Zapewnienie każdej osobie fizycznej kontroli nad jej danymi osobowymi jest jednym z głównych założeń RODO. W tym celu unijny prawodawca nadał podmiotom danych szereg uprawnień, które mają to umożliwić.
Z perspektywy administratorów wiążę się to z realizacją wielu obowiązków. Najważniejszym z nich w kontekście prawidłowej komunikacji z podmiotami danych jest stosowanie zasady przejrzystości (jednak nie tylko przy realizacji obowiązku informacyjnego). Definicję przejrzystości znajdziemy już w preambule RODO, a wśród przepisów tego rozporządzenia – konkretne reguły, jak należy ją realizować. Zawarto je przede wszystkim w rozdziale III dotyczącym praw osób, których dane dotyczą.
ROZDZIAŁ III
Prawa osoby, której dane dotyczą
Sekcja 1 Przejrzystość oraz tryb korzystania z praw
Artykuł 12 Przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą
Sekcja 2 Informacje i dostęp do danych osobowych
Artykuł 13 Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą
Artykuł 15 Prawo dostępu przysługujące osobie, której dane dotyczą
Sekcja 3 Sprostowanie i usuwanie danych
Artykuł 16 Prawo do sprostowania danych
Artykuł 17 Prawo do usunięcia danych („prawo do bycia zapomnianym”)
Artykuł 18 Prawo do ograniczenia przetwarzania
Artykuł 20 Prawo do przenoszenia danych
Sekcja 4 Prawo do sprzeciwu oraz zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach
Artykuł 22 Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie
Rozwinięcie zasady przejrzystości w art. 12 RODO
Artykuł 12 RODO (rozpoczynający rozdział III) jest rozwinięciem przywołanej wyżej zasady przejrzystości, o której już pisaliśmy na naszym blogu. Dotyczy on przejrzystego informowania i komunikacji oraz trybu wykonywania praw osoby, której dane dotyczą.
Zgodnie z art. 12 ust. 1 RODO:
„Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą”
Jak widać, zacytowany przepis nie dotyczy jedynie obowiązku informowania osób, których dane dotyczą, ale porusza również kwestię prowadzenia komunikacji oraz realizacji uprawnień podmiotów danych (które będą tematem kolejnych artykułów na naszym blogu). ADO zobowiązany jest do wykorzystywania mechanizmów, dzięki którym udzieli informacji w zwięzłej, przejrzystej, łatwo dostępnej formie oraz jasnym i prostym językiem. Wymogi te mają sprawić, że podmiot danych będzie w stanie bez zbędnego wysiłku zapoznać się z treścią informacji i dzięki temu uzyskać wszelką niezbędna wiedzę na temat przetwarzania jego danych.
Istotna jest więc nie tylko forma przekazu, ale również jego treści. Prawodawca unijny przez to sformułowanie pragnie zapobiec przekazywaniu informacji, które są niezrozumiałe lub mało dostępne. Jako przykład można podać informacje zawarte w tekście wielostronicowym lub sformułowane przy użyciu specjalistycznego języka (do którego możemy zaliczyć przede wszystkim „żargon prawniczy”, zawierający terminologię niezrozumiałą dla przeciętnego odbiorcy). Trudno dostępne będą dla odbiorcy teksty sformułowane bardzo małą lub nieczytelną czcionką oraz zamieszczone w miejscu, do którego trafić (np. na stronie internetowej lub w siedzibie organizacji). Doniosłość właściwego sposobu informowania podmiotów danych podkreśla motyw (39) RODO, zgodnie z którym: „…Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem…”.
Wspomniane wymogi dotyczące sposobu oraz treści przekazywanych informacji należy spełnić tym bardziej, gdy kierowane są one do dzieci („Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka”). Unijny prawodawca przez takie sformułowanie podkreśla, że administrator powinien przykładać szczególną uwagę w spełnieniu obowiązku informacyjnego wobec dzieci. Przepisy RODO przewidują, że osoba niepełnoletnia po ukończeniu 16 lat (a w niektórych krajach lat 13) może samodzielnie wyrażać zgodę na przetwarzanie jej danych osobowych w przypadku usług społeczeństwa informacyjnego, które są mu oferowane bezpośrednio. Aby taka osoba mogła podjąć świadomą decyzje dotyczącą przetwarzania jej danych osobowych administrator musi zadbać o to, aby miała ona możliwość zrozumienia kierowanego do niej przekazu.
Również w przypadku wyrażania zgody, która może być jedną z podstaw przetwarzania danych osobowych ważna jest przejrzystość. Aby zgoda była ważna musi spełniać określone cechy wynikające z przepisów RODO. Zgodnie z art. 4 pkt. 11 RODO „zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli (…)”. Aby zgoda była świadoma, konkretna, jednoznaczna, osoba, która ją wyraża musi zostać uprzednio właściwie poinformowana, tj. zgodnie z zasadami określonymi w art. 12 RODO.
Forma udzielania informacji
Przepisy RODO nie narzucają administratorowi konkretnej formy spełnienia obowiązku informacyjnego, czy komunikowania się z podmiotami danych. Treści art. 12 ust. 1 RODO stanowi, że informacje mogą być udzielane w różnej formie – na piśmie, w innej postaci (w stosownych przypadkach elektronicznie), a nawet ustnie, jeżeli podmiot danych tego zażąda.
W przypadku udzielania informacji w formie ustnej administrator przed dopełnieniem obowiązku musi wcześniej potwierdzić tożsamość osoby, której dane dotyczą. Oczywiście dotyczy to również komunikacji innymi kanałami, ale wówczas wraz z wnioskiem osoby dostarczane są przez nią dodatkowe informację ją identyfikujące, związane z wykorzystanym kanałem komunikacji (np. adres pocztowy lub adres email).
Zgodnie z art. 12 ust. 2 RODO: „Administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 15-22 RODO (…)”, tj. prawa do:
- dostępu do danych,
- sprostowania danych,
- bycia zapomnianym,
- ograniczenia przetwarzania,
- przenoszenia danych,
- sprzeciwu,
- niepodlegania decyzji opartych na zautomatyzowanym przetwarzaniu.
Unijny prawodawca nie doprecyzował w przepisach, na czym miałoby polegać to ułatwienie. Jednak dużą wskazówką dla ADO może być w tym przypadku motyw (59) preambuły, zgodnie z którym:
„Należy przewidzieć procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy niniejszego rozporządzenia, w tym mechanizmy żądania – i gdy ma to zastosowanie bezpłatnego uzyskiwania – w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu. Administrator powinien zapewnić możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności gdy dane osobowe są przetwarzane drogą elektroniczną. Administrator powinien być zobowiązany udzielić odpowiedzi na żądania osób, których dane dotyczą, bez zbędnej zwłoki – najpóźniej w terminie miesiąca, a jeżeli nie zamierza spełnić takiego żądania – podać tego przyczyny”.
Termin informowania o prawach określonych w art. 15-22 RODO.
Zgodnie z art. 12 ust. 3: „Administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15-22. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy”.
Treść art. 12 ust. 3 określa terminy realizacji uprawnień podmiotów danych i jest realizacją w/w motywu w tym zakresie. Zasadą przewodnią tego przepisu jest reguła podejmowania działań przez administratora „bez zbędnej zwłoki”. Chociaż realizacja uprawnień określonych w art. 15-22 RODO powinna nastąpić w nieprzekraczalnym terminie miesiąca od dnia, w którym ADO otrzymał żądanie, to nie powinno się celowo czekać do końca tego terminu. Z zasadą przejrzystości związana jest zasada rzetelności. W kontekście niezwłocznej odpowiedzi na żądanie, powinna ona obligować administratora, aby odpowiedzieć jak najszybciej. Jednakże prawodawca unijny dopuszcza wydłużenie czasu obsłużenia żądania o kolejne dwa miesiące w przypadkach, gdy ma ono skomplikowany charakter lub nastąpiło skumulowanie większej ilości takich żądań. Nie należy tego uprawnienia rozumieć w ten sposób, że administrator ma 3 miesiące na udzielenie odpowiedzi. W przypadku, gdy nie jest w stanie obsłużyć żądania w ciągu jednego miesiąca, jest zobowiązany poinformować podmiot danych o zaistniałej sytuacji od razu, gdy tylko sam ją rozpozna.
W przypadku, gdy żądanie wpłynęło w określonej formie, to ADO w miarę możliwości powinien dążyć do tego, aby informacja zwrotna została przekazana w tej samej formie. Przykładowo jeżeli osoba, której dane dotyczą złożyła żądanie w formie elektronicznej, to administrator powinien udzielić odpowiedzi również w formie elektronicznej. Wyjątek od tej reguły stanowi zastrzeżenie przez podmiot danych innej formy odpowiedzi.
Zgodnie z art. 12 ust. 4: „Jeżeli administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem”.
Art. 12 ust. 4 RODO dotyczy sytuacji, w której ADO odmawia realizacji żądania związanego z realizacją uprawnienia podmiotu danych (np. odmawia usunięcia jej danych). Wówczas zobowiązany jest do niezwłocznego poinformowania o tym fakcie wnioskodawcy wraz z podaniem uzasadnienia swojego stanowiska. Musi również pouczyć osobę, której dane dotyczą o możliwości złożenia skargi do organu nadzorczego (którym w Polsce jest Prezes UODO) lub do sądu. I w tym przypadku administrator ma maksymalnie miesiąc na dopełnienie tych obowiązków.
Opłaty
Art. 12 ust. 5 zawiera regulacje w zakresie opłat:
„Informacje podawane na mocy art. 13 i 14 oraz komunikacja i działania podejmowane na mocy art. 15-22 i 34 są wolne od opłat. Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może:
a) pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań; albo
b) odmówić podjęcia działań w związku z żądaniem.”
Generalną zasadą, jaka przyświeca temu przepisowi jest brak odpłatności za wykonanie działań związanych z obsługą żądania. Jednak unijny prawodawca dopuszcza możliwość pobierania opłaty przez ADO. Jest to możliwe w sytuacji, gdy żądania danej osoby są ewidentnie nieuzasadnione lub nadmierne. Co to oznacza w praktyce? Są to sytuacje, kiedy podmiot danych nadużywa swoich praw, przysługujących mu na gruncie RODO. Mogą być to żądania, które ta sama osoba kieruje w krótkich odstępach czasu do jednego administratora, powodując duże zaangażowanie pracowników i narażając ADO na trudności organizacyjne. Konsekwencją mogą być utrudnienia w prawidłowym funkcjonowaniu organizacji i narażanie jej na straty.
Wyobraźmy sobie sytuację, w której np. niezadowolony klient w akcie zemsty lub zwykłej złośliwości wysyła codziennie żądanie dostępu do swoich danych. Administrator nie może zakładać, że w tak krótkim odstępie czasu gromadzone przez niego dane o tej osobie w ogóle się nie zmienią. Chcąc spełnić żądanie w każdym przypadku będzie musiał poświęcić czas swoich pracowników oraz inne stosowne środki na realizację prośby. Wówczas może zażądać od wnioskodawcy uiszczenia opłaty lub odmówić realizacji żądania. Jak wysoka może być ta opłata? Unijny prawodawca nie precyzuje jej wysokości. Podkreśla jednak, że powinna być ona „rozsądna”, czyli ustalając jej wysokość ADO powinien uwzględnić koszty jakie ponosi w związku z podejmowaniem działań. Obowiązek wykazania, że dane żądanie jest ewidentnie nieuzasadnione lub nadmierne spoczywa na administratorze.
Znaki graficzne a obowiązek informacyjny
Art. 12 w ust. 7 i 8 przewiduje możliwość wzbogacenia obowiązku informacyjnego o znaki graficzne:
„7. Informacje, których udziela się osobom, których dane dotyczą, na mocy art. 13 i 14, można opatrzyć standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania. Jeżeli znaki te są przedstawione elektronicznie, muszą się nadawać do odczytu maszynowego.
8. Komisji przysługuje prawo przyjmowania aktów delegowanych zgodnie z art. 92 w celu określenia informacji przedstawianych za pomocą znaków graficznych i procedur ustanowienia standardowych znaków graficznych”.
W art. 12 ust. 7 przewidziano możliwość opatrzenia znakami graficznymi przekazywanych przez ADO informacji. Jednak zgodnie z przywołanym przepisem powinny być one łatwo zrozumiałe i bardziej przystępne od tych, które przekazywane są w formie tekstowej.
W art. 12 ust. 8 umożliwiono Komisji Europejskiej określanie standardów dotyczących znaków graficznych oraz procedur ich ustanawiania. Projekt grafik musi jeszcze zostać zaopiniowany przez Europejską Radę Ochrony Danych (zgodnie z art. 70 RODO). Dotychczas Komisja nie przyjęła do obowiązywania żadnych znaków graficznych ani procedur ustanowienia standardowych znaków graficznych.
Oprócz w/w przepisów, RODO nie zawiera więcej wytycznych na temat standardowych znaków graficznych. Możliwość stosowania ikon przewiduje jednak motyw (60) RODO. Wynika z niego, że obowiązek informacyjny można wzbogacić o standardowe znaki graficzne, które „w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania”. Stosowanie znaków graficznych jest opcjonalne. Jeżeli administrator zdecyduje się je zastosować, zobowiązany jest do nadania im formatu, który będzie się nadawał do odczytu maszynowego. Zgodnie z motywem (35) tzw. dyrektywy re-use, „dokument należy uznać za sporządzony w formacie nadającym się do odczytu maszynowego, jeżeli występuje w formacie pliku ustrukturyzowanym tak, aby aplikacje mogły łatwo zidentyfikować, rozpoznać i pozyskać określone dane (…) ”.
Podsumowanie
Zasada przejrzystości stanowi „wyraz troski, jaką prawodawca europejski przywiązuje do wzmocnienia pozycji podmiotu danych poprzez zapewnienie należytej realizacji przysługujących mu uprawnień, w tym także tych o charakterze informacyjnym” (J. Łuczak [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018, art. 12). Tryb wykonywania praw osób, których dane dotyczą ma ścisły związek z zasadą przejrzystości. RODO wprowadziło w tym zakresie przepisy mające charakter gwarancyjny. Niezależnie od tego, czy administrator będzie miał okazję realizować wnioski podmiotów danych w zakresie ich uprawnień, powinien wdrożyć zasady wynikające z art. 12 RODO. Precyzują one tryb wykonywania praw osoby, której dane dotyczą, w szczególności w zakresie właściwej komunikacji. Stanowią również dla ADO cenną wskazówkę o charakterze techniczno-organizacyjnym.
Niniejsza publikacja stanowi wprowadzenie do nowej serii, której konkretne artykuły będziemy publikować w nowym roku na naszym blogu. Będzie ona poświęcona praktycznej realizacji poszczególnych uprawnień podmiotów danych.