Przetwarzanie danych w zgodzie z zasadą przejrzystości

Autor: Patryk Siewert pod red. Marcina Soczko — w kategorii Blog — 10 lutego 2020

10

lut
2020

W przepisach RODO określono zasady jakimi powinni się kierować administratorzy przetwarzający dane osobowe. Każda z zasad dotyczących przetwarzania danych osobowych określonych w art. 5 RODO jest kluczowa dla realizacji obowiązków, o których dalej mowa w tym akcie prawnym.

Poniższy artykuł dedykowany jest zasadzie przejrzystości, która odgrywa bardzo istotną rolę dla osób fizycznych. Realizacja wymagań wynikających z tej zasady zapewniać ma możliwość zaznajomienia się w sposób przystępny ze szczegółami przetwarzania danych osobowych oraz z informacjami dotyczącymi przysługujących na mocy RODO praw oraz sposobów ich egzekwowania. Dzięki temu osoby fizyczne mają mieć możliwość w łatwiejszy oraz w bardziej świadomy sposób zarządzać swoimi danymi osobowymi. Bez podstawowej wiedzy na temat przetwarzania danych osobowych przez administratora, byłoby to niemożliwe. 

Artykuł został opracowany w oparciu o wytyczne Grupy Roboczej Art. 29 (obecnie Europejska Rada Ochrony Danych, dalej EROD) w sprawie przejrzystości na podstawie rozporządzenia 2016/679.

Czym jest przejrzystość w ochronie danych osobowych wg RODO?

W samych przepisach RODO nie ustanowiono wprost definicji przejrzystości. Informacje na jej temat można znaleźć w motywie 39 RODO, gdzie wskazano szczegóły dotyczące znaczenia tego terminu:

„Dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem”.

Czego dotyczy zasada przejrzystości?

RODO wymaga od administratorów, aby przestrzegali zasady przejrzystości w całym okresie przetwarzania danych osobowych, w którym można wyróżnić następujące etapy:

  1. jeszcze przed rozpoczęciem przetwarzania danych osobowych lub z chwilą rozpoczęcia przetwarzania − w sytuacji, gdy dane zostały zebrane w sposób inny niż od osoby, której dane dotyczą (realizacja obowiązków wskazanych w art. 13 oraz 14 RODO oraz w komunikacji z osobami, których dane dotyczą);
  2. przez cały okres przetwarzania danych osobowych np. w komunikacji w zakresie realizacji praw osób fizycznych;
  3. w szczególnych sytuacjach związanych z przetwarzaniem danych osobowych np. w związku z poinformowaniem osób fizycznych o naruszeniu lub w sytuacji, gdy proces przetwarzania ulegnie zmianie.

Stanowisko EROD rozszerzające obowiązek informacyjny

W tym miejscu należy wskazać, iż zdaniem EROD oprócz informacji wymaganych art. 13 lub 14 RODO „administratorzy powinni również oddzielnie i w sposób jednoznaczny wyjaśnić, jakie będą najważniejsze skutki przetwarzania: innymi słowy, jaki rzeczywisty wpływ na osobę, której dane dotyczą, będzie miało konkretne przetwarzanie (…)”. Wynika to z motywu 39 RODO, gdzie wskazano, iż „osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych”.

Dlatego administratorzy powinni przeprowadzać oceny planowanego przetwarzania pod kątem występowania zagrożeń dla osób, których dane dotyczą. Nie powinno to stanowić problemu dla administratorów sumiennie wywiązujących się z obowiązków określonych w przepisach, gdyż zgodnie z art. 24 lub art. 25 RODO administratorzy powinni zbadać ryzyko dla praw lub wolności osób, których dane dotyczą.

EROD wskazuje również, iż administrator realizując obowiązek określony w art. 13 lub 14 RODO powinien jasno precyzować informacje, do których przekazania jest zobowiązany. Niedopuszczalnym jest informowanie o celu przetwarzania w sposób nieprecyzyjny np. „dane będą przetwarzane dla realizacji obowiązków wynikających z przepisów prawa” – bez informacji o szczegółach wykonywania tych obowiązków oraz z jakich przepisów one wynikają.

Dostępność treści

Osoba, której dane dotyczą powinna bez najmniejszych problemów być w stanie odnaleźć informacje dotyczące przetwarzania danych osobowych. Dlatego warto umieszczać klauzule informacyjne w miejscach oczywistych np. nad formularzami służącymi zbieraniu danych osobowych. Warto również zadbać o odpowiednie wyróżnianie udostępnianych linków prowadzących do informacji dotyczących przetwarzania danych osobowych, co sprawi, że nie utoną wśród pozostałej treści i będą łatwo zauważalne.

EROD w opracowanych wytycznych wskazała, że osoby, których dane dotyczą powinny mieć dostęp do wszystkich skierowanych do nich informacji, tak, aby po zaznajomieniu się ze szczegółami przetwarzania mogły swobodnie do nich wrócić. Dlatego warto rozważyć wprowadzenie do zasobów witryny internetowej dokumentu Polityki prywatności, gdzie będzie znajdowała się informacja o wszystkich celach przetwarzania administratora.

Ponadto, w przypadku obszernych dokumentów elektronicznych dotyczących przetwarzania danych osobowych zalecana jest warstwowa realizacja obowiązku informacyjnego. Podział na interaktywne sekcje umożliwi szybkie przejścia do konkretnych części dokumentu. Pozwoli to uniknąć przewijania długiego tekstu w poszukiwaniu właściwych informacji. Na przykład w Polityce prywatności warto wdrożyć podział sekcji na kategorie osób fizycznych tj. szczegóły przetwarzania danych dla kandydatów do pracy, szczegóły przetwarzania danych dla klientów etc.

