Τις κατευθυντήριες οδηγίες για τις υποχρεώσεις διαφάνειας που έχουν όσοι επεξεργάζονται προσωπικά δεδομένα δημοσίευσε σε ένα αρχικό έγγραφο η Ομάδα Εργασίας για την Προστασία των Προσωπικών Δεδομένων του άρθρου 29 της Οδηγίας 95/46, προς διαβούλευση έως τις 23.1.2018.
Ανάμεσα στους γενικούς κανόνες διαφάνειας που οφείλουν να τηρούν οι οργανισμοί, η Ομάδα Εργασίας αναφέρει και ορισμένα πρακτικά παραδείγματα με βέλτιστες πρακτικές.
Για την "Πολιτική απορρήτου" ή "Πολιτική προστασίας προσωπικών δεδομένων" που περιλαμβάνεται σε ιστοσελίδες, οι οδηγίες αναφέρουν ότι πρέπει να είναι ορατές κι ότι ο χρωματισμός ή η στοιχειοθεσία που καθιστά το κείμενό τους λιγότερο παρατηρήσιμο ή δύσκολα εντοπίσιμο στην ιστοσελίδα δεν τις καθιστούν "επαρκώς προσβάσιμες" όπως επιβάλλει ο ΓΚΠΔ.
Για τις εφαρμογές (apps), οι πληροφορίες ιδιωτικότητας πρέπει να είναι προσβάσιμες από το online καταστημα πριν από την καταφόρτωση (download) της εφαρμογής. Μετά την εγκατάσταση της εφαρμογής, η πρόσβαση στις πληροφορίες ιδιωτικότητας δεν πρέπει να βρίσκονται με περισσότερα από δύο κλικ ("two taps away").
Όταν συλλέγονται διαδικτυακά προσωπικά δεδομένα, η βέλτιστη πρακτική είναι να ενημερώνεται το υποκείμενο από την ίδια σελίδα στην οποία συλλέγονται.
Η γλώσσα που χρησιμοποιείται πρέπει να είναι σαφής για το τί πρόκειται να συμβεί με τα προσωπικά δεδομένα. Οι οδηγίες αναφέρουν ως μη επαρκώς σαφείς τις διατυπώσεις:
"Ενδέχεται να χρησιμοποιήσουμε προσωπικά δεδομένα σας για την ανάπτυξη νέων υπηρεσιών"
"Ενδέχεται να χρησιμοποιήσουμε προσωπικά δεδομένα σας για ερευνητικούς σκοπούς"
"Ενδέχεται να χρησιμοποιήσουμε προσωπικά δεδομένα σας για προσωποποιημένες υπηρεσίες"
Όταν μια υπηρεσία απευθύνεται σε παιδιά, θα πρέπει να χρησιμοποιείται γλώσσα κατανοητή από παιδιά. Ως παράδειγμα τέτοιας γλώσσας, οι οδηγίες αναφέρουν ένα έγγραφο της Unicef που παρουσιάζει την Διεθνή Σύμβαση για τα Δικαιώματα του Παιδιού σε Γλώσσα Φιλική για τα Παιδιά.
Σε περιπτώσεις που μια συσκευή συλλέγει προσωπικά δεδομένα χωρίς, όμως, να έχει οθόνη, (π.χ. σταθερό τηλέφωνο) ή σε περίπτωση που απευθύνεται σε ανθρώπους με μειωμένη ή χωρίς ακοή, οι πληροφορίες πρέπει να δίνονται προφορικά, με ηχογραφημένο μήνυμα.
Σε περίπτωση μεταβολής της επεξεργασίας των προσωπικών δεδομένων, η πληροφόρηση πρέπει να γίνεται με το ίδιο μέσο, αλλά με τρόπο διακριτό από την υπηρεσία, όπως π.χ. στην περίπτωση της άμεσης διαφήμισης κι όχι ως μέρος και περιεχόμενο της υπηρεσίας.
Η δημοσιοποίηση ενός μέρους της Εκτίμησης Αντικτύπου ή του Κώδικα Συμπεριφοράς (ως προς την προστασία δεδομένων) ενδείκνυεται επίσης κατά τις οδηγίες ως μια καλή πρακτική για την εκπλήρωση των υποχρεώσεων διαφάνειας.
