Politika privatnosti predstavlja jedan od najvažnijih dokumenata u poslovanju svake organizacije koja obrađuje lične podatke. Njena uloga nije samo formalna—ona korisnicima obezbjeđuje pravo na informisanost, a organizaciji daje neophodnu pravnu sigurnost.
U skladu sa Opštom uredbom o zaštiti podataka (GDPR), pojedinac ima pravo znati kako i zašto se njegovi podaci prikupljaju i koriste. Ovo pravo je direktna primjena osnovnih načela obrade podataka: zakonitosti, poštenosti i transparentnosti.
U nastavku donosimo detaljan pregled svega što jedna politika privatnosti mora sadržavati prema članu 13 GDPR-a.
Obavezni dijelovi politike privatnosti (član 13 GDPR-a)
GDPR obavezuje svaku organizaciju da ispitanicima pruži jasne, razumljive i lako dostupne informacije o obradi njihovih podataka. Te informacije uključuju:
1. Identitet i kontakt podaci voditelja obrade
Korisnik mora znati ko obrađuje njegove podatke. To podrazumijeva naziv pravnog lica ili ime i prezime fizičkog lica, kao i adresu i kontakt podatke.
2. Kontakt podaci službenika za zaštitu podataka (ako postoji)
Ako organizacija ima imenovanog DPO-a (Službenika za zaštitu podataka), njegov kontakt mora biti naveden u politici privatnosti kako bi korisnici mogli zatražiti dodatne informacije.
3. Svrha obrade i pravni osnov
Politika privatnosti mora objasniti:
- zašto se podaci prikupljaju (npr. registracija naloga, slanje newslettera, zaključivanje ugovora),
- na kojem pravnom osnovu (saglasnost, ugovor, zakonska obaveza, legitimni interes itd.).
Bez ovog dijela dokument nije potpun.
4. Informacija o legitimnom interesu (ako se primjenjuje)
Ako kompanija obrađuje podatke na osnovu legitimnog interesa, mora precizno opisati: šta je legitimni interes, zašto je on opravdan, kako se balansira sa pravima korisnika.
5. Primaoci ličnih podataka
Organizacija mora navesti kome se podaci otkrivaju, ili kategorije primalaca (npr. IT provajderi, marketinške agencije, pravni pružaoci usluga).
6. Prenos podataka trećim zemljama ili međunarodnim organizacijama
Ako se podaci šalju izvan BiH ili EU, potrebno je navesti: u koju zemlju, koje zaštitne mjere se primjenjuju (npr. standardne ugovorne klauzule), gdje se može dobiti kopija tih mjera.
7. Period čuvanja podataka
Politika privatnosti mora jasno odgovoriti: Koliko dugo se podaci čuvaju? Ako se ne može navesti konkretan period, potrebno je navesti kriterije (npr. „podaci se čuvaju do povlačenja saglasnosti").
8. Prava ispitanika
Korisnik mora biti informisan o pravu na: pristup podacima, ispravku, brisanje („pravo na zaborav"), ograničavanje obrade, ulaganje prigovora, prenosivost podataka.
9. Pravo na povlačenje saglasnosti
Ako se obrada zasniva na saglasnosti, ispitanik ima pravo povući je u bilo kojem trenutku. Politika privatnosti mora jasno objasniti: da saglasnost može biti povučena, kako se povlači, da povlačenje ne utiče na zakonitost prethodne obrade.
10. Pravo na prigovor nadzornom tijelu
Korisnik mora znati kome se može obratiti ako smatra da su njegova prava povrijeđena – u BiH najčešće Agencija za zaštitu ličnih podataka BiH.
11. Da li je pružanje podataka obavezno
Potrebno je navesti: da li je davanje podataka zakonska ili ugovorna obaveza, da li je neophodno za zaključenje ugovora, koje su posljedice ako korisnik odbije da da podatke.
12. Automatizovano donošenje odluka i profilisanje
Ako organizacija koristi algoritme ili automatizovane procese koji mogu imati pravne ili značajne posljedice po korisnika, mora pružiti informacije o: logici obrade, svrsi profilisanja, mogućim efektima na ispitanika.
Kako izgleda ispravna politika privatnosti?
Ispravna politika privatnosti treba biti:
- jasna i jednostavna, bez pravnog žargona,
- transparentna,
- dostupna na vidljivom mjestu (npr. footer website-a),
- kratka, ali informativna,
- usaglašena sa realnom praksom obrade (ne smije biti fiktivna).
Organizacije koje ne dostave sve obavezne informacije rizikuju: novčane kazne, gubitak povjerenja korisnika, povredu GDPR načela.