comunicări.”

Citind acestea, puteți înțelege că ei monitorizează utilizarea site-ului lor pentru că, la fel ca multe alte companii mari, iau în serios experiența utilizatorului și nu ezită să folosească datele personale pentru a afla ce dorește un utilizator anume de pe site.

De asemenea, ați putea înțelege că ei folosesc instrumente de urmărire pentru a vă prezenta anunțuri cu mesaje personalizate, care sunt susceptibile să vă intereseze.

În final, au un scop care servește interesului lor legitim (prevenirea fraudelor) și unele specifice afacerii lor (ajutor pentru comercianții care caută și folosesc aplicații în magazinul de aplicații).

Verificați categoriile de date colectate

Următorul lucru pe care ar trebui să-l verificați este ce are nevoie afacerea pentru a îndeplini aceste scopuri de prelucrare.

Îndeplinirea fiecărui scop necesită prelucrarea unei anumite categorii de date personale. Așadar, acum trebuie să vedeți cum se corelează tipurile de prelucrare a datelor cu scopurile.

Dacă afacerea colectează adresa dvs. de e-mail pentru a vă trimite un buletin informativ, atunci o astfel de categorie de date se referă la scop. Fără adresa de e-mail, afacerea nu v-ar putea trimite buletinul.

Dacă o aplicație necesită acces la fotografiile dvs. de pe smartphone pentru a vă oferi servicii de editare a imaginilor, atunci acest lucru este adecvat pentru prelucrare. Dar, dacă cer datele dvs. de geolocație pentru a vă oferi o aplicație pentru adăugarea de filtre la fotografii, acesta este un semnal de alarmă evident. Acea aplicație nu trebuie să știe unde vă aflați într-un anumit moment. Ei ar putea folosi datele în alt scop sau le-ar putea vinde pentru bani.

Uitați-vă cum abordează Shopify cerința de transparență în relație cu categoriile de date:

Categorii de Date - Politică de Confidențialitate

Acest tabel explică ce categorii de date personale colectează și cum le folosesc.

Unele afaceri nu sunt la fel de transparente ca Shopify, dar asta nu înseamnă că nu sunt conforme. Dacă aveți îndoieli în privința practicilor lor de confidențialitate, puteți depune o solicitare a subiectului datelor și vă puteți avea întrebările răspunse.

Unde Transferă Datele Personale?

GDPR interzice afacerilor să exporte date personale către țări unde protecția datelor este sub nivelurile de protecție ale UE, cu excepția cazului în care au o bază legală pentru a face acest lucru sau, în cele din urmă, implementează măsuri suplimentare de securitate a datelor.

Politica de confidențialitate poate menționa baza legală și măsurile suplimentare, dar nu este obligatoriu. S-ar putea să nu puteți înțelege practicile de transfer de date ale companiei și care politică de confidențialitate ați citit.

Locațiile Transferului de Date

Totuși, puteți înțelege dacă datele sunt transferate în afara Uniunii Europene sau nu, examinând terții cărora le dezvăluie informații.

Transferuri de Date către Terte Părți

Această imagine arată câțiva dintre terții pe care îi folosesc pentru prelucrarea datelor. Mulți dintre ei (și toți cei din imagine) își au sediul central în Statele Unite, făcându-i subiecți legilor SUA și poate însemna că datele sunt transferate în SUA. Acest lucru complică lucrurile în ceea ce privește GDPR, deoarece un astfel de transfer necesită măsuri de protecție suplimentare.

Deși șansele ca guvernul SUA să intervină asupra datelor dvs. personale suspectând că sunteți implicat în terorism sau spălare de bani sunt mici, dacă nu sunteți confortabil cu transferul datelor dvs. în SUA, s-ar putea să doriți să adresați această problemă companiei ale cărei politici de confidențialitate sunteți interesat.

Baza Legală pentru Prelucrarea Datelor

Pentru a înțelege practicile de confidențialitate ale unei companii, trebuie să înțelegeți și bazele sale legale pentru prelucrarea datelor. Aceasta nu este vizibilă din politica de confidențialitate, însă. Unele afaceri pot menționa baza legală în politica de confidențialitate, dar nu este obligatoriu și foarte puține o fac.

GDPR permite afacerilor să prelucreze date doar dacă au o bază legală. Bazele legale menționate în Articolul 6 din GDPR includ:

  • Consimțământul explicit al utilizatorului
  • Executarea unui contract
  • Interese legitime
  • Interesul vital al utilizatorului
  • Interes public
  • Conformitatea cu legile, investigațiile etc.

Cele două baze legale cele mai comune sunt consimțământul explicit și execuția (performarea) unui contract.

Afacerile obțin de obicei consimțământul folosind o banderolă de cookie-uri care apare la sosire, permițând utilizatorului să accepte sau să refuze cookie-urile făcând clic pe un buton.

Executarea unui contract este o bază legală pentru prelucrare atunci când afacerea are nevoie de datele dvs. pentru a executa un contract cu dvs., cum ar fi furnizarea unui SAAS, livrarea unui produs fizic etc. De foarte multe ori, Termenii și Condițiile (denumiți și Termeni de Utilizare sau Termeni de Serviciu) sunt contractele care sunt executate.

Cum să Tragi Linii

Pentru a înțelege practicile de confidențialitate printr-o politică de confidențialitate a unei companii, trebuie să tragi o linie între scopurile prelucrării, categoriile de date prelucrate și terțele părți implicate. Pe lângă asta, afacerea are nevoie de o bază legală pentru a prelucra datele.

Trebuie să te asiguri că:

  • Categoriile de date prelucrate sunt aliniate la scopurile prelucrării
  • Afacerea terților implică prelucrarea datelor în acest scop
  • Afacerea are o bază legală pentru prelucrarea datelor, cum ar fi consimțământul tău explicit, executarea unui contract, interes legitim sau altele
  • Transferurile de date către țări terțe sunt legale, și
  • Compania are toate elementele esențiale ale unei politici de confidențialitate conforme cu GDPR în document.

Să ne imaginăm că o afacere online a colectat adresa ta de e-mail pentru a-ți livra un pdf pe un subiect care te interesează. Le-ai dat adresa ta de e-mail; ei ți-au trimis PDF-ul. Ți-au cerut, de asemenea, dacă pot să îți trimită buletinul lor săptămânal cu oferte de marketing. Ai bifat caseta.

Acum, ei au adresa ta de e-mail. Tu ai PDF-ul și materialele lor de marketing.

Ei au colectat și prelucrat datele tale pentru executarea unui contract (trimiterea pdf-ului) și scopuri de marketing (trimiterea buletinului promoțional). Nu folosesc adresa de e-mail pentru altceva. Ei folosesc Mailerlite, care este o companie lituaniană cu servere în UE.

Asta înseamnă că au un motiv bun pentru prelucrarea adresei de e-mail, au o bază legală pentru a face acest lucru și nu transferă date în afara Europei. Asta este în conformitate cu GDPR și o bună practică de confidențialitate.

Dacă încarcă adresa ta de e-mail în instrumentul Facebook Lookalike Audience și transferă datele tale în SUA… ei bine, asta ar încălca GDPR și multe alte legi similare de protecție a datelor.

Dacă te înscrii la Shopify, ei vor monitoriza comportamentul tău cu Hotjar pentru a vedea cum folosești site-ul web și vor face îmbunătățiri când adună suficiente informații despre asta. Ei au un scop util, un instrument terț pentru a executa acest scop și colectează informații despre comportamentul tău – toate sunt aliniate și reprezintă o practică de confidențialitate validă atâta timp cât obțin consimțământul tău pentru colectarea informațiilor personale.

La urma urmei, depinde de tine să decizi dacă ești mulțumit sau nu de practicile de confidențialitate ale unei anumite afaceri online. Acest articol a explicat cum să determini punctele esențiale ale unei politici de confidențialitate pentru a înțelege de ce și cum datele tale circulă de la un server la altul și oferă unor afaceri o privire asupra datelor tale, dar tu ești cel care decide dacă ești mulțumit de modul în care acestea tratează datele.

Dacă nu poți determina singur, apelează la un profesionist.