Ikonki prywatności wydają się być doskonałym wręcz narzędziem ułatwiającym realizację obowiązków informacyjnych z RODO, w sposób widoczny, zrozumiały, czytelny i atrakcyjny dla użytkownika, z tym jednym problemem, że – po półtora roku obowiązywania RODO – Komisja Europejska nadal nie ustaliła wzorów standardowych znaków graficznych ani zasad ich wykorzystywania.
Co na to organy nadzoru?
Grupa Robocza Artykułu 29 podkreśla, że stosowanie „standardowych znaków graficznych” ma w pierwszej kolejności służyć zachowaniu przejrzystości przetwarzania danych osobowych oraz realizacji obowiązków informacyjnych administratora danych w tym zakresie[1]. Mechanizm ten dobrze wpisuje się w koncepcję stosowania tzw. warstwowego oświadczenia, czyli wielopoziomowego informowania o ochronie prywatności. Grupa Robocza wskazywała na przydatność tego rozwiązania już w 2004 roku, podkreślając, że wielowarstwowy format pozwoli na poprawę czytelności not informacyjnych w przypadkach kiedy ograniczenia czasowe lub przestrzenne nie pozwalają na zaprezentowanie od razu pełnego zakresu informacji[2]. W Opinii 2/2013 w sprawie aplikacji na urządzenia inteligentne (WP202), Grupa wprost zaleca stosowanie „wskaźników wizualnych lub ikon odnoszących się do sposobów wykorzystania danych” przez sklepy z aplikacjami mobilnymi[3], takie jak App Store, Google Play, Microsoft Store.
Odnosząc się do RODO, Grupa Robocza wskazuje na konieczność opracowania „kodeksu znaków graficznych”. Jej zdaniem wykorzystanie standardowych znaków graficznych ma na celu upowszechnienie wielowarstwowego podejścia do przekazywania informacji o osobie, której dane dotyczą. Grupa zaleca by (zarówno w otoczeniu cyfrowym jak i innym niż cyfrowe), informacje administratora prezentowane były za pomocą ikonek, umieszczanych m.in. na fizycznej dokumentacji papierowej, urządzeniach Internetu przedmiotów lub na ich opakowaniach, a także w informacjach w miejscach publicznych na temat śledzenia wifi, kodach QR oraz powiadomieniach telewizji przemysłowej[4].
W realnym otoczeniu dobrym obszarem, gdzie ikonki prywatności mogłyby znaleźć zastosowanie jest oznaczanie miejsc, w których prowadzony jest monitoring wizyjny. Prezes Urzędu Ochrony Danych Osobowych (PUODO) dostrzega ten potencjał wskazując, że „możliwa jest realizacja obowiązku informacyjnego poprzez podanie informacji podstawowych i uzupełnienie ich w kolejnych warstwach informacyjnych. Znaki informujące o stosowaniu monitoringu mogą być dostępne przed wejściem w obszar obserwowany”[5]. Stosowanie znaków informacyjnych jest dopuszczalne pod warunkiem, że pełna informacja o monitoringu będzie dostępna w miejscu monitorowanym.
PUODO w swoich zaleceniach dot. monitoringu nie odwołuje się do pojęcia „standardowych znaków graficznych” w rozumieniu RODO. Zaleca ponadto podawanie wraz ze znakami informacyjnymi „podstawowych informacji o przetwarzaniu”. Podnoszone są w związku z tym poglądy, że nie wystarczy sama ikonka informująca o monitoringu, zaś plansze informacyjne powinny dodatkowo zawierać m.in. informacje na temat administratora danych osobowych, dane kontaktowe, podstawę prawną przetwarzania oraz informację o dostępności pełnej informacji. Być może stanowisko PUODO w tym zakresie zostanie zrewidowane, kiedy wykorzystanie ikonek prywatności stanie się bardziej powszechne. W przyszłości być może potwierdzona zostanie dopuszczalność stosowania tablic informacyjnych zawierających obok standardowego znaku graficznego jedynie np. kod QR, dzięki któremu osoba, której dane dotyczą, będzie mogła przywołać na ekran swojego urządzenia mobilnego kolejne warstwy informacji o przetwarzaniu.
W środowisku cyfrowym nie istnieją ograniczenia przestrzenne. Tutaj warstwowe informowanie o przetwarzaniu realizowane jest bardzo prosto, z reguły za pomocą rozwijalnych list, gdzie w pierwszej warstwie znajduje się jedynie hasłowe określenie przekazywanej informacji, zaś w kolejnych warstwach użytkownik może dotrzeć do pełnej wersji tekstowej informacji o przetwarzaniu. Jak się wydaje, zamysłem prawodawcy europejskiego było, by Ikonki prywatności również w tym przypadku stanowiły element pierwszej warstwy informacyjnej, skąd, np. poprzez kliknięcie na ikonkę, użytkownik byłby przekierowywany do kolejnej warstwy, zawierającej bardziej szczegółowe informacje.
„… i tylko wysp tych nie ma”. Co robi Komisja?
Odwołując się do puenty popularnego wiersza Jana Brzechwy, ikonki prywatności wydają się być doskonałym wręcz narzędziem ułatwiającym realizację obowiązków informacyjnych z RODO, w sposób widoczny, zrozumiały, czytelny i atrakcyjny dla użytkownika, z tym jednym problemem, że – po półtora roku obowiązywania RODO – Komisja Europejska nadal nie ustaliła wzorów standardowych znaków graficznych ani zasad ich wykorzystywania.
W 2017 roku Grupa Robocza Artykułu 29 zwracała uwagę na konieczność przeprowadzenia obszernych badań dotyczących skuteczności znaków graficznych, a także akcji konsultacyjnych z udziałem przedstawicieli biznesu oraz opinii publicznej[6].
Europejski Inspektor Ochrony Danych Osobowych niewątpliwie zdaje sobie sprawę z potencjału jaki tkwi w możliwości prezentowania ważnych informacji w formie obrazkowej. Dowodem tego może być wydany przez niego komiks zwracający uwagę na potrzebę wdrożenia kodeksu etyki w cyfrowym środowisku.
źródło: https://edps.europa.eu/sites/edp/files/publication/comic_book_on_digital_ethics_for_web_en.pdf
Pisząc niniejszy tekst wystąpiłem z wnioskiem o dostęp do informacji publicznej w sprawie prac legislacyjnych nad ikonkami prywatności do Komisji Europejskiej, Europejskiej Rady Ochrony Danych oraz Europejskiego Inspektora Ochrony Danych. Poniżej stanowisko Komisji Europejskiej.
Komisja Europejska, której RODO przyznaje uprawnienie do określenia informacji przedstawianych za pomocą standardowych znaków graficznych oraz procedur ustanawiania takich znaków (art. 12 ust. 8), póki co nie widzi potrzeby podejmowania działań w tym zakresie. Zgodnie z jej stanowiskiem, działania takie zostaną podjęte jedynie w sytuacji gdy pojawi się silna potrzeba takich działań zgłaszana przez interesariuszy („ demand from stakeholders”) oraz gdy widoczna będzie wyraźna wartość dodana („clear added-value”) takiego rozwiązania[7].
Z wypowiedzi Komisji wynika, że taka potrzeba, póki co nie została dostrzeżona.
Mając na uwadze powyższe stanowisko Komisji nie powinno dziwić, że również Europejska Rada Ochrony Danych Osobowych, deklaruje, że nie jest obecnie zaangażowana w działania regulacyjne dotyczące ikonek prywatności. W świetle art. 70 ust. 1 pkt r) RODO Radzie przysługuje prawo zaopiniowania ew. projektów Komisji w tym zakresie[8].
Innymi słowy organy Unii nie planują podjąć działań przypisanych im w RODO, dopóki nie uzyskają wyraźnych oddolnych sygnałów, że istnieje takie zapotrzebowanie oraz, że przyniesie to korzyści. Taka postawa wydaje się trudna do zaakceptowania. Trudno bowiem oczekiwać, by nieokreślona grupa „interesariuszy” (administratorzy danych, unijny i krajowe organy nadzoru, podmioty których dane dotyczą, organizacje społeczne, …) zaangażowała się w działania lobbujące za wprowadzeniem równie nieokreślonego narzędzia informacyjnego jakim są „standardowe znaki graficzne”. Należałby raczej oczekiwać, że organy wskazane w RODO podejmą chociażby akcję edukacyjną informującą interesariuszy na temat celów oraz korzyści stosowania ikonek. Ważnym elementem takich działań mogłaby także być dyskusja nad kształtem ikonek, np. przybierająca formę otwartego konkursu. Udziałem w takim projekcie mogliby być zainteresowane zarówno profesjonalne agencje graficzne, niezależni artyści, a nawet uzdolnione plastycznie osoby fizyczne.
[1] Grupa Robocza Art. 29, Wytyczne WP 260 z 29.11.2017 w sprawie przejrzystości na podstawie rozporządzenia 2016/679. GR260 rev. 01 (aktualizowane 11.04.2018), s. 22. https://gdpr.pl/wytyczne-grupy-roboczej-art-29-w-sprawie-przejrzystosci-na-mocy-rozporzadzenia-2016-679
[2] Grupa Robocza Art. 29, Opinia WP 100 z 10/2004 w sprawie dalszej harmonizacji zasad informowania, s. 8. https://archiwum.giodo.gov.pl/pl/file/5366
[3] Grupa Robocza Art. 29, Opinia WP 202, z 27.02.2013 w sprawie aplikacji na urządzenia inteligentne, s. 28. https://archiwum.giodo.gov.pl/pl/file/5331
[4] Grupa Robocza Art. 29, Wytyczne WP 260 z 29.11.2017 w sprawie przejrzystości na podstawie rozporządzenia 2016/679. GR260 rev. 01 (aktualizowane 11.04.2018), s. 22. https://gdpr.pl/wytyczne-grupy-roboczej-art-29-w-sprawie-przejrzystosci-na-mocy-rozporzadzenia-2016-679
[5] Wskazówki Prezesa Urzędu Ochrony Danych Osobowych dotyczące wykorzystania monitoringu wizyjnego, s. 14. Dokument dostępny pod url: https://uodo.gov.pl/pl/file/1200
[6] Grupa Robocza Art. 29, Wytyczne WP 260 z 29.11.2017 w sprawie przejrzystości na podstawie rozporządzenia 2016/679. GR260 rev. 01 (aktualizowane 11.04.2018), s. 22. https://gdpr.pl/wytyczne-grupy-roboczej-art-29-w-sprawie-przejrzystosci-na-mocy-rozporzadzenia-2016-679
[7] DG Just C3, odpowiedź z 9.12.2019 r. na pytanie autora złożone w trybie dostępu do informacji publicznej.
[8] Europejska Rada Ochrony Danych Osobowych, odpowiedź z 8.11.2019 r. na pytanie autora, złożone w trybie dostępu do informacji publicznej.
Dotychczas opublikowaliśmy:
Ikonki prywatności CZĘŚĆ I – O co chodzi ze stosowaniem „standardowych znaków graficznych” w RODO