Administrator może też spełnić obowiązek informacyjny podając w pierwszej styczności z osobą, której dane dotyczą tylko najważniejsze informacje, tj. cele przetwarzania, informacje dotyczące administratora, praw osób fizycznych oraz informacji na temat najważniejszych skutków przetwarzania danych. Dopiero później (np. po kliknięciu w link) osoba fizyczna będzie miała możliwość zaznajomienia się z pozostałymi informacjami.

Przystępność treści

Administrator powinien posługiwać się prostym językiem, unikać trudnych fachowych terminów oraz języka prawniczego lub technicznego, a także zdań wielokrotnie złożonych. Formułuj treści, tak, aby informacje z nich wypływające nie pozostawiały niedomówień. Unikaj abstrakcyjnych pojęć.

Dostosuj treść informacji do profilu odbiorcy komunikatów tj. weź pod uwagę np. wiek, stan zdrowia lub język jakim posługuje się jej odbiorca, o ile oczywiście administrator będzie posiadał takowe dane. Dlatego administrator, kierując informacje np. do dzieci, powinien zapewnić odpowiedni poziom zrozumiałości treści i formy.

Udzielanie informacji wolne od opłat

Co do zasady, administratorzy nie mogą pobierać opłat za przekazywanie informacji dotyczących przetwarzania danych osobowych. Wyjątek od tej zasady stanowią sytuacje, w których żądania osoby fizycznej są ewidentnie nieuzasadnione lub nadmierne. Jedynie w takim przypadku administrator może pobrać opłatę, zgodnie z warunkami określonymi w art. 14 lub odmówić realizacji żądania.

Więcej informacji nie zawsze znaczy lepiej

Osoby, których dane dotyczą nie powinny zostać przytłoczone nadmiarem informacji przekazywanych przez administratora. Organizacje powinny przekazywać komunikaty w sposób efektywny i zwięzły. Treść dotycząca prywatności i ochrony danych osobowych powinna być odpowiednio oddzielona od pozostałej treści niezwiązanych z tą tematyką. 

Środki mające na celu zgodność z zasadą przejrzystości

Oznaczenia formularzy służących do zbierania danych osobowych

Należy pamiętać o odpowiednim oznaczaniu pól danych w formularzach służących do zbierania danych. Osoba fizyczna musi być świadoma, do wypełnienia jakich pól danych jest zobligowana, a których wypełnienie jest fakultatywne i do jakich celów będą one wykorzystywane.

Badanie zgodności z zasadą przejrzystości

Ankiety i sondy to świetne narzędzia, których wyniki wskażą obszary wymagające poprawy. Uzyskane bezpośrednio od osób zainteresowanych informacje dotyczące przystępności lub dostępności treści, pomogą dostosować komunikację do wymagań przepisów RODO. Wyniki ankiety będą również stanowiły znakomity dowód na to, iż administrator realizował działania ukierunkowane na przestrzeganie zasady przejrzystości.

Przykłady komunikatów naruszających zasadę przejrzystości

EROD jako przykłady złych praktyk wskazała poniższe zdania:

Powiadamianie o zmianach dot. przetwarzania danych osobowych

W przepisach RODO nie został określony czas, jakim dysponują administratorzy do powiadamiania o zmianach dotyczących przetwarzania danych osobowych. Wyjątek stanowi zamierzone dalsze przetwarzanie w nowym celu lub przedłużenie okresu przechowywania danych – wówczas administrator jest zobowiązany do poinformowania osób, których dane dotyczą jeszcze przed rozpoczęciem przetwarzania.

Biorąc pod uwagę powyższe, administratorzy powinni oceniać, czy wprowadzane zmiany mogą negatywnie wpłynąć na osoby, których dane dotyczą. Jeśli odpowiedź będzie twierdząca, to powinni zapewnić odpowiedni czas na zaznajomienie się z proponowanymi zmianami i ewentualną realizację uprawnień wynikających z RODO.

Rozliczalność działania w zgodzie z zasadą przejrzystości

Zasada transparentności jest bezpośrednio związana również z zasadą rozliczalności. Zasada ta wymaga od administratora danych, aby był w stanie wykazać, że przetwarza dane osobowe w zgodzie z przepisami.

Dokumenty papierowe i elektroniczne, historia komunikacji z osobami fizycznymi, procedury wewnętrzne czy wspomniane wcześniej ankiety – to wszystko będzie mogło stanowić dowód potwierdzający wywiązywanie się z obowiązków nakładanych przez RODO. Im dokumentacja jest bardziej czytelna i usystematyzowana, tym bardziej spełnione są obie zasady: przejrzystości i rozliczalności.

Podsumowanie

Wdrożenie przez administratorów zawartych w artykule wskazówek znacznie obniży ryzyko wystąpienia naruszeń zasady przejrzystości. Właściwe opracowywanie treści oraz odpowiednie zarządzanie komunikacją mogą pomóc uniknąć nie tylko zarzutów postawionych przez organ nadzorczy, ale również ewentualnych roszczeń ze strony osób fizycznych.

Należy pamiętać, iż zasada przejrzystości jest jedną z kluczowych zasad określonych w RODO. Nie bez powodu unijny ustawodawca ustanowił tę zasadę jako pierwszą w jednym szeregu ze zgodnością z prawem i rzetelnością.

Można wnioskować, iż te trzy aspekty (zgodność z prawem, rzetelność oraz przejrzystość) są nierozerwalne, gdyż brak jednego z nich automatycznie negatywnie wpłynie na pozostałe. Na przykład w sytuacji, gdy osobie fizycznej, której dane zechcemy przetwarzać na podstawie zgody, przedstawi się – z powodu braku rzetelności – niejasne, niezrozumiałe informacje, to wyrażona zgoda będzie nieważna, a przetwarzanie danych osobowych bezprawne.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.