第29条工作组发布了经修订的透明度准则透明度是隐私和数据保护的支柱原则之一。当个人很容易理解他们的个人数据是如何被处理、使用和共享的，他们就有权对他们的个人数据做出明智的决定，从而使他们能够对他们进行控制。同样，组织可以建立用户信任，并承担责任。《全球数据保护条例》的两条主要条款（第13条和第14条）详细说明了在收集个人数据时或在未直接从数据主体获得个人数据之后不久必须向个人提供的所有信息。个人数据的收集方式有很多种——电话、纸张、人对人、应用程序、物联网、在商店付款、浏览互联网时以电子方式收集，在线采购等——这就提出了一个难题，即组织应该如何将这些信息传达给个人，让他们真正看到并理解这些信息。为了阐明这一问题，第29条工作组（WP29）于2017年11月发布了透明度指南，我们在这里对其进行了总结。修订版于本周发布，主要变化如下。一般应用WP29在其导言中强调，这些透明度准则具有普遍适用性，因此不涉及特定部门或行业的具体情况。各组织应当对其进行审查，以便在高级别上理解对透明度义务在实践中所涉及的内容和方法的解释。WP29已决定，控制者应采取透明的同时，将公平和责任纳入其透明度措施。对现有隐私声明的更改几乎所有受GDPR约束的组织都需要修改其隐私声明，以符合该法规的新信息要求。至少应让数据主体了解此类变更，并将更新后的隐私通知公布于众（例如，在控制者的网站上）。如果隐私通知发生重大变化，控制人将负责主动提请数据主体注意修改后的通知（例如电子邮件、硬拷贝信函、网页上的弹出窗口或其他有效地引起数据主体注意的方式）。WP29进一步指出，对隐私声明/通知的更改应始终传达给数据主体，并应特别包括处理目的的变更；控制者身份的变更；或数据主体如何行使与处理相关的权利的变更。相反，WP29不认为隐私声明/通知具有实质性或实质性的修改，包括拼写错误或文体/语法缺陷的更正。使用清晰明了的语言隐私声明必须使用"清晰明了的语言"，这意味着它们不应包含法律或技术术语。在提供了一些不满足第一版清晰性要求的不良实践的实例之后，WP29现在还提供了一些良好实践的示例，说明了在描述处理活动的目的时预期的详细程度。良好实践范例"我们将保留您的购物记录，并使用您以前购买的产品的详细信息，为您提供我们认为您也会感兴趣的其他产品的建议"很清楚将处理哪些类型的数据，数据主体将受到针对性产品广告的影响，以及他们的数据将用于实现这一点"我们将保留和评估您最近访问我们网站的信息，以及您如何在我们网站的不同部分进行分析，以了解人们如何使用我们的网站，以便我们能够使其更直观"很清楚将处理什么类型的数据以及控制器将要进行的分析类型"我们将保留您在我们网站上单击的文章的记录，并使用这些信息在本网站上针对您的兴趣进行广告投放，我们根据您阅读的文章确定了这些广告"很清楚个性化需要什么，以及如何识别数据主体的兴趣）。如果控制者仍然选择使用不确定语言，他们需要能够证明为什么不能避免这种语言，以及它如何不损害处理的公平性。向儿童提供的信息一般来说，控制员在起草隐私声明时必须考虑到他们已知的受众（残疾人、儿童等）。WP29强调，即使父母责任人同意，知情权也适用于儿童。因此，数据控制者有义务确保，当他们以儿童为目标，或知道他们的商品或服务特别为识字年龄的儿童所利用时，任何信息和通信都应以清晰明了的语言或儿童容易理解的媒介进行传达。也就是说，WP29认识到，对于非常年幼或未识字的儿童，透明度措施也可以针对负有父母责任的人。非数字环境中的分层方法WP29在其第一个版本中建议在数字环境中使用分层方法后，在非数字环境中添加了一些解释，说明分层方法也可以用于后一种情况。例如，可以在电话中向数据主体告知最重要的信息，即处理目的、控制者身份和数据主体权利存在的细节，以及对处理影响最大的信息，或任何可能令数据主体感到惊讶的处理。必须提供给数据主体的信息一览表该指南包括必须提供给数据主体的信息一览表，以及针对每个需求的相应文章和WP29注释。修订版中提出了一些意见，特别是关于处理的目的和法律依据，以及将合法权益作为法律依据的问题。准则悖论WP29认识到，一方面，向数据主体提供全面信息的要求与另一方面，以简洁、透明、易懂和易于获取的形式提供全面信息的要求之间存在着内在的紧张关系。它建议控制人根据全球数据保护条例的要求和指南，自行对其执行和决定的个人数据处理的性质、情况、范围和背景进行分析，如何对必须提供给数据主体的信息进行优先排序，以及传递信息的适当详细程度和方法。OneTrust的帮助在OneTrust模板库中查看我们最新发布的调查问卷GDPR隐私通知清单。本问卷旨在协助分析您的隐私声明，以确保其符合GDPR要求。它可以很容易地链接到加工活动库存中的加工活动。如需了解更多信息，或通过OneTrust安排此GDPR解决方案和其他GDPR解决方案的演示，请发送电子邮件info@onetrust.com。分享这篇文章