Institucijos

Privatumo politikos – ar tikrai daugiau visada yra geriau?

Interneto svetainėse skelbiami privatumo pranešimai (privatumo politikos) – vienas iš svarbiausių duomenų subjektų informavimo instrumentų. 2023 m. interneto svetainių privatumo pranešimai buvo patekę ir į Valstybinės duomenų apsaugos inspekcijos (VDAI) akiratį, tikrinta jų atitiktis skaidrumo principui.

Per daugiau nei penkerius BDAR taikymo metus vienokios ar kitokios privatumo politikos atsirado kone kiekvienoje interneto svetainėje. Vis dėlto, dar nedrąsu būtų teigti, kad jomis duomenų subjektai yra tinkamai informuojami apie asmens duomenų tvarkymą. Ypač žinant, kad faktiškai su privatumo pranešimais susipažįsta retas interneto svetainės lankytojas. Nuoroda į privatumo pranešimą dažnu atveju nebūna paspaudžiama, o puslapyje, kuriame skelbiamas privatumo pranešimas, jei ir apsilankoma, jame praleidžiama tiek mažai laiko, kad apie realų susipažinimą su informacija ir jos supratimą kalbėti sunku.

Svarbu ne tik tai, kokia informacija, bet ir kaip pateikiama

Rengiant privatumo politiką, kaip ir bet kurią kitą duomenų subjektams skirtą komunikaciją, yra svarbūs du BDAR įtvirtinto skaidrumo principo aspektai.

Pirma, tai informacijos turinys – kokia informacija turi būti pateikta. Šiuo klausimu gana aiškias taisykles nustato BDAR 13 ir 14 straipsniai, kuriuose išvardinta, kokia informacija turi būti įtraukta į privatumo pranešimus. BDAR taikymo aušroje daugumos privatumo politikų turinys buvo abstraktus, jose būdavo nurodomi tokie duomenų tvarkymo tikslai kaip „vidaus administravimas“, o duomenų saugojimo terminai apibrėžti naudojant tokias nieko nepasakančias formuluotes kaip „duomenys bus saugomi ne ilgiau nei reikia nurodytiems tikslams pasiekti“.

Šiuo metu tokių klaidų pasitaiko vis rečiau, judame link išsamesnių ir tikslesnių privatumo politikų, tačiau tobulintinų turinio vietų vis dar yra. Pavyzdžiui:

Savaime tai nėra klaida, nes duomenų subjektus galima informuoti ir atskirai jiems įteikiamais / išsiunčiamais pranešimais, įtraukiant atitinkamas nuostatas į sutartis ir pan. Vis dėlto, informaciją apie duomenų tvarkymą skelbiant viešai informavimas tampa daug paprastesnis – dažnu atveju ilgas informavimo formuluotes galima pakeisti tiesiog nuoroda į privatumo politiką. Kita vertus, tinkamos privatumo politikos apimties klausimas yra nevienareikšmis – kuo daugiau klausimų siekiama aptarti privatumo politikoje, tuo daugiau dėmesio reikės skirti jos dizainui, kad duomenų subjektai nepasimestų informacijos gausoje.

Rengiant privatumo politikas ne mažiau svarbus yra ir antrasis skaidrumo principo aspektas – tai informacijos pateikimo būdas ir jos suprantamumas. Informacija turi būti ne tik tiksli ir išsami, bet ir pateikta glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba.

Duomenų apsaugos valdybos pirmtakės, 29 straipsnio darbo grupės, Gairėse dėl skaidrumo principo net akcentuojama, jog „Skaidrumo principas pagal BDAR yra orientuotas į vartotoją, o ne legalistinis <…>“. Tad jeigu tektų rinktis tarp idealaus teisinio tikslumo ir išsamumo, bet menko suprantamumo, ir galbūt šiek tiek mažiau tikslumo, bet daugiau suprantamumo, patartina būtų rinktis antrąjį variantą. Juk privatumo pranešimai yra skirti ne tam (ar ne tik tam), „kad inspekcija nepaskirtų baudos“, bet pirmiausia tam, kad žmonės suprastų, kaip yra tvarkomi jų asmens duomenys. Tuo labiau, kad bauda gali būti paskirta ne tik už tai, jog privatumo politikoje nurodyta ne visa reikiama informacija, bet ir už tai, jog ji pateikta per daug sudėtingai, neįvertinta, kas yra duomenų subjektas, ar jis supras informaciją ir pan.

Vis dėlto, praktikoje kol kas daugiau dėmesio skiriama formalios atitikties užtikrinimui. Pavyzdžiui, pasirengiama ilga, tiksli ir išsami privatumo politika, tačiau į interneto svetainę ji įkeliama kaip atspausdintas, pasirašytas ir nuskenuotas PDF formato dokumentas, kuriame net neįmanoma atlikti paieškos pagal raktinius žodžius. Tikimybė, kad tokiame dokumente reikiama informacija bus randama greitai, tikrai labai maža.

Kas padėtų privatumo pranešimus padaryti suprantamesnius ir draugiškesnius skaitytojui?

Suderinti du aptartus aspektus – informacijos tikslumą bei išsamumą ir jos suprantamumą – užduotis ne iš lengvųjų, bet priemonių pasiekti didesnį privatumo pranešimų efektyvumą tikrai yra. Ypač naudinga taikyti legal design principus, pavyzdžiui: 

  • Auditorijos analizė. Norint, kad auditorija suprastų privatumo pranešimą, pirmiausia reikia žinoti, kas skaitys privatumo pranešimą. Gali būti atvejų, kai privatumo pranešimas skirtas daugiau žinių turintiems specialistams, tačiau tokie atvejai gana reti. Įprastai privatumo pranešimo kalba turėtų būti paprasta, suprantama kiekvienam pagrindinį išsilavinimą turinčiam žmogui. Jeigu pranešimas skirtas labiau pažeidžiamiems asmenimis, pavyzdžiui, vaikams, tekstinė dalis turi būti dar paprastesnė, galima įterpti įvairių vizualizacijų ar net komikso elementų. Žinoma, tai daryti reikėtų atsargiai, neiškreipiant informacijos esmės.
  • Dėmesys struktūrai. 20 puslapių sudarantį PDF dokumentą, kuriame net neįmanoma atlikti paieškos pagal raktinius žodžius, tikrai skaitys nebent priežiūros institucija, konkurentai ir smalsumo vedami teisininkai. Norint, kad privatumo pranešimas pasiektų ir duomenų subjektus, dėl informacijos architektūros reikia pasistengti labiau. Skaitytojui vos atsivertus privatumo politiką turi būti aišku, kur ir kokia informacija yra pateikiama. Jei privatumo politikos apimtis yra didelė, ją geriau skaidyti į keletą politikų atskiriems klausimams, įdiegti interaktyvų turinį, informaciją pateikti etapais, pasitelkus specialius įrankius įvertinti, kokios informacijos skaitytojai ieško dažniausiai ir ją pateikti privatumo politikos pradžioje. Žinoma, struktūrą dėlioti reikia apdairiai ir sąžiningai, kad nenutiktų taip, jog, pavyzdžiui, pirmajame informacijos pateikimo etape pateikiami tik teigiami aspektai, o informacija apie rizikas, duomenų perdavimą į trečiąsias valstybes ir pan. matoma tik pasirinkus sužinoti „daugiau informacijos“.
  • Dėmesys informacijos pateikimo būdams. Be struktūros, labai svarbu yra ir pranešimų pateikimo klausimai. Yra įvairių būdų pateikimą padaryti patrauklesnį ir labiau skatinantį susipažinti su informacija. Pavyzdžiui, galima padaryti dažnai užduodamų klausimų skiltį, kuri kartu tarnautų ir kaip politikos santrauka. Galima nurodyti ne tik teorinę informaciją, bet ir įterpti pavyzdžių, kaip faktiškai duomenys yra tvarkomi.

Taip pat reikėtų nepamiršti, kad rašytinis tekstas yra ne vienintelis informacijos pateikimo būdas, šiam tikslui galima pasitelkti ir įvairias vizualizacijas: iliustracijas, ikonas, vaizdo įrašus. Nors vizualizacijos negali visiškai pakeisti teksto, tačiau puikiai jį papildo ir didina jo suprantamumą.

Interneto svetainėje pateikiamos nuorodos į privatumo politiką taip pat turėtų būti lengvai randamos ir skatinančios susipažinti su privatumo politika.

  • Pakeitimų administravimas. Dažniausiai privatumo politikose yra įrašoma fikcinė nuostata, kad duomenų valdytojas gali bet kada pakeisti privatumo politiką, tad lankytojas turėtų kartas nuo karto ją perskaityti iš naujo. Žinant, kad tik maža dalis interneto svetainės lankytojų apskritai atsiverčia privatumo politikos puslapį, tikimybė, kad jie eis ieškoti, ar ir kas pasikeitė, yra arti nulio. Kad duomenų subjektams būtų lengviau susigaudyti pakeitimuose, pasikeitus privatumo politikai interneto svetainės naujienų skiltyje galėtų atsirasti pakeitimus apibendrinantis pranešimas, imamasi kitų priemonių atkreipti duomenų subjektų dėmesį.
  • Privatumo politikų „testavimas”. Kad privatumo politikos būtų efektyvesnės, naudinga prieš įkeliant į interneto svetainę duoti jas paskaityti su asmens duomenų apsauga mažiau susiduriantiems kolegoms, paklausti, ar viskas aišku, kurios vietos sunkiau suprantamos . Po paskelbimo taip pat naudinga periodiškai pasižiūrėti, ar privatumo politika yra skaitoma, kiek laiko praleidžiama ją skaitant, kurie skyriai yra skaitomiausi ir pan. Pagal šiuos duomenis vėliau galima daryti išvadas dėl privatumo pranešimo tobulinimo.

Pateiktų priemonių sąrašas tikrai nėra baigtinis, tai tik pavyzdžiai, parodantys, kad tikrai galima rasti būdų privatumo pranešimus padaryti patrauklesnius skaitytojui. O ir vienos universalios praktikos, kaip turi atrodyti geras privatumo pranešimas, nėra ir, turbūt, negali būti. Kokias konkrečias privatumo pranešimų efektyvinimo priemones rinktis nulems ir auditorijos pobūdis, ir privatumo pranešimo apimtis (kiek klausimų norima aptarti pranešime), interneto svetainės elementai bei kiti veiksniai.

Tekstą parengė ILAW LEXTAL vyresnioji teisininkė Viktorija Stančikė

Back to top button