GRUPA ROBOCZA ARTYKUŁU 29 DS. OCHRONY DANYCH
17/PL
WP260 rew.01
Grupa Robocza Artykułu 29
Wytyczne w sprawie przejrzystości na mocy rozporządzenia 2016/679 |
Przyjęte 29 listopada 2017 r.
Data ostatniej korekty i przyjęcia:
11 kwiecień 2018 r.
GRUPA ROBOCZA W SPRAWIE OCHRONY OSÓB FIZYCZNYCH W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH
powołana na mocy Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 2 października 1995 r.
uwzględniając art. 29 oraz art. 30 Dyrektywy,
uwzględniając swój regulamin, przyjęła niniejsze wytyczne.
Grupa Robocza została powołana na mocy artykułu 29 Dyrektywy 95/46/WE. Jest to niezależny europejski organ doradczy w sprawie ochrony danych i prywatności. Jej zadania opisane zostały w artykule 30 Dyrektywy 95/46/WE i artykule 15 Dyrektywy 2002/58/WE.
Obsługę sekretariatu zapewnia Dyrekcja C (Prawa podstawowe i obywatelstwo Unii Europejskiej) Komisji Europejskiej, Dyrekcja Generalna ds. Sprawiedliwości, B-1049 Bruksela, Belgia, Biuro nr MO-59 02/013.
Strona internetowa: http://ec.europa.eu/newsroom/article29/news.cfm?item type=1358&tpa id=6936
GRUPA ROBOCZA ARTYKUŁU 29 DS. OCHRONY DANYCH
Wprowadzenie
-
Niniejsze wytyczne zapewniają praktyczne wskazówki oraz wsparcie dotyczące wykładni udzielone przez Grupę Roboczą art. 29 (WP29) w sprawie nowego obowiązku zachowania przejrzystości przetwarzania danych osobowych na mocy Ogólnego rozporządzenia o ochronie danych 1 („GDPR”). Przejrzystość jest nadrzędnym obowiązkiem na mocy GDPR, mającym zastosowanie do trzech centralnych obszarów: (1) zapewnienia informacji osobom, których dane dotyczą, związanych z rzetelnym przetwarzaniem; (2) sposobu komunikowania się administratorów danych z osobami, których dane dotyczą, w związku z ich prawami ujętymi w GDPR; oraz (3) sposobu umożliwienia przez administratorów danych korzystania przez osoby, których dane dotyczą, z ich praw2. W zakresie, w jakim wymagana jest przejrzystość w odniesieniu do przetwarzania danych na mocy dyrektywy (UE) 2016/6803, niniejsze wytyczne mają także zastosowanie do wykładni tej zasady.4 Niniejsze wytyczne, jak wszystkie wytyczne grupy roboczej art. 29, mają na celu ich ogólne zastosowanie i mają być właściwe dla administratorów, niezależnie od sektorowych, przemysłowych lub regulacyjnych specyfikacji właściwych dla każdego administratora danych. Jako takie, niniejsze wytyczne nie mogą odnosić się do niuansów i wielu zmiennych, które mogą wyniknąć z kontekstu obowiązku zachowania przejrzystości dla konkretnego sektora, przemysłu lub obszaru objętego regulacjami. Jednakże niniejsze wytyczne mają na celu umożliwienie administratorom zrozumienie, na wysokim poziomie, wykładni grupy roboczej art. 29 dotyczącej tego, co w praktyce obejmuje obowiązek zachowania przejrzystości oraz wskazanie podejścia, które zdaniem grupy roboczej art. 29 administratorzy powinni przyjąć, aby być przejrzystymi wbudowując jednocześnie rzetelność oraz rozliczalność w swoje środki zachowania przejrzystości.
-
Przejrzystość jest dawno ustanowioną cechą prawa UE5. Ma ona na celu zrodzić zaufanie do procesów dotyczących obywateli poprzez umożliwienie im zrozumienia i, jeśli jest to konieczne, zakwestionowania tych procesów. Jest to również wyrażenie zasady rzetelności w odniesieniu do przetwarzania danych osobowych wyrażonego w artykule 8 Karty praw podstawowych Unii Europejskiej. Na mocy GDPR (artykuł 5 ust. 1 lit. a)6, dodatkowo do wymagań zgodnego z prawem i rzetelnego przetwarzania danych, obecnie włączono przejrzystość, jako fundamentalny aspekt tych zasad7. Przejrzystość jest nieodłącznie powiązana z uczciwością i nową zasadą rozliczalności na mocy GDPR. Również z artykułu 5 ust. 2 wynika, że administrator musi być zawsze w stanie wykazać, że przetwarzanie danych osobowych, w odniesieniu do osoby, której dane dotyczą, odbywa się w sposób przejrzysty8. Powiązana z powyższym zasada rozliczalności wymaga przejrzystości operacji przetwarzania, aby umożliwić administratorom danych zademonstrowanie zgodności z ich obowiązkami wynikającymi z GDPR9.
1 Rozporządzenie (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
2 Niniejsze wytyczne, bardziej niż uwzględnienie konkretnych procedur dla każdego pojedynczego prawa podmiotu danych na mocy GDPR, ustanawiają ogólne zasady w związku z korzystaniem ze swoich praw przez osoby, których dane dotyczą.
3 Dyrektywa(UE) 2016/680 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW
4 Podczas gdy przejrzystość nie jest jedną z zasad odnoszących się do przetwarzania danych osobowych określonych w artykule 4 dyrektywy (UE) 2016/680, motyw 26 stanowi, że każde przetwarzanie danych osobowych musi być „zgodne z prawem, uczciwe i przejrzyste” w odniesieniu do osoby fizycznej, której ono dotyczy.
5 Artykuł 1 TUE odnosi się do decyzji podejmowanych „z możliwie najwyższym poszanowaniem zasady otwartości i jak najbliżej obywateli.”; artykuł 11 ustęp 2 stanowi, że „Instytucje utrzymują otwarty, przejrzysty i regularny dialog ze stowarzyszeniami przedstawicielskimi i społeczeństwem obywatelskim.”; a artykuł 15 TFEU między innymi odnosi się do obywateli Unii posiadających prawo dostępu do dokumentów instytucji, organów, urzędów i agencji unijnych oraz wymogu zapewnienia przez te instytucje, organy, urzędy i agencje przejrzystości ich postępowań.
6 „Dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą”.
7 W dyrektywie 95/46/WE przejrzystość została jedynie wspomniana w motywie 38 w postaci wymogu przetwarzania danych w sposób rzetelny, lecz nieodnoszący się w sposób wyraźny do równoznacznego artykułu 6 ust. 1, lit. a).
8 Artykuł 5 ust. 2 GDPR zobowiązuje administratora danych do zademonstrowania przestrzegania zasady przejrzystości (wraz z pięcioma innymi zasadami odnoszącymi się do przetwarzania danych, określonymi w artykule 5,ust. 1) na mocy zasady rozliczalności.
9 Ciążący na administratorach obowiązek wdrożenia środków technicznych i organizacyjnych w celu zapewnienia i bycia w stanie zademonstrować, że przetwarzanie odbywa się zgodnie z GDPR został określony w artykule 24 ust. 1.
-
Zgodnie z motywem 171 GDPR, w przypadku, gdy przed 25 maja 2018 r. przetwarzanie już się toczy, od dnia 25 maja 2018 roku administrator danych powinien zagwarantować, że jest ono (wraz z wszystkimi innymi obowiązkami wynikającymi z GDPR) zgodne z jego obowiązkami zachowania przejrzystości. Powyższe oznacza, że przed dniem 25 maja 2018 r. administrator danych powinien przejrzeć wszystkie informacje przekazane osobom, których dane dotyczą, dotyczące przetwarzania ich danych osobowych (na przykład w oświadczeniach/informacjach dotyczących zachowania prywatności, itd.), w celu zagwarantowania zastosowania się ich do wymagań odnoszących się do przejrzystości, omawianych w niniejszych wytycznych. W przypadku wprowadzenia zmian lub uzupełnień do takich informacji, administratorzy powinni jasno zakomunikować osobom, których dane dotyczą, że takie zmiany zostały przeprowadzone w celu zastosowania się do GDPR. Grupa robocza art. 29 zaleca, by w sposób aktywny zwrócono uwagę osób, których dane dotyczą na takie zmiany lub uzupełnienia, jednak jako minimum administratorzy powinni sprawić, by taka informacja była powszechnie dostępna (np. na ich stronie internetowej). Jednakże, w przypadku gdy zmiany lub dodania są znaczące lub istotne, wtedy zgodnie z poniższymi punktami 29 do 32 takie zmiany w sposób aktywny podaje się do wiadomości osób, których dane dotyczą.
-
Jeżeli administratorzy przestrzegają zasady zachowania przejrzystości, upoważnia ona osoby, których dane dotyczą do czynienia administratorów danych i podmioty przetwarzające odpowiedzialnymi i sprawowania kontroli nad swoimi danymi osobowymi poprzez, na przykład udzielanie lub wycofywanie świadomej zgody oraz korzystanie z praw im przysługujących10. Pojęcie przejrzystości w GDPR, w wielu artykułach, jest raczej skoncentrowane na użytkowniku niż legalistyczne i realizowane jest za pomocą konkretnych praktycznych wymogów odnoszących się do administratorów danych i podmiotów przetwarzających. Wymagania praktyczne (informacja) przedstawione są w artykułach 12 – 14 GDPR. Jednakże jakość, dostępność i zrozumiałość informacji jest tak samo ważna, jak sama zawartość informacji dotyczącej zachowania przejrzystości, która musi zostać udzielona osobom, których dane dotyczą.
10 Zobacz na przykład ustęp 74 opinii rzecznika generalnego Cruza Villalóna (9 czerwiec 2015 r.) w sprawie Bara (Sprawa C-201/14): „wymóg informowania osób, których dotyczy przetwarzanie ich danych osobowych, który gwarantuje przejrzystość wszelkich czynności przetwarzania, jest tym ważniejszy, iż uzależnione jest od niego wykonywanie przez osoby zainteresowane ich prawa dostępu do przetwarzanych danych, przewidzianego w art. 12 dyrektywy 95/46, oraz ich prawa sprzeciwu wobec przetwarzania tych danych, zdefiniowanego w art. 14 tej dyrektywy.”.
-
Wymagania dotyczące przejrzystości w GDPR mają zastosowanie niezależnie od podstawy prawnej przetwarzania i przez cały okres przetwarzania. Artykuł 12 jasno stanowi, że przejrzystość ma zastosowanie do następujących etapów cyklu przetwarzania danych:
-
przed lub na początku cyklu przetwarzania danych, tj. w trakcie gromadzenia danych osobowych albo od osoby, której dane dotyczą, albo pozyskanych w inny sposób;
-
przez cały okres przetwarzania, tj. w trakcie informowania osób, których dane dotyczą, o ich prawach; oraz
-
w szczególnych przypadkach, gdy trwa przetwarzani, na przykład, gdy wystąpią naruszenia ochrony danych lub w przypadku poważnych zmian w przetwarzaniu.
-
Znaczenie przejrzystości
-
GDPR nie definiuje przejrzystości. Motyw 39 GDPR ma charakter informacyjny w zakresie znaczenia i skutku zasady przejrzystości w kontekście przetwarzania danych:
„Dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były 0łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych
informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących…”
Elementy przejrzystości na mocy GDPR
-
Z racji zastosowania do praw osoby, której dane dotyczą, kluczowe artykuły w GDPR w odniesieniu do przejrzystości znajdują się w rozdziale III (Prawa osoby, której dane dotyczą). Artykuł 12 określa ogólne zasady, które mają zastosowanie do: zapewnienia osobom, których dane dotyczą, informacji (na mocy artykułów 13 – 14); komunikacji z osobami, których dane dotyczą, dotyczącej korzystania przez nie ze swoich praw (na mocy artykułów 15 – 22); oraz komunikacji w związku z naruszeniami ochrony danych (artykuł 34). W szczególności artykuł 12 wymaga, aby informacja lub komunikacja, o której mowa, była zgodna z następującymi zasadami:
-
musi być zwięzła, przejrzysta, zrozumiała i łatwo dostępna (artykuł 12 ust. 1);
-
musi być użyty jasny i prosty język (artykuł 12 ust. 1);
-
wymóg jasnego i prostego języka ma szczególną wagę, gdy informacje są kierowane do dzieci (artykuł 12 ust. 1);
-
musi być udzielona w formie pisemnej „lub w inny sposób, w tym w stosownych przypadkach – elektroniczne” (artykuł 12 ust. 1);
-
jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie (artykuł 12 ust. 1) ; oraz
-
musi być zapewniona bezpłatnie (artykuł 12 ust. 5).
„Zwięzła, przejrzysta, zrozumiała i łatwo dostępna”
-
Wymóg dostarczania informacji oraz komunikacji z osobami, których dane dotyczą, w sposób „zwięzły i przejrzysty” oznacza, że w celu uniknięcia zmęczenia informacją administratorzy danych powinni przedstawiać informację/ komunikację efektywnie i treściwie. Taka informacja powinna wyraźnie odróżniać się od innych informacji niezwiązanych z prywatnością, takich jak postanowienia umowne lub ogólne warunki użytkowania. W kontekście sieci użycie warstwowego oświadczenia/informacji o prywatności umożliwi osobie, której dane dotyczą, przejście do konkretnej sekcji oświadczenia/informacja o prywatności, którą ta osoba chce natychmiast odwiedzić, zamiast przewijania dużych ilości tekstu w poszukiwaniu konkretnych kwestii.
-
Wymóg, by informacja była „zrozumiała” oznacza, że powinna ona być zrozumiała dla przeciętnego członka z grupy docelowych odbiorców. Zrozumiałość jest ściśle powiązana z wymogiem stosowania jasnego i prostego języka. Odpowiedzialny administrator danych będzie posiadał wiedzę o ludziach, o których gromadzi informacje i może ją wykorzystać do określenia, co prawdopodobnie ci odbiorcy zrozumieją. Na przykład administrator gromadzący dane osobowe czynnych profesjonalistów może założyć, że jego odbiorcy posiadają wyższy poziom zrozumienia niż administrator, który gromadzić dane osobowe dzieci. Jeżeli administratorzy są niepewni poziomu zrozumienia i przejrzystości informacji oraz efektywności interfejsów/informacji, polityk użytkownika, itp., w stosownych przypadkach, między innymi mogą je przetestować, na przykład wykorzystując taki mechanizm, jak panele użytkownika, test czytelności, formalne i nieformalne interakcje oraz dialog z grupami przemysłowymi, grupami będącymi rzecznikami praw konsumenta oraz organami regulacyjnymi.
