Ogólne Rozporządzenie o Ochronie Danych Osobowych (dalej: „RODO” lub „Rozporządzenie”) obowiązuje już ponad rok. W tej części cyklu poświęconego podsumowaniu tego intensywnego okresu skupimy się na ewolucji obowiązków informacyjnych i najczęstszych wątpliwościach pojawiających się w tym obszarze.
Dlaczego obowiązki informacyjne muszą być tak długie?
„Stare” obowiązki informacyjne, klauzule sporządzane na postawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych były stosunkowo krótkie i składały się zaledwie z kilku zdań. Na gruncie tych przepisów administrator był zobowiązany przekazać osobie, której dane dotyczą zaledwie kilka informacji, w tym m.in. o adresie swojej siedziby i pełnej nazwie, celu zbierania danych i ich odbiorcach, prawach przysługujących podmiotom danych oraz dobrowolności albo obowiązku podania danych. Administratorzy przyzwyczajeni byli do przedstawiania podmiotom danych tych informacyjnych w zwięzłej formie, zazwyczaj dołączając ten fragment spinany małym drukiem na końcu dokumentu. Pojawienie się RODO wprowadziło znaczne zmiany w tym zakresie. Obecnie administratorzy zobowiązani są przekazywać większą ilość informacji, a z uchybieniem temu wymaganiu wiążą się poważniejsze ryzyka.
Czy trzeba realizować jeszcze raz?
Bardzo wcześnie, jeszcze przed 25 maja 2018 r., zaczęto się zastanawiać, czy obowiązki informacyjne spełniane na podstawie ustawy z dnia z dnia 29 sierpnia 1997 r. o ochronie danych osobowych będą musiały zostać zaktualizowane tzn., czy administratorzy danych osobowych po 25 maja 2018 r. będą zobowiązani zrealizować nowy obowiązek informacyjny, sporządzony na podstawie art. 13 lub 14 RODO, wyłącznie wobec nowych osób, od których dane będą pobierane, czy też trzeba będzie ponownie spełnić obowiązek informacyjny wobec osób, których dane już znajdują się w bazie administratora, ale już zgodnie z art. 13 lub 14 RODO.
Istotne wątpliwości wiązały się m.in. z brakiem w poprzednich klauzulach informacji o możliwości wycofania zgody. Wydaje się, że większość ekspertów z zakresu ochrony danych osobowych prezentowało stanowisko zgodnie, z którym nie trzeba będzie ponownie spełniać obowiązku informacyjnego argumentując, że zgodnie z brzmieniem RODO „[…] administrator podczas pozyskiwania danych osobowych podaje […] informacje […]”. Jednakże z uwagi na podzielone stanowiska na rynku, a następnie wydane przez Grupę Roboczą art. 29 wytyczne w sprawie przejrzystości, gdzie wprost wskazano, że „w przypadku, gdy przed 25 maja 2018 r. przetwarzanie już się toczy, od dnia 25 maja 2018 roku administrator danych powinien zagwarantować, że jest ono (wraz z wszystkimi innymi obowiązkami wynikającymi z GDPR) zgodne z jego obowiązkami zachowania przejrzystości”. Ponadto wskazano, że „przed dniem 25 maja 2018 r. administrator danych powinien przejrzeć wszystkie informacje przekazane podmiotom danych dotyczące przetwarzania ich danych osobowych (na przykład w oświadczeniach/informacjach dotyczących prywatności, itd.), w celu zagwarantowania zastosowania się ich do wymagań odnoszących się do przejrzystości, omawianych w niniejszych wytycznych”. Sprzeczne informacje pojawiały się również w komunikatach polskich urzędów. Stąd, powszechna stała się praktyka, w ramach której po 25 maja 2018 r. administratorzy ponownie przedstawiali klauzulę informacyjną (sporządzoną na podstawie art. 13 lub 14 RODO) osobom, których dane znajdowały się w ich bazach i tym samym 25 maja 2018 r. nasze skrzynki mailowe zostały zalane falą niezwykle frapującej korespondencji.
Warstwować, czy nie warstwować?
Z uwagi na wielość informacji, którą administrator zobowiązany jest przekazać osobie, starano się znaleźć techniczne sposoby uniknięcia prezentowania pełnej klauzuli informacyjnej. Administratorzy zaczęli podejmować próby spełniania obowiązku informacyjnego w sposób skrócony. Pierwsze takie obowiązki zaczęły się pojawiać w internecie. Stosowano rozwiązania dzięki, których osoby w pierwszej kolejności otrzymywały pierwsze zdanie lub też kilka pierwszych zdań obowiązku informacyjnego, a następnie mogły zapoznać się z pełną jego treścią np. poprzez kliknięcie w określony link – takie spontaniczne próby skracania nie zawsze były jednak zgodne z RODO, w szczególności z art. 13, 14 oraz zasadą przejrzystości i rzetelności. Usystematyzowania tego podejścia podjęła się w swoich wytycznych Grupa Robocza art. 29, która zajęła stanowisko, w którym wskazała zasady spełniania obowiązków informacyjnych w sposób tzw. warstwowy. I tak, pierwsza tzw. wierzchnia warstwa, czyli informacje, z którymi osoba, której dane dotyczą ma styczność musi zawierać minimum następujące informacje:
- tożsamość administratora danych,
- cele przetwarzania danych,
- prawa przysługujące osobie, której dane dotyczą,
- istotne konsekwencje przetwarzania (np. informacja o automatycznym podejmowaniu decyzji w oparciu o profilowanie, jak również o samym profilowaniu).
Co istotne zaczęto stosować warstwowy sposób spełnienia obowiązków informacyjnych nie tylko w Internecie, ale także przez telefon, czy też w formie papierowej. Obecnie możemy natrafić na następujące rozwiązania kierowania do drugiej warstwy obowiązku informacyjnego (czyli pełnej treści klauzuli informacyjnej) np. za pomocą bezpośredniego linku, kodu QR, wyświetlenia informacji jako pop up, poprzez zapewnienie możliwości zapoznania się z pełną treścią obowiązku informacyjnego w recepcji.
Polityka prywatności – czy to miejsce do zamieszczenia obowiązku informacyjnego?
Można było też zauważyć (do dzisiaj zdarzają się takie przypadki), że administratorzy danych szukając rozwiązań poradzenia sobie z obszernymi obowiązkami informacyjnymi starali się je „zaszyć” w różnych dokumentach. Zaczęto stosować rozwiązania, w ramach których obowiązki informacyjne nie były umieszczane w miejscach zbierania danych np. przy formularzach, w których osoba wpisuje dane, ale zaczęto je włączać do regulaminów, czy też stosowano odesłania do ogólnych dokumentów, takich jak polityka prywatności. Wydaje się, że do dzisiaj zdania wśród ekspertów są podzielone, co do prawidłowości takiego rozwiązania. Jednakże, należy wziąć pod uwagę, że i w tej kwestii wypowiedziała się Grupa Robocza art. 29 wskazując, że wymóg przejrzystości nakłada na administratora obowiązek zapewnienia łatwości odróżnienia informacji o przetwarzaniu naszych danych osobowych od innych komunikatów. Grupa Robocza art. 29 podkreśliła również, że informacja taka musi być łatwo dostępna dla osoby, której dane dotyczą co oznacza, że osoba powinna ją bez problemu odszukać np. w przypadku zakładania konta w sklepie internetowym administrator powinien umieścić klauzulę informacyjną w widocznym miejscu przy formularzu, poprzez który osoba przekazuje dane osobowe, a nie np. w regulaminie tego sklepu internetowego, czy też innej zakładce strony internetowej. Prawidłowym rozwiązaniem wydaje się więc odsyłanie przy warstwowym obowiązku informacyjnym do poszczególnych części np. polityki prywatności, w której konkretne części będą dotyczyły np. dostawców, konsumentów, pracowników etc.
Obowiązki informacyjne dziś
Administratorzy starają się dziś spełniać obowiązki informacyjne w sposób z jednej strony uwzględniający wszystkie niezbędne informacje, z drugiej zwarty i przejrzysty dla odbiorców. Wciąż jednak pokutują wielostronicowe arkusze zredagowane prawniczym żargonem na podobieństwo umów kredytowych. Nadzieją napawają praktyki zachodnich organizacji, w których obowiązki informacyjne przybierają już postacie komiksów, czy krótkich animacji.
