Vienas iš pagrindinių principų, kurio laikantis turi būti pateikta informacija ir pranešimai, susiję su asmens duomenų tvarkymu, yra skaidrumo principas.

Skaidrumo principo sampratą ir reikšmę asmens duomenų tvarkymo kontekste paaiškina Reglamento 39 preambulės punktas, o pagrindinius reikalavimus informacijai ir pranešimams, susijusiems su asmens duomenų tvarkymu nustato Reglamento 12 straipsnis:

(i)                 “lengvai prieinami ir suprantami, pateikiami aiškia ir paprasta kalba”, “glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba”(12.1 str., 39 ir 42 preambulės punktas);

(ii)               “raštu arba kitomis priemonėmis, įskaitant, prireikus, elektronine forma” (12.1 str.);

(iii)             “žodžiu duomenų subjekto prašymu, jeigu duomenų subjekto tapatybė įrodoma kitomis priemonėmis” (12.1 str.);

(iv)             “nemokamai” (12.5 str.).

(i) “glausta ir skaidria”[1] reiškia, kad duomenų valdytojai turi pateikti informaciją efektyviai ir trumpa forma, privati informacija turi būti atskirta nuo neprivačios informacijos, o interneto kontekste turi būti nuoroda tiesiogiai nuvedanti į privatumo pranešimą, kad duomenų subjektui nereiktų jo ieškoti plačios apimties tekste.

“Suprantamai” reiškia, kad tai turi būti suprantama „vidutiniam numatomos auditorijos nariui.“[2] Duomenų valdytojas turi patikrinti, ar numatoma auditorija atitinka faktinę auditoriją ir atitinkamai daryti savo privatumo informacijos pakeitimus pagal faktinę auditoriją.[3] Kaip įrodymas, kad pateikta privatumo informacija atitinka skaidrumo principą galėtų būti vartotojų apklausos (angl. user panels).[4][5]

“Suprantamai” taip pat apima ir tai, kad duomenų subjektui turi būti suprantamai pateikta apimtis ir svarbiausios pasekmės, kurias gali sukelti jam asmens duomenų tvarkymas.[6]

“Lengvai prieinama” reiškia, kad duomenų subjektas neturi ieškoti informacijos – turi iš karto jam būti aišku, kur galima pasiekti šią informaciją, pvz.: darant nuorodą į tą informaciją, klausimų atsakymų forma ir kt.[7] Kaip geriausia praktika nurodoma prieš pradedant rinkti duomenis WP29 interneto kontekste yra pateikta nuoroda į privatumo pranešimą ar informacija pateikiama tame pačiame puslapyje, kuriame renkama asmeninė informacija.

„Aiškia ir paprasta kalba” reiškia, kad informacija turėtų būti pateikiama kuo paprasčiau, išvengiant sudėtingų sakinių ir kalbos struktūrų; konkreti ir galutinė; neturėtų būti pateikiama abstrakčiai ar dviprasmiškai arba palikti erdvės skirtingoms interpretacijoms; turėtų būti aiškūs asmens duomenų tvarkymo tikslai ir teisinis pagrindas; vertimas į užsienio kalbą turėtų būti pateiktas, kai tikslinė duomenų subjekto grupė yra kitų šalių duomenų subjektai, kalbantys šiomis kalbomis.[8]

Kai tikslinė grupė yra vaikai, tai duomenų valdytojas turi užtikrinti, kad žodynas, kalbos tonas ir stilius yra tinkami vaikams ir vaikai gali atpažinti, kad ši informacija yra skirta jiems.[9]

(ii) “raštu arba kitomis priemonėmis”

Pagrindinė pozicija, kad informacija ir pranešimai duomenų subjektams pateikiami raštu, tačiau yra leidžiama ir kitomis rašytinėmis ir nerašytinėmis priemonėmis, įskaitant ir elektronines priemones, pvz.: elektroninėje erdvėje „sluoksniniai“ pranešimai apie privatumą, leidžiantys svetainių lankytojams pereiti prie tam tikrų aspektų, susijusių su atitinkamu privatumo patvirtinimu / įspėjimu, kuris juos labiausiai domina, „Just-in-time” kontekstiniai iškylantys pranešimai, “3D” prisilietimo arba “užuominos” pranešimai ir privatumo informacijos skydeliai.[10] “Kitos priemonės”, kurios nebūtinai yra elektroninės, gali apimti, pavyzdžiui, animacinius filmus, infografacijas ar srautų diagramas.[11]

(iii) “žodžiu”

Informacija žodžiu gali būti pateikta duomenų subjekto prašymu, jeigu duomenų subjekto tapatybė yra patikrinta nežodinėmis priemonėmis. Duomenų subjekto tapatybės nereikia tikrinti, jeigu tai nėra informacija, susijusi su duomenų subjekto teisių įgyvendinimu.

Tačiau šiuo atveju pateikdamas informaciją duomenų subjektui žodžiu duomenų valdytojas turi užfiksuoti ir išlaikyti įrodymus, kad (i) jis gavo duomenų subjekto prašymą suteikti informaciją žodžiu, ii) metodą, kuriuo duomenų subjekto tapatybė buvo patikrinta ir iii) tai, kad informacija buvo pateikta duomenų subjektui.

(iv) “nemokamai”

Informacija ir pranešimai, susiję su asmens duomenų tvarkymu (13, 14, 15-22, 15 – 22 , 34 straipsniai) turi būti pateikiami neatlygintinai, negali būti sąlygojami pirkimu ar mokėjimu už paslaugas ar prekes. [12]

Informacijos, teikiamos duomenų subjektui pagal Reglamento 13 str., jeigu asmens duomenys yra renkami tiesiogiai iš duomenų subjekto, turinys:

(i)                Duomenų valdytojo tapatybė ir kontaktinės detalės, jo atstovo tapatybė bei kontaktinės detalės, jeigu taikytina,;

(ii)               Duomenų apsaugos pareigūno kontaktinės detalės, jeigu taikytina;

(iii)              Tikslas ir teisinis duomenų tvarkymo pagrindas;

(iv)              Kai teisėtas interesas (6.1(f)) yra teisinis pagrindas tvarkymui, tai teisiniai interesai, kurių duomenų valdytojas ar tretieji asmenys siekia;

(v)               Asmens duomenų gavėjai ir gavėjų kategorijos;

(vi)              Informacija apie perdavimus į trečiąsias šalis, to faktas ir informacija apie apsaugos priemones (įskaitant ir buvimą ar nebuvimą Komisijos atitikimo sprendimo ir priemones, kaip gauti jų kopiją ar kur jos yra paskelbtos);

(vii)             Duomenų subjekto teisės į: prieigą; taisymą, panaikinimą, tvarkymo apribojimą, prieštaravimą tvarkymui ir perkeliamumą;

(viii)            Duomenų subjekto teisė atsiimti sutikimą, kai duomenų tvarkymas yra pagrįstas sutikimu;

(ix)              Teisė teikti skundą prižiūrinčiai organizacijai.

Jeigu asmens duomenys nėra gaunami iš duomenų subjekto, tai be viršuje nurodytos informacijos reikia papildomai pateikti informaciją apie tvarkomas asmens duomenų kategorijas (Reglamento 14 str.).

Dėl papildomos informacijos asmens duomenų apsaugos klausimais maloniai prašome kreiptis į advokatę Editą Ivanauskienę, edita.ivanauskiene@eiip.lt