-
Centralnym tematem zasady przejrzystości nakreślonej w niniejszych postanowieniach jest to, by osoba, której dane dotyczą, mogła z góry określić, co pociągają za sobą zakres i konsekwencje przetwarzania oraz że nie można jej zaskakiwać na późniejszym etapie w kwestii sposobu wykorzystania jej danych osobowych. Powyższe jest również ważnym aspektem zasady rzetelności wynikającej z artykułu 5 ust. 1 GDPR i rzeczywiście jest powiązane z motywem 39, który stanowi, że „Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych…”. W szczególności w przypadku kompleksowego, technicznego lub nieoczekiwanego przetwarzania danych stanowisko grupy roboczej art. 29 jest takie, że administratorzy zarówno udzielają informacji określonej w artykułach 13 i 14 (o których mowa dalej w niniejszych wytycznych), jak również powinni osobno wyjaśnić jakie będą najważniejsze konsekwencje takiego przetwarzania, używając przy tym jednoznacznych sformułowań. Innymi słowy: jaki rodzaj skutku będzie miała konkretna operacja przetwarzania opisana
w informacji/ powiadomieniu o prywatności na osobę, której dane dotyczą? Zgodnie z zasadą rozliczalności oraz motywem 39, administratorzy danych powinni ocenić, czy dla osób fizycznych zaangażowanych w ten rodzaj przetwarzania występują konkretne zagrożenia, o których należałoby powiadomić osoby, których dane dotyczą. Może to pomóc w dostarczeniu przeglądu rodzajów przetwarzania, które miałyby największy wpływ na podstawowe prawa i wolności osób, których dane dotyczą, w odniesieniu do ochrony ich danych osobowych.
-
„Łatwo dostępny” element oznacza, że osoba, której dane dotyczą, nie powinna być zmuszona do poszukiwania informacji. Powinno być dla niej natychmiast oczywiste, gdzie i w jaki sposób taka informacja może być dostępna, na przykład poprzez bezpośrednie dostarczenie jej do niej, poprzez dostarczenia im linka do informacji, poprzez jej jasne oznaczenie lub jako odpowiedź na zapytanie sformułowane zwykłym językiem (na przykład w warstwowym oświadczeniu/informacji dotyczącej prywatności online, w FAQ (często zadawane pytania), za pomocą kontekstualnych wyskakujących okienek, które uaktywniają się, gdy osoba, której dane dotyczą, wypełnia formularz online albo w interaktywnym kontekście cyfrowym poprzez interfejs Chatbot), itp. Niniejsze mechanizmy zostały dalej omówione poniżej, w tym w ustępach 33 do 40).
PrzykładKażda organizacja posiadająca stronę Internetową powinna opublikować na niej oświadczenie/informację o prywatności. Bezpośredni link do tego oświadczenia/informacji o prywatności powinien być dobrze widoczny na każdej podstronie strony Internetowej pod powszechnie stosowanym zwrotem/ pojęciem (takim, jak „Prywatność”, „Polityka prywatności” lub „Informacja o ochronie danych”). Takie ich umieszczenie lub zastosowanie do nich takich kolorów, które powodują, że tekst lub link są mniej widoczne lub trudniejsze do znalezienia na stronie, nie mogą być uznane za łatwo dostępne.Niezbędna informacja dotycząca aplikacji, przed ich pobraniem, powinna być również dostępna w sklepie Internetowym. Po zainstalowaniu aplikacji informacja musi być nadal łatwo dostępna w aplikacji. Jednym ze sposobów spełnienia tego wymogu jest zagwarantowanie, by nigdy nie trzeba było klikać więcej niż dwa razy, aby uzyskać dostęp do informacji (np. poprzez włączenie opcji „Prywatność”/„Ochrona danych” do menu funkcjonalnego aplikacji. Dodatkowo omawiana informacja dotycząca prywatności powinna być swoista dla konkretnej aplikacji i nie powinna być zaledwie ogólną polityką prywatności firmy, która jest posiadaczem aplikacji lub udostępnia ją publicznie.Grupa robocza art. 29, jako najlepszą praktykę zaleca, by na etapie gromadzenia danych osobowych w kontekście sieci podawany był link do oświadczenia/informacji o prywatności albo, by taka informacja była dostępna na tej samej stronie, na której gromadzone są dane osobowe. |
„Jasny i prosty język”
-
W odniesieniu do informacji podawanej w formie pisemnej (oraz, gdy informacja pisemna podawana jest w formie ustnej lub za pomocą metody audio/audiowizualnej, w tym dla osób, których dane dotyczą, a które posiadają upośledzenie wzroku) należy przestrzegać najlepszej praktyki jasnego pisania11. Podobny wymóg językowy (dla „prostego, zrozumiałego języka”) był wcześniej wykorzystywany przez prawodawcę UE12 i w motywie 42 GDPR13 występuje wyraźne odniesienie do niego. Wymóg jasnego i prostego języka oznacza, że informacja powinna być zapewniona w jak najprostszy sposób, unikając złożonych zdań i struktur językowych. Informacja powinna być konkretna i definitywna, nie powinna posiadać abstrakcyjnych i ambiwalentnych sformułowań ani dawać możliwości dla innych interpretacji. W szczególności cele oraz podstawa prawna przetwarzania danych osobowych powinny być jasne.
Przykłady złej praktykiNastępujące sformułowania nie są wystarczająco jasne dla celów przetwarzania:· „Możemy wykorzystywać Twoje dane osobowe do rozwoju nowych usług” (jako że nie jest jasne, jakie są to „usługi” albo w jaki sposób te dane pomogą w ich rozwijaniu);· „Możemy wykorzystywać Twoje dane osobowe do celów badawczych (jako że nie jest jasne, o jakich „badaniach” jest mowa); oraz· „Możemy wykorzystywać Twoje dane osobowe do oferowania usług spersonalizowanych” (jako że nie jest jasne, co pociąga za sobą taka „personalizacja”). |
Przykłady dobrej praktyki14· „Będziemy zachowywać historię Twoich zakupów i używać szczegółów produktów, które wcześniej zakupiłeś, aby sugerować Tobie inne produkty, którymi naszym zdaniem będziesz również zainteresowany” (jest jasne, jakie rodzaje danych będą przetwarzane, że osoba, której dane dotyczą, będzie przedmiotem ukierunkowanej reklamy produktów i że jej dane posłużą do umożliwienia tego działania);· „Będziemy zachowywać i dokonywać oceny informacji Twoich ostatnich odwiedzin na naszej stronie Internetowej oraz w jaki sposób przemieszczasz się pomiędzy różnymi sekcjami naszej strony Internetowej do celów analitycznych, aby zrozumieć, jak ludzie korzystają z naszej strony Internetowej, byśmy mogli sprawić, by była bardziej intuicyjna” (jest jasne, jaki rodzaj danych będzie przetwarzany oraz rodzaj analizy, jaką zamierza przeprowadzić administrator); oraz· „Zachowamy zapis artykułów na naszej stronie Internetowej, w które kliknąłeś i użyjemy tej informacji do reklamy ukierunkowanej na Twoją osobę na tej stronie, która jest zgodna z Twoimi zainteresowaniami zidentyfikowanymi przez nas w oparciu o przeczytane przez Ciebie artykuły” (jest jasne z czym wiąże się personalizacja oraz w jaki sposób zostały zidentyfikowane zainteresowania przypisywane osobie, której dane dotyczą). |
11 Zobacz publikację Komisji Europejskiej (2011): Jak pisać jasno (How to write Clearly), którą można znaleźć na stronie: https://publications.europa.eu/en/publication-detail/-/publication/c2dab20c-0414-408d-87b5-dd3c6e5dd9a5.
12 Artykuł 5 dyrektywy Rady 93/13/EWG z dnia 5 kwietnia 1993 r. w sprawie nieuczciwych warunków w umowach konsumenckich
13 Motyw 42 stanowi, że wyrażenie zgody wcześniej sformułowane przez administratora danych powinno być dostarczone w zrozumiałej i łatwo dostępnej formie, z użyciem jasnego i prostego języka i nie powinno zawierać nieuczciwych warunków.
-
Należy także unikać kwalifikatorów językowych, takich jak: „może”, „mógłby”, „niektóre”, „często” i „możliwe”. W przypadkach, gdy administratorzy decydują o zastosowaniu nieokreślonego języka, zgodnie z zasadą rozliczalności powinni być w stanie wykazać, dlaczego nie można uniknąć stosowania takiego języka i w jaki sposób nie podważa to rzetelności przetwarzania. Ustępy i zdania powinny być dobrze skonstruowane, wykorzystując do zasygnalizowania hierarchicznej struktury wypunktowania i wcięcia. Pismo powinno posiadać formę czynną, zamiast biernej i należy unikać nadmiernej liczby rzeczowników. Informacje dostarczane osobie, której dane dotyczą, nie powinny zawierać nazbyt prawniczego, technicznego lub specjalistycznego języka lub terminologii. W przypadku, gdy informacja tłumaczona jest na jeden lub więcej języków, administrator danych powinien zagwarantować, że tłumaczenia są dokładne i że frazeologia oraz składnia ma sens w tym drugim języku (w innych językach), tak by tłumaczony tekst nie musiał być rozszyfrowywany ani ponownie interpretowany. (Tłumaczenie w jednym lub większej liczbie języków zapewnia się, gdy celem15 administratora są osoby, których dane dotyczą, mówiące tymi językami.)
Udzielanie informacji dzieciom i innym podatnym osobom
-
W przypadku, gdy celem administratora danych są dzieci16 lub gdy jest albo powinien być świadomy, że jego towary/usługi są szczególnie wykorzystywane przez dzieci (w tym, w przypadku gdy administrator polega na zgodzie dziecka)17, należy zapewnić, że słownictwo, ton oraz styl użytego języka jest odpowiedni i oddziałuje na dzieci, tak że dziecko – adresat informacji – poznaje, że wiadomość/informacja jest skierowana do niego18. Użyteczny przykład języka ukierunkowanego na dziecko, użytego jako alternatywa do języka oryginału, można odnaleźć w „Konwencji ONZ o prawach dziecka w języku przyjaznym dla dziecka”19.
-
Stanowisko grupy roboczej art. 29 jest takie, że przejrzystość jest prawem samodzielnym, które ma takie samo zastosowanie do dzieci, jak do dorosłych. Grupa robocza art. 29 podkreśla w szczególności, że dzieci nie tracą swoich praw do przejrzystości, jako osoby, których dane dotyczą, gdyż zgoda została wyrażona/zaaprobowana przez osobę posiadającą odpowiedzialność rodzicielską w sytuacji, do której stosuje się artykuł 8 GDPR.
14 Wymóg przejrzystości występuje całkowicie niezależnie od wymogu ciążącego na administratorach danych do zagwarantowania, że istnieje właściwa podstawa prawna przetwarzania na mocy artykułu 6.
15 Na przykład, gdy administrator prowadzi stronę Internetową w omawianym języku i/lub oferuje opcje specyficzne dla danego kraju, i/lub umożliwia płatność za towary lub usługi w walucie konkretnego państwa członkowskiego, wtedy mogą one dowodzić, że administrator danych bierze na cel osoby, których dane dotyczą, z konkretnego państwa członkowskiego.
16 Pojęcie ”dziecko” nie zostało zdefiniowane w GDPR, jednakże grupa robocza art. 29 uznaje, że zgodnie z Konwencją ONZ o prawach dziecka, ratyfikowaną przez wszystkie kraje UE, dziecko oznacza osobę poniżej 18 roku życia.
17 tj. dzieci w wieku 16 lat lub starsze (lub, gdy zgodnie z artykułem 8.1 GDPR krajowe prawo państw członkowskich ustala wiek dla wyrażenia zgody przez dziecko na ofertę dostarczania usług społeczeństwa informacyjnego na konkretny wiek w przedziale od 13 do 16 roku życia, dzieci, które zgodnie z danym państwem osiągnęły wiek pozwalający im na wyrażenie zgody).
18 Motyw 38 stanowi, że „Szczególnej ochrony danych osobowych wymagają dzieci, gdyż mogą one być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych.” Motyw 58 stanowi, że „Zważywszy, że dzieci zasługują na szczególną ochronę, wszelkie informacje i komunikaty – gdy przetwarzanie dotyczy dziecka – powinny być sformułowane tak jasnym i prostym językiem, by dziecko mogło je bez trudu zrozumieć. ”.
19 https://www.unicef.org/rightsite/files/uncrcchilldfriendlylanguage.pdf
Podczas gdy w wielu przypadkach taka zgoda wyrażana jest lub zaaprobowana przez osobę posiadającą odpowiedzialność rodzicielską jednorazowo, dziecko (jak wszystkie inne osoby, których dane dotyczą) posiada prawo do przejrzystości, które trwa przez okres współpracy z administratorem danych. Powyższe jest spójne z artykułem 13 Konwencji ONZ o prawach dziecka, która stanowi, że dziecko ma prawo do swobodnej wypowiedzi, która obejmuje prawo do poszukiwania, otrzymywania i przekazywania wszelkiego rodzaju informacji i idei20. Ważne jest, by wskazać, że równocześnie z uwzględnieniem zgody udzielanej w imieniu dziecka poniżej konkretnego wieku21, artykuł 8 nie uwzględnia skierowania środków przejrzystości na osobę posiadającą odpowiedzialność rodzicielską, która udziela takiej zgody. Z tego względu administratorzy danych, zgodnie z konkretnymi wskazaniami środków przejrzystości skierowanymi do dzieci w artykule 12 ust. 1 (wspartych motywami 38 i 58), mają obowiązek zagwarantowania, że w przypadku, gdy ukierunkowują się na dzieci lub są świadomi, że ich towary lub usługi są w szczególności wykorzystywane przez dzieci, które są w wieku pozwalającym im na czytanie, wszystkie informacje i cała komunikacja powinna być przekazywana jasnym i prostym językiem lub za pomocą medium, które jest łatwo zrozumiałe dla dzieci. Jednak w celu uniknięcia wątpliwości, grupa robocza art. 29 uznaje, że w przypadku bardzo młodych dzieci lub takich, które są jeszcze niepiśmienne, środki przejrzystości mogą być również skierowane do osób posiadających odpowiedzialność rodzicielską, uwzględniając, że takie dzieci w większości przypadków nie będą potrafiły zrozumieć nawet najprostszych pisemnych lub niepisemnych wiadomości dotyczących przejrzystości.
-
Podobnie, jeżeli administrator danych jest świadomy tego, że jego towary/usługi są wykorzystywane przez (lub ukierunkowane na) innych podatnych członków społeczeństwa, w tym osoby z niepełnosprawnością albo osoby, które mogą mieć problem z dostępem do informacji, podatność takich osób, których dane dotyczą, powinna być wzięta pod uwagę przez administratora danych w jego ocenie tego, w jaki sposób zagwarantować, że w odniesieniu do osób, których dane dotyczą, spełnia on swoje obowiązki wynikające z przejrzystości22. Powyższe odnosi się do potrzeby dokonania przez administratora danych oceny poziomu prawdopodobieństwa zrozumienia przez jego grupę odbiorców, jak omówiono powyżej w ustępie 9.
„Pisemnie lub za pomocą innych środków”
-
Na mocy artykułu 12 ust. 1, podstawowym sposobem zapewnienia informacji do lub komunikacji z osobami, których dane dotyczą, jest to, że informacja ma formę pisemną23 (Artykuł 12 ust. 7 przewiduje, że informacja jest dostarczana w połączeniu z ustandaryzowanymi ikonami, a ta kwestia rozważana jest w sekcji dotyczącej narzędzi do wizualizacji w ustępach 49 do 53). Jednakże GDPR zezwala również na stosowanie innych, nieokreślonych „środków”, w tym środków elektronicznych. Stanowisko grupy roboczej art. 29 w odniesieniu do elektronicznych środków pisemnych jest takie, że w przypadku, gdy administrator danych prowadzi (lub działa częściowo albo całkowicie poprzez) stronę Internetową, Grupa robocza art. 29 zaleca stosowanie warstwowych oświadczeń/informacji o prywatności, które pozwalają osobom odwiedzającym stronę Internetową na nawigowanie do konkretnych aspektów właściwego oświadczenia/informacji o prywatności, którymi są one najbardziej zainteresowane (zobacz więcej na temat warstwowych oświadczeń/informacji w ustępach 35 do 37)24. Jednakże całość informacji skierowanej do osób, których dane dotyczą, powinna być również dostępna dla nich w jednym miejscu lub jednym kompletnym dokumencie (albo w formacie cyfrowym, albo papierowym), do którego osoby, których dane dotyczą, mają łatwy dostęp, jeśli chcą skonsultować całą informację do nich skierowaną. Co ważne, stosowanie podejścia warstwowego nie ogranicza się wyłącznie do elektronicznych środków dostarczania informacji do osób, których dane dotyczą. Jak omówiono w ustępach 35 – 36 i 38, podejście warstwowe do dostarczania informacji osobom, których dane dotyczą, może być również wykorzystane poprzez zastosowanie kombinacji metod, w celu zagwarantowania przejrzystości w odniesieniu do przetwarzania.
20 Artykuł 13 Konwencji ONZ o prawach dziecka stanowi, że: „Dziecko będzie miało prawo do swobodnej wypowiedzi: prawo to ma zawierać swobodę poszukiwania, otrzymania i przekazywania informacji oraz idei wszelkiego rodzaju, bez względu na granice, w formie ustnej, pisemnej bądź za pomocą druku, w formie artystycznej lub z wykorzystaniem każdego innego środka przekazu według wyboru dziecka.”
21 Patrz powyższy przypis 17.
22 Na przykład, Konwencja ONZ o prawach osób niepełnosprawnych wymaga, by osobom niepełnosprawnym zostały zapewnione odpowiedni formy pomocy i wsparcia, aby zagwarantować im dostęp do informacji.
23 Artykuł 12, ust. 1 odnosi się do „języka” i stanowi, że informację dostarcza się na piśmie lub za pomocą innych środków, w tym, w stosownych przypadkach , za pomocą środków elektronicznych.
24 Uznanie przez Grupę roboczą art. 29 korzyści z warstwowych informacji zostało już odnotowane w Opinii 10/2004 w sprawie dalszej harmonizacji zasad informowania oraz Opinii 02/2013 w sprawie aplikacji na urządzenia inteligentne.
-
Oczywiście stosowanie cyfrowych, warstwowych oświadczeń/informacji o prywatności nie jest jedynym pisemnym środkiem elektronicznym, który może zostać wdrożony przez administratorów. Inne środki elektroniczne obejmują kontekstowe, wyskakujące powiadomienia „na czas”, dotyk 3D touch lub najechanie na powiadomienie i pulpit zarządzania prywatnością. Niepisemne środki elektroniczne, które dodatkowo mogą zostać użyte do warstwowego oświadczenia/informacji o prywatności, mogą obejmować nagrania wideo oraz alarm w smartfonie albo Internecie przedmiotów25. „Inne środki”, które nie koniecznie muszą być elektroniczne, mogą obejmować na przykład kreskówki, infografikę lub diagramy sekwencji działań. W przypadku, gdy informacja o przejrzystości skierowana jest szczególnie do dzieci, administratorzy powinni rozważyć, jakie rodzaje środków mogą być szczególnie dostępne dla dzieci (np. poza innymi środkami mogą to być komiksy/kreskówki, piktogramy, animacje, itp.
-
Kluczowe jest, by metoda (metody) wybrane do dostarczenia informacji była (były) odpowiednie dla właściwych okoliczności, tj. sposobu interakcji między administratorem danych a osobą, której dane dotyczą albo sposobu gromadzenia informacji o osobie, której dane dotyczą. Na przykład wyłączne dostarczenie informacji w elektronicznym, pisemnym formacie, takim jak Internetowe oświadczenie/informacja o prywatności, może nie być odpowiednie/ nie działać, w przypadku, gdy urządzenie odbierające dane osobowe nie posiada wyświetlacza (np. urządzenie Internetu rzeczy/urządzenia inteligentne) pozwalającego na dostęp do strony Internetowej/wyświetlenia tak napisanej informacji. W takich przypadkach należy rozważyć odpowiednie, alternatywne, dodatkowe środki, na przykład dostarczenie oświadczenia/informacji o prywatności w formie drukowanej instrukcji obsługi albo zapewnienie URL adresu strony Internetowej (tj. konkretnej podstrony na stronie Internetowej), na której można znaleźć oświadczenie/informacje o prywatności online, w drukowanych instrukcjach lub w opakowaniu. Dostarczenie informacji w formie audio (ustnej) może również być zapewnione dodatkowo, jeżeli urządzenie nieposiadające monitora posiada możliwości audio. Wcześniej w swojej Opinii w sprawie ostatnich postępów w dziedzinie Internetu rzeczy, grupa robocza art. 29 wydała rekomendacje dotyczące przejrzystości i dostarczania informacji osobom, których dane dotyczą26, (takie jak stosowanie kodów QR drukowanych na przedmiotach Internetu rzeczy, tak by po ich zeskanowaniu kod QR wyświetlał wymaganą informację przejrzystości). Niniejsze rekomendacje pozostają aktualne na mocy GDPR.
25 Niniejsze przykłady środków elektronicznych są wyłącznie orientacyjne, a administratorzy danych mogą stworzyć nowe, innowacyjne metody, zgodne z artykułem 12.
„..informacja może zostać udzielona ustnie”
-
Artykuł 12, ust. 1 w szczególności wskazuje, że na życzenie osoby, której dane dotyczą, informacja może zostać udzielona ustnie, zakładając, że jej tożsamość została potwierdzona za pomocą innych środków. Innymi słowy przyjęte środki powinny oznaczać więcej, niż poleganie na zwykłym potwierdzeniu przez osobę, że jest konkretnie nazywającą się osobą i powinny umożliwiać administratorowi weryfikację tożsamości osoby, której dane dotyczą z wystarczającą pewnością. Wymóg weryfikowania tożsamości osoby, której dane dotyczą, przed ustnym dostarczeniem informacji stosuje się wyłącznie do informacji związanych z korzystaniem przez daną osobę, której dane dotyczą, z jej praw wynikających z artykułów 15 – 22 oraz 34. Niniejszy warunek wstępny udzielenia ustnej informacji nie może być stosowany do dostarczenia ogólnej informacji o prywatności, opisanej w artykułach 13 i 14, gdyż informacja wymagana na mocy artykułów 13 i 14 musi być również dostępna dla przyszłych użytkowników/klientów (których tożsamości administrator nie będzie mógł zweryfikować). Stąd informacja udzielana na mocy artykułów 13 i 14 może być udzielana ustnie, bez domagania się przez administratora udowodnienia tożsamości osoby, której dane dotyczą.
-
Ustne udzielenie informacji wymaganej na mocy artykułów 13 i 14 nie koniecznie oznacza ustną informację udzielaną od osoby do osoby (tj. osobiście lub telefonicznie). Dodatkowo do środków pisemnych może być dostarczana zautomatyzowana informacja ustna. Na przykład może mieć to zastosowanie w kontekście osób z upośledzonym wzrokiem w trakcie ich interakcji z dostawcami usług społeczeństwa informacyjnego lub w kontekście inteligentnych urządzeń nieposiadających ekranów, o których mowa w ustępie 19. W przypadku, gdy administrator danych zdecydował się udzielić osobie, której dane dotyczą, informacji w formie ustnej lub gdy osoba, której dane dotyczą żąda zapewnienia ustnej informacji albo komunikacji, grupa robocza art. 29 stoi na stanowisku, że administrator danych powinien pozwolić osobie, której dane dotyczą, ponownie wysłuchać wcześniej nagranych wiadomości. Powyższe jest imperatywem w przypadkach, gdy prośba o informację dostarczaną w formie ustnej dotyczy osób, których dane dotyczą, z upośledzeniem wzroku lub innych osób, których dane dotyczą, mogących mieć problemy z dostępem lub zrozumieniem informacji w formie pisemnej. Administrator danych powinien również zagwarantować, że posiada zapis i może zademonstrować (do celów zgodności z wymogiem rozliczalności): (i) prośby o informację ustną, (ii) metodę weryfikacji tożsamości osoby, której dane dotyczą (w stosownych przypadkach – zobacz powyższy ustęp
26 Opinia 8/2014 grupy roboczej art. 29 przyjęta 16 września 2014 roku
20) oraz (iii) fakt dostarczenia informacji osobie, której dane dotyczą.
„Bezpłatnie”
-
Ogólnie, na mocy artykułu 12 ust. 527 administratorzy danych nie mogą pobierać opłat od osób, których dane dotyczą, za udzielenie informacji na mocy artykułów 13 i 14 ani za komunikację i czynności podjęte na mocy artykułów 15 – 22 (w sprawie praw osób, których dane dotyczą) i artykułu 34 (zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych)28. Powyższy aspekt przejrzystości oznacza również, że żadna informacja udzielona na mocy wymogu przejrzystości nie może być uzależniona od transakcji finansowych, na przykład zapłaty za lub nabycia usług lub towarów29.
Informacje udzielane osobie, której dane dotyczą – artykuły 13 i 14
Treść:
-
GDPR wymienia listę kategorii informacji, które muszą zostać udzielone osobie, której dane dotyczą, w związku z przetwarzaniem jej danych osobowych, w przypadku, gdy są gromadzone od osoby, której dane dotyczą (artykuł 13) lub z innego źródła (artykuł 14). Tabela w załączniku do niniejszych wytycznych podsumowuje kategorie informacji, które na mocy artykułów 13 i 14 należy dostarczyć. Uwzględnia ona również charakter, zakres oraz treść tych wymogów. Dla jasności, grupa robocza art. 29 stoi na stanowisku, że nie występuje różnica pomiędzy statusem informacji na mocy ustępów 1 i 2, odpowiednio, artykułu 13 i 14. Wszystkie informacje zawarte w niniejszych ustępach są jednakowo ważne i muszą zostać udzielone osobie, której dane dotyczą.
27 Stanowi on, że „Informacje podawane na mocy art. 13 i 14 oraz komunikacja i działania podejmowane na mocy art. 15–22 i 34 są wolne od opłat.”
28 Jednak na mocy artykułu 12 ust. 5 administrator może pobrać rozsądną opłatę, w przypadku, gdy na przykład żądanie osoby, której dane dotyczą, dotyczące informacji, o której mowa w artykułach 13 i 14 albo prawa, o których mowa w artykułach 15 – 22 lub artykule 34 jest nadmierna lub wyraźnie bezpodstawna. (Osobno w odniesieniu do prawa do dostępu na mocy artykułu 15 ust. 3 administrator, w oparciu o koszty administracyjne, może pobrać rozsądną opłatę za wszystkie kolejne kopie danych osobowych, których żąda osoba, której dane dotyczą).
29 W celu zilustrowania, jeżeli dane osobowe osoby, której dane dotyczą, gromadzone są w związku z zakupem, informacja, której na mocy artykułu 13 należy udzielić, powinna być udzielona przed dokonaniem płatności i w momencie gromadzenia informacji, a nie po zawarciu transakcji. Jednak jednakowo, w przypadku dostarczania osobie, której dane dotyczą, bezpłatnych usług, informacja, o których mowa w artykule 13 muszą być udzielone przed, a nie po zapisaniu się, uwzględniając, że artykuł 13, ust. 1 wymaga dostarczenia informacji „podczas pozyskiwania danych osobowych”.
„Właściwe środki”
-
Forma i sposób, w jaki informacja wymagana na mocy artykułów 13 i 14 powinna być udzielona osobie, której dane dotyczą, jest tak samo ważna, jak jej treść. Zawiadomienie zawierające takie informacje jest często zwane informacją o ochronie danych osobowych, informacją o prywatności, polityką prywatności, oświadczeniem prywatności lub informacją o rzetelnym przetwarzaniu. GDPR nie przypisuje formatu ani procedury, za pomocą której takie informacje powinny być udzielone osobom, których dane dotyczą, jednak jasno podaje, że za podjęcie „właściwych środków” dotyczących udzielenia wymaganych informacji do celów przejrzystości odpowiada administrator danych. Oznacza to, że – decydując o odpowiednich zasadach i formacie udzielenia informacji – administrator danych powinien uwzględnić wszystkie okoliczności gromadzenia danych i przetwarzania. W szczególności właściwe środki będą musiały zostać ocenione w świetle doświadczenia użytkownika z produktem/usługą. Oznacza to uwzględnienie zastosowanych urządzeń (jeśli mają zastosowanie), charakteru interfejsów/interakcji użytkownika z administratorem danych („podróż” użytkownika) oraz ograniczeń, jakie te czynniki powodują. Jak zauważono powyżej w ustępie 17, grupa robocza art. 29 zaleca, by w przypadkach, gdy administrator danych występuje online, powinno się zapewnić warstwowe oświadczenie/informacje o prywatności.
-
W celu zidentyfikowania najbardziej odpowiedniej zasady udzielenia informacji przed „przystąpieniem do działania”, administratorzy danych mogą chcieć sprawdzić różne zasady dzięki testom przeprowadzanym przez użytkowników (np. „hall test” (test w sali) lub inny standaryzowany test czytelności lub dostępności), aby uzyskać informację zwrotną dotyczącą dostępności, zrozumiałości i łatwości używania przez użytkowników zaproponowanych środków. (Zobacz także dalsze komentarze na temat innych mechanizmów przeprowadzenia testów przez użytkownika w ustępie 9). Udokumentowanie tego podejścia powinno również pomóc administratorom danych w ich obowiązkach dotyczących rozliczalności poprzez zademonstrowanie, w jaki sposób wybrane narzędzie/podejście do przenoszenia informacji jest najbardziej odpowiednie w danych okolicznościach.
Czas na dostarczenie informacji
-
Artykuły 13 i 14 określają informacje, jakie muszą zostać udzielone osobom, których dane dotyczą, w czasie rozpoczęcia cyklu przetwarzania30. Artykuł 13 stosuje się do scenariusza, w którym dane pozyskiwane są od osoby, której one dotyczą. Obejmuje to dane osobowe, które:
30 Zgodnie z zasadami rzetelności i ograniczenia celu, organizacja pozyskująca dane osobowe od osób, których dane dotyczą, powinna zawsze, w momencie ich gromadzenia, określać cele przetwarzania. Jeżeli cel obejmuje tworzenie dedukowanych danych osobowych, zamierzony cel tworzenia a następnie przetwarzania takich dedukowanych danych osobowych, jak również kategorie przetwarzanych dedukowanych danych muszą zawsze być komunikowane osobie, której dane dotyczą, w momencie gromadzenia lub przed dalszym przetwarzaniem w nowym celu, zgodnie z artykułem 13 ust. 3 lub artykułem 14 ust. 4.
-
osoba, której dane dotyczą, dostarcza administratorowi danych w sposób świadomy (np. wypełniając formularz w sieci); albo
-
administrator danych gromadzi od osoby, której dane dotyczą, poprzez obserwację (np. wykorzystując urządzenia zautomatyzowanego przechwytywania danych lub oprogramowania do przechwytywania danych, takich jak kamery, sprzęt sieciowy, śledzenie wi-fi, RFID (identyfikacja za pomocą fal radiowych) lub inne rodzaje czujników).
Artykuł 14 ma zastosowanie do scenariusza, w którym dane nie zostały pozyskane od osoby, której one dotyczą. Obejmuje to dane osobowe, które administrator danych pozyskał z takich źródeł, jak:
-
administratorzy danych będący stronami trzecimi;
-
publicznie dostępne źródła;
-
brokerzy danych; albo
-
inne osoby, których dane dotyczą.
-
W odniesieniu do czasu na udzielenie informacji, udzielenie jej na czas stanowi istotny element obowiązku zachowania przejrzystości oraz obowiązku rzetelnego przetwarzania danych. W przypadku, gdy ma zastosowanie artykuł 13, informacja, na mocy artykułu 13, ust. 1 , musi być udzielona „podczas pozyskiwania danych osobowych”. W przypadku, gdy zgodnie z artykułem 14 dane osobowe są pozyskane w sposób pośredni, ramy czasowe, w których informację należy dostarczyć osobie, której dane dotyczą, zostały określone w artykule 14 ust. 3 lit. a) – c) w następujący sposób:
-
Ogólnym wymogiem jest to, że informacja musi być podana w „rozsądnym terminie”, po pozyskaniu danych osobowych i najpóźniej w ciągu miesiąca, „mając na uwadze konkretne okoliczności przetwarzania danych osobowych” (Artykuł 14 ust. 3 lit. a)).
-
Ogólny jednomiesięczny limit w artykule 14 ust. 3 lit. a) może być dalej ograniczony na mocy artykułu 14 ust. 3 lit. b)31, który przewiduje sytuację, w której dane wykorzystywane są do komunikacji z osobą, której dane dotyczą. W takim przypadku informacja musi być podana najpóźniej w momencie pierwszej komunikacji z osobą, której dane dotyczą. Jeżeli pierwsza komunikacja nastąpi przed limitem czasu jednego miesiąca od pozyskania danych osobowych, wtedy informacja musi być udzielona najpóźniej w momencie pierwszej komunikacji z osobą, której dane dotyczą, niezależnie od tego, że nie upłynął jeden miesiąc od momentu pozyskania danych. Jeżeli pierwsza komunikacja z osobą, której dane dotyczą, następuje później niż miesiąc po pozyskaniu danych osobowych, wtedy nadal ma zastosowanie artykuł 14 ust. 3 lit. a), tak więc informacja, o której mowa w artykule 14 musi zostać udzielona osobie, której dane dotyczą, najpóźniej w ciągu miesiąca od jej pozyskania.
31 Użycie w artykule 14 ust. 3 lit. b) słów: „ jeżeli dane osobowe mają być stosowane do..” wskazuje na konkretyzację ogólnego stanowiska odnoszącego się do maksymalnego limitu czasu określonego w artykule 14 ust. 3 lit. a), jednak nie zmienia go.
-
Ogólny jednomiesięczny limit czasu w artykule 14 ust. 3 lit. a) może również być dalej ograniczony na mocy artykułu 14 ust. 3 lit. c)32, który przewiduje sytuację, w której dane zostają ujawnione innemu odbiorcy (niezależnie od tego, czy jest to strona trzecia)33. W takim przypadku informacja musi być udzielona najpóźniej w momencie pierwszego ujawnienia. W tym scenariuszu, jeżeli ujawnienie nastąpi przed limitem czasu jednego miesiąca, wtedy informacja musi być udzielona najpóźniej w momencie takiego pierwszego ujawnienia, niezależnie od tego, że nie upłynął jeden miesiąc od momentu pozyskania danych. Podobnie do stanowiska odnoszącego się do artykułu 14 ust. 3 lit. b), jeżeli ujawnienie danych osobowych następuje później niż miesiąc po pozyskaniu danych osobowych, wtedy – ponownie – nadal ma zastosowanie artykuł 14 ust.3 lit. a), tak więc informacja, o której mowa w artykule 14 musi zostać udzielona osobie, której dane dotyczą, najpóźniej w ciągu miesiąca od jej pozyskania.
-
Zatem w każdym przypadku maksymalny limit czasu, w którym informacja, o której mowa w artykule 14, musi zostać udzielona osobie, której dane dotyczą, wynosi jeden miesiąc. Jednakże zasady rzetelności i rozliczalności wynikające z GDPR wymagają, by administrator danych, podejmując decyzję, w którym momencie przekazać informacje ujęte w artykule 14, zawsze brał pod uwagę rozsądne oczekiwania osób, których dane dotyczą, wpływ, jaki może mieć na nich przetwarzanie oraz ich zdolność do korzystania ze swoich praw w odniesieniu do przetwarzania. Rozliczalność wymaga od administratorów wykazania racjonalnego uzasadnienia swoich decyzji oraz czasu udzielenia informacji. W praktyce, udzielając informacje w „ostatniej chwili”, spełnienie tych wymogów może być trudne. W odniesieniu do tego motyw 39, między innymi, stanowi, że osobom, których dane dotyczą, „należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem”. Motyw 60 odnosi się również do wymogu informowania osoby, której dane dotyczą, o istnieniu operacji przetwarzania oraz jej celach w kontekście zasad rzetelności i przejrzystości przetwarzania. Ze względu na wszystkie niniejsze powody grupa robocza art. 29 stoi na stanowisku, że administratorzy danych, zgodnie z zasadą rzetelności, gdy jest to możliwe, powinni udzielać informacji osobom, których dane dotyczą na długo przed ustalonymi terminami. Dalsze komentarze dotyczące stosowności ramy czasowej pomiędzy poinformowaniem osób, których dane dotyczą, o operacjach przetwarzania a rzeczywistych takich operacjach przetwarzania określono w ustępach 30 – 31 oraz 48.
Zmiany informacji w artykule 13 i artykule 14
-
Rozliczalność w odniesieniu do przejrzystości stosuje się nie tylko w momencie gromadzenia danych osobowych, ale przez cały cykl przetwarzania, niezależnie od przenoszonej informacji lub komunikacji. Powyższe ma miejsce, na przykład, w trakcie zmiany treści istniejących oświadczeń/informacji o prywatności. Administrator powinien
32 Użycie w artykule 14 ust. 3 lit. c) słów: „jeżeli planuje się ujawnić dane osobowe innemu odbiorcy…” , także wskazuje na konkretyzację do ogólnego stanowiska odnoszącego się do maksymalnego limitu czasu określonego w artykule 14, ust. 3, lit. a), jednak nie zmienia go.
33 Artykuł 4 ust. 9 definiuje „odbiorcę” oraz wyjaśnia, że odbiorca, któremu dane osobowe są ujawniane nie musi być stroną trzecią. Dlatego odbiorcą może być administrator danych, współadministrator lub przetwarzający.
stosować się do tych samych zasad komunikując, zarówno wstępne oświadczenie/informację o prywatności, jak i wszystkie kolejne, istotne lub znaczące zamiany tego oświadczenia/informacji. Czynniki, jakie administratorzy powinni uwzględnić dokonując oceny, co stanowi istotną lub znaczącą zmianę, obejmują ich wpływ na osoby, których dane dotyczą (w tym ich zdolność korzystania ze swoich praw), oraz to, jak bardzo nieoczekiwana/zaskakująca byłaby to zmiana dla osób, których dane dotyczą. Zmiany w oświadczeniu/informacji o prywatności, które zawsze powinny być komunikowane osobom, których dane dotyczą, obejmują między innymi: zmianę co do celów przetwarzania, zmianę tożsamości administratora lub zmianę sposobu korzystania przez osoby, których dane dotyczą, z ich praw odnoszących się do przetwarzania. Odwrotnie, przykładem zmian dotyczących oświadczenia/informacji o prywatności, których grupa robocza art. 29 nie uznaje za istotne lub znaczące są: poprawki błędnej pisowni lub błędów stylistycznych/gramatycznych. Jako że większość klientów lub użytkowników jedynie rzuci okiem na komunikację o zmianach dotyczących oświadczenia/informacji o prywatności, administrator powinien podjąć wszelkie niezbędne środki w celu zagwarantowania, że takie zmiany są komunikowane w sposób gwarantujący, że większość odbiorców je rzeczywiście zauważy. Oznacza to, na przykład, że informacje o zmianach powinny być zawsze komunikowane za pomocą odpowiedniej procedury (np. wiadomość e-mail, pismo drukowane, wyskakujące okienko na stronie Internetowej lub inna procedura, która skutecznie skupi uwagę osoby, której dane dotyczą, na tych zmianach) szczególnie poświęconej tym zmianom (np. oddzielnie od bezpośredniej treści marketingowej). Taka komunikacja musi spełniać wymagania artykułu 12 w zakresie zwięzłości, przejrzystości, zrozumiałości, łatwej dostępności oraz musi być napisana jasnym i prostym językiem. Odniesienia w oświadczeniu/informacji o prywatności o tym, że osoba, której dane dotyczą, powinna regularnie sprawdzać zmiany lub aktualizacje oświadczenia/informacji o prywatności, uznaje się nie tylko za niewystarczające, lecz również nierzetelne w kontekście artykułu 5, ust. 1, lit. a). Dalsze wytyczne odnoszące się do czasu poinformowania osób, których dane dotyczą, o zmianach uwzględnione są w poniższych ustępach 30 – 31.
Czas na poinformowanie o zmianie informacji w artykule 13 i artykule 14
-
GDPR milczy na temat wymogów dotyczących czasu (i, rzeczywiście, metod) mającego zastosowanie do poinformowania o zmianach dotyczących informacji, które wcześniej, na mocy artykułu 13 lub 14, zostały udzielone osobie, której dane dotyczą (z wyłączeniem zamierzonego dalszego celu przetwarzania, w którym to przypadku, zgodnie z artykułem 13 ust. 3 i artykułem 14 ust. 4, informacja o tym dalszym celu musi zostać udzielona przed rozpoczęciem takiego dalszego przetwarzania – zobacz poniższy ustęp 45). Jednakże, jak zauważono powyżej w kontekście czasu udzielenia informacji z artykułu 14, administrator danych musi ponownie mieć na względzie zasady rzetelności i rozliczalności, w kwestii wszystkich rozsądnych oczekiwać osoby, której dane dotyczą lub potencjalnego wpływu takich zmian na osobę, której dane dotyczą. Jeżeli zmiana informacji wskazuje na zasadnicze zmiany charakteru przetwarzania (np. powiększenie kategorii odbiorców lub wprowadzenia przekazywania do kraju trzeciego) lub zmianę, która w odniesieniu do operacji przetwarzania nie jest zmianą zasadniczą, ale która może być istotna dla osoby, której dane dotyczą lub mieć na nią wpływ, wtedy taka informacja powinna być udzielona osobie, której dane dotyczą, z dużym wyprzedzeniem przed wprowadzeniem takiej zmiany, a sposób zwrócenia uwagi osoby, której dane dotyczą, na takie zmiany powinien być wyraźny i skuteczny. Powyższe ma na celu zagwarantowanie, że osoba, której dane dotyczą, nie „pominie” zmiany oraz udzielenie osobie, której dane dotyczą, rozsądnej ramy czasowej do (a) rozważenia charakteru i wpływu zmiany oraz (b) skorzystania z praw dotyczących zmiany, wynikających z GDPR (np. wycofanie zgody lub wniesienie sprzeciwu wobec przetwarzania).
-
Administratorzy danych powinni starannie rozważyć okoliczności oraz kontekst każdej sytuacji, w której wymagane jest uaktualnienie informacji dotyczącej przejrzystości, w tym potencjalnego wpływu tych zmian na osobę, której dane dotyczą oraz procedury użytej do zakomunikowania zmian i być w stanie wykazać, w jaki sposób rama czasowa pomiędzy poinformowaniem o zmianach a wprowadzeniem zmiany spełnia zasadę rzetelności w stosunku do osoby, której dane dotyczą. Dalej stanowisko grupy roboczej art. 29 mówi, że zgodnie z zasadą rzetelności w trakcie powiadamiania osób, której dane dotyczą, o takich zmianach, administrator danych powinien również wytłumaczyć, jaki będzie prawdopodobny wpływ tych zmian na osoby, których dane dotyczą. Jednakże zgodność z wymogiem przejrzystości nie „wybiela” sytuacji, w której zmiany dotyczące przetwarzania są na tyle znaczące, że przetwarzanie przybiera całkiem inny charakter w stosunku do poprzedniego stanu. Grupa robocza art. 29 podkreśla, że wszystkie pozostałe zasady GDPR, w tym te odnoszące się do niezgodnego dalszego przetwarzania, nadal mają zastosowanie, niezależnie od zgodności z obowiązkami zachowania przejrzystości.
-
Dodatkowo, nawet gdy informacja dotycząca przejrzystości (np. zawarta w oświadczeniu/informacji o prywatności) nie zmienia się w sposób istotny, prawdopodobne jest, że osoby, których dane dotyczą, które korzystały z usługi przez znaczny okres czasu, nie będą pamiętały informacji podanej im na początku, wynikającej z artykułu 13 i/lub artykułu 14. Grupa robocza art. 29 zaleca, by administratorzy umożliwili osobom, których dane dotyczą, na nieprzerwany, łatwy dostęp do informacji, by mogli ponownie zapoznać się z zakresem przetwarzania danych. Zgodnie z zasadą rozliczalności, administratorzy powinni również rozważyć czy, i w jakich odstępach, stosowne jest dla nich przekazywanie osobom, których dane dotyczą, ekspresowych przypomnień dotyczących oświadczenia/informacji o prywatności oraz miejsca, w którym można je znaleźć.
Procedury – format udzielenia informacji
-
Zarówno artykuł 13, jak i artykuł 14 odnoszą się do obowiązku administratora danych do „podania osobie, której dane dotyczą, następujących informacji…” Słowem operatywnym tutaj jest „podanie”. Oznacza to, że administrator danych musi podjąć aktywne kroki, aby udzielić informacji, o której mowa, osobie, której dane dotyczą lub aktywnie skierować osobę, której dane dotyczą, do miejsca, w którym się ona znajduje (np. za pomocą bezpośredniego linku, użycia kody QR, itp.). Osoba, której dane dotyczą nie musi aktywnie poszukiwać informacji ujętych w niniejszych artykułach wśród innych informacji, takich jak: warunki użytkowania sieci Internetowej lub aplikacji. Powyższe ilustruje przykład w ustępie 11. Jak zauważono w ustępie 17 powyżej, grupa robocza art. 29 zaleca, by cała informacja skierowana do osób, których dane dotyczą, była również dostępna dla nich w jednym miejscu lub jednym, kompletnym dokumencie (np. czy to w formie cyfrowej na stronie Internetowej, czy w formacie papierowym), do którego miałyby one łatwy dostęp, gdyby chciały przejrzeć całą informację.
-
W GDPR występuje nieodłączne napięcie między wymogami, z jednej strony, udzielenia osobom, których dane dotyczą, wyczerpujących informacji wymaganych na mocy GDPR a, z drugiej strony, wykonaniem tego w formie, która jest zwięzła, przejrzysta, zrozumiała i łatwo dostępna. Jako takie oraz biorąc pod uwagę podstawowe zasady rozliczalności oraz rzetelności, administratorzy muszą przeprowadzić swoje analizy dotyczące charakteru, okoliczności, zakresu oraz kontekstu przetwarzania danych osobowych, które wykonują i, w zakresie prawnego wymogu GDPR oraz biorąc pod uwagę zalecenia w niniejszych wytycznych, w szczególności zalecenia ujęte w poniższym ustępie 36, zdecydować, w jaki sposób dokonać priorytetyzacji informacji, które muszą być udzielone osobom, których dane dotyczą i jakie są odpowiednie poziomy szczegółów oraz metod przenoszenia informacji.
Warstwowe podejście w środowisku cyfrowym i warstwowe oświadczenia/informacje o prywatności
-
W kontekście cyfrowym, w świetle wymaganej ilości informacji udzielanej osobie, której dane dotyczą, administratorzy danych mogą stosować podejście warstwowe, gdy, w celu zagwarantowania przejrzystości, zdecydują się skorzystanie z kombinacji metod. Aby uniknąć zmęczenia informacją, grupa robocza art. 29 w szczególności zaleca, by stosowane były raczej warstwowe oświadczenia/informacje o prywatności w celu umieszczenia linka do różnych kategorii informacji, które muszą zostać podane osobie, której dane dotyczą, , niż wyświetlanie wszystkich takich informacji w jednym powiadomieniu na ekranie. Warstwowe oświadczenia/informacje o prywatności mogą pomóc w rozwiązaniu napięcia między kompletnością a zrozumieniem, w znacznej mierze poprzez pozwolenie użytkownikom na bezpośrednie nawigowanie do sekcji z oświadczeniem/informacją, którą chcą przeczytać. Należy zauważyć, że warstwowe oświadczenia/informacje o prywatności nie są zaledwie zagnieżdżonymi stronami, które wymagają kilku kliknięć, aby dotrzeć do właściwej informacji. Projekt i układ pierwszej warstwy oświadczenia/informacji o prywatności powinien pozwolić osobie, której dane dotyczą, na uzyskanie jasnego ogólnego opisu dostępnej dla niej informacji o przetwarzaniu jej danych osobowych oraz gdzie/jak może ona znaleźć taką szczegółową informację w warstwach oświadczenia/informacji o prywatności. Ważne jest również, aby informacja zawarta w różnych warstwach warstwowej informacja była spójna i by warstwy nie podawały sprzecznych informacji.
-
W odniesieniu do treści pierwszej procedury zastosowanej przez administratora w celu poinformowania osób, których dane dotyczą, z zastosowaniem podejścia warstwowego (innymi słowy, głównego sposobu, za pomocą którego po raz pierwszy administrator wchodzi w relację z osobą, której dane dotyczą) lub treści pierwszej warstwy warstwowego oświadczenia/informacji o prywatności, grupa robocza art. 29 zaleca, aby pierwsza warstwa/procedura zawierała szczegóły dotyczące celów przetwarzania, tożsamość administratora oraz opis praw osoby, której dane dotyczą. (Ponadto niniejszą informację należy bezpośrednio przedstawić osobie, której dane dotyczą w momencie gromadzenia danych osobowych, np. wyświetlenia w trakcie wypełniania przez osobę, której dane dotyczą, formularza online.) Ważność podania tej informacji wynika bezpośrednio, w szczególności, z motywu 39.34 Podczas gdy administrator musi być w stanie wykazać rozliczalność w odniesieniu do tego, którą z dalszych informacji, chce uznać za priorytetową, stanowisko grupy roboczej art. 29 stanowi, że zgodnie z zasadą rzetelności, dodatkowo do powyższej szczegółowej informacji podanej w niniejszym ustępie, pierwsza warstwa/procedura powinna również zawierać informacje o przetwarzaniu, które ma największy wpływ na osobę, której dane dotyczą oraz przetwarzaniu, które mogłoby ją zaskoczyć. Z tego względu osoba, której dane dotyczą, na podstawie informacji zawartych w pierwszej warstwie/procedurze, powinna być wstanie zrozumieć, jakie będą konsekwencje przetwarzania, o których mowa, dla osoby, której dane dotyczą (zobacz także powyższy ustęp 10).
-
W kontekście cyfrowym, oprócz zapewnienia warstwowego oświadczenia/informacji online, administrator danych może również zdecydować się na zastosowanie dodatkowych narzędzi służących do przejrzystości (zobacz dalej przykład rozważany poniżej), które podają osobom, których dane dotyczą, dostosowaną do nich informację, która jest specyficzna dla stanowiska osoby, której dane dotyczą oraz towarów/usług, z których będą korzystać takie osoby, której dane dotyczą. Jednakże należy zauważyć, że chociaż grupa robocza art. 29 zaleca stosowanie warstwowych oświadczeń/informacji o prywatności online, zalecenie to nie wyklucza rozwoju i stosowania innych innowacyjnych metod zgodności z wymogami przejrzystości.
Warstwowe podejście w środowisku niecyfrowym
-
Warstwowe podejście do zapewnienia przejrzystości informacji dla osoby, której dane dotyczą, można również wdrożyć w kontekście pozasieciowym/niecyfrowym (tj. środowisku rzeczywistym, takim jak relacja pomiędzy osobami lub komunikacja telefoniczna), w którym administratorzy mogą wdrożyć wiele procedur ułatwiających udzielenie informacji. (W odniesieniu do różnych procedur podawania informacji zobacz także ustępy 33 – 37 oraz 39 – 40.) Niniejszego podejścia nie należy mylić z osobną kwestią warstwowego oświadczenia/informacji o prywatności. Niezależnie od formatu użytego w tym podejściu warstwowym, grupa robocza art. 29 zaleca, aby pierwsza „warstwa” (innymi słowy, główny sposób, za pomocą którego po raz pierwszy administrator wchodzi w relację z osobą, której dane dotyczą) ogólnie przekazywała najważniejsze informacje (o których mowa w powyższym ustępie 36), czyli szczegóły celów przetwarzania, tożsamość administratora oraz istnienie praw osoby, której dane dotyczą, wraz z informacją o największym wpływie przetwarzania lub przetwarzaniu, które mogłoby zaskoczyć osobę, której dane dotyczą. Na przykład, w przypadku gdy pierwszy kontakt z osobą, której dane dotyczą, odbywa się za pomocą telefonu, informacje te mogłyby być podane w trakcie rozmowy telefonicznej z osobą, której dane dotyczą i mogłyby jej być podana wyważona informacja wymagana na mocy artykułu 13 i artykułu 14 za pomocą dalszych, innych środków, takich jak: wysłanie kopii polityki prywatności pocztą elektroniczną i/lub przesłanie osobie, której dane dotyczą, linku do warstwowego oświadczenia/informacji o prywatności administratora online .
34 Motyw 39 odnoszący się do zasady przejrzystości stanowi, że „Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących.”
Powiadomienia „wydawane” i „pobierane” (push and pull)
-
Innym możliwym sposobem zapewnienia przejrzystości informacji są powiadomienia „wydawane” i „pobierane”. Powiadomienia „wydawane” obejmują zapewnienie powiadomień o przejrzystości informacji na czas, podczas gdy powiadomienia „pobierane” ułatwiają dostęp do informacji za pomocą takich metod, jak: zarządzanie pozwoleniami, pulpit do zarządzania prywatnością oraz samouczki „dowiedz się więcej” („learn more”). Niniejsze pozwala osobie, której dane dotyczą, na bardziej skoncentrowane na użytkowniku doświadczenie przejrzystości.
-
Pulpit do zarządzania prywatnością jest pojedynczym punktem, w którym osoby, których dane dotyczą, mogą przeglądać „informacje o prywatności” oraz zarządzać swoimi preferencjami dotyczącymi prywatności poprzez pozwolenie lub przeciwdziałanie wykorzystywaniu ich danych w pewien sposób przez omawianą usługę. Powyższe jest szczególnie użyteczne, gdy usługa wykorzystywana jest przez osoby, których dane dotyczą, na wielu różnych urządzeniach, jako że daje im dostęp i kontrolę nad ich danymi osobowymi, niezależnie od tego, w jaki sposób korzystają z usługi. Pozwolenie osobom, których dane dotyczą, na ręczne dostosowanie ich ustawień prywatności poprzez pulpit zarządzania prywatnością może również ułatwić spersonalizowanie oświadczenia/informacji o prywatności, poprzez odzwierciedlenie wyłącznie rodzajów przetwarzania, które występują dla konkretnej osoby, której dane dotyczą. Preferowane jest wdrożenie do istniejącej architektury usługi pulpitu do zarządzania prywatnością (np. poprzez użycie takiego samego projektu i marki, jak pozostałe usługi), gdyż zagwarantuje to, że dostęp do niej i jej użycie będzie intuicyjne i może pomóc zachęcić użytkowników do zainteresowania się tą informacją w taki sam sposób, w jaki zainteresowaliby się z innymi aspektami usługi. Może być to skuteczny sposób wykazania, że „informacja o prywatności” jest niezbędną i integralną częścią usługi, a nie rozwlekłą listą żargonu prawniczego.
-
Powiadomienie na czas wykorzystywane jest do zapewnienia konkretnej „informacji o prywatności” w sposób doraźny, gdy i kiedy występuje najbardziej odpowiedni czas dla osoby, której dane dotyczą, do jej przeczytania. Powyższa metoda jest użyteczna dla zapewniania informacji w różnych momentach procesu gromadzenia danych. Pozwala ona rozpowszechnić zapewnienie informacji w łatwych do strawienia kawałkach i redukuje zależność od pojedynczego oświadczenia/informacji o prywatności, zawierającego informację, którą – poza kontekstem – jest ciężko zrozumieć. Na przykład, jeżeli osoba, której dane dotyczą, nabywa produkt w sieci, w wyskakujących okienkach towarzyszących odpowiednim polom tekstowym może zostać podana krótka informacja. Informacja znajdująca się obok pola, która prosi o numer telefonu osoby, której dane dotyczą, mogłaby na przykład tłumaczyć, że niniejsza dana zbierana jest wyłącznie do celu kontaktu związanego z zakupem i że zostanie ujawniona wyłącznie dostawcy.
Inne rodzaje „właściwych środków”
-
Biorąc pod uwagę bardzo wysoki poziom dostępu do Internetu w UE oraz fakt, że osoby, których dane dotyczą – jak stwierdzono powyżej – mogą w każdym momencie korzystać z sieci w wielu lokalizacjach i z użyciem różnych urządzeń, grupa robocza art. 29 stoi na stanowisku, że w przypadku administratorów danych, którzy utrzymują obecność cyfrową/w sieci, „właściwym środkiem” zapewnienia informacji o przejrzystości jest zapewnienie jej poprzez elektroniczne oświadczenie/informację o prywatności. Jednakże administratorzy danych, w oparciu o okoliczności gromadzenia i przetwarzania danych, mogą musieć dodatkowo (lub alternatywnie, gdy administrator danych nie posiada obecności cyfrowej/nie jest dostępny w sieci) stosować inne procedury i formaty zapewniania tej informacji. Inne możliwe sposoby przekazania osobie, której dane dotyczą, informacji wynikającej z następujących odmiennych środowisk danych osobowych mogą obejmować następujące, niżej wymienione tryby, które mają zastosowanie do odpowiedniego środowiska. Jak wcześniej zauważono, administratorzy mogą stosować podejście warstwowe w przypadku, gdy zdecydują się użyć kombinacji metod, zapewniając, że najważniejsza informacja (zobacz ustępy 36 i 38) jest zawsze przekazywana w pierwszej procedurze wykorzystywanej do komunikacji z osobą, której dane dotyczą.
-
Kopia drukowana/ środowisko papierowe, na przykład podczas zawierania umów za pośrednictwem poczty: pisemne wyjaśnienia, ulotki, informacje w dokumentacji umownej, komiksy, infografika, schematy;
-
Środowisko telefoniczne: ustne wyjaśnienia przez realną osobę, aby umożliwić interakcję i odpowiedzi na pytania lub automatyczne lub wcześniej nagrane informacje z możliwością odsłuchania dalszych bardziej szczegółowych informacji;
-
Środowisko bezekranowej inteligentnej technologii / Internetu przedmiotów, jak np. analiza śledzenia wifi: znaki graficzne, kody QR, ostrzeżenia głosowe, informacje pisemne zawarte w papierowej instrukcji konfiguracji, filmy wideo zawarte w cyfrowej instrukcji konfiguracji, informacje pisemne w urządzeniu mobilnym, wiadomości wysyłane SMS-em lub pocztą elektroniczną, widoczne tablice/panele zawierające informacje, znaki informacyjne/oznakowanie (ang. public signage), publiczne kampanie informacyjne;
-
Środowisko „od osoby do osoby”, jak np. odpowiadanie na badania opinii publicznej, osobista rejestracja w usłudze: ustne lub pisemne wyjaśnienia przekazywane w formie papierowej lub elektronicznej;
-
Środowisko „rzeczywiste” z telewizją przemysłową / nagrywaniem przez drony: widoczne tablice/panele zawierające informacje, znaki informacyjne/oznakowanie (ang. public signage), publiczne kampanie informacyjne, informacje w gazetach / mediach.
Informacje dotyczące profilowania i zautomatyzowanego podejmowania decyzji
-
Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz istotne informacje o zasadach ich podejmowania, a także o znaczących i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą, stanowią część obowiązkowych informacji, które muszą być zapewnione osobie, której dane dotyczą, na mocy art. 13 ust. 2 lit. f) i art. 14. ust. 2 lit. g). Grupa robocza art. 29 opracowała wytyczne dotyczące zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania35 , w których można znaleźć dalsze wytyczne odnoszące się do wprowadzania w życie przejrzystości w określonych okolicznościach profilowania. Należy zauważyć, że oprócz konkretnych wymogów dotyczących przejrzystości, mających zastosowanie do zautomatyzowanego podejmowania decyzji na mocy artykułu 13 ust. 2 lit. f) i artykułu 14 ust. 2 lit. g), komentarze w wytycznych, odnoszą się do ważności informowania osób, których dane dotyczą, o konsekwencjach przetwarzania ich danych osobowych oraz ogólna zasada, że osoby, których dane dotyczą, nie powinny być zaskakiwane przetwarzaniem ich danych osobowych, ma ogólnie jednakowe zastosowanie do profilowania (nie tylko do profilowania uchwyconego w artykule 2236), jako rodzaju przetwarzania37.
Inne kwestie – ryzyka, zasady i zabezpieczenia
-
Motyw 39 GDPR odnosi się również do zapewnienia pewnych informacji, która nie są wyraźnie objęte artykułem 13 i artykułem 14 (zobacz tekst motywu w powyższym ustępie 28). Odniesienie w tym motywie do uświadamiania osób, których dane dotyczą, o zagrożeniach, zasadach i zabezpieczeniach związanych z przetwarzaniem danych osobowych jest powiązane z wieloma innymi kwestiami. Obejmują one oceny skutków dla ochrony danych (DPIAs). Jak określono w wytycznych grupy roboczej art. 29 w sprawie oceny skutków dla ochrony danych (DPIA)38, administratorzy danych mogą rozważyć opublikowanie oceny skutków dla ochrony danych (DPIA) (lub jej części), jako sposób na budowanie zaufania do operacji przetwarzania i zademonstrowanie przejrzystości oraz rozliczalności, mimo że taka publikacja nie jest obowiązkowa. Ponadto stosowanie się do kodeksu postępowania (przewidzianego w artykule 40) może iść w kierunku demonstrowania przejrzystości, gdyż kodeksy postępowania mogą być sporządzone w celu określenia zastosowania GDPR w odniesieniu do: rzetelnego i przejrzystego przetwarzania, informacji podanej do wiadomości publicznej i osób, których dane dotyczą oraz, między innymi, informacji podanej do wiadomości dzieci oraz ich ochrony.
-
Kolejną istotną kwestią odnoszącą się do przejrzystości ochrony danych jest ochrona danych w fazie projektowania i domyślna ochrona danych (zgodnie z wymaganiami na mocy artykułu 25). Niniejsze zasady wymagają od administratorów danych wbudowania ochrony danych od podstaw w ich operacje przetwarzania i systemy, a nie uwzględnianie ochrony danych, jako kwestii zgodności w ostatniej chwili. Motyw 78 odnosi się do środków wdrażania administratorów danych, które spełniają wymagania ochrony danych w fazie projektowania i domyślnej ochrony danych, w tym środków dotyczących przejrzystość w odniesieniu do funkcji i przetwarzania danych osobowych.
35 Wytyczne dotyczące zautomatyzowanego indywidualnego podejmowania decyzji i profilowania do celów rozporządzenia 2016/679, Grupa robocza art. 251
36 Niniejsze ma zastosowanie do podejmowania decyzji wyłącznie w oparciu o przetwarzanie zautomatyzowane, w tym profilowanie, które wywołuje skutki prawne dotyczące osoby, której dane dotyczą lub podobnie znacząco na nią wpływa.
37 Motyw 60, który jest tu odpowiedni stanowi, że „Ponadto należy poinformować osobę, której dane dotyczą, o fakcie profilowania oraz o konsekwencjach takiego profilowania.”
38 Wytyczne dotyczące oceny skutków dla ochrony danych (DPIA) i określające czy przetwarzanie „może wywołać wysokie ryzyko” do celów rozporządzenia 2016/679, WP 248, aktualizacja.1
-
Osobno, kwestia współadministratorów także powiązana jest z uświadamianiem osób, których dane dotyczą, o zagrożeniach, zasadach i zabezpieczeniach. Artykuł 26 ust. 1 wymaga od współadministratorów określenia swoich odpowiednich obowiązków w celu przejrzystego zastosowania się do obowiązków wynikających z GDPR, w szczególności w odniesieniu do korzystania przez osoby, których dane dotyczą, z ich praw i obowiązków zapewnienia informacji na mocy artykułów 13 i 14. Artykuł 26 ust. 2 wymaga, by istota porozumienia pomiędzy administratorami danych była dostępna dla osoby, której dane dotyczą. Innymi słowy, dla osób, których dane dotyczą, musi być całkowicie jasne, do którego administratora danych mają się zwrócić, w przypadku gdy zamierzają skorzystać z jednego lub większej liczby przysługujących im na mocy GDPR praw39.
Informacja dotycząca dalszego przetwarzania
-
Zarówno artykuł 13, jak i artykuł 14 zawierają przepis40, który wymaga od administratora danych poinformowania osoby, której dane dotyczą, jeżeli dalej zamierza przetwarzać jej dane osobowe do innego celu niż ten, dla którego zostały zgromadzone/pozyskane. Jeżeli tak jest, „przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2”. Niniejsze postanowienia szczególnie uwzględniają zasadę ujętą w artykule 5 ust. 1 lit. b), że dane osobowe zbiera się w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz że dalsze przetwarzanie w sposób niezgodny z tymi celami jest zabronione41. Druga część artykułu 5 ust. 1 lit. b) stanowi, że dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami. W przypadku, gdy dane osobowe są dalej przetwarzane do celów zgodnych z pierwotnymi celami (o tej kwestii informuje artykuł 6 ust. 442), zastosowanie mają artykuł 13 ust. 3 oraz artykuł 14 ust. 4. Wymagania niniejszych artykułów dotyczące informowania osoby, której dane dotyczą o dalszym przetwarzaniu promuje stanowisko przyjęte w GDPR, że osoba, której dane dotyczą, powinna w sposób rozsądny oczekiwać, w czasie i mając na uwadze kontekst zbierania danych osobowych, że takie przetwarzanie dla konkretnego celu może mieć miejsce43. Innymi słowy osoba, której dane dotyczą nie powinna być zaskoczona celem przetwarzania jej danych osobowych.
39 Na mocy artykułu 26 ust. 3, niezależnie od warunków porozumienia pomiędzy współadministratorami danych na mocy artykułu 26 ust. 1, osoba, której dane dotyczą, może korzystać z praw wynikających z GDPR w odniesieniu do i wobec każdego ze współadministratorów.
40 W artykule 13 ust. 3 i artykule 14 ust. 4, które wyrażone są za pomocą identycznych pojęć, poza słowem „zebrane”, użytym w artykule 13, które w artykule 14 zostało zastąpione słowem „pozyskane”.
41 Zobacz na przykład na tę zasadę, motywy 47, 50, 61, 156, 158; artykuł 6 ust. 4 i artykuł 89
42 Artykuł 6 ust. 4 w niewyczerpujący sposób określa czynniki, które należy uwzględnić przy upewnianiu się, czy przetwarzanie w innym celu jest zgodne z celem, dla którego dane osobowe zostały wstępnie zebrane, czyli: powiązanie pomiędzy celami; kontekst, w jakim dane osobowe zostały zgromadzone; charakter danych osobowych (w szczególności czy są to specjalne kategorie danych osobowych, czy zawarte są dane osobowe odnoszące się do przestępstw i wyroków skazujących); możliwe konsekwencje zamierzonego dalszego przetwarzania danych dla osób, których dane dotyczą; oraz występowanie stosownych zabezpieczeń.
-
Artykuł 13 ust. 3 oraz artykuł 14 ust. 4, w zakresie, w jakim odnoszą się do zapewnienia „wszelkich innych stosownych informacji, o których mowa w ustępie 2”, na pierwszy rzut oka można interpretować, jako pozostawiające pewien element uznania dla administratora danych co do zakresu i konkretnych kategorii informacji stosownego akapitu 2 (tj. artykuł 13 ust. 3 oraz artykuł 14 ust. 2, według zastosowania), które powinny zostać podane osobie, której dane dotyczą. (Motyw 61 odnosi się do tego, jako „inne niezbędne informacje”). Jednakże domyślne stanowisko jest takie, że wszystkie takie informacje określone w takim paragrafie powinny zostać podane osobie, której dane dotyczą, chyba że jedna lub więcej kategorii informacji nie istnieje lub nie ma zastosowania.
-
Grupa robocza art. 29 zaleca, by administratorzy, aby pozostać przejrzystymi, rzetelnymi i rozliczalnymi, rozważyli udostępnienie osobom, których dane dotyczą, informacji w swoich oświadczeniach/informacjach o prywatności dotyczących analizy zgodności przeprowadzonej na mocy artykułu 6 ust. 444 , w której, dla nowego celu przetwarzania, opierają się na innej podstawie prawnej niż zgoda lub prawo krajowe /UE. (Innymi słowy wyjaśnienie, w jaki sposób przetwarzanie do innego celu (celów) jest zgodne z celem pierwotnym). Niniejsze ma na celu umożliwienie osobom, których dane dotyczą, rozważenie zgodności dalszego przetwarzania oraz zapewnionych zabezpieczeń i zdecydowanie o skorzystaniu ze swoich praw, np. między innymi, prawa do ograniczenia przetwarzania lub prawa do sprzeciwu wobec przetwarzania45. W przypadku, gdy administratorzy zdecydują się na nieumieszczanie takiej informacji w informacji/oświadczeniu o prywatności, grupa robocza art. 29 zaleca, by wyjaśnili osobom, których dane dotyczą, że mogą uzyskać taką informację na żądanie.
-
Z korzystaniem przez osobę, której dane dotyczą, ze swoich praw jest powiązana kwestia czasu. Jak podkreślono powyżej, udzielenie informacji na czas jest istotnym elementem wymogów przejrzystości ujętych w artykule 13 i artykule 14 oraz jest z natury powiązane z pojęciem rzetelnego przetwarzania. Informacja dotycząca dalszego przetwarzania musi zostać podana „przed takim dalszym przetwarzaniem”. Grupa robocza art. 29 stoi na stanowisku, że pomiędzy powiadomieniem a rozpoczęciem przetwarzania powinien wystąpić rozsądny okres, zamiast natychmiastowego rozpoczęcia przetwarzania po odebraniu zawiadomienia przez osobę, której dane dotyczą. Niniejsze daje osobom, których dane dotyczą, praktyczne korzyści wynikające z zasady przejrzystości, dając im znaczącą możliwość rozważenia (i potencjalnie skorzystania ze swoich praw w odniesieniu do) dalszego przetwarzania. Czas trwania rozsądnego okresu będzie zależał od konkretnych okoliczności. Zasada rzetelności wymaga, by ten okres był dłuższy, im bardziej inwazyjne jest dalsze przetwarzanie (lub mniej oczekiwane). Tak samo zasada rozliczalności wymaga, by administratorzy danych potrafili wykazać, w jaki sposób decyzje, które podjęli w sprawie czasu udzielenia informacji są uzasadnione przez okoliczności oraz dlaczego przyjęcie takiego okresu jest rzetelne wobec osób, których dane dotyczą. (Zobacz także wcześniejsze komentarze dotyczące zapewnienia rozsądnych ram czasowych w powyższych ustępach 30-32.)
43 Motywy 47 i 50
44 Posiada również odniesienie w motywie 50
45 Jak podano w motywie 63, umożliwi to osobie, której dane dotyczą, skorzystanie z prawa dostępu, aby być świadomym i móc zweryfikować, czy przetwarzanie jest zgodne z prawem.
Narzędzia do wizualizacji
-
Co ważne, wprowadzenie zasady przejrzystości w GDPR nie jest ograniczone tylko do komunikacji językowej (pisemnej lub ustnej). W stosownych przypadkach GDPR zapewnia narzędzia do wizualizacji (odwołujące się w szczególności do ikon, mechanizmów certyfikacji oraz pieczęci i oznaczeń ochrony danych). Motyw 5846 wskazuje, że dostęp do informacji skierowanej do wiadomości publicznej lub osób, których dane dotyczą, jest szczególnie ważny w środowisku sieciowym47.
Znaki graficzne
-
Motyw 60 przewiduje, że informację podaje się osobie, której dane dotyczą, „w połączeniu” ze standardowymi znakami graficznymi, pozwalając na wielowarstwowe podejście. Jednakże użycie znaków graficznych nie powinno tylko zamieniać informacji, która jest niezbędna do skorzystania przez osobę, której dane dotyczą, z jej praw, ani nie należy ich stosować, jako substytut zgodności z obowiązkami administratora danych wynikającymi z artykułów 13 i 14. Artykuł 12 ust. 7, w odniesieniu do użycia takich znaków graficznych, przewiduje że:
„Informacje, których udziela się osobom, których dane dotyczą, na mocy art. 13 i 14, można opatrzyć standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania. Jeżeli znaki te są przedstawione elektronicznie, muszą się nadawać do odczytu komputerowego.”
-
Jako że artykuł 12 ust. 7 stanowi, że „Jeżeli znaki te są przedstawione elektronicznie, muszą się nadawać do odczytu komputerowego.”, sugeruje to, że mogą występować sytuacje, w których znaki graficzne nie są przedstawiane w formie elektronicznej48, na przykład znaki graficzne na papierze, opakowaniach urządzeń Internetu przedmiotów, powiadomieniach w miejscach publicznych o śledzeniu wi-fi, kodach QR oraz powiadomieniach o kamerach przemysłowych.
46 „Informacje te mogą być przekazywane w formie elektronicznej, na przykład za pomocą strony internetowej, gdy są kierowane do ogółu społeczeństwa. Dotyczy to w szczególności sytuacji, gdy duża liczba podmiotów i złożoność technologiczna działań sprawiają, że osobie, której dane dotyczą, trudno jest dowiedzieć się i zrozumieć, czy dotyczące jej dane osobowe są zbierane, przez kogo oraz w jakim celu, na przykład w przypadku reklamy w internecie.”
47 W tym kontekście administratorzy danych powinni uwzględnić osoby, których dane dotyczą, posiadające wadę wzroku (np. nierozpoznawalność koloru czerwonego-zielonego).
48 W GDPR nie występuje definicja „odczytu komputerowego”, jednak motyw 21 dyrektywy 2013/37/UE17 definiuje „odczyt komputerowy” jako odczyt w:
„formacie pliku zorganizowanego w sposób umożliwiający aplikacjom komputerowym łatwe identyfikowanie, rozpoznawanie i pozyskiwanie z niego określonych danych, w tym indywidualnych oświadczeń o faktach oraz ich wewnętrznej struktury. Dane zakodowane w plikach zorganizowanych w formacie przeznaczonym do odczytu komputerowego to dane przeznaczone do odczytu komputerowego. Formaty przeznaczone do odczytu komputerowego mogą być otwarte lub zastrzeżone; mogą one występować jako standardy formalne lub nie. Dokumentów zakodowanych w formacie pliku ograniczającym przetwarzanie automatyczne z powodu niemożności pozyskania danych lub utrudnień w ich pozyskaniu z tych dokumentów nie należy uznawać za sporządzone w formacie przeznaczonym do odczytu komputerowego. Państwa członkowskie powinny w stosownych przypadkach zachęcać do korzystania z formatów otwartych przeznaczonych do odczytu komputerowego.”
-
Wyraźnie celem stosowania znaków graficznych jest zwiększenie przejrzystości dla osób, których dane dotyczą, poprzez potencjalną redukcję potrzeby przedstawiania osobie, której dane dotyczą, olbrzymich ilości pisemnych informacji. Jednakże wykorzystanie znaków graficznych do efektywnego przekazywania osobom, których dane dotyczą, informacji wymaganej na mocy artykułów 13 i 14 uzależnione jest od standaryzacji symboli/ obrazów, które są powszechnie stosowane i rozpoznawane w UE, jako skrót dla takiej informacji. W tym względzie GDPR przypisuje odpowiedzialność za rozwój kodu znaków graficznych Komisji, jednak ostatecznie na życzenie Komisji lub według własnego uznania Europejska Rada Ochrony Danych dostarcza Komisji opinię o takich znakach graficznych.49 Grupa robocza art. 29 uznaje, że zgodnie z motywem 166 rozwój kodu znaków graficznych powinien być skoncentrowany na podejściu opartym na dowodzie i przed każdą taką standaryzacją niezbędne będzie przeprowadzenie kompleksowego badania, dotyczącego skuteczności znaków graficznych w tym kontekście, w połączeniu z przemysłem i szerszym społeczeństwem.
Mechanizmy certyfikacji, pieczęcie i oznaczenia
-
Poza stosowaniem standaryzowanych znaków graficznych, GDPR (artykuł 42) przewiduje również użycie mechanizmów certyfikacji ochrony danych, pieczęci i oznaczeń w zakresie ochrony danych do celu wykazania przez administratorów danych i podmiotów przetwarzających zgodności operacji przetwarzania z GDPR i poprawienia przejrzystości dla osób, których dane dotyczą.50 Grupa robocza art. 29 będzie wydawała wytyczne dotyczące mechanizmów certyfikacji we właściwym czasie.
Korzystanie z praw osoby, której dane dotyczą
-
Przejrzystość nakłada na administratorów danych potrójny obowiązek w zakresie praw osób, których dane dotyczą, ujętych w GDPR, gdyż muszą:51
-
udzielić osobom, których dane dotyczą, informacji dotyczących ich praw52 (wymaganych na mocy art. 13 ust. 2 lit b) oraz art. 14 ust. 2 lit c));
-
komunikując się z osobami, których dane dotyczą, w związku z ich prawami na mocy artykułów 15-22 i 34, wypełniać zasadę przejrzystości (tj. odnoszącą się do jakości komunikacji określonej w art. 12 ust. 1); oraz
-
umożliwić korzystanie przez osoby, których dane dotyczą, z praw ujętych w artykułach 15-22.
49 Artykuł 12 ust. 8 przewiduje, że Komisji przysługuje prawo przyjmowania aktów delegowanych zgodnie z art. 92 w celu określenia informacji przedstawianych za pomocą znaków graficznych i procedur ustanowienia standardowych znaków graficznych. Motyw 166 (który ogólnie zajmuje się aktami delegowanymi Komisji) jest uciążliwy, przewidując że Komisja, w trakcie pracy przygotowawczej, musi przeprowadzić odpowiednie konsultacje, w tym na poziomie eksperckim. Jednakże Europejska Rada Ochrony Danych (EDPB) również odgrywa ważną rolę konsultacyjną w odniesieniu do znaków graficznych. Artykuł 70 ust. 1 lit. r) stanowi, że EDPB według własnej inicjatywy lub w stosownych przypadkach na prośbę Komisji udziela Komisji opinii w sprawie znaków graficznych.
50 Zobacz odniesienie w motywie 100.
51 Na mocy sekcji przejrzystości i procedur GDPR w sprawie praw osób, których dane dotyczą ( sekcja 1, rozdział III, mianowicie artykuł 12)
52 Dostęp, prostowanie, usuwanie, ograniczenie przetwarzania, sprzeciw wobec przetwarzania, przenoszenie
-
Wymogi GDPR w odniesieniu do korzystania z tych praw i charakter wymaganej informacji są zaprojektowane, by w sposób istotny ustawić osoby, których dane dotyczą w takiej pozycji, aby mogły dochodzić swoich praw i czynić administratorów danych odpowiedzialnymi za przetwarzanie ich danych osobowych. Motyw 59 podkreśla, że „należy przewidzieć procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw jej przysługujących” oraz że administrator danych powinien „zapewnić możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności gdy dane osobowe są przetwarzane drogą elektroniczną.” Procedura dostarczona osobom, których dane dotyczą, przez administratora danych w celu korzystania przez nie ze swoich praw powinna być stosowna do kontekstu i charakteru związku oraz interakcji między administratorem a osobą, której dane dotyczą. W tym celu administrator danych może chcieć zapewnić jedną lub większą liczbę różnych procedur do korzystania z praw, które odzwierciedlają różne sposoby interakcji osoby, której dane dotyczą, z administratorem danych.
PrzykładW celu umożliwienia złożenia wniosków o dostęp do danych osobowych zarówno w sieci, jak i osobiście, dostawca usług medycznych na swojej stronie Internetowej wykorzystuje formularz elektroniczny, a w recepcjach swoich klinik zdrowia formularze drukowane. Podczas gdy zapewnia on niniejsze procedury, służba zdrowia nadal akceptuje prośby składane w inny sposób (taki jak za pomocą listu lub poczty elektronicznej) i zapewnia przeznaczony do tego celu punkt kontaktowy (do którego dostęp można uzyskać za pomocą poczty elektronicznej lub telefonu), aby pomóc osobom, których dane dotyczą, w korzystaniu przez nie z ich praw. |
Wyjątki od obowiązku udzielenia informacji
Wyjątki od artykułu 13
-
Jedyny wyjątek od obowiązków administratora danych zawartych w artykule 13, w którym to przypadku zebrał on dane osobowe bezpośrednio od osoby, której dane dotyczą, występują „gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami”.53 Zasada rozliczalności wymaga, by administratorzy danych wykazywali (i dokumentowali) informacje posiadane już przez osobę, której dane dotyczą, w jaki sposób i kiedy je otrzymali i że od tego czasu nie nastąpiły zmiany informacji, które powodowałyby jej nieważność. Dalej, użycie w artykule 13 ust. 4 frazy „w zakresie, w jakim” wyjaśnia, że nawet jeżeli osobie, której dane dotyczą, udzielono wcześniej pewnych kategorii ze spisu
53 Artykuł 13 ust. 4
PrzykładOsoba zapisuje się na usługę poczty elektronicznej i w trakcie zapisywania się otrzymuje wszystkie informacje wymagane w art. 13 ust. 1 i art. 13 ust. 2. Pół roku później, za pośrednictwem dostawcy poczty elektronicznej, osoba, której dane dotyczą, aktywuje podłączoną funkcjonalność błyskawicznych wiadomości i w tym celu podaje swój numer telefonu komórkowego. Usługodawca podaje osobie, której dane dotyczą, pewne informacje o przetwarzaniu numeru telefonu, określone w art. 13 ust. 1 i art. 13 ust. 2 (np. cel i podstawę prawną przetwarzania, odbiorców, okres przechowywania), jednak nie podaje innych informacji, które ta osoba posiada już od 6 miesięcy i które od tego czasu się nie zmieniły (np. tożsamość i dane kontaktowe administratora i inspektora ochrony danych, informacje o prawach osoby, której dane dotyczą oraz prawie do wniesienia skargi do właściwego organu nadzorczego). Jednak w ramach najlepszej praktyki, osobie, której dane dotyczą, powinno się ponownie zapewnić kompletny pakiet informacji, jednak osoba, której dane dotyczą, powinna być w stanie z łatwością powiedzieć, które z tych informacji są nowe. Nowe przetwarzanie do celów zapewnienia usługi błyskawicznych wiadomości może wpłynąć na osobę, której dane dotyczą, w sposób, który skłoni ją do chęci skorzystania z praw, o których mogła zapomnieć, będąc poinformowaną pół roku wcześniej. Ponowne udzielenie wszystkich tych informacji pomaga zagwarantować, że osoba, której dane dotyczą, pozostaje dobrze poinformowana o wykorzystywaniu jej danych i swoich prawach. |
Wyjątki od artykułu 14
-
Artykuł 14 wyznacza znacznie szerszy zbiór wyjątków od obowiązku informowania spoczywającego na administratorze danych, w przypadku gdy dane osobowe nie zostały pozyskane od osoby, której dane dotyczą. Jako ogólna zasada, niniejsze wyjątki powinno się interpretować i stosować w sposób ścisły. Dodatkowo do okoliczności, w których osoba, której dane dotyczą, posiada już omawiane informacje (art. 14 ust. 5 lit. a)), art. 14 ust. 5 pozwala również na następujące wyjątki:
-
Udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych albo może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania;
-
Pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lub
-
Dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.
Okazuje się niemożliwe, niewspółmierny wysiłek i poważne utrudnienie celów
-
Artykuł 14 ust. 5 lit b) określa 3 oddzielne sytuacje, w których zniesiony został obowiązek udzielenia informacji określony w art. 14 ust. 1, art. 14 ust. 2 i art. 14 ust. 4:
-
Gdy okazuje się on niemożliwy (w szczególności do celów archiwizacji, celów badań naukowych/historycznych lub statystycznych);
-
Gdy wymagałby niewspółmiernie dużego wysiłku (w szczególności do celów archiwizacji, celów badań naukowych/historycznych lub statystycznych); lub
-
Gdy udzielenie informacji wymagane na mocy artykułu 14 ust. 1 uniemożliwiałoby lub poważnie utrudniałoby realizację celów takiego przetwarzania.
„Okazuje się niemożliwe”
-
Sytuacja, w której na mocy artykułu 14 ust. 5 lit. b) udzielenie informacji „okazuje się niemożliwe” jest sytuacją wszystko albo nic, gdyż coś albo jest możliwe, albo nie; nie ma stopni niemożliwości. Dlatego, jeśli administrator stara się polegać na tym wyjątku, musi wykazać czynniki, które rzeczywiście nie pozwalają mu na udzielenie osobie, której dane dotyczą, omawianej informacji. Jeżeli po pewnym okresie czynniki, które spowodowały „niemożliwość” już dłużej nie występują i udzielenie informacji osobom, których dane dotyczą, staje się możliwe, wtedy administrator danych niezwłocznie powinien to uczynić. W praktyce wystąpi bardzo niewiele sytuacji, w których administrator danych będzie mógł wykazać, że rzeczywiście nie jest możliwe udzielenie informacji osobom, których dane dotyczą. Demonstruje to poniższy przykład.
PrzykładOsoba, której dane dotyczą, rejestruje się w opłaconej usłudze subskrypcji online. Po rejestracji administrator danych, w celu podjęcia decyzji o dostarczaniu usługi, zbiera dane kredytowe o osobie, której dane dotyczą, od agencji ds. informacji kredytowej. Zgodnie z artykułem 14 ust 3 lit. a), protokół administratora przewiduje informowanie osób, których dane dotyczą, o zbieraniu danych kredytowych w terminie trzech dni od ich pobrania. Jednak adres ani numer telefonu osoby, której dane dotyczą, nie jest ujęty w rejestrach publicznych (w rzeczywistości osoba, której dane dotyczą, mieszka za granicą). W trakcie rejestracji w usłudze osoba, której dane dotyczą, nie zostawiła adresu poczty elektronicznej lub adres e-mail jest nieaktualny. Administrator odkrywa, że nie ma środków, by bezpośrednio skontaktować się z osobą, której dane dotyczą. W tym przypadku jednak, przed rejestracją, administrator może podać informację o zbieraniu danych kredytowych na swojej stronie Internetowej. W tym przypadku, udzielenie informacji na mocy artykułu 14 byłoby możliwe. |
Niemożność podania źródła danych
-
Motyw 61 stanowi, że „Jeżeli osobie, której dane dotyczą, nie można podać pochodzenia danych osobowych, ponieważ korzystano z różnych źródeł, informacje należy przedstawić w sposób ogólny”. Zniesienie wymogu udzielenia osobie, której dane dotyczą, informacji o źródle jej danych osobowych ma zastosowanie jedynie, gdy jest on niewykonalny, gdyż różne kawałki danych osobowych odnoszących się do tej samej osoby, której dane dotyczą, nie mogą zostać przypisane do konkretnego źródła. Na przykład, sam fakt, że baza danych zawierająca dane osobowe wielu osób, których dane dotyczą, została opracowana przez administratora danych z wykorzystaniem więcej niż jednego źródła, nie jest wystarczający do zniesienia tego wymogu, jeśli możliwe jest (mimo że czasochłonne lub uciążliwe) zidentyfikowanie źródła, z którego wywodzą się dane osobowe pojedynczych osób, których dane dotyczą. Biorąc pod uwagę wymagania ochrony danych w fazie projektowania i domyślnej ochrony danych54 w system przetwarzania należałoby od podstaw wbudować mechanizmy przejrzystości, tak by wszystkie źródła danych osobowych otrzymane w organizacji mogły być śledzone oraz prześledzone do źródła w każdym momencie cyklu przetwarzania danych (zobacz powyższy ustęp 43).
54 Artykuł 25
„Niewspółmierny wysiłek”
-
No mocy art. 14 ust. 5 lit. b), jak z sytuacją „okazuje się niemożliwe”, może mieć zastosowanie również „niewspółmierny wysiłek”, w szczególności dla przetwarzania „do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych jeżeli podlega odpowiednim zabezpieczeniom, o których mowa w artykule 89 ust. 1”. Motyw 62 odnosi się również do tych celów jako przypadków, w których udzielenie informacji osobie, której dane dotyczą, wymagałoby niewspółmiernego wysiłku i stanowi, że w tym względzie powinno uwzględnić się liczbę osób, których dane dotyczą, wiek danych i przyjęte odpowiednie zabezpieczenia. Biorąc pod uwagę podkreślenie w motywie 62 i artykule 14 ust. 5 lit. b) celów archiwizacji, badawczych i statystycznych w odniesieniu do zastosowania tego wyłączenia, grupa robocza art. 29 stoi na stanowisku, że administratorzy danych, którzy nie przetwarzają danych osobowych do celów archiwizacji w interesie publicznym, do celów naukowych lub historycznych albo do celów statystycznych, nie powinni w sposób rutynowy polegać na niniejszym wyjątku. Grupa robocza art. 29 podkreśla fakt, że jeżeli niniejsze są celami, do których się dąży, należy nadal spełnić warunki określone w artykule 89 ust. 1, a udzielenie informacji musi stanowić niewspółmierny wysiłek.
-
Określając, co może stanowić albo niemożliwość, albo niewspółmierny wysiłek w rozumieniu artykułu 14 ust. 5 lit. b), istotne jest, że w artykule 13 (w którym dane osobowe zbierane są od osoby, której dane dotyczą) nie występują porównywalne wyłączenia. Jedyną różnicą między sytuacją w artykule 13 i artykule 14 jest to, że w późniejszym dane osobowe nie są zbierane od osoby, której dane dotyczą. Z tego wynika, że zwykle niemożliwość lub niewspółmierny wysiłek powstają z racji okoliczności, które nie mają zastosowania, jeżeli dane osobowe zbierane są od osoby, której dane dotyczą. Innymi słowy, niemożliwość lub niewspółmierny wysiłek muszą być bezpośrednio powiązane z faktem, że dane osobowe zostały zebrane w inny sposób, niż od osoby, której dane dotyczą.
PrzykładDuży metropolitalny szpital wymaga od wszystkich pacjentów dziennych, z przyjęciem na dłuższy okres i umawianych, wypełnienia formularza pacjenta, który żąda szczegółów dwóch osób spokrewnionych (osób, których dane dotyczą). Biorąc pod uwagę bardzo dużą ilość pacjentów przewijających się codziennie przez szpital, wymagałoby to niewspółmiernego wysiłku od szpitala, aby wszystkim osobom, które każdego dnia zostają wymienione w formularzach wypełnianych przez pacjentów, jako spokrewnione, udzielić informacji wymaganej na mocy artykułu 14. |
-
Czynniki, o których mowa w powyższym motywie 62 (liczba osób, których dane dotyczą, wiek danych oraz wszystkie przyjęte właściwe zabezpieczenia) mogą być wskaźnikiem tych rodzajów spraw, które są częścią składową niewspółmiernego wysiłku w udzielaniu przez administratora danych, osobie, której dane dotyczą, stosownej informacji ujętej w artykule 14.
PrzykładHistorycy dążący do wyśledzenia rodowodu w oparciu o nazwiska, pośrednio pozyskują dużą bazę danych odnoszącą się do 20.000 osób, których dane dotyczą. Jednak dane zostały zgromadzone 50 lat temu, nie były od tego czasu aktualizowane i nie zawierają żadnych danych kontaktowych. Biorąc pod uwagę wielkość bazy danych, a dokładniej – wiek danych – wyśledzenie poszczególnych osób, których dane dotyczą, w celu udzielenia im informacji wymaganych w artykule 14, wymagałoby od badaczy dołożenia niewspółmiernego wysiłku. |
-
Jeżeli, na podstawie tego, że udzielenie informacji wymagałoby niewspółmiernego wysiłku, administrator danych dąży do oparcia się na wyłączeniu ujętym w artykule 14 ust. 5 lit. b), powinien on przeprowadzić ćwiczenie bilansujące, w celu dokonania oceny wysiłku administratora danych w udzieleniu osobie, której dane dotyczą, informacji z jednej strony oraz wpływie i skutkach dla osoby, której dane dotyczą, gdyby nie udzielono jej takiej informacji z drugiej. Niniejsza ocena powinna zostać udokumentowana przez administratora danych zgodnie z obowiązkami zachowania rozliczalności. W takim przypadku artykuł 14 ust. 5 lit. b) określa, że administrator musi przedsięwziąć właściwe środki w celu ochrony praw, wolności i prawnie uzasadnionego interesu osoby, której dane dotyczą. Powyższe ma jednakowe zastosowanie, jeżeli administrator określa, że udzielenie informacji okazuje się niemożliwe lub może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. Jednym z właściwych środków, który administratorzy muszą zawsze wykonać, jak określono w artykule 14 ust. 5 lit, b), jest publiczne udostępnienie informacji. Administrator może zrealizować to na wiele sposobów, na przykład zamieszczając informację na swojej stronie Internetowej lub proaktywnie reklamując informację w gazecie lub na plakatach swoich lokali. Inne odpowiednie środkami, poza publiczną dostępnością do informacji, będą zależały od okoliczności przetwarzania, ale mogą obejmować: wykonanie oceny skutków dla ochrony danych, zastosowanie technik pseudonimizacji w stosunku do danych, minimalizowanie gromadzonych danych oraz okresu przechowywania oraz wdrożenie środków technicznych i organizacyjnych w celu zapewnienia wysokiego poziomu bezpieczeństwa. Ponadto mogą występować sytuacje, w których administrator danych przetwarza dane osobowe, które nie wymagają identyfikacji osoby, której dane dotyczą (na przykład dane poddane pseudonimizacji). W takim przypadku stosowny może być również artykuł 11 ust. 1, jako że stanowi, że administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do GDPR.
Poważne utrudnienie dla celów
-
Ostatnią sytuacją ujętą w artykule 14 ust. 5 lit. b) jest sytuacja, w której udzielenie na mocy artykułu 14 ust. 1 osobie, której dane dotyczą, informacji przez administratora danych może uniemożliwić lub poważnie utrudnić realizację celów przetwarzania. Polegając na wyłączeniu, administrator danych musi wykazać, że samo udzielenie informacji określonej w artykule 14 ust. 1 spowodowałoby unieważnienie celów przetwarzania. Szczególnie poleganie na tym aspekcie artykułu 14 ust. 5 lit. b) wstępnie domniema, że przetwarzanie danych jest zgodne z wszystkimi zasadami określonymi w artykule 5 i, co najważniejsze, przetwarzanie danych osobowych jest rzetelne i posiada podstawę prawną w każdej z tych okoliczności.
PrzykładNa podstawie ustawodawstwa o przeciwdziałaniu praniu pieniędzy, bank A podlega obowiązkowi składania raportów do właściwego finansowego organu egzekucyjnego o podejrzanej działalności związanej z kontami, które są w nim założone. Bank A otrzymuje od banku B (w innym państwie członkowskim) informację, że właściciel rachunku nakazał mu przelać pieniądze na inne konto w banku A, które wydaje się być podejrzane. Bank A przekazuje dane dotyczące swojego właściciela konta i podejrzanych działaniach do właściwego finansowego organu egzekucyjnego. Omawiane ustawodawstwo o przeciwdziałaniu praniu pieniędzy uznaje za przestępstwo „ostrzeżenie” przez bank właściciela konta, które może być przedmiotem śledztwa. W tej sytuacji ma zastosowanie artykuł 14 ust. 5 lit. b), gdyż udzielenie osobie, której dane dotyczą (właścicielowi konta w banku B), informacji, o której mowa w artykule 14, dotyczącej przetwarzania danych osobowych właściciela konta otrzymanych z banku B poważnie utrudniłoby realizację celów legislacji, która obejmuje zapobieganie „ostrzeżeniom”. Jednakże wszystkim właścicielom kont w banku A powinno się udzielić ogólnej informacji o możliwości przetwarzania ich danych osobowych do celów przeciwdziałania praniu pieniędzy w trakcie zakładania konta. |
Pozyskanie lub ujawnienie jest wyraźnie nakazane prawem
-
Artykuł 14 ust. 5 lit. c) zezwala na zniesienie wymogów udzielenia informacji ujętych w art. 14 ust. 1, art. 14 ust. 2 oraz art. 14 ust. 4 w zakresie, w jakim pozyskanie lub ujawnienie danych osobowych „jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator”. Niniejsze zwolnienie uzależnione jest od omawianego prawa, które przewiduje „odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą”. Takie prawo musi bezpośrednio odnosić się do administratora danych, a omawiane pozyskanie lub ujawnienie powinno być dla administratora danych obowiązkowe. Odpowiednio administrator danych musi być w stanie wykazać, w jaki sposób omawiane prawo ma do niego zastosowanie i wymaga od niego pozyskania lub ujawnienia omawianych danych osobowych. Podczas gdy zadaniem prawa Unii lub państwa członkowskiego jest stworzenia prawa tak, by przewidywało „odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą”, administrator danych powinien zagwarantować (oraz być w stanie wykazać), że pozyskanie lub ujawnienie danych osobowych jest zgodne z tymi środkami. Ponadto administrator danych powinien wyjaśnić osobom, których dane dotyczą, że pozyskuje lub ujawnia dane osobowe zgodnie z omawianym prawem, chyba że istnieje prawny zakaz uniemożliwiający administratorowi danych wykonanie powyższego. Niniejsze jest zgodne z motywem 41 GDPR, który stanowi, że taka podstawa prawna lub taki akt prