W związku z obowiązywaniem przepisów RODO Administratorzy danych są zobowiązani do informowania osób, których dane dotyczą o szczegółach dotyczących przetwarzania danych osobowych. Wspomniany obowiązek będzie występował zarówno w przypadku zbierania danych osobowych bezpośrednio od ich właścicieli jak również w przypadku, gdy dane pozyskiwane są z innego źródła.
Obowiązek informacyjny należy interpretować jako środek mający na celu realizację zasady „zgodność z prawem, rzetelność i przejrzystość”, określonej w art. 5 ust. 1 lit. a RODO. Wskazuje ona, iż dane osobowe generalnie mogą być przetwarzane tylko wówczas, gdy osoba, której dane dotyczą ma tego świadomość i w sposób dla niej przejrzysty.
Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem [motyw 58 RODO]. Odwołując się do przytoczonych wymagań przepisów RODO, celem artykułu jest wyjaśnienie czy dostępne przykłady klauzul informacyjnych umiejscowionych np. na stronach internetowych lub w postaci załączników do umów są rzeczywiście przejrzyste i czy faktycznie Administratorzy danych nie umieszczają nadmiarowych informacji. Dodatkowym celem jest dostarczenie wskazówek dla Administratorów w zakresie sposobów zapewnienia przejrzystości.
Niniejszy artykuł porusza następujące zagadnienia:
Transparentność klauzul informacyjnych
Uaktualnianie informacji a obowiązki informacyjne
Kiedy i o czym nie trzeba informować osób, których dane dotyczą
Transparentność klauzul informacyjnych
Różne portale internetowe zadbały o umiejscowienie na swoich stronach internetowych komunikatów dotyczący przetwarzania danych osobowych, spełniając tym sposobem obowiązki wynikające z art. 13 lub art. 14 RODO.
Wielokrotnie jednak jako czytelnicy tychże stron otrzymujemy treści komunikatów, które z zasadą przejrzystości nie mają wiele wspólnego. Komunikaty nie są jasne, mają charakter chaotyczny, nieuporządkowany. Wiele dodatkowych informacji zawartych jest w tzw. „ustawieniach zaawansowanych”, gdzie możemy otrzymać kolejną olbrzymią porcję tekstu.
W praktyce taki, nieprzyjazny komunikat nas skutecznie odstrasza i intuicyjnie wybieramy opcję „zgadzam się na przetwarzanie danych”, aby nie tracić czasu związanego z jego lekturą i próbą zrozumienia. W efekcie administrator nie realizuje zasady przejrzystości i rzetelności.
W jaki sposób rozwiązać powyższy problem?
W tym miejscu zwracamy się do Administratorów danych oraz osób, które projektują treści klauzul, aby rozważyli inne, bardziej przyjazne warianty przedstawiania informacji. Jako przykłady wskazujemy następujące rozwiązania:
Stosowanie tabel – w przypadku konieczności umieszczenia większej porcji informacji, warto rozważyć pogrupowanie informacji i zaprezentowanie ich w postaci tabeli lub za pomocą uszeregowanych kategorii informacji: tożsamość Administratora, cele i podstawy przetwarzania, kategorie danych, odbiorcy danych itd.;
Dostosowanie treści/zakresu klauzul informacyjnych do grup odbiorców – w zależności czy komunikat kierowany jest do pracowników firmy, klientów czy też użytkowników strony (czytelników bloga), zawartość komunikatu powinna być zróżnicowana, dostosowana oraz odpowiednio oznaczona.
Graficzna prezentacja komunikatu – ciekawym rozwiązaniem może być zastosowanie grafiki w postaci np. piktogramu. Za pomocą obrazu w przystępny sposób można poinformować odbiorców treści np. o czasie przechowywania danych czy danych kontaktowych Administratora danych bądź Inspektora Ochrony Danych (logo, dane kontaktowe).
Stosowanie warstwowego oświadczenia o ochronie prywatności – rozwiązanie to zostało przywołane w wytycznych Grupy roboczej art. 29 dot. zasady przejrzystości. Polega ono na przekazywaniu informacji w dwóch (lub więcej) warstwach informacji, co pozwoli uniknąć przeładowania informacyjnego. Administratorzy mogą odsyłać do różnych kategorii informacji, które należy podać osobie, której dane dotyczą, zamiast przekazywać ich wszystkich w formie ciągłego tekstu. W tym rozwiązaniu należy pamiętać, aby w pierwszej warstwie przekazywać najistotniejsze informacje, tj. dane identyfikacyjne administratora oraz informacje o celach przetwarzania.
Innym obszarem, który w niektórych przypadkach wymaga optymalizacji są komunikaty informacyjne stosowane w telefonicznych biurach obsługi klienta. Na co dzień możemy spotkać się z sytuacjami, gdzie przed połączeniem z konsultantem, osoba (klient) zmuszona jest do wysłuchania kilkuminutowego komunikatu. Trudno taki mechanizm uznać za przejrzysty i przyjazny.
