Su privatumo politika susijusi problema
13 ir 14 straipsniuose bei kitose ES Bendrojo duomenų apsaugos reglamento (BDAR) nuostatose reikalaujama, kad įmonės pateiktų asmenims išsamią informaciją apie jų klientų asmens duomenų tvarkymą. Viena iš svarbiausių klientų informavimo apie jų asmens duomenų tvarkymą priemonių yra privatumo pranešimai, dažnai vadinami privatumo politika. Prieš šešerius metus įsigaliojus BDAR, privatumo politika tapo standartine beveik kiekvienos interneto svetainės dalimi. Iš pradžių skaidrumo reikalavimų buvo laikomasi ne ypač skrupulingai, nes daugelyje privatumo politikos tekstų buvo vartojamos neaiškios formuluotės. Pavyzdžiui, jose duomenų tvarkymo tikslai buvo apibūdinami tik kaip "vidaus administravimo" arba "verslo tikslai" ir teigiama, kad duomenys bus saugomi "ne ilgiau nei būtina nurodytiems tikslams pasiekti", nepateikiant daugiau aiškumo, ką tiksliai tuo norima pasakyti.
Nors tokių problemų vis dar pasitaiko, tačiau jau daug rečiau. Pastebima aiški tendencija rengti išsamesnę ir tikslesnę privatumo politiką. Tačiau dar per anksti teigti, kad asmenys yra tinkamai informuojami apie jų duomenų tvarkymą. Tik nedidelė dalis interneto svetainių lankytojų iš tikrųjų perskaito šiuos privatumo pranešimus, jau nekalbant apie tai, kad juos pilnai suprastų. Nuorodą į privatumo pranešimą paspaudžia nedidelė dalis lankytojų, o tie, kurie apsilanko puslapyje, jame praleidžia tiek mažai laiko, kad sunku teigti, jog jie tikrai susipažino su pateikta informacija ir ją suvokė.
Taip gali būti dėl to, kad praktikoje daugiau dėmesio skiriama formaliam teisinio turinio atitikimui, o ne tikram asmenų informavimui. Panašu, kad privatumo politika rengiama labiau siekiant patenkinti priežiūros institucijų reikalavimus, o ne informuoti asmenis, kurių asmens duomenys tvarkomi.
Organizacijos kuria ilgas, tikslias ir išsamias privatumo politikas, tačiau mažiau dėmesio skiria tam, kaip toks didelis informacijos kiekis yra pateikiamas ir ar šios informacijos adresatai sugeba ją suprasti. Tokia praktika vargu ar suderinama su BDAR skaidrumo koncepcija, kurią Europos duomenų apsaugos valdyba savo gairėse dėl skaidrumo pabrėžia kaip "orientuotą į vartotoją, o ne teisinę". Todėl sprendžiant tarp absoliutaus teisinio tikslumo ir informacijos išsamumo ir lengvesnio teksto skaitomumo (su nedideliais kompromisais tikslumo atžvilgiu), patartina rinktis pastarąjį variantą.
Pagrindinis privatumo pranešimų tikslas – padėti asmenims suprasti, kaip tvarkomi jų asmens duomenys, o ne tik išvengti priežiūros institucijų baudų. Be to, baudos gali būti skiriamos ne tik už tai, kad privatumo politikoje trūksta tam tikros informacijos, bet ir už tai, kad informacija pateikiama pernelyg sudėtingai ir neatsižvelgiant į tikslinės auditorijos supratimo galimybes. Suderinti informacijos išsamumą ir jos suprantamumą gali būti nelengva užduotis. Tačiau yra veiksmingų metodų, kaip privatumo pranešimus padaryti "žmogiškesnius" ir kartu užtikrinti, kad jie atitiktų BDAR reikalavimus. Šią pusiausvyrą galima pasiekti taikant teisinio dizaino principus privatumo pranešimams.
Kas yra teisinis dizainas?
Teisinis dizainas – tai požiūris, pagal kurį dizainu paremti mąstymo principai taikomi teisės srityje, o naudotojas tampa proceso centru. Pagrindinis teisinio dizaino tikslas – paversti teisę suprantamesnę ir patrauklesnę visiems, ne tik teisės specialistams. Teisinis dizainas yra kur kas platesnis nei dokumentų ar informacijos dizainas. Jis taip pat naudojamas siekiant padidinti teisinių sistemų, procesų ar paslaugų veiksmingumą.
Teisiniame dizaine pabrėžiama, jog yra būtina:
Kaip teisinis dizainas gali padidinti privatumo pranešimų veiksmingumą?
Teisinio dizaino principus privatumo politikai galima veiksmingai taikyti, pasitelkiant šias strategijas:
Auditorijos analizė. Norint užtikrinti, kad privatumo pranešimas būtų suprantamas, būtina suprasti tikslinę auditoriją ir tai, kas jį skaitys. Nors pasitaiko atvejų, kai pranešimas gali būti skirtas specialių žinių turintiems specialistams, tokie atvejai yra gana reti. Paprastai kalba turėtų būti aiški ir paprasta, prieinama pagrindinį išsilavinimą turintiems asmenims. Labiau pažeidžiamoms grupėms, pavyzdžiui, vaikams, kalba turėtų būti dar labiau supaprastinta, į ją galima įtraukti vaizdinių elementų ar net komiksų, kad būtų lengviau suprasti ir privatumo pranešimai taptų įdomesni. Žinoma, tai reikėtų daryti atsargiai, neiškreipiant pranešimo prasmės.
Susitelkti į struktūrą. Ilgą, 20 puslapių PDF dokumentą, kuriame nėra net paieškos pagal raktinius žodžius, tikriausiai skaitys tik priežiūros institucijos, konkurentai ir smalsūs teisininkai. Informacijos architektūra turi būti patogesnė vartotojui, kad pranešimas apie privatumą veiksmingai pasiektų numatytą auditoriją ir ją sudomintų. Nuo pat pradžių turėtų būti iš karto aišku, kur galima rasti konkrečią informaciją. Didesnės apimties dokumentuose naudinga turinį suskirstyti į atskirus skyrius, kuriuose nagrinėjami skirtingi klausimai, taikyti tokius metodus kaip peršokančios nuorodos, kad būtų lengviau naršyti, ir informaciją pateikti aiškiai apibrėžtais žingsniais. Yra labai veiksminga naudoti priemones, skirtas dažniausiai skaitytojų ieškomai informacijai nustatyti, ir šią informaciją aiškiai pateikti politikos pradžioje. Be to, dažnai užduodamų klausimų (DUK) skiltis, kurioje atsakoma į dažniausiai užduodamus klausimus, gali dar labiau padidinti politikos aiškumą. Kita vertus, labai svarbu išlaikyti subalansuotą turinio struktūrą, kad nebūtų užgožta svarbi informacija. Pavyzdžiui, patartina vengti tokių konfigūracijų, kai pradžioje pabrėžiama tik teigiama informacija, o svarbiausia informacija apie riziką, duomenų perdavimą į trečiąsias šalis ir pan. perkeliama į dokumento pabaigą. Tokia praktika gali suklaidinti skaitytoją ir sumažinti politikos skaidrumą.
Tekstas nėra vienintelis komunikavimo būdas. Svarbu nepamiršti, kad informaciją galima pateikti įvairiais būdais, įskaitant iliustracijas, piktogramas, vaizdo įrašus ir net interaktyvius žaidimų elementus. Nors šie vaizdiniai ir interaktyvūs formatai negali visiškai pakeisti rašytinio teksto, jie puikiai papildo, gerokai pagerindami informacijos suprantamumą.
Privatumo politikos "testavimas". Kad privatumo politika būtų veiksmingesnė, naudinga ją "išbandyti" prieš pradedant ją taikyti. Tam nebūtinai reikia atlikti išsamius vartotojų tyrimus. Paprastesnis metodas galėtų būti kolegų, kurie mažiau išmano duomenų apsaugos įstatymus, privatumo politikos projekto peržiūrą. Jie gali išsakyti savo nuomonę apie turinio aiškumą ir pasiūlyti patobulinimų, kad privatumo politika taptų patrauklesnė vartotojui. Naudojant dirbtinio intelekto priemones, taip pat galima gauti vertingų įžvalgų ir patobulinti privatumo politiką. Paskelbus privatumo politiką, naudinga reguliariai peržiūrėti rodiklius, atspindinčius, kaip dažnai ji skaitoma, kiek laiko jai skiriama, kuriais skyriais yra domimasi labiausiai ir pan. Tuomet šiuos duomenis galima naudoti toliau tobulinant privatumo politikos turinį.
Tinkamas privatumo politikos atnaujinimas. Privatumo politikoje paprastai būna nuostata, kad duomenų valdytojas gali bet kada pakeisti privatumo politiką, todėl lankytojas turėtų kartkartėmis ją perskaityti. Atsižvelgiant į tai, kad tik nedidelė dalis svetainės lankytojų apskritai užsuka į privatumo politikos puslapį, pripažinkime, jog tikimybė, kad jie nueis pasižiūrėti, ar ji pasikeitė ir kas konkrečiai joje pasikeitė, yra artima nuliui. Kad duomenų subjektams būtų lengviau orientuotis pakeitimuose, kartu su privatumo politikos pakeitimais svetainės naujienų skiltyje galėtų būti pateikiamas pranešimas, kuriame apibendrinami pakeitimai, arba kitos priemonės, kuriomis būtų atkreipiamas dėmesys į esminius pakeitimus.
Išvada
Šios strategijos – tai tik pavyzdžiai, kaip teisiniu dizainu galima paversti privatumo pranešimus patogesnius skaitytojui. Tačiau universalios ar visiems atvejams tinkančios praktikos, kaip turėtų atrodyti geras privatumo pranešimas, nėra ir tikriausiai negali būti. Konkrečių priemonių, skirtų privatumo pranešimus paversti veiksmingesniais, pasirinkimas priklausys nuo duomenų subjektų (auditorijos) pobūdžio, privatumo pranešimo apimties (kiek klausimų ketinama aptarti pranešime), organizacijos kultūros ir jos veiklos pobūdžio, interneto svetainės funkcionalumo ir kitų svarbių veiksnių.
Viktorija Stančikė, vyresnioji teisininkė
Straipsnis originaliai buvo publikuotas USLAW Magazine Summer 2024