Umów się na spotkanie: +48 535 202 564
Umów się na spotkanie: +48 535 202 564
Autor: Patryk Siewert pod red. Marcina Soczko — w kategorii Blog — 10 lutego 2020
W przepisach RODO określono zasady jakimi powinni się kierować administratorzy przetwarzający dane osobowe. Każda z zasad dotyczących przetwarzania danych osobowych określonych w art. 5 RODO jest kluczowa dla realizacji obowiązków, o których dalej mowa w tym akcie prawnym.
Poniższy artykuł dedykowany jest zasadzie przejrzystości, która odgrywa bardzo istotną rolę dla osób fizycznych. Realizacja wymagań wynikających z tej zasady zapewniać ma możliwość zaznajomienia się w sposób przystępny ze szczegółami przetwarzania danych osobowych oraz z informacjami dotyczącymi przysługujących na mocy RODO praw oraz sposobów ich egzekwowania. Dzięki temu osoby fizyczne mają mieć możliwość w łatwiejszy oraz w bardziej świadomy sposób zarządzać swoimi danymi osobowymi. Bez podstawowej wiedzy na temat przetwarzania danych osobowych przez administratora, byłoby to niemożliwe.
Artykuł został opracowany w oparciu o wytyczne Grupy Roboczej Art. 29 (obecnie Europejska Rada Ochrony Danych, dalej EROD) w sprawie przejrzystości na podstawie rozporządzenia 2016/679.
W samych przepisach RODO nie ustanowiono wprost definicji przejrzystości. Informacje na jej temat można znaleźć w motywie 39 RODO, gdzie wskazano szczegóły dotyczące znaczenia tego terminu:
„Dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem”.
RODO wymaga od administratorów, aby przestrzegali zasady przejrzystości w całym okresie przetwarzania danych osobowych, w którym można wyróżnić następujące etapy:
W tym miejscu należy wskazać, iż zdaniem EROD oprócz informacji wymaganych art. 13 lub 14 RODO „administratorzy powinni również oddzielnie i w sposób jednoznaczny wyjaśnić, jakie będą najważniejsze skutki przetwarzania: innymi słowy, jaki rzeczywisty wpływ na osobę, której dane dotyczą, będzie miało konkretne przetwarzanie (…)”. Wynika to z motywu 39 RODO, gdzie wskazano, iż „osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych”.
Dlatego administratorzy powinni przeprowadzać oceny planowanego przetwarzania pod kątem występowania zagrożeń dla osób, których dane dotyczą. Nie powinno to stanowić problemu dla administratorów sumiennie wywiązujących się z obowiązków określonych w przepisach, gdyż zgodnie z art. 24 lub art. 25 RODO administratorzy powinni zbadać ryzyko dla praw lub wolności osób, których dane dotyczą.
EROD wskazuje również, iż administrator realizując obowiązek określony w art. 13 lub 14 RODO powinien jasno precyzować informacje, do których przekazania jest zobowiązany. Niedopuszczalnym jest informowanie o celu przetwarzania w sposób nieprecyzyjny np. „dane będą przetwarzane dla realizacji obowiązków wynikających z przepisów prawa” – bez informacji o szczegółach wykonywania tych obowiązków oraz z jakich przepisów one wynikają.
Osoba, której dane dotyczą powinna bez najmniejszych problemów być w stanie odnaleźć informacje dotyczące przetwarzania danych osobowych. Dlatego warto umieszczać klauzule informacyjne w miejscach oczywistych np. nad formularzami służącymi zbieraniu danych osobowych. Warto również zadbać o odpowiednie wyróżnianie udostępnianych linków prowadzących do informacji dotyczących przetwarzania danych osobowych, co sprawi, że nie utoną wśród pozostałej treści i będą łatwo zauważalne.
EROD w opracowanych wytycznych wskazała, że osoby, których dane dotyczą powinny mieć dostęp do wszystkich skierowanych do nich informacji, tak, aby po zaznajomieniu się ze szczegółami przetwarzania mogły swobodnie do nich wrócić. Dlatego warto rozważyć wprowadzenie do zasobów witryny internetowej dokumentu Polityki prywatności, gdzie będzie znajdowała się informacja o wszystkich celach przetwarzania administratora.
Ponadto, w przypadku obszernych dokumentów elektronicznych dotyczących przetwarzania danych osobowych zalecana jest warstwowa realizacja obowiązku informacyjnego. Podział na interaktywne sekcje umożliwi szybkie przejścia do konkretnych części dokumentu. Pozwoli to uniknąć przewijania długiego tekstu w poszukiwaniu właściwych informacji. Na przykład w Polityce prywatności warto wdrożyć podział sekcji na kategorie osób fizycznych tj. szczegóły przetwarzania danych dla kandydatów do pracy, szczegóły przetwarzania danych dla klientów etc.
Administrator może też spełnić obowiązek informacyjny podając w pierwszej styczności z osobą, której dane dotyczą tylko najważniejsze informacje, tj. cele przetwarzania, informacje dotyczące administratora, praw osób fizycznych oraz informacji na temat najważniejszych skutków przetwarzania danych. Dopiero później (np. po kliknięciu w link) osoba fizyczna będzie miała możliwość zaznajomienia się z pozostałymi informacjami.
