Tko smo mi?
Navedite ime i podatke za kontakt voditelja obrade podataka. To će obično biti vaša tvrtka ili vi, ako ste trgovac pojedinac. Gdje je primjenjivo, trebali biste navesti identitet i podatke za kontakt predstavnika voditelja obrade i/ili službenika za zaštitu podataka.
Koje podatke prikupljamo?
Navedite vrste osobnih podataka koje prikupljate, npr. imena, adrese, korisnička imena, itd. Trebali biste uključiti posebne pojedinosti o:
kako prikupljate podatke (npr. kada se korisnik registrira, kupi ili koristi vaše usluge, ispuni obrazac za kontakt, prijavi se na newsletter itd.)
koje specifične podatke prikupljate kroz svaku od metoda prikupljanja podataka
ako prikupljate podatke od trećih strana, morate navesti kategorije podataka i izvor
ako obrađujete osjetljive osobne podatke ili financijske podatke i kako s tim postupate
Možda želite korisniku pružiti relevantne definicije u vezi s osobnim podacima i osjetljivim osobnim podacima.
Kako koristimo osobne podatke?
Detaljno opišite sve uslužne i poslovne svrhe za koje ćete obrađivati podatke. Na primjer, to može uključivati stvari poput:
personalizacija sadržaja, poslovnih informacija ili korisničkog iskustva
postavljanje i administracija računa
pružanje marketinške komunikacije i komunikacije o događanjima
provođenje anketa i anketa
unutarnje istraživačke i razvojne svrhe
pružanje dobara i usluga
pravne obveze (npr. sprječavanje prijevare)
ispunjavanje zahtjeva interne revizije
Napominjemo da ovaj popis nije konačan. Morat ćete zabilježiti sve svrhe za koje obrađujete osobne podatke.
Koju pravnu osnovu imamo za obradu vaših osobnih podataka?
Opišite relevantne uvjete obrade sadržane u GDPR-u. Postoji šest mogućih pravnih osnova:
pristanak
ugovor
legitimni interesi
vitalni interesi
javni zadatak
zakonska obveza
Navedite detaljne informacije o svim osnovama koje se odnose na vašu obradu i zašto. Ako se oslanjate na privolu, objasnite kako pojedinci mogu povući i upravljati svojim pristankom. Ako se oslanjate na legitimne interese, jasno objasnite koji su to interesi.
Ako obrađujete osobne podatke posebne kategorije, morat ćete zadovoljiti barem jedan od šest uvjeta obrade, kao i dodatne zahtjeve za obradu prema GDPR-u. Navedite informacije o svim dodatnim osnovama koje se primjenjuju.
Kada dijelimo osobne podatke?
Objasnite da ćete s osobnim podacima postupati povjerljivo i opišite okolnosti u kojima biste ih mogli otkriti ili podijeliti. Npr., kada je potrebno za pružanje vaših usluga ili obavljanje vaših poslovnih operacija, kako je navedeno u vašim svrhama obrade. Trebate pružiti informacije o:
kako ćete dijeliti podatke
koje ćete sigurnosne mjere imati na mjestu
s kojim stranama možete dijeliti podatke i zašto
Gdje pohranjujemo i obrađujemo osobne podatke?
Ako je primjenjivo, objasnite namjeravate li pohranjivati i obrađivati podatke izvan domovine subjekta podataka. Navedite korake koje ćete poduzeti kako biste osigurali da se podaci obrađuju u skladu s vašom politikom privatnosti i primjenjivim zakonom zemlje u kojoj se podaci nalaze.
Ako podatke prenosite izvan Europskog gospodarskog prostora, navedite mjere koje ćete poduzeti kako biste osigurali odgovarajuću razinu zaštite privatnosti podataka. Npr. ugovorne klauzule, ugovori o prijenosu podataka itd.
Kako osiguravamo osobne podatke?
Opišite svoj pristup sigurnosti podataka te tehnologijama i postupcima koje koristite za zaštitu osobnih podataka. Na primjer, to mogu biti mjere:
za zaštitu podataka od slučajnog gubitka
za sprječavanje neovlaštenog pristupa, korištenja, uništavanja ili otkrivanja
kako bi se osigurao kontinuitet poslovanja i oporavak od katastrofe
ograničiti pristup osobnim podacima
za provođenje procjene utjecaja na privatnost u skladu sa zakonom i vašim poslovnim politikama
obučiti osoblje i izvođače o sigurnosti podataka
za upravljanje rizicima trećih strana, korištenjem ugovora i sigurnosnih pregleda
Napominjemo da ovaj popis nije konačan. Trebali biste zabilježiti sve mehanizme na koje se oslanjate za zaštitu osobnih podataka. Također biste trebali navesti pridržava li se vaša organizacija određenih prihvaćenih standarda ili regulatornih zahtjeva.
Koliko dugo čuvamo vaše osobne podatke?
Navedite konkretne informacije o vremenskom razdoblju tijekom kojeg ćete čuvati podatke u odnosu na svaku svrhu obrade. GDPR zahtijeva da podatke ne čuvate dulje nego što je razumno potrebno. Uključite pojedinosti o svojim rasporedima zadržavanja podataka ili zapisa ili povežite dodatne resurse tamo gdje su objavljeni.
Ako ne možete navesti određeno razdoblje, trebate postaviti kriterije koje ćete primijeniti kako biste odredili koliko dugo čuvati podatke (npr. lokalni zakoni, ugovorne obveze itd.)
Također biste trebali navesti kako sigurno raspolagati podacima nakon što vam više ne trebaju.
Vaša prava u vezi s osobnim podacima
Prema GDPR-u morate poštovati pravo ispitanika na pristup i kontrolu svojih osobnih podataka. U svojoj obavijesti o privatnosti morate navesti njihova prava u pogledu:
pristup osobnim podacima
ispravak i brisanje
povlačenje privole (ako se podaci obrađuju pod uvjetom privole)
prenosivost podataka
ograničenje obrade i prigovor
podnošenje pritužbe Uredu povjerenice za informiranje
Trebali biste objasniti kako pojedinci mogu ostvariti svoja prava i kako planirate odgovoriti na zahtjeve za podatke subjekta. Navedite mogu li se primjenjivati relevantna izuzeća i navedite sve postupke provjere identiteta na koje se možete osloniti.
Uključite pojedinosti o okolnostima u kojima prava ispitanika mogu biti ograničena, npr. ako ispunjavanje zahtjeva ispitanika može otkriti osobne podatke o drugoj osobi ili ako se od vas traži da izbrišete podatke koje ste dužni čuvati prema zakonu.
Korištenje automatiziranog donošenja odluka i profiliranja
Kada koristite profiliranje ili drugo automatizirano donošenje odluka, to morate otkriti u svojim pravilima o privatnosti. U takvim slučajevima morate navesti pojedinosti o postojanju bilo kakvog automatiziranog donošenja odluka, zajedno s informacijama o uključenoj logici te vjerojatnom značaju i posljedicama obrade pojedinca.
Kako nas kontaktirati?
Objasnite kako subjekt podataka može stupiti u kontakt ako ima pitanja ili nedoumica o vašoj praksi privatnosti, svojim osobnim podacima ili ako želi podnijeti pritužbu. Opišite sve načine na koje vas mogu kontaktirati – npr. online, e-poštom ili poštom.
Ako je primjenjivo, također možete uključiti informacije o:
Korištenje kolačića i drugih tehnologija
Možete uključiti poveznicu na dodatne informacije ili opisati unutar pravila ako namjeravate postaviti i koristiti kolačiće, praćenje i slične tehnologije za pohranjivanje i upravljanje korisničkim postavkama na vašoj web stranici, oglašavanje, omogućavanje sadržaja ili na drugi način analiziranje podataka o korisniku i korištenju. Pružite informacije o tome koje vrste kolačića i tehnologija koristite, zašto ih koristite i kako ih pojedinac može kontrolirati i upravljati njima.
Povezivanje s drugim web stranicama / sadržajem trećih strana
Ako se s vaše web stranice povezujete na vanjske stranice i resurse, jasno navedite predstavlja li to podršku i preuzimate li ikakvu odgovornost za sadržaj (ili informacije sadržane unutar) bilo koje povezane web stranice.
Možda ćete htjeti razmotriti dodavanje drugih opcijskih klauzula u svoju politiku privatnosti, ovisno o okolnostima vašeg poslovanja.