W naszym lutowym artykule kontynuujemy, a zarazem kończymy serię dotyczącą podstawowych zasad przetwarzania danych osobowych przedstawionych w art. 5 RODO. Ostatnia z serii, ale pierwsza w rozporządzeniu unijnym jest zasada „zgodność z prawem, rzetelność i przejrzystość”, która obejmuje aż trzy kwestie: legalności, rzetelności i przejrzystości przetwarzania danych.
Czytelnicy artykułu dowiedzą się więc:
Na czym polega zgodność z prawem
Jak legalnie przetwarzać dane osobowe
Czym jest rzetelność i przejrzystość w RODO
Jakie są elementy składowe przejrzystości według przepisów RODO
Jak właściwie rozumieć rzetelność
Na czym polega zgodność z prawem
Zgodność z prawem, czyli zasada legalności nakłada na Administratora obowiązek zapewnienia, że wszystkie dane osobowe przetwarzane są bez naruszenia jakichkolwiek przepisów. W doktrynie wskazuje się, że zasada ta ma pierwszeństwo przed pozostałymi zasadami wymienionymi w art. 5 RODO, ale swoim charakterem obejmuje i ma wpływ na pozostałe.
Podstawę do przetwarzania danych osobowych należy „dopasować” z art. 6 RODO, który jest zatytułowany „Zgodność przetwarzania z prawem” i jasno określa w jakich sytuacjach administrator będzie legalnie przetwarzał dane osobowe. O czym dokładniej piszemy w następnym rozdziale.
Ponadto unijny prawodawca, co do zasady, zabrania przetwarzania szczególnych kategorii danych osobowych, których katalog został wskazany w art. 9 ust. 1 RODO. Wyjątki od tej generalnej zasady zostały określone w ust. 2 tego artykułu.
Ciekawym aspektem legalności przetwarzania danych osobowych stała się problematyka przetwarzania danych osobowych przez organy publiczne w oparciu o przesłankę prawnie uzasadnionego interesu, wskazaną w art. 6 ust. 1 lit. f RODO. Kontrowersje na tym polu skłoniły polski organ nadzorczy do wydania opinii.
Prezes UODO uznał, że – cytując – „W treści powołanego wyżej przepisu znajduje się zastrzeżenie, iż podstawa prawna wskazana w lit. f nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań. Analiza tej normy prowadzi do wniosku, że omawiana przesłanka może być stosowana również przez podmioty publiczne, jednakże nie w sytuacji, w której realizują one swoje zadania określone w przepisach jako ustawowe kompetencje.
Zastosowanie powyższej podstawy prawnej powinno mieć miejsce w sytuacji, gdy administrator nie może powołać się na żadną inną podstawę przetwarzania danych. Administrator będący podmiotem publicznym określając legalność przetwarzania danych powinien sprawdzić, czy nie istnieje żaden przepis prawa, który mógłby stanowić podstawę do przetwarzania danych (art. 6 ust. 1 lit. c), a w następnej kolejności dokonać analizy czy przetwarzanie danych jest niezbędne do wykonywania zadania realizowanego w interesie publicznym (art. 6 ust. 1 lit. e).”
Ponadto podmioty publiczne, działając na podstawie i w zakresie przepisów prawa, powinny powoływać się na przesłankę prawnie uzasadnionego interesu tylko wówczas, gdy konkretny przepis dopuszcza realizację takiego celu.
W przypadku podmiotów prywatnych można sobie pozwolić na większą swobodę. Zgodnie z powiedzeniem „co nie jest zabronione, to jest dozwolone”, dopuszczalna jest realizacja prawie wszelkich celów jakie tylko może podpowiedzieć wyobraźnia. Nie oznacza to jednak, że RODO nie nakłada żadnych ograniczeń w tym zakresie. Warunek zawarty jest w samym przepisie art. 6 ust. 1 lit. f RODO – przetwarzanie danych osobowych jest zabronione w sytuacjach, w których nadrzędny charakter wobec interesów administratora „mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.” Podjęcie decyzji o przetwarzaniu opartym na prawnie uzasadnionym interesie, dla pełnej legalności, wymaga przeprowadzenia ważenia interesów, czyli tzw. Testu równowagi.
Jak legalnie przetwarzać dane osobowe
Jak widać na przykładzie przesłanki prawnie uzasadnionego interesu, nie zawsze będzie łatwo wypełnić zasadę legalności. Aby móc przetwarzać dane osobowe zgodnie z prawem, zawsze muszą zostać spełnione konkretne warunki. Przepisami art. 6 RODO wprowadzano sześć niezależnych przesłanek legalizujących przetwarzanie danych osobowych. Zgodnie z nimi przetwarzanie może nastąpić gdy:
osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (np. przetwarzanie przez organy publiczne, jednostki samorządu terytorialnego, itp.);
przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Najłatwiejsze jest chyba spełnienie warunków legalności przetwarzania w przypadku zawarcia umowy oraz obowiązku prawnego. Nieco mniej oczywiste mogą być przesłanki ochrony żywotnych interesów i interesu publicznego. Jednak nie jest przedmiotem tego artykułu dokładna analiza każdej z tych podstaw prawnych. Niebawem poruszymy te kwestie na łamach naszego Bloga.
Warto natomiast podkreślić, że przetwarzanie danych osobowych jest zgodne z prawem (legalne), gdy spełniona jest choćby jedna z wymienionych wyżej przesłanek. W praktyce oznacza to, że nie musimy dysponować zgodą osoby, której dane dotyczą, jeżeli możemy powołać się na inną podstawę przetwarzania.
W kontekście zgody należy zaś pamiętać o warunkach jej wyrażenia określonych w art. 7 RODO. Takich jak: rozliczalność, przejrzystość, dobrowolność, łatwość wycofania. Brak ich spełnienia jest równoznaczne z nieważnością zgody. Co tym samym powoduje, że przetwarzanie danych osobowych na niej oparte jest nielegalne.
Czym jest rzetelność i przejrzystość w RODO
Skoro mowa o przejrzystości, to przyjrzyjmy się teraz tej kwestii, która w RODO wskazywana jest w połączeniu z rzetelnością.
Aby zrozumieć istotę zasady rzetelności i przejrzystości musimy się wczytać w preambułę RODO (a dokładnie w motywy 39, 58 i 60). Zgodnie z motywem 39 wszystkie informacje i komunikaty podawane przez administratora mają być łatwo dostępne i zrozumiałe. Motyw 58 RODO stanowi: „Zasada przejrzystości wymaga, by wszelkie informacje kierowane do ogółu społeczeństwa lub osoby, której dane dotyczą, były zwięzłe, łatwo dostępne i zrozumiałe, by były formułowane jasnym i prostym językiem, a w stosownych przypadkach, dodatkowo wizualizowane.” Natomiast Motyw 60 stanowi „Zasady rzetelnego i przejrzystego przetwarzania wymagają, by osoba, której dane dotyczą, była informowana o prowadzeniu operacji przetwarzania i o jej celach”. Dalej mamy art. 12 RODO noszący tytuł „Przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą”, który bezpośrednio odsyła do artykułów 13 i 14 RODO. Dopiero te artykuły są swoistym doprecyzowaniem zasady przejrzystości. Omówimy teraz wszystkie składowe przejrzystości jakie ujęto w tych przepisach.
Jakie są elementy składowe przejrzystości według przepisów RODO
Najważniejsze artykuły dotyczące przejrzystości w RODO to te, które bezpośrednio odnoszą się do praw osób, których dane dotyczą. Artykuł 12 RODO zawiera ogólne zasady jakie mają być zastosowane do udzielenia informacji osobom, których dane dotyczą i są to:
zwięzła, przejrzysta i łatwo dostępna forma,
konieczność używania łatwego i zrozumiałego języka, zwłaszcza jeżeli informacje kieruje się do dziecka,
udzielanie informacji na piśmie, w tym elektronicznie,
odpowiadanie na żądania, co do zasady, jest wolne od opłat.
Zwięzła, przejrzysta i łatwo dostępna forma oznacza, że administrujący danymi muszą komunikować się z odbiorcami informacji tak, aby Ci nie czuli się nimi przytłoczeni. Odpowiedzi, muszą być sporządzone zwięźle, a informacje związane z prywatnością muszą być wyraźnie oddzielone od innych informacji takich jak postanowienia umowne. W kontekście usług elektronicznych zaś, użytkownik powinien mieć możliwość przejścia do informacji o przetwarzaniu jego danych bez konieczności przewijania ekranu przez całe strony tekstu.
Zrozumiały język, oznacza, że informacje o przetwarzaniu będzie rozumiał „przeciętny przedstawiciel grupy docelowej odbiorców”. Odpowiedzialny administrator wie czyje dane zbiera i jak sformułować informacje, aby zostać zrozumianym.
W przypadku gdy towary bądź usługi kierowane są do dzieci, administrator powinien w szczególności zadbać, aby stosowane słownictwo oraz ton i styl wypowiedzi były właściwe i dobrze zrozumiałe dla dzieci.
Domyślną formą udzielania odpowiedzi osobie, której dane dotyczą jest odpowiedź na piśmie. Jeżeli administrator w całości lub w części prowadzi swoją działalność za pomocą strony internetowej dopuszcza się formę elektroniczną odpowiedzi.
Doprecyzowując zasadę przejrzystości w zakresie treści, które należy przekazać, w art. 13 (gdy dane są pozyskiwane od osoby, której dotyczą) i w art. 14 (gdy pochodzą z innego źródła) wymieniono istotne kategorie informacji dotyczące przetwarzania danych. RODO nie określa sposobu czy formatu przekazywania tych informacji, ale wyraźnie zaznacza, że to na administratorze spoczywa obowiązek udzielania informacji dla zapewnienia przejrzystości. Niestety obserwując niejednokrotnie różne przykłady klauzul informacyjnych czy polityk prywatności, można odnieść wrażenie, że nie mają one nic wspólnego z przejrzystością. Charakteryzują się natłokiem informacji, w dodatku często podanych w mało przejrzystej formie. Należy pamiętać, że realizacja obowiązku informacyjnego nie może stać w sprzeczność z zasadą przejrzystości, której obowiązek ten jest doprecyzowaniem.
No dobrze, ale co z rzetelnością ?
Jak właściwie rozumieć rzetelność
Rzetelność w RODO pojawia się niemal zawsze w połączeniu z przejrzystością. A pozostałe wystąpienia tego słowa w tym akcie prawnym związane są z legalnością. Tak więc mamy nierozerwalną triadę, która została przedstawiona jako jedna z podstawowych i pierwsza z zasad przetwarzania danych osobowych.
O ile kwestie legalności i przejrzystości zostały w RODO rozwinięte konkretnymi przepisami, to rzetelność nie doczekała się katalogu zadań do wypełnienia przez administratora. Jak zatem rozumieć zasadę rzetelności?
Z pomocą może przyjść słownik języka polskiego, w którym rzetelność opisano jako cechę polegającą na należytym wypełnianiu obowiązków, w sposób odpowiadający wymaganiom, zgodny z prawdą, wiarygodny. Można więc stwierdzić, że zgodność z prawem i przejrzystość to jeszcze nie wszystko. Należy dochować szczególnej staranności przy przetwarzaniu danych osobowych, stosując podejście proaktywne i empatyczne.
Wyraz temu można dać np. w terminowości realizacji obowiązków wynikających z RODO. Artykuły 12 – 14 określają czas udzielenia informacji czy odpowiedzi na żądanie osoby, której dane dotyczą. O ile niedochowanie tych terminów jest naruszeniem przepisów, o tyle niezwłoczna, szybka odpowiedź będzie postrzegana jako rzetelne wykonanie obowiązku. Innym sposobem wykazania się rzetelnością, jest dbanie o aktualność informacji dostarczanych podmiotom danych przez cały okres przetwarzania ich danych osobowych. Rzetelny administrator powinien ocenić jakie informacje przekazane osobie fizycznej przy zbieraniu jej danych są na tyle istotne, że ich zmiana powinna być ponownie jej zakomunikowana.
Podobnych możliwych do zastosowania przejawów rzetelności pewnie można znaleźć w RODO więcej. I oto właśnie chodzi w zasadzie rzetelności, aby ich szukać w kontekście realizowanego przetwarzania. Z perspektywy osób odpowiedzialnych za planowanie i realizację obowiązków wynikających z RODO można to opisać empatyczną zasadą „tak przetwarzaj dane osobowe i dbaj o osoby, których one dotyczą, jak sam chciałbyś być traktowany.”
Podsumowanie
Nie bez powodu legalność, rzetelność i przejrzystość zostały połączone w RODO w jedną zasadę. Planując przetwarzanie danych osobowych należy pamiętać, że będzie ono legalne w konkretnym celu, gdy choćby jedna z przesłanek wymienionych w przepisach art. 6 RODO jest spełniona. Jednak do weryfikacji czy przesłanka została spełniona należy podejść rzetelnie. Tworząc klauzule informacyjne, administrator musi jasnym i prostym językiem poinformować o sobie, celach i przesłankach przetwarzania oraz jakie uprawnienia mają podmioty, których dane przetwarza. Musi to zrobić rzetelnie, aby natłok informacji nie zaburzył przejrzystości. Prawidłowość przestrzegania zasady „zgodność z prawem, rzetelność i przejrzystość” ma więc kluczowy wpływ na procesy przetwarzania danych osobowych.