Zamiast takiej sytuacji, osoba, której dane dotyczą próbując zlecić dyspozycję przez telefon powinna otrzymać krótki komunikat, gdzie może znaleźć informacje dotyczące przetwarzania danych osobowych (np. wybierz właściwy klawisz na klawiaturze telefonu w celu wysłuchania pełnej treści klauzuli), tak aby cały proces był jak najmniej uciążliwy.
Uaktualnianie informacji a obowiązki informacyjne
Ciekawym wątkiem w przypadku realizacji obowiązku informacyjnego jest kwestia aktualizacji informacji. W związku z realizacją obowiązku informacyjnego nie ma potrzeby ponawiania tych samych informacji, które zostały uprzednio przekazane a ich treść pozostała bez zmian (np. cel czy podstawa przetwarzania). Informujemy tylko o danych, które uległy zmianie i mogą mieć istotne znaczenie dla osoby, której dane dotyczą, np. dane kontaktowe wyznaczonego IOD lub nowy adres Administratora danych. W tym celu wystarczy krótki, prosty komunikat w postaci wiadomości e-mail czy komunikatu pop-up na stronie. Oczywiście należy zapewnić osobie, której dane dotyczą dostęp do pełnej treści klauzuli – np. w postaci polityki prywatności umieszczonej w Intranecie firmowym lub w odpowiedniej zakładce na stronie internetowej Administratora danych.
Warto także wskazać, iż na etapie aktualizacji danych nie trzeba informować swoich klientów czy innych osób, których dane dotyczą o dokładnych nazwach nowych odbiorców danych (o ile wcześniej nie podawaliśmy nazw konkretnych podmiotów). W tym zakresie wystarczy w klauzuli informacyjnej wskazać wyłącznie kategorie odbiorców. Niemniej jednak, zgodnie z wytycznymi Grupy Roboczej wskazanie konkretnych odbiorców z nazwy korzystnie wpływa na realizację zasady przejrzystości
Kiedy i o czym nie trzeba informować osób, których dane dotyczą
Realizacja prawa dostępu do danych (art. 15 RODO) przysługująca osobie, której dane dotyczą w pewnych sytuacjach została ograniczona. Zgodnie z przepisami RODO, nie trzeba informować swoich klientów czy innych podmiotów danych o przekazaniu danych administratorom, dla których otrzymane dane są niezbędne do przeprowadzenia określonego postępowania w interesie ogólnym zgodnie z prawem Unii lub prawem państwa członkowskiego – taki interes może dotyczyć np. organów ścigania, wymiaru sprawiedliwości czy Zakładu Ubezpieczeń Społecznych. Powyższy przykład ma odzwierciedlenie w polskim prawie krajowym, w art. 5 Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, który stanowi iż: „Administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 15 ust. 1–3 [RODO], jeżeli służy to realizacji zadania publicznego i niewykonanie [tych] obowiązków (…) jest niezbędne dla realizacji celów, o których mowa w art. 23 ust. 1 [RODO]”, tj. służy:
bezpieczeństwu narodowemu; obronie; bezpieczeństwu publicznemu;
zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu lub ściganiu czynów zabronionych lub wykonywaniu kar, w tym ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiu takim zagrożeniom;
innym ważnym celom leżącym w ogólnym interesie publicznym Unii lub państwa członkowskiego (…), w tym kwestiom pieniężnym, budżetowym i podatkowym, zdrowiu publicznemu i zabezpieczeniu społecznemu;
ochronie niezależności sądów i postępowania sądowego;
zapobieganiu naruszeniom zasad etyki w zawodach regulowanych, prowadzeniu postępowań w takich sprawach, ich wykrywaniu oraz ściganiu;
funkcjom kontrolnym, inspekcyjnym lub regulacyjnym związanym, nawet sporadycznie, ze sprawowaniem władzy publicznej w przypadkach, o których mowa powyżej;
ochronie osoby, której dane dotyczą, lub praw i wolności innych osób;
egzekucji roszczeń cywilnoprawnych.
Ponadto, zgodnie z art. 5a w/w Ustawy, Administrator, który otrzymał dane osobowe od podmiotu realizującego zadanie publiczne, nie wykonuje obowiązków w zakresie praw dostępu, w tym obowiązków informacyjnych, w przypadku gdy podmiot przekazujący dane osobowe wystąpił z żądaniem w tym zakresie ze względu na konieczność prawidłowego wykonania zadania publicznego (np. w zakresie prowadzenia kontroli celno-skarbowych czy realizację dochodzenia przez organy ścigania).
Podsumowanie
Prawidłowa realizacja wymagań zasady przejrzystości może dostarczyć administratorom nie lada kłopotów. Należy powiadamiać osoby, których dane dotyczący o wszystkich istotnych dla nich informacjach, pamiętając o tym, aby unikać dostarczania zbędnych treści i przytłaczania nimi odbiorców. Co więcej istotna jest również forma przekazywanych treści oraz sposób informowania.
Z niniejszego artykułu płynie wniosek, iż z uwagi na złożoność problematyki związanej z realizacją zasady przejrzystości, dobrym pomysłem wydaje się cykliczne weryfikowanie stosowanych klauzul informacyjnych, aby podążać za pozytywnymi trendami w obszarze przetwarzania i ochrony danych osobowych.