GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Przejrzysta komunikacja, czyli przywracanie kontroli nad danymi osobowymi

Content.

Artykuł 5 ogólnego rozporządzenia o ochronie danych osobowych (RODO) wprowadza szereg zasad, do których przestrzegania zobowiązany jest każdy administrator danych osobowych. Nie ulega wątpliwości, że jedna z zasad – zasada przejrzystości, stanowi szczególnie duże wyzwanie przy wdrażaniu przepisów RODO. Dotychczas podmioty były skupione na formalnym wywiązywaniu się z ciążących na nich obowiązkach tj. m.in. spełnianiu obowiązków informacyjnych, pozyskiwaniu zgód, realizacji praw osób, nie skupiając się na ich formie i sposobie. Dzięki podkreśleniu znaczenia przejrzystości ma to ulec zmianie.

W jaki sposób zasada przejrzystości wpłynie na sytuację podmiotów danych?

W myśl zasady przejrzystości administrator danych osobowych ma obowiązek zapewnić by dla osób, których dane dotyczą było przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz, w jakim stopniu te dane osobowe będą lub mogą być wykorzystane w przyszłości. Ponadto wszelkie informacje i komunikaty powinny zostać przez administratorów danych osobowych sformułowane jasnym i prostym językiem, a dodatkowo powinny one być łatwo dostępne i zrozumiałe dla osób, których dane dotyczą. Zasada ta nie dotyczy wyłącznie sposobu  i formy przekazywania pewnych informacji. Odnosi się przede wszystkim do:

  1. zapewnienia osobom, których dane dotyczą informacji (tj. spełnienie przez administratora wobec podmiotów danych obowiązku informacyjnego),
  2. komunikacji z osobami, których dane dotyczą, dotyczącej realizacji ich praw (tj. korzystania na mocy art. 15-22 RODO z ich praw),
  3. komunikacji w związku z wystąpieniem naruszenia ochrony danych osobowych (tj. obowiązku zawiadamiania osoby, której dane dotyczą o naruszeniu ochrony danych osobowych).

Podsumowując, przejrzystość jest zasadą, która ma na celu przywrócenie osobom, których dane dotyczą kontroli i panowania nad ich danymi osobowymi.

Jak komunikować żeby zostać zrozumianym?

Artykuł 12 RODO uszczegóławia sposób w jaki administrator danych osobowych powinien prowadzić komunikację z osobami, których dane dotyczą. Reguły tam zawarte stanowią rozwinięcie ustanowionej w art. 5 ust. 1 lit. a zasady przejrzystości. Zgodnie z art. 12 RODO, komunikacja prowadzona przez administratora danych osobowych lub sporządzona przez niego informacja powinna być zgodna z następującymi wytycznymi:

  1. zwięzła, przejrzysta, zrozumiała i łatwo dostępna,
  2. jasny i prosty język, w szczególności, gdy informacje kierowane są do dzieci,
  3. na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie, a jeżeli osoba, której dane dotyczą, tego zażąda, administrator może udzielić informacji ustnie,
  4. co do zasady bezpłatna.

Zwięzła, przejrzysta, zrozumiała i łatwo dostępna

Wymóg sporządzenia informacji w sposób zwięzły oznacza, że powinna ona być krótka, konkretna i treściwa. Dzięki temu odbiorca nie zostanie przytłoczony komunikatem, którego długość skutecznie zniechęci go lektury. Jak dostarczyć podmiotowi danych osobowych informacji, które muszą zostać zawarte w takiej klauzuli w sposób zwięzły? Trudność polega na tym, że administrator musi z jednej strony przekazać osobie wiele informacji, których wymaga RODO, a z drugiej ująć je w prosty i treściwy sposób.

Wymóg przejrzystości nakłada na administratora obowiązek zapewnienia łatwości odróżnienia informacji od innych komunikatów. W praktyce oznacza to np., że osoba, której dane dotyczą z łatwością może odnaleźć interesujące ją treści. Ponadto administrator powinien zwrócić uwagę na to, że informacja taka powinna być czytelna i klarowna. Dużą rolę odegrać może nawet dobór rozmiaru czy rodzaju czcionki oraz tła, na którym informacja jest udostępniona.

Obowiązek dostarczenia zrozumiałej informacji wymaga od administratora dokonania analizy kto jest odbiorcą tej informacji – czyje dane gromadzi. Administrator posiadając taką wiedzę jest w stanie określić jakie treści będą zrozumiałe dla grupy docelowych odbiorców. Inaczej zostanie sformułowana informacja dla klientów księgarni prawniczej, a inaczej dla odbiorców newslettera o kosmetykach dla nastolatek.

Obowiązek zapewnienia przez administratora by informacja była łatwo dostępna dla osoby, której dane dotyczą oznacza, że osoba powinna ją bez problemu odszukać np. w przypadku organizacji konkursu na stronie internetowej administrator powinien umieścić klauzulę informacyjną w widocznym miejscu przy formularzu, poprzez który uczestnik konkursu przekazuje dane osobowe, a nie np. w regulaminie tego konkursu, czy też innej zakładce strony internetowej.

Jasny i prosty język, w szczególności, gdy informacje kierowane są do dzieci

Wymóg używania jasnego i prostego języka nakłada na administratora danych obowiązek prowadzenia komunikacji w jak najprostszy sposób (ze szczególnym naciskiem na realizację tej zasady w przypadku gdy odbiorcami są dzieci), bez stosowania złożonych zdań i skomplikowanych struktur językowych. Ponadto oznacza to odejście od języka prawniczego.

Na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie, a jeżeli osoba, której dane dotyczą, tego zażąda, administrator może udzielić informacji ustnie

Co do zasady informacje powinny być udzielane osobom na piśmie. Zasada ta zapewnia osobom możliwość zapoznania się z nią „na spokojnie”. Jednakże, zgodnie z RODO, administrator może również w tym celu stosować inne nieokreślone środki, w tym środki elektroniczne. Wiąże się z tym możliwość dostarczania informacji tzw. warstwami (patrz: Spełnienie obowiązku informacyjnego). Ponadto, istnieje możliwość dostarczenia informacji ustnie (przy założeniu, że tożsamość danej osoby została potwierdzona, jednakże tylko w przypadku realizacji żądania realizacji jej praw –  nie dotyczy to spełniania obowiązku informacyjnego) np. w przypadku świadczenia usług dla osoby niewidomej. Należy mieć na uwadze, że w przypadku udzielania informacji w formie ustnej administrator, zgodnie z zasadą rozliczalności powinien dysponować zapisem potwierdzającym: złożenie prośby o udzielenie informacji ustnie, weryfikację tożsamości osoby, dostarczenie informacji osobie.

Co do zasady bezpłatna

Zasadą jest, że informacje udzielane podmiotom danych nie podlegają opłatom. Udzielenie informacji przez administratora danych osobowych na mocy art. 13 i 14 RODO tj. udostępnienie klauzuli informacyjnej jest wykonywane przez administratora bezpłatnie. Taka sama zasada znajduje zastosowanie w przypadku żądania realizacji praw osoby, której dane dotyczą oraz zawiadamiania o naruszeniu ochrony danych osobowych.

Jednakże, jak to zwykle z zasadami bywa, zdarzają się od nich pewne wyjątki. Pierwszy przewiduje, że w przypadku ewidentnie nieuzasadnionych lub nadmiernych żądań podmiotu danych, w szczególności z uwagi na ich ustawiczny charakter, administrator może:

  1. pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań; albo
  2. odmówić podjęcia działań w związku z żądaniem.

W sytuacji skorzystania przez administratora z ww. możliwości, spoczywa ma nim obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter.

Drugi z wyjątków przewiduje możliwość pobrania opłaty w przypadku skorzystania przez podmiot danych z prawa do uzyskania kopii danych, wskazanego w art. 15 RODO. Uzyskanie przez osobę pierwszej kopii danych nigdy nie podlega opłacie, natomiast za uzyskanie wszelkich kolejnych kopii, o które zwróci się osoba, administrator może  pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych.

Spełnienie obowiązku informacyjnego

Obowiązek podawania osobom, których dane dotyczą szeregu informacji związanych z przetwarzaniem ich danych osobowych jest wymogiem wynikającym z przepisów RODO. Zakres informacji przekazywanych przez administratora, a także termin ich przekazania różni się w zależności od tego, czy dane pozyskiwane są bezpośrednio od osoby, której dane dotyczą, czy z innego źródła.  Rozporządzenie nie narzuca żadnej szczególnej formy, w której obowiązek informacyjny ma zostać spełniony wobec podmiotu danych. Dopuszczalne jest, zatem udzielenie określonych informacji zarówno na piśmie, jak i w każdy inny sposób, w tym także w stosownych przypadkach elektronicznie. Istotna z punktu widzenia niniejszych rozważań jest możliwość jego spełnienia poprzez dostarczanie go tzw. warstwami. Proces ten polega na dostarczeniu go w pierwszym rzędzie w ograniczonym zakresie, natomiast w drugim już w pełnym (tj. dostarczenia wszystkich informacji wskazanych w art. 13 – 14 RODO). Tym samym pierwsza tzw. wierzchnia warstwa, czyli informacje, z którymi osoba, której dane dotyczą ma styczność w pierwszym rzędzie np. pierwszy komunikat, który usłyszy osoba dzwoniąc na infolinię, informacja dotycząca monitoringu wizyjnego, którą może przeczytać osoba na drzwiach sklepu, czy też informacja przy formularzu zgłoszeniowym do konkursu na stronie internetowej, musi zawierać minimum następujące informacje:

  1. tożsamość administratora danych;
  2. cele przetwarzania danych;
  3. prawa przysługujące osobie, której dane dotyczą;
  4. istotne konsekwencje przetwarzania (np. informacja o automatycznym podejmowaniu decyzji w oparciu o profilowanie, jak również o samym profilowaniu).

Skierowanie do drugiej warstwy obowiązku informacyjnego (do pełnej treści klauzuli informacyjnej) może nastąpić np. za pomocą bezpośredniego linku, kodu QR, wyświetlenia informacji jako pop up, poprzez zapewnienie możliwości zapoznania się z pełną treścią obowiązku informacyjnego w recepcji.

Realizacja praw podmiotów danych

W przypadku realizacji przez administratora danych osobowych praw osób, których dane dotyczą dochodzi do bezpośredniej komunikacji pomiędzy osobą, a administratorem. Omawiana zasada przejrzystości nakłada na administratorów danych osobowych obowiązek składający się z następujących elementów:

  1. udzielenie podmiotowi danych informacji dotyczących jego praw poprzez klauzulę informacyjną,
  2. zapewnienie, że komunikacja w związku z realizacją praw będzie przebiegała rzetelnie, przejrzyście i uczciwie,
  3. zapewnienie możliwości korzystania z praw przysługujących podmiotom danych.

Powyższe w praktyce oznacza, że administrator powinien wdrożyć odpowiednią procedurę realizacji praw osób zapewniającą realizację takich praw poprzez:

  1. zapewnienie odpowiednich mechanizmów pozwalających na prawidłowe rozpatrywanie wniosków podmiotów danych oraz realizację ich praw np. zamieszczenie na stronie internetowej formularza zgłoszenia żądania, uruchomienie infolinii zapewniającej możliwość realizacji praw, zapewnienie na recepcji formularzy zgłoszenia żądania w formie papierowej,
  2. ustalenie osób odpowiedzialnych za realizację niniejszej procedury w celu zapewnienia realizacji wniosków w krótkim czasie.

Zawiadamianie o naruszeniach

W takim przypadku również będzie dochodziło do bezpośredniej komunikacji pomiędzy administratorem, a podmiotem danych. Zgodnie z RODO, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności podmiotów danych, administrator danych jest zobowiązany powiadomić lub wydać publiczny komunikat w sprawie incydentu (jeżeli powiadomienie wymagałoby niewspółmiernie dużego wysiłku), lub zastosować podobny środek, za pomocą którego osoby, których dane dotyczą, zostaną w równie skuteczny sposób poinformowane. Nałożenie na administratora danych takiego obowiązku umożliwi osobie, której dane dotyczą podjęcie niezbędnych działań zapobiegawczych, osoba taka będzie miała możliwość zminimalizowania bezpośredniego ryzyka wystąpienia szkody. Powiadomienie o naruszeniu musi spełniać wszystkie wskazane powyżej wymogi przejrzystej komunikacji.

Zagrożenia związane z nieprzestrzeganiem zasady przejrzystości, czyli szansa na odzyskanie kontroli

Organ nadzorczy może nakładać administracyjne kary pieniężne w przypadku naruszenia przepisów RODO. Niewykonanie lub nieprawidłowe wykonanie obowiązku informacyjnego, brak realizacji lub nieprawidłowa realizacja żądania podmiotu danych, czy też niepowiadomienie o wystąpieniu naruszenia zagrożone są wysokimi sankcjami pieniężnymi. Mające one pełnić m.in. funkcję odstraszającą i prawdopodobnie pozytywnie wpłyną na sytuację osób, których dane dotyczą. Ponadto dzięki znacznemu rozbudowaniu obowiązku informacyjnego, rozszerzeniu katalogu praw oraz wprowadzeniu instytucji powiadamiania podmiotów o naruszeniach, osoby maja uzyskać rzetelną wiedzę i bieżący dostęp do informacji, co znacznie wpłynie na poziom kontroli nad ich danymi osobowymi.