Viens no Datu regulas [1] pieņemšanas iemesliem ir tādu apstākļu nodrošināšana, kas ļautu personām, kuru datus ir plānots apstrādāt, saglabāt kontroli pār to personīgo informāciju.
Pirmais solis kontroles par personas datiem [2] un to aizsardzību saglabāšanai ir informētība par ar personīgo informāciju un plānotajām darbībām no organizācijas puses. Atbilstoši Datu regulai, vēl pirms datu apstrādes uzsākšanas, organizācijai ir jāsniedz informācija, un personai, kuras datus plāno apstrādāt, ir tiesības iepazīties ar:
- informāciju par organizāciju un tās kontaktinformāciju;
- ja norīkots – kā sazināties ar organizācijas datu aizsardzības speciālistu un tā kontaktinformāciju;
- kādu nolūku sasniegšanai tiek pieprasīti personas dati un kāds ir šīs informācijas iegūšanas tiesiskais pamats atbilstoši Datu regulai;
Piemēram, gadījumos, ja uzņēmums iegūst informāciju ar nolūku izrakstīt rēķinu par sniegtu pakalpojumu vai pārdotu preci, tad privātuma politikā jānorāda gan mērķis – rēķina izrakstīšana, gan arī šādas apstrādes tiesiskais pamats – likumā noteikta pienākuma izpilde. |
- ja apstrāde tiek pamatota ar organizācijas likumīgajām interesēm, tad šo interešu izklāstu;
- personas datu saņēmējiem vai to kategorijām, ja tādi ir;
Piemēram, ja organizācija plāno preces piegādei piesaistīt kādu no kurjera dienestiem, tad būtu jānorāda kādi dati tiks nodoti kurjera dienestam attiecīgās personas datu apstrādes ietvaros. |
- ja plānots personīgo informāciju nosūtīt uz trešo valsti vai starptautisku organizāciju, atsauci uz to, kā personīgā informācija tiks aizsargāta.
Organizācijai personīgās informācijas iegūšanas laikā jāsniedz arī šāda papildu informācija:
- laikposms, cik ilgi informācija tiks glabāta, vai, ja tas nav iespējams, kā šis laikposms tiks noteikts;
- par citu personas tiesību īstenošanu - piekļuvi organizācijas apstrādē esošajiem personas datiem, to labošanu vai dzēšanu, vai apstrādes ierobežošanu, tiesības iebilst pret apstrādi, kā arī tiesības uz datu pārnesamību;
Piemēram, privātuma politikā būtu iekļaujams organizācijas procedūru, kas saistītas ar personas tiesību attiecībā uz personas datu aizsardzību, īstenošanu apraksts, tai skaitā kam un kādus kanālus izmantojot šāda veida iesniegumi iesniedzami. |
- ja apstrāde pamatojas uz personas piekrišanu – tiesības jebkurā brīdī to atsaukt; jāsniedz informācija par to, kā tas ietekmēs apstrādes likumīgumu, kuras pamatā ir pirms atsaukuma sniegta piekrišana;
- tiesības iesniegt sūdzību uzraudzības iestādei (Latvijā – Datu valsts inspekcija);
- vai personas datu sniegšana ir noteikta saskaņā ar likumu vai līgumu, vai tā ir priekšnosacījums, lai līgumu noslēgtu, kā arī informācija par to, vai personai ir pienākums personas datus sniegt un kādas sekas var būt gadījumos, kad šādi dati netiek sniegti;
Piemēram, ja noteikta veida personas dati nepieciešami līguma izpildei (piemēram, piegādes adrese, lai piegādātu nopirkto preci), šāda informācija arī būtu iekļaujama privātuma politikā. |
- tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, un vismaz Datu regulā minētajos gadījumos [3] – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz personu.
Piemēram, ja līzinga kompānija pirms pakalpojuma sniegšanas iegūst iespējamā klienta – fiziskas personas – automatizētu kredīt spējas novērtējumu, šāda apstrāde būs uzskatāma par profilēšanu un līzinga kompānijas privātuma politikā būtu atspoguļojama gan pieņemto lēmumu loģika, gan arī tas vai un kā persona var īstenot savas tiesības iebilst šādai apstrādei. |
Datu regulā nav noteikts kā tieši iepriekš minētā informācija ir sniedzama. Vienlaikus lielāka daļa organizāciju izvēlas šo informāciju apkopot vienā dokumentā. Tam var būt dažādi nosaukumi, tomēr lielākoties organizācijas šādu dokumentu sauc par Privātuma politiku. Tātad Privātuma politika ir organizācijas dokuments kurā var iepazīties ar informāciju par organizācijas veikto datu apstrādi, pirms uzsākta personas datu apstrāde. Atbilstošas informācijas sniegšana šajā dokumentā ļaus organizācijām nodrošināt Datu regulā noteiktā informēšanas pienākuma izpildi, savukārt personām, kuru personas datus plānots apstrādāt, tas ļaus ne tikai iegūt informāciju par to kā tieši organizācija plāno informāciju apstrādāt, bet arī par personas tiesību īstenošanas kārtību tālākos personas datu apstrādes posmos. Sniegtās informācijas izpēte pirms personiskas informācijas sniegšanas ļaus personai novērtēt vai organizācijas piedāvātā personas datu apstrādes kārtība ir personai pieņemama.
Privātuma politikā informācija sniedzama kodolīgā, pārredzamā, un iedzīvotājam saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu. Saprotams un pieejams veids nenozīmē vien to, ka netiek izmantota specifiska juridiska valoda ar terminiem, kuri iedzīvotājiem var nebūt izprotami, bet arī to, ka tiek izmantota valoda, kuru izmanto vairums organizācijas klientu – fizisko personu – piemēram, latviešu valoda, ja organizācijas klienti pamatā būs latviski runājoši. Pasniegtajai informācijai ir jābūt skaidri strukturētai, viegli pārredzamai un viegli pieejamai, piemēram, lai tīmekļa vietnē nebūtu jāpavada pārlieku ilgs laiks tās atrašanai.
Par labu praksi tiek uzskatīts, ka Privātuma politika neatrodas tālāk kā divu klikšķu attālumā no organizācijas tīmekļa vietnes titullapas [4].
Ja organizācijas mērķa auditorija ir bērni, tad privātuma politika jāformulē veidā, kas būtu saprotams arī bērniem. [5]