Na stronie internetowej Bawarskiego Urzędu Krajowego ds. Nadzoru nad Ochroną Danych (jeden z niemieckich organów nadzorczych działających na poziomie krajów związkowych),
dostępne są wskazówki dotyczącego tego w jaki sposób spełniać obowiązek informacyjny w przypadku rozmowy telefonicznej. Niemiecka wersja językowa wskazówek, których tłumaczenie przedstawiono poniżej, znajduje się tutaj: https://www.lda.bayern.de/media/FAQ_InformationspflichtenTelefon.pdf.
Jak można spełnić obowiązek informacyjny w przypadku rozmowy telefonicznej?
O czym musimy poinformować?
Czy musimy nagrać na telefon informację na temat przetwarzania danych?
Prawodawca nie skonkretyzował zanadto sposobu wykonania obowiązku informacyjnego. Art. 13 oraz 14 mówią z jednej strony o tym, że należy przekazać, względnie podać informacje. Jednakże art. 12 ust. 1 nieco osłabia ten przepis, gdyż jest w nim mowa o tym, że należy podjąć „odpowiednie” środki aby informacje były podane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
Istnieje wiele sytuacji, w których należy osiągnąć wystarczającą równowagę pomiędzy obowiązkiem informacyjnym, praktycznością oraz unikaniem nadmiaru informacji. Grupa Robocza Art. 29 dała pierwsze wskazówki w Wytycznych w sprawie Przejrzystości WP260,
w jaki sposób ją przeprowadzić. Europejskie organy nadzorcze w obszarze ochrony danych będą się zajmować tym tematem jeszcze przez długi czas, zanim będzie on rozumiany w sposób jednolity. Z tego względu, w najbliższych miesiącach wskazane jest monitorowanie publikacji organów nadzorczych, aby ewentualnie przyjąć jednolitą praktykę.
W opinii WP260 za dopuszczalne uznano podejście warstwowe. Poleca się, aby pierwsza warstwa zawierała informacje o tożsamości administratora, celach przetwarzania oraz
o istnieniu praw osób, których dane dotyczą, jak również informacje o przetwarzaniu mogącym zaskoczyć osobę. W drugiej warstwie muszą być podane wszystkie informacje, niezależnie od tego na podstawie którego ustępu art. 13 oraz 14 są wymagane.
Informacji można nie podawać, jeżeli osoba, której dane dotyczą ma już tą informację.
W oparciu o powyższe można w tym momencie stwierdzić, że na początku podawane są jedynie wymienione podstawowe informacje (administrator, cele, istnienie praw) oraz odwołanie do strony internetowej lub ulotki zawierających pełne informacje.
W niektórych przypadkach pierwsza warstwa informacji będzie już znana osobom, których dane dotyczą. Przykład: ktoś dzwoni do podmiotu zajmującego się sprzedażą wysyłkową, osoba, która odbierze słuchawkę podaje swoje nazwisko oraz nazwę podmiotu. Z rozmowy wynika, w jakim celu dane będą ewentualnie zebrane. Należy jednak unikać sytuacji, gdy osoba myśli, że dzwoni do danego podmiotu, a następnie zostanie związana z innym administratorem jako podmiotem zarządzającym, bez swojej wiedzy, lub sytuacji gdy dane uzyskane
w rozmowie telefonicznej zostaną jeszcze wykorzystane do dziesięciu innych celów, które
z punktu widzenia dzwoniącego są bardzo odległe.
W przypadku dzwonienia np. do fryzjera w celu uzgodnienia terminu, również należy założyć, że dzwoniący posiada podstawowe informacje. W tym przypadku nazwa administratora (tj. fryzjera) jest znana dzwoniącemu oraz on sam określa cel przetwarzania swoich danych (zapisanie nazwiska oraz numeru telefonu w celu uzgodnienia terminu). Pouczenie
o ewentualnych prawach, których dane dotyczą wydaje się tutaj niepotrzebne, ponieważ dalsze dane nie będą zbierane.
Obowiązek informacyjny nie musi być również nagrywany przez każdy zakład rzemieślniczy, praktykę lekarską, etc. Przez pisemne potwierdzenie zlecenia lub przyjęcia terminu można przekazać dalsze informacje zgodnie z art. 13 oraz 14 RODO.
Odesłanie do strony internetowej jest co do zasady do zaakceptowania. W tym przypadku należy jednak zapewnić, aby odesłanie nie dotyczyło „Informacji o ochronie danych
w odniesieniu do wszystkich przypadków”, leczy aby zainteresowana osoba, której dane dotyczą mogła w szczególności dowiedzieć się jaka jest podstawa prawna przetwarzania w jej konkretnym przypadku. Dla rozwiania wątpliwości, nie można umieścić „jednej informacji pasującej do wszystkiego” w odniesieniu do wszystkich osób, których dane dotyczą, czyli zatrudnionych, klientów, partnerów biznesowych, osób odwiedzających stronę internetową czy dostawców.
