SEO Sprendimai | Privatumo politika svetainei – kas tai, kodėl privaloma ją turėti
Svetainė paleista, reklama sukonfigūruota, Meta Pixel įdiegtas, Google Analytics seka lankytojus – ir niekur nei žodžio apie tai, kokie asmens duomenys renkami ir kam jie naudojami. Tokia situacija Lietuvoje nėra išimtis, ji norma tarp smulkaus verslo svetainių. Ir būtent tokios svetainės patenka į Valstybinės duomenų apsaugos inspekcijos (VDAI) akiratį, kai vartotojas pateikia skundą – o BDAR įsigaliojęs jau nuo 2018 m. gegužės 25 d., tad nežinojimas šioje situacijoje neveikia kaip argumentas.
Perskaitę žinosite, kas yra privatumo politika teisine prasme, kada ji privaloma, ką ji turi apimti ir kaip išvengti klaidų, dėl kurių net nedidelė įmonė gali sulaukti oficialaus įspėjimo.
Privatumo politika – tai dokumentas, kuriame duomenų valdytojas (jūsų įmonė) informuoja duomenų subjektus (svetainės lankytojus) apie tai, kokius asmens duomenis renka, kokiu teisiniu pagrindu, kaip ilgai saugo ir kokias teises turi lankytojas dėl savo duomenų.
Tai ne rekomendacija. Tai BDAR 13 ir 14 straipsnių reikalavimas – privaloma informacija, kurią duomenų valdytojas privalo pateikti duomenų subjektui duomenų rinkimo momentu.
Ir čia svarbu suprasti vieną dalyką iš karto: privatumo politikos reikalavimas galioja ne tada, kai jūs sąmoningai renkate duomenis (pildoma forma, el. paštas). Jis galioja nuo tada, kai jūsų svetainė apskritai identifikuoja lankytoją – o tai daro kiekviena svetainė, naudojanti Google Analytics, Meta Pixel, slapukus ar net paprastą kontaktų formą.
Dažnas klaidingas įsitikinimas – BDAR skirtas didelėms korporacijoms, o mažam verslui taisyklės kitokios.
Nėra jokios įmonės dydžio išimties BDAR privatumo informavimo reikalavimams. Vieno žmogaus konsultacinė įmonė su kontaktų forma svetainėje renka asmens duomenis – el. pašto adresą, vardą, telefono numerį. IP adresas, kurį fiksuoja Google Analytics, taip pat laikomas asmens duomenimis pagal BDAR, nes teoriškai leidžia identifikuoti fizinį asmenį. Tai reiškia, kad beveik kiekviena verslo svetainė, turinti bet kokią sąveiką su lankytojais, patenka į reglamento taikymo sritį.
Vienintelė tikra išimtis – grynai statinė svetainė be jokios analitikos, be formų, be slapukų. Tokių svetainių 2024 metais praktiškai nebėra.
BDAR 13 straipsnis nurodo konkrečius elementus, kurie turi būti dokumente. Tai ne stilistinė rekomendacija – tai minimalus privalomas turinys:
Paskutinis punktas dažnai ignoruojamas, bet jis kritiškai svarbus: tiek Google Analytics, tiek Meta Pixel perduoda duomenis į serverius JAV. Po 2023 m. ES ir JAV Duomenų privatumo sistemos (Data Privacy Framework) susitarimo tai teisiškai supaprastinta, tačiau informavimo prievolė išlieka.
Techniškai – gali būti abiejuose. Praktiškai – geriau atskirai.
Slapukų politika aprašo konkrečiai, kokius slapukus naudoja svetainė, kokio tipo jie yra (būtinieji, analitiniai, rinkodaros), kas juos diegia ir kaip lankytojas gali juos valdyti. Privatumo politika aprašo platesnį asmens duomenų tvarkymo kontekstą.
Slapukų sutikimo juosta – tai atskiras techninis sprendimas, kuris turi veikti nepriklausomai nuo dokumentų. Ir čia dažniausia klaida, kurią galima pamatyti peržiūrint Lietuvos verslo svetaines: slapukų juosta rodo tik “Sutinku” mygtuką be galimybės atsisakyti ar tvarkyti nustatymus. Tai BDAR pažeidimas – sutikimas turi būti toks pat lengvai atšaukiamas, kaip buvo duotas.
Teorinė maksimali BDAR bauda – 20 milijonų eurų arba 4% metinės apyvartos. Tokios baudos skiriamos korporacijoms: Meta 2023 metais gavo 1,2 milijardo eurų baudą iš Airijos duomenų apsaugos komisijos už neteisėtą duomenų perdavimą į JAV.
Lietuvos mažam verslui realesnė grėsmė – ne milijoninės baudos, o VDAI įspėjimai, privalomi nurodymai ir viešas skelbimas apie pažeidimą. VDAI skelbia savo sprendimus viešai – ir net nedidelio verslo pavadinimas prie pažeidimo aprašymo internete lieka ilgam.
Praktinis pastebėjimas iš darbo su Lietuvos klientais: VDAI dažniausiai pradeda tyrimą ne savo iniciatyva, o pagal vartotojų skundus. Nepatenkintas klientas, žinantis savo teises, gali inicijuoti oficialų patikrinimą vienu el. laiško paspaudimu. Ir tai nutinka dažniau nei manote.
Dokumentas turi būti lengvai randamas – ne paslėptas penkių paspaudimų gilumoje. Standartinė praktika: nuoroda poraštėje kiekviename puslapyje, papildomai – kontaktų formos šalia kaip savarankiškas laukas su sutikimo žymės langeliu ir nuoroda į dokumentą.
Google ir Meta reikalauja privatumo politikos, kai naudojate jų reklamos įrankius. Google Ads paskyra be privatumo politikos nuorodos reklaminėje svetainėje techniškai pažeidžia Google reklamuotojų politiką – ir tai gali tapti priežastimi sustabdyti skelbimus, ne tik teisine problema.
Tiesiogiai: kopijuota privatumo politika neveikia.
Ne dėl autorių teisių (nors tai taip pat problema). Dėl turinio tikslumo. Jei nukopijuotas dokumentas mini duomenų tvarkytoją, kurio jūs nenaudojate, arba nurodo saugojimo terminą, kuris neatitinka jūsų realios praktikos, arba mini teises, kurių jūs faktiškai neužtikrinat – tai dokumentas, kuris teisine prasme yra blogesnis nei jo nebuvimas, nes sukuria klaidingą vartotojo lūkestį.
Privatumo politika turi atspindėti tai, ką jūsų svetainė iš tikrųjų daro su duomenimis. Ne tai, ką darytų teorinė svetainė.
Dokumentas nėra statiška deklaracija. Jis reikalauja atnaujinimo kiekvieną kartą, kai keičiasi duomenų tvarkymo praktika – kai diegiate naują analitikos įrankį, keičiate el. pašto platformą, pradedate naudoti naują CRM sistemą ar keičiate duomenų saugojimo terminus.
Standartinė rekomendacija: privatumo politiką peržiūrėti ne rečiau kaip kartą per metus, net jei niekas akivaizdžiai nepasikeitė. Priežiūros institucijų išaiškinimai ir teismų sprendimai dėl BDAR nuolat evoliucionuoja – dokumentas, parašytas 2019 metais ir neliečiamas nuo tada, greičiausiai jau neatitinka šiandieninių reikalavimų.
Du keliai, priklausomai nuo jūsų situacijos.
Jei privatumo politikos dar neturite – tai pirmiausiai reikia sutvarkyti prieš bet ką kitą, ypač prieš paleidžiant mokamas reklamas ar diegiant bet kokius analitikos įrankius. Paprasčiausias startas: VDAI svetainėje vdai.lrv.lt yra metodinė medžiaga lietuvių kalba – tai oficialus Lietuvos priežiūros institucijos resursas, ne trečiųjų šalių interpretacija.
Jei politika jau yra – patikrinkite vieną konkretų dalyką: ar dokumente yra aiški nuoroda į Google Analytics ir Meta Pixel kaip duomenų gavėjus, ar nurodytas duomenų perdavimas į JAV ir ar yra galiojantis teisinis pagrindas tam perdavimui (Data Privacy Framework po 2023 m. liepos). Jei bent vieno iš šių elementų trūksta – dokumentas reikalauja atnaujinimo.
Per artimiausias 30 dienų patikrinte, ar jūsų slapukų sutikimo juosta leidžia lankytojui atsisakyti nebūtinųjų slapukų taip pat paprastai, kaip ji siūlo sutikti. Jei “Atsisakyti” mygtuko nėra arba jis paslėptas – tai ne smulkmena, tai vienas dažniausiai fiksuojamų BDAR pažeidimų Lietuvos svetainėse šiandien.
SEO Sprendimai padeda Lietuvos verslams sukonfigūruoti svetainių dokumentaciją – privatumo politiką, slapukų juostą ir sutikimų valdymą – taip, kad atitiktų BDAR reikalavimus ir netrukdytų reklamos kampanijų vykdymui. Susisiekite, jei norite įsitikinti, ar jūsų svetainė šiuo metu atitinka galiojančius reikalavimus.