RODO nie zabrania stosowania własnych zestawów ikonek prywatności przez administratorów danych, o ile będą one używane równolegle do tradycyjnych form informowania o przetwarzaniu danych, zgodnych z wymaganiami Rozporządzenia. Administratorzy danych powinni więc rozważyć „wyjście przed szereg” oraz opracowanie i wdrożenie własnych ikonek prywatności, dając tym samym wyraz troski o transparentność przetwarzania oraz demonstrując poszanowanie dla praw swoich użytkowników.
Jest skąd czerpać inspirację
Można śmiało zaryzykować tezę, że pomysł ikonek prywatności w RODO został przez prawodawcę unijnego zaczerpnięty z doświadczeń i postulatów środowisk zaangażowanych w rozwój społeczeństwa informacyjnego, takich jak twórcy systemu licencji Creative Commons. Byłoby wielką stratą gdyby organy unijne nie czerpały z doświadczeń i dorobku zaangażowanych grup społecznych, również na dalszych etapach prac nad wprowadzeniem „standardowych znaków graficznych”,.
Istnieje wiele przykładów jak można podejść do tematu. Inspirację przy tworzeniu systemu ikonek prywatności może stanowić Privacy Icons Project, koordynowany przez Azę Raskina, silnie wspierany przez środowisko twórców przeglądarki internetowej Mozilla Firefox. Różne propozycje ikonek stworzone w ramach tego projektu zaprezentowane zostały w 2010 roku[1].
Źródło: https://wiki.mozilla.org/Privacy_Icons
źródło: https://www.flickr.com/photos/azaraskin/4788482184
Podobne działania prowadzone były m.in. przez Aarona Heltona w ramach projektu Privacy Commons z 2009 r.[2]:
Obszerna baza ikonek dostarczających informacji dotyczących różnych obszarów przetwarzania danych osobowych, stworzona została w ramach francuskiego projektu PrivacyTech, promującego „francuską doskonałość w dziedzinie ochrony danych osobowych”. Rezultaty prac dostępne są na stronie https://www.privacytech.fr/privacy-icons/. Prezentowane tam ikonki (oryginalnie w języku francuskim) dotyczą m.in. charakteru zbieranych danych, okresu przetwarzania, udostępniania danych, bezpieczeństwa przetwarzania, wykorzystania danych, przepływów transgranicznych, czy zasad modyfikacji polityk bezpieczeństwa.
Źródło: https://www.privacytech.fr/privacy-icons/
W 2011 r. rezultaty swoich prac przedstawili twórcy Projektu Khula, którzy postawili sobie za cel stworzenie narzędzia, które pozwoli firmom na prezentowanie łatwych do odczytania przez ludzi polityk prywatności[3].
Źródło: https://siliconfilter.com/khula-project-wants-to-make-privacy-policies-readable/
Grupa badaczy z uniwersytetu w Berkeley, W ramach prowadzonego na tej uczelni projektu KnowPrivacy[4], zaprezentowała w 2009 roku raport porównujący postanowienia polityk prywatności 50 najczęściej odwiedzanych stron internetowych z oczekiwaniami ankietowanych użytkowników[5]. Przy tej okazji zaprezentowano również potencjalne rozwiązania przyjazne dla użytkowników, w tym zestaw ikonek informujących o przetwarzaniu.
Źródło: http://knowprivacy.org/images/iconset.png
Własny zestaw ikonek prywatności o nazwie „Inituitive Icons” zaprezentowała także firma Sogeti Labs[6].
Źródło: http://labs.sogeti.com/privacy-by-inituitive-icons/
Grupa badaczy z Carnagie Mellon University w Pittsburgu zaproponowała w 2009 r. wzór tabelarycznej informacji na temat przetwarzania danych osobowych, inspirowany standardami obowiązującym dla etykiet informujących o wartościach odżywczych zamieszczanych na opakowaniach produktów spożywczych:
Źródło: https://cups.cs.cmu.ed/privacyLabel/files/CHI-finalPoster.pdf
Podsumowanie
Z niniejszego artykułu wynika, że ikonki prywatności mają duży potencjał do zwiększania ochrony podmiotów danych oraz poprawy kontroli nad danymi osobowymi przetwarzanymi przez administratorów. Szczególnie przydatne mogą być ikonki przy optymalizacji warstwowego przekazywania oświadczeń o przetwarzaniu danych, do czego zachęcają europejskie organy ochrony danych. Odpowiednio dobrany zestaw ikonek, w połączeniu z kodami QR, może stanowić doskonałą pierwszą warstwę informacyjną m.in. przy wykorzystaniu monitoringu wizyjnego albo na urządzeniach mobilnych.
Z ubolewaniem należy więc odnotować fakt, że Komisja Europejska nadal nie uchwaliła wzorów standardowych znaków graficznych ani też zasad posługiwania się nimi. Co więcej, nie zanosi się, by zaszły jakiekolwiek zmiany w tym zakresie, bez wyraźnego sygnału, że ikonki są potrzebne, oraz że ich wykorzystanie przynosi korzyści. Jak wskazano powyżej istnieje wiele prywatnych inicjatyw, z których unijni regulatorzy mogliby czerpać inspirację.
Wybiegając w przyszłość warto zwrócić uwagę na dwie kwestie.
- Po pierwsze do rozważenia jest pomysł, by – przynajmniej na początkowym etapie – oddać możliwość tworzenia i wykorzystywania ikonek prywatności w ręce samych zainteresowanych, czyli administratorów danych. Promowaniem stosowania standardowych znaków graficznych mogą ponadto być zainteresowane organy nadzoru oraz organizacje społeczne monitorujące poszanowanie praw osób, których dane dotyczą. W szczególności, mając na względzie brak prac nad stworzeniem jednolitego unijnego systemu ikonek prywatności, takie oddolne inicjatywy mogłyby dostarczyć Komisji Europejskiej impulsu do działania oraz cennego materiału do pracy.
- W dalszej kolejności podkreślić należy, że RODO nie zabrania stosowania własnych zestawów ikonek prywatności przez administratorów danych, o ile będą one używane równolegle do tradycyjnych form informowania o przetwarzaniu danych, zgodnych z wymaganiami Rozporządzenia. Administratorzy danych powinni więc rozważyć „wyjście przed szereg” oraz opracowanie i wdrożenie własnych ikonek prywatności, dając tym samym wyraz troski o transparentność przetwarzania oraz demonstrując poszanowanie dla praw swoich użytkowników.
- Wybiegając w przyszłość, kiedy już stworzony zostanie jednolity system standardowych znaków graficznych, kolejnym krokiem wartym rozważenia jest odejście od obecnego opcjonalnego mechanizmu w kierunku wprowadzenia obowiązku prawnego stosowania ikonek przez administratorów. Niewątpliwie gdyby wszyscy administratorzy danych (albo przynajmniej ci, realizujący obowiązki informacyjne w postaci elektronicznej) byli zobowiązani do stosowania ikonek prywatności, nadających się do odczytu maszynowego, ochrona podmiotów, których dane dotyczą oraz ich kontrola nad przetwarzaniem danych byłaby znacznie pełniejsza. Obowiązek stosowania ikonek powodowałby ponadto, że administratorzy musieliby również informować w ten sposób o „niewygodnych” czynnościach przetwarzania, takich jaki długie okresy przetwarzania, udostępnianie danych podmiotom trzecim, przekazywanie danych poza obszar UE/EWG, czy profilowanie. Przy obecnym brzmieniu RODO, administratorzy danych mogą takich „trudnych” ikonek po prostu nie zamieszczać, ograniczając się w tym zakresie do informacji tekstowej.
Autorem artykułu jest: Dr Marcin Zieliński
[1] Aza Raskin, Is A Creative Commons for Privacy Possible? http://www.azarask.in/blog/post/is-a-creative-commons-for-privacy-possible/
[2] http://www.privacycommons.org
[3] https://siliconfilter.com/khula-project-wants-to-make-privacy-policies-readable/
[4] http://www.knowprivacy.org/index.html
[5] http://www.knowprivacy.org/report/KnowPrivacy_Final_Report.pdf
[6] https://labs.sogeti.com/privacy-by-inituitive-icons/
Dotychczas opublikowaliśmy:
Ikonki prywatności CZĘŚĆ I – O co chodzi ze stosowaniem „standardowych znaków graficznych” w RODO