Για το δικαίωμα των ασθενών περί λήψης αντιγράφων των προσωπικών δεδομένων τους από υπηρεσίες υγείας, οι οδηγίες αναφέρουν ένα θετικό κι ένα αρνητικό παράδειγμα. Το θετικό παράδειγμα είναι η ύπαρξη διαδικτυακής φόρμας υποβολής του αιτήματος στην ιστοσελίδα της υπηρεσίας υγείας, αλλά και έντυπης φόρμας αίτησης στον χώρο της υπηρεσίας. Το αρνητικό παράδειγμα είναι μια γενικού τύπου ανακοίνωση στην ιστοσελίδα που λέει στους ασθενείς να απευθυνθούν στο τμήμα εξυπηρέτησης πελατών.
Για την υπενθύμιση των πληροφοριών σχετικά με την επεξεργασία προσωπικών δεδομένων, οι οδηγίες αναφέρουν το παράδειγμα του χρήστη που έχει εγκαταστήσει μια εφαρμογή, έχοντας λάβει όλες τις πληροφορίες, αλλά μετά από 6 μήνες ενεργοποιεί και την δυνατότητα άμεσων μηνυμάτων της ίδιας εφαρμογής, οπότε όμως λαμβάνει πληροφόρηση μόνο για το συγκεκριμένο εργαλείο, ενώ η Ομάδα Εργασίας αναφέρει ότι θα πρέπει να λάβει όλη την πληροφόρηση για το σύνολο της εφαρμογής εκ νέου.
Ως περίπτωση που είναι αδύνατη η παροχή πληροφοριών στο υποκείμενο των δεδομένων, οι οδηγίες αναφέρουν το παράδειγμα πληροφοριών που πληρώνονται εκ των υστέρων, δηλ. μετά την εγγραφή του χρήστη, αλλά ο υπεύθυνος επεξεργασίας αναζητά πληροφορίες πιστοληπτικής ικανότητας χωρίς να έχει συγκρατήσει έγκυρα στοιχεία επικοινωνίας με τον καταναλωτή.
Ως παράδειγμα δυσανάλογης προσπάθειας για την ενημέρωση των υποκειμένων η Ομάδα Εργασίας παραθέτει την έρευνα ιστορικών μελετητών επί βάσης δεδομένων επωνύμων 20.000 ατόμων, τα οποία συλλέχθηκαν πριν 50 έτη και δεν έχουν επικαιροποιηθεί από τότε, χωρίς να παρατίθεται και δεδομένα διευθύνσεων και εντοπισμού τους. Λαμβάνοντας υπόψη το μέγεθος της βάσης δεδομένων και ιδιαίτερα την ηλικία των δεδομένων μπορεί να θεωρηθεί δυσανάλογη η προσπάθεια να προσπαθήσουν οι μελετητές να εντοπίσουν τα υποκείκμενα των δεδομένων ατομικά για να τα ενημερώσουν.
Ως περίπτωση ακύρωσης του σκοπού της επεξεργασίας που επιτρέπει την μη ενημέρωση του υποκειμένου των δεδομένων, η Ομάδα Εργασίας αναφέρει την υποχρέωση μιας τράπεζας να επισημάνει την κίνηση ενός τραπεζικού λογαριασμού σύμφωνα με την νομοθεσία για την καταπολέμηση της νομιμοποίησης εσόδων από παράνομες δραστηριότητες. Όμως, στο παράδειγμα αναφέρεται ότι η τράπεζα πρέπει εκ των προτέρων να έχει ενημερώσει τους κατόχους λογαριασμών ότι τα δεδομένα τους μπορεί να υποβληθούν σε επεξεργασία για αυτόν τον σκοπό.
Ως περίπτωση άρσης της υπόχρέωσης ενημέρωσης του υποκειμένου λόγω νομικής πρόβλεψης της επεξεργασίας των δεδομένων η Ομάδα Εργασίας αναφέρει το παράδειγμα φορολογικής αρχής που λαμβάνει δεδομένα εργαζομένων από τον εργοδότη βάσει νομοθετικής διάταξης. Σε αυτή την περίπτωση δεν χρειάζεται να ενημερώνονται τα υποκείμενα για την διαβίβαση των δεδομένων τους, διότι προβλέπεται από ρητή νομοθετική διάταξη.
Ως περίπτωση άρσης της υποχρέωσης ενημέρωσης του υποκειμένου λόγω νομοθετικά κατοχυρωμένης υποχρέωσης τήρησης απορρήτου από τον υπεύθυνο επεξεργασίας, η Ομάδα Εργασίας αναφέρει την περίπτωση ιατρού στον οποίο ανακοινώνονται δεδομένα συγγενών από μία ασθενή του που έχει γενετική πάθηση: ο γιατρός δεν χρειάζεται να ανακοινώσει την συλλογή αυτών των δεδομένων στους συγγενείς, διότι διαφορετικά θα παραβίαζε το ιατρικό απόρρητο.