Kādas kļūdas nepieļaut, veidojot privātuma politiku

19.06.2023 Kādas kļūdas nepieļaut, veidojot privātuma politiku

Privātuma politikā iekļaujamo informāciju nosaka Vispārīgas datu aizsardzības regulas (turpmāk - VDAR) 13. un 14. pants. VDAR 13. pants nosaka, kāda informācija ir sniedzama privātuma politikā, ja dati tiek iegūti no datu subjekta, savukārt 14. pants nosaka, kāda informācija ir sniedzama, ja personas dati tiek iegūti no kāda cita avota. Lai gan pastāv nelielas atšķirības, tomēr kopumā sniedzamās informācijas saturs lielākoties sakrīt, neatkarīgi no tā, vai personas dati iegūti no datu subjekta vai kāda cita avota.

 

Lai gan VDAR sniedz juridisko ietvaru attiecībā uz obligāti sniedzamo informāciju, pastāv arī virkne praktiskas dabas apsvērumu, kurus vērts paturēt prātā privātuma politikas izstrādes un pilnveidošanas procesā:

  •  Neveidot privātuma politikas tekstu izteikti juridiskā un sarežģītā valodā

VDAR paredz pienākumu privātumu politikas izstrādāt to adresātam draudzīgā un saprotamā valodā. Ņemot vērā, ka privātuma politiku adresāti lielākoties nav juristi, kas specializējas personas datu aizsardzības jomā, privātuma politikās ir noteikti jāizvairās no juridisko terminu un juridiskā žargona pielietošanas.

  • Strukturēt privātuma politiku vieglā un ērti pārskatāmā veidā

Viena no joprojām samērā bieži sastopamām kļūdām ir privātuma politiku rakstīšana lielā teksta blāķī, kur labākajā gadījumā tikai nedaudz izcelti galveno sadaļu virsraksti.  Šāda prakse ir gan VDAR prasībām neatbilstoša, gan arī kopumā neveicina adresātu informētību par uzņēmuma veikto datu apstrādi. Līdz ar to, ir ļoti svarīgi veidot strukturētu, pārskatāmu tekstu, izmantojot īpaši izceltus virsrakstus, apakšvirsrakstus, punktus un apakšpunktus, uzskaitījumus.

Tāpat arī būtiski atzīmēt, ka līdz šim ierakstā prakse privātuma politikas sadaļas stingri nodalīt, nesaistot dažādās nodaļās sniegto informāciju, vairs netiek uzskatīta par labo informēšanas praksi. Šobrīd viena no tendencēm ir attiecībā uz katru personas datu apstrādes mērķi izveidot tabulu, kurā attiecībā uz katru nodalīto konkrēto mērķi sniegta informācija par apstrādes tiesisko pamatu, apstrādājamajiem datiem, glabāšanas ilgumu, iesaistītajiem apstrādātājiem. Tas īpaši ieteicams, ņemot vērā, ka katram apstrādes mērķim šī informācija var visnotaļ pamatīgi atšķirties. Līdz ar to, šādā veidā sasaistot sniedzamo informāciju, jebkurai personai arī bez īpašām zināšanām datu apstrādes sfērā būs skaidri saprotama sniegtā informācija un nebūs nepieciešams ritināt privātuma politiku, cenšoties saprast, kāds, piemēram, ir glabāšanas termiņš videonovērošanas rezultātā gūtajiem datiem.

  • Veidot privātuma politiku tās konkrētajiem adresātiem

Pirms privātuma politiku izstrādes uzsākšanas ir vērts atbildēt uz jautājumu, kādiem adresātiem tā ir konkrēti paredzēta. Respektīvi, dažādiem adresātiem paredzētu privātuma politiku saturs var visnotaļ pamatīgi atšķirties. Piemēram, uzņēmuma darba kandidātiem, darbiniekiem, klientiem vai sadarbības partneriem ir jāparedz šīm grupām konkrēti pielāgotas privātuma politikas, kas saturiski sniedz katrai grupai nepieciešamo informāciju.

  •  Veidot privātuma politiku, pielāgojot to konkrētajam grupas uzņēmumam

Joprojām praksē mēdz gadīties situācijas, kad resursu taupības nolūkos viens no uzņēmumu grupā ietilpstošiem uzņēmumiem pārsūta savas privātuma politikas pārējiem grupā ietirpstošajiem uzņēmumiem un tie savukārt ievieš šīs privātuma politikas, neveicot jebkāda veida pielāgošanu. Tomēr realitātē pat vienā grupā ietilpstošu uzņēmumu veiktās datus apstrādes darbības var būtiski atšķirties dažādās būtiskās niansēs. Turklāt katrā Eiropas Savienības valstī pastāv atšķirīgs regulējums attiecībā uz noteiktu personas datu glabāšanas termiņiem, līdz ar to, pat gadījumos, ja datu apstrāde ir gandrīz identiska, var pastāvēt būtiskas atšķirības glabāšanas termiņos.

  •  Papildināt privātuma politiku, tiklīdz praksē mainās jebkādi personas datu apstrādes aspekti

Personas datu apstrāde praksē nekad nav statiska un tajā var ik pa brīdim parādīties dažādas izmaiņas. Piemēram, ieviešot kādu jaunu digitālu risinājumu tiek iniciēta jauna apstrādes darbība, vai esošajā apstrādes darbībā parādās kādas izmaiņas – tiek uzsākta papildus personas datu kategoriju apstrāde, dati tiek nodoti citam sadarbības partnerim citās trešajās valstīs. Ir būtiski visas šīs izmaiņas nekavējoties atspoguļot privātuma politikā, lai nodrošinātu VDAR prasībām atbilstošu datu subjektu informēšanu.

  • Nodrošināt, ka privātuma politika ir viegli atrodama

Sniedzot privātuma politikas uzņēmuma tīmekļa vietnē standarta prakse ir vietnes apakšā ietvert skaidru saisti “Privātuma politika”. Privātuma politikas atsevišķa neizdalīšana un pievienošana, piemēram, vietnes noteikumiem un nosacījumiem nav uzskatāma par atbilstošu praksi.

  • Nodrošināt, ka tiek skaidri identificēts pārzinis

Joprojām ir sastopamas tīmekļa vietnes, kurās nekur, tostarp arī privātuma politikās, netiek norādīts uzņēmuma pilnais juridiskais nosaukums un adrese. Tomēr, ņemot vērā VDAR prasības, nav atbilstoša un ir būtiski privātuma politikā sniegt šo informāciju.