Polityka prywatności to oświadczenie prawne lub dokument, który wskazuje, w jaki sposób firma lub strona internetowa gromadzi, zarządza i przetwarza dane o swoich klientach i odwiedzających. Wyraźnie opisuje, czy takie informacje są utrzymywane w tajemnicy, czy też udostępniane lub sprzedawane stronom trzecim. Dokument ten musi zostać przekazany użytkownikowi zanim dane osobowe zostaną przetworzone, czyli zanim jeszcze stanie się on osobą, której dane dotyczą. Rozbieżność informacji w odniesieniu do wymogów określonych przez GDPR, narusza jedną z podstawowych zasad ustanowionych przez europejskie rozporządzenie: przejrzystość. Jeżeli podstawą prawną przetwarzania danych jest zgoda osoby, której dane dotyczą, nota informacyjna jest również wymogiem dotyczącym zasadności samej zgody. Dlatego też niewypełnienie lub niedokładne wypełnienie obowiązku udzielenia informacji zainteresowanej stronie nie stanowi zwykłego biurokratycznego uchybienia, ale stanowi podstawę do bezprawności przetwarzania danych. W przypadku, gdy podstawą prawną nie jest zgoda, istnieje jednak obowiązek udzielenia informacji. Zakres ujawniania informacji pokrywa się z zakresem GDPR. W związku z tym konieczne jest, aby użytkownik otrzymał informację, gdy spełnione są następujące warunki: przedmiotem przetwarzania są dane osobowe, tj. dane, dzięki którym można zidentyfikować lub określić tożsamość osoby; przetwarzane dane należą do osób fizycznych: GDPR nie ma zastosowania, gdy dane należą do osób prawnych; administratorem danych jest firma; dane są przetwarzane przez firmy, które mają siedzibę w jednym z państw członkowskich UE; firma nie ma siedziby w UE, ale przetwarza dane obywateli państw członkowskich. Istnieją jednak przypadki, w których ujawnienie informacji osobie, której dane dotyczą, nie jest konieczne: obowiązek ten nie ma zastosowania, jeżeli przetwarzane dane są anonimowe (dane zagregowane lub statystyczne); dane są przetwarzane do celów krajowych i nie są rozpowszechniane; osoba, której dane dotyczą, posiada już te informacje. Na przykład w przypadku stron internetowych baner z prośbą o wyrażenie zgody pojawia się dopiero przy pierwszym wejściu na stronę; Przekazanie informacji nie jest możliwe lub wymaga nieproporcjonalnie dużego wysiłku. Ocena jest dokonywana przez gwaranta prywatności; Uzyskanie lub przekazanie informacji jest wyraźnie przewidziane przez prawo Unii Europejskiej lub państw członkowskich; Przetwarzanie danych musi pozostać poufne ze względu na obowiązek zachowania tajemnicy zawodowej regulowany przez prawo Unii Europejskiej lub państw członkowskich. Gwarant Prywatności określił, że informacje nie są konieczne, jeśli: dane są przetwarzane zgodnie z obowiązkiem nałożonym przez prawo przetwarzanie jest związane z prowadzeniem dochodzeń obronnych w sprawach karnych lub obroną praw w sądzie, a dane są przetwarzane przez czas niezbędny do przeprowadzenia dochodzenia. O ile w wielu obszarach GDPR jest niejednoznaczne i podlega interpretacji, o tyle w tym obszarze jest bardzo jasne i nie podlega subiektywnej interpretacji. Właśnie z tego powodu europejskie rozporządzenie znacząco zmieniło dyscyplinę ujawniania informacji w porównaniu z poprzednią. W odniesieniu do języka, biorąc pod uwagę, że odbiorcami zawiadomienia są zwykli użytkownicy, GDPR wymaga, aby formularz wykorzystany do sporządzenia zawiadomienia spełniał pewne wymogi: zwięzły: należy użyć jak najmniejszej liczby słów przejrzysty: każdy punkt musi być traktowany oddzielnie zrozumiały: jednoznaczne znaczenie łatwo dostępny: przeznaczone jako miejsce, w którym można się z nimi zapoznać w dowolnym momencie, z prostym i zrozumiałym językiem: musi być jasne, co firma chce zrobić z danymi Jeśli chodzi o ikony, GDPR nie wyklucza ich użycia w dokumencie: mogą one wzmocnić komunikację i być pomocne dla użytkowników różnych narodowości. Ikonom musi jednak towarzyszyć tekst pisany, który musi spełniać wymagania, o których była mowa powyżej. Ponadto formularz musi być sporządzony w formie pisemnej, nawet przy użyciu środków elektronicznych, takich jak e-mail, jest w porządku. Jeżeli jednak dana osoba tego zażąda, musi istnieć możliwość otrzymania informacji o polityce prywatności w formie ustnej. Jeśli chodzi o terminy, w których zainteresowana strona musi zapoznać się z informacjami, zmieniają się one w zależności od tego, czy dane są zbierane od samej zainteresowanej strony, czy od stron trzecich. Ogólna zasada jest taka, że obowiązek informacyjny musi być spełniony przed rozpoczęciem gromadzenia danych lub najpóźniej w momencie rozpoczęcia samego gromadzenia. Jeśli dane są zbierane od osób trzecich, informacja musi być przekazana w: rozsądnym terminie, a w każdym razie w ciągu jednego miesiąca od pierwszego przekazania danych.