Administrator powinien posługiwać się prostym językiem, unikać trudnych fachowych terminów oraz języka prawniczego lub technicznego, a także zdań wielokrotnie złożonych. Formułuj treści, tak, aby informacje z nich wypływające nie pozostawiały niedomówień. Unikaj abstrakcyjnych pojęć.
Dostosuj treść informacji do profilu odbiorcy komunikatów tj. weź pod uwagę np. wiek, stan zdrowia lub język jakim posługuje się jej odbiorca, o ile oczywiście administrator będzie posiadał takowe dane. Dlatego administrator, kierując informacje np. do dzieci, powinien zapewnić odpowiedni poziom zrozumiałości treści i formy.
Co do zasady, administratorzy nie mogą pobierać opłat za przekazywanie informacji dotyczących przetwarzania danych osobowych. Wyjątek od tej zasady stanowią sytuacje, w których żądania osoby fizycznej są ewidentnie nieuzasadnione lub nadmierne. Jedynie w takim przypadku administrator może pobrać opłatę, zgodnie z warunkami określonymi w art. 14 lub odmówić realizacji żądania.
Osoby, których dane dotyczą nie powinny zostać przytłoczone nadmiarem informacji przekazywanych przez administratora. Organizacje powinny przekazywać komunikaty w sposób efektywny i zwięzły. Treść dotycząca prywatności i ochrony danych osobowych powinna być odpowiednio oddzielona od pozostałej treści niezwiązanych z tą tematyką.
Oznaczenia formularzy służących do zbierania danych osobowych
Należy pamiętać o odpowiednim oznaczaniu pól danych w formularzach służących do zbierania danych. Osoba fizyczna musi być świadoma, do wypełnienia jakich pól danych jest zobligowana, a których wypełnienie jest fakultatywne i do jakich celów będą one wykorzystywane.
Badanie zgodności z zasadą przejrzystości
Ankiety i sondy to świetne narzędzia, których wyniki wskażą obszary wymagające poprawy. Uzyskane bezpośrednio od osób zainteresowanych informacje dotyczące przystępności lub dostępności treści, pomogą dostosować komunikację do wymagań przepisów RODO. Wyniki ankiety będą również stanowiły znakomity dowód na to, iż administrator realizował działania ukierunkowane na przestrzeganie zasady przejrzystości.
EROD jako przykłady złych praktyk wskazała poniższe zdania:
W przepisach RODO nie został określony czas, jakim dysponują administratorzy do powiadamiania o zmianach dotyczących przetwarzania danych osobowych. Wyjątek stanowi zamierzone dalsze przetwarzanie w nowym celu lub przedłużenie okresu przechowywania danych – wówczas administrator jest zobowiązany do poinformowania osób, których dane dotyczą jeszcze przed rozpoczęciem przetwarzania.
Biorąc pod uwagę powyższe, administratorzy powinni oceniać, czy wprowadzane zmiany mogą negatywnie wpłynąć na osoby, których dane dotyczą. Jeśli odpowiedź będzie twierdząca, to powinni zapewnić odpowiedni czas na zaznajomienie się z proponowanymi zmianami i ewentualną realizację uprawnień wynikających z RODO.
Zasada transparentności jest bezpośrednio związana również z zasadą rozliczalności. Zasada ta wymaga od administratora danych, aby był w stanie wykazać, że przetwarza dane osobowe w zgodzie z przepisami.
Dokumenty papierowe i elektroniczne, historia komunikacji z osobami fizycznymi, procedury wewnętrzne czy wspomniane wcześniej ankiety – to wszystko będzie mogło stanowić dowód potwierdzający wywiązywanie się z obowiązków nakładanych przez RODO. Im dokumentacja jest bardziej czytelna i usystematyzowana, tym bardziej spełnione są obie zasady: przejrzystości i rozliczalności.
Wdrożenie przez administratorów zawartych w artykule wskazówek znacznie obniży ryzyko wystąpienia naruszeń zasady przejrzystości. Właściwe opracowywanie treści oraz odpowiednie zarządzanie komunikacją mogą pomóc uniknąć nie tylko zarzutów postawionych przez organ nadzorczy, ale również ewentualnych roszczeń ze strony osób fizycznych.
Należy pamiętać, iż zasada przejrzystości jest jedną z kluczowych zasad określonych w RODO. Nie bez powodu unijny ustawodawca ustanowił tę zasadę jako pierwszą w jednym szeregu ze zgodnością z prawem i rzetelnością.
Można wnioskować, iż te trzy aspekty (zgodność z prawem, rzetelność oraz przejrzystość) są nierozerwalne, gdyż brak jednego z nich automatycznie negatywnie wpłynie na pozostałe. Na przykład w sytuacji, gdy osobie fizycznej, której dane zechcemy przetwarzać na podstawie zgody, przedstawi się – z powodu braku rzetelności – niejasne, niezrozumiałe informacje, to wyrażona zgoda będzie nieważna, a przetwarzanie danych osobowych bezprawne.