2021.a. sügisel määras Iirimaa andmekaitse järelevalveasutus 225 miljoni euro suuruse trahvi WhatsApp Ireland Limited’le sõnumirakenduse WhatsApp privaatsusteate GDPR – i nõuetele mittevastavuse eest.
Järelevalveasutus tugines Euroopa Andmekaitsenõukogu (EDPB) suunistele ning jättis tähelepanuta ettevõtte väite, et nende privaatsusteade on siiski kooskõlas (tollal) laialt levinud praktikaga.
Milliseid järeldusi saab sellest trahviotsusest teha?
GDPR artikkel 12 (1) sätestab, et inimest (andmesubjekti) tuleb teavitada“ kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis, kasutades selget ja lihtsat keelt“.
Sisu peab olema esitatud arusaadavalt.
See ei tähenda järeleandmisi täpsuses, kuid teate tekst peaks olema liigendatud. Soovitav on kasutada hüperlinke, ristviiteid vmt. Tasub vältida „lohisevat“ tekstifaili, millest info leidmine võib olla raske.
Teave andmetöötlustoimingute kohta peab olema piisavalt detailne.
Isikuandmed, nende töötlemise eesmärgid ning õiguslikud alused peavad olema omavahel seostatud. Andmesubjektile peab selgitama, miks edastab andmete töötleja, kelle kätte ta oma andmed on usaldanud, need andmeid veel kellelegi teisele ehk nn. kolmandale osapoolele. Kui andmeid edastatakse rahvusvaheliselt, tuleb andmesubjektile selgitada, milliseid turvameetmeid kasutatakse. Info andmete säilitamise, sh selle tähtaja kohta peab olema võimalikult täpne.
Vältima peab ebamääraseid sõnu nagu „võib“, „sealhulgas“ või „näiteks“.
Praktikas tähendab selge ja informatiivse privaatsusteate koostamine suurt hulka tööd, sh seda, et andmete vastutav või ka volitatud töötleja on oma andmetöötlustoiminguid, nende eesmärgid, õiguslikud alused ja töös kasutatavad andmekirjed eelnevalt endale selgeks teinud ja kirja pannud.
Artikli kirjutamisel kasutatud allikas:
