GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Ikonki prywatności CZĘŚĆ II

Z treści Rozporządzenia nie dowiemy się dużo na temat stosowania standardowych znaków graficznych. Możliwość stosowania ikonek przewiduje preambuła RODO w motywie 60, określającym zasady rzetelnego i przejrzystego przetwarzania danych osobowych.

Wszystko zaczęło się od Creative Commons.

Pomysł stosowania ikonek dla prezentacji informacji prawnych nie jest niczym nowym. W 2002 roku grupa zaangażowanych prawników-aktywistów, pod przewodnictwem profesora Larryego Lessiga z Uniwersytetu Stanforda w Kalifornii, stworzyła system licencji prawno-autorskich o nazwie Creative Commons (CC), który legł u podstaw globalnego ruchu zmierzającego do reformy prawa autorskiego.

Co licencje Creative Commons mają wspólnego z obowiązkami informacyjnymi RODO? Otóż w obydwu przypadkach u podstaw legło założenie, że treść informacji miała być czytelna i zrozumiała nie tylko dla prawników, lecz także dla dwóch innych kategorii „odbiorców”, z reguły pomijanych przez twórców tradycyjnych regulacji prawnych: dla zwykłego człowieka oraz … dla programów komputerowych[1].

Prof. Lessig cel ten osiągnął uzupełniając tradycyjne słowne zapisy umów licencyjnych CC o piktogramy odzwierciedlające najważniejsze ich cechy, jak np. dopuszczalność wykorzystania utworu w celach komercyjnych, czy zasady dopuszczalności tworzenia utworów zależnych, na bazie utworów chronionych licencją CC, takich jak tłumaczenia.

Pliki graficzne tych piktogramów zostały ponadto wzbogacone o warstwę informacyjną tzw. metadanych, czyli dodatkowych informacji na temat treści licencji, zapisanych w języku html, uniwersalnym języku programistycznym, za pomocą którego tworzona jest większość stron www dostępnych w Internecie. Największą zaletą metadanych jest to, że mogą być odczytywane przez programy komputerowe, co oznacza, że treść licencji CC może być „odczytywana maszynowo” przez programy komputerowe, np. przez przeglądarki oraz wyszukiwarki internetowe. Dzięki tym metadanym osoby wykorzystujące zaawansowane ustawienia wyszukiwarki Google, mogą łatwiej odnajdywać utwory, takie jak teksty, zdjęcia, pliki mp3 lub filmy, których autorzy zezwolili na określone sposoby wykorzystywania, np. dalsze nieodpłatne wykorzystanie.

Filozofia licencji Creative Commons posłużyła za inspirację dla licznych niezależnych inicjatyw w zakresie graficznego prezentowania informacji o przetwarzaniu danych osobowych, prowadzonych na grubo przed uchwaleniem RODO[2] [3] [4]. Jednym z pierwszych takich nieoficjalnych zestawów ikon był projekt Matthiasa Mehldau i Jana Gernera przedstawiony w 2007 roku[5].

Źródło: http://netzpolitik.org/wp-upload/data-privacy-icons-v01.pdf

W końcowej części niniejszego artykułu przedstawione zostanie wiele innych podobnych inicjatyw.

Nie tylko RODO; Unia stawia na ikonki.

Koncepcja wykorzystania piktogramów w celu prostego i czytelnego przekazywania informacji nie jest zresztą w prawie europejskim niczym nowym. Wystarczy wspomnieć znaczek CE[6] (Conformité Européenne), stosowany dla oznaczenia produktów, które spełniają unijne normy jakości i bezpieczeństwa.

Nie mniej rozpowszechniony jest system obrazowego przedstawiania informacji o zużyciu zasobów przez elektryczne urządzenia gospodarstwa domowego, za pomocą jednolitych etykiet efektywności energetycznej[7] W marcu 2019 r. zaprezentowany został nowy wzór etykiet efektywności energetycznej, przeznaczony dla 5 grup najpowszechniej używanych urządzeń AGD, na którym przewidziano miejsce na dodatkowe informacje m.in. dot. zużycia wody, pojemności, emitowanego hałasu. Wprowadzono także kod QR, za pomocą którego możliwe będzie dotarcie do szczegółowych informacji[8]

źródło: http://ec.europa.eu/avservices/avs/files/video6/repository/prod/photo/store/store2/5/P039725-744069.jpg

Co RODO mówi na temat ikonek prywatności?

Przechodząc do RODO, to z treści Rozporządzenia nie dowiemy się dużo na temat stosowania standardowych znaków graficznych. Możliwość stosowania ikonek przewiduje preambuła RODO w motywie 60, określającym zasady rzetelnego i przejrzystego przetwarzania danych osobowych. Wynika z niego, że spełnienie obowiązku informacyjnego względem osoby, której dane dotyczą, można wzbogacić o standardowe znaki graficzne, które „w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania”. Podkreślenia wymaga, że stosowanie standardowych znaków graficznych jest opcjonalne i zależy od decyzji administratora danych.

Jeżeli jednak administrator zdecyduje się znaki te stosować i będzie je przedstawiał w formie elektronicznej, musi nadać im format zdatny do „odczytu maszynowego”. Wymaganie to będzie miało zastosowanie we wszystkich przypadkach realizacji obowiązku informacyjnego w serwisach internetowych, ale przykładowo również na ekranach urządzeń mobilnych oraz innych tzw. smart devices, czyli nowej generacji inteligentnych sprzętów takich jak lodówki, telewizory, czy samochody (więcej na ten temat poniżej).

Identycznie brzmiące regulacje zawarto również w art. 12 ust. 7 części normatywnej Rozporządzenia. Przepis ten odnosi się zarówno do obowiązku informacyjnego, powstającego w razie zbierania danych od osoby, której dane te dotyczą (art. 13 RODO) jak też do tzw. wtórnego obowiązku informacyjnego, w razie zbierania danych osobowych nie od osoby, której one dotyczą, np. zawartych w bazie danych zakupionej od osoby trzeciej (art. 14 RODO). We wszystkich przypadkach stosowanie ikonek jest dopuszczalne i zalecane.

Na mocy RODO przyznane zostało ponadto Komisji Europejskiej uprawnienie do przyjmowania aktów delegowanych, określających informacje przedstawiane za pomocą standardowych znaków graficznych oraz procedury ustanawiania takich znaków[9]. Projekt ikonek musi być zaopiniowany przez Europejską Radę Ochrony Danych[10], unijny organ odpowiedzialny za nadzór nad stosowaniem RODO, który od 25 maja 2018 roku zastąpił tzw. Grupę Roboczą Artykułu 29, funkcjonującą przy Komisji Europejskiej[11].

Niewiele więcej na temat ikonek prywatności dowiemy się z treści RODO. W szczególności nie poznamy szerszych motywów wprowadzenia tego rozwiązania, poza zwiększeniem widoczności, zrozumiałości i czytelności informacji na temat przetwarzania.

Cyfrowo nie zawsze oznacza zdatnie do „odczytu maszynowego”

Nie dowiemy się m.in. co oznacza przewidziany w motywie 60 RODO wymóg, by standardowe znaki graficzne, przedstawione elektronicznie, nadawały się do „odczytu maszynowego”. Analogiczne wymaganie prawodawca europejski przewidział w motywie 68 RODO, w odniesieniu do obowiązku przekazania osobie, której dane dotyczą, danych osobowych dostarczonych administratorowi (w powiązaniu z interoperacyjnym, czytaj: powszechnie stosowanym, formatem zapisu tych danych).

Wskazówek w tym zakresie dostarczyła Grupa Robocza art. 29, odsyłając do definicji „odczytu komputerowego” zamieszczonej w motywie 21 Dyrektywy 2013/37/UE dotyczącej ponownego wykorzystywania informacji sektora publicznego (tzw. Dyrektywy Reuse)[12]. Nie przytaczam w tym miejscu definicji zawartej w ww. regulacji, bowiem uchwalona została już nowa wersja Dyrektywy Reuse, w postaci Dyrektywy z 20 czerwca 2019 r. w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego (2019/1024/UE)[13]. Dyrektywa ta ma zostać implementowana do krajowych porządków prawnych państw członkowskich do dnia 17 lipca 2021 r., jednak, poszukując najbardziej aktualnej definicji „odczytu maszynowego”, zasadne jest odwoływanie się już teraz do tej regulacji, zwłaszcza że pod względem zastosowanej terminologii jest ona znacznie bardziej zgodna z RODO.

W myśl motywu 35 nowej Dyrektywy w sprawie otwartych danych i reuse, „dokument należy uznać za sporządzony w formacie nadającym się do odczytu maszynowego, jeżeli występuje w formacie pliku ustrukturyzowanym tak, aby aplikacje mogły łatwo zidentyfikować, rozpoznać i pozyskać określone dane. Dane zawarte w plikach ustrukturyzowanych w formacie nadającym się do odczytu maszynowego należy uznać za dane nadające się do odczytu maszynowego”. Oprócz zastąpienia pojęcia „odczyt komputerowy” terminem „odczyt maszynowy”, odpowiadającym nowej terminologii stosowanej w aktach prawnych UE, w tym w RODO, powyższa definicja odwołuje się do pojęcia „aplikacje”, zamiast „aplikacje komputerowe”, stosowanego na gruncie Dyrektywy 2013/37/UE. Widać z tego wyraźnie, że prawodawca europejski dostrzega rosnące znaczenie, innych niż komputery osobiste, inteligentnych urządzeń, komunikujących się z użytkownikami (oraz między sobą) za pośrednictwem tzw. Internet of things. To kolejna istotna wskazówka, w jakim kierunku zapewne podąży praktyka wykorzystywania ikonek prywatności.

[1] J. Boyle, The Public Domain. Enclosing the Commons of the Mind. Project Gutenberg, 2008, s. 181.

[2] Rundle M., International Personal Data Protections and Digital Identity Management Tools. 2006. https://www.w3.org/2006/07/privacy-ws/papers/21-rundle-data-protection-and-idm-tools/;

[3] https://siliconfilter.com/khula-project-wants-to-make-privacy-policies-readable/

[4] https://wiki.creativecommons.org/wiki/CC-inspired_projects_for_Terms_of_Service_and_Privacy_policies

[5] Mehldau, M.: Iconset for Data-Privacy Declarations v0.1 (2007). http://netzpolitik.org/wp-upload/data-privacy-icons-v01.pdf

[6] Obowiązek znakowania produktów znakiem CE wprowadzają liczne tzw. dyrektywy nowego podejścia.

[7] System etykiet energetycznych został wprowadzony Dyrektywą Parlamentu Europejskiego i Rady 2010/30/UE z dnia 19 maja 2010 r. w sprawie wskazania poprzez etykietowanie oraz standardowe informacje o produkcie, zużycia energii oraz innych zasobów przez produkty związane z energią. Dyrektywa ta została obecnie zastąpiona Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2017/1369 z dnia 4 lipca 2017 r. ustanawiającym ramy etykietowania energetycznego i uchylającym dyrektywę 2010/30/UE.

[8] https://europa.eu/rapid/press-release_MEMO-19-1596_pl.htm

[9] Motyw 166 RODO.

[10] Art. 70 ust. 1 pkt. (r) RODO.

[11] Motyw 139 RODO.

[12] Grupa Robocza Art. 29, Wytyczne z 29.11.2017 w sprawie przejrzystości na podstawie rozporządzenia 2016/679. GR260 rev. 01 (aktualizowane 11.04.2018), przypis 37 na s. 22. https://gdpr.pl/wytyczne-grupy-roboczej-art-29-w-sprawie-przejrzystosci-na-mocy-rozporzadzenia-2016-679

[13] Dz.UE z 26.06.2019, L 172/56.

Część pierwsza artykułu : Ikonki prywatności – O co chodzi ze stosowaniem „standardowych znaków graficznych” w RODO – dostępna jest tutaj.

Zapraszamy na część trzecią już za tydzień na naszym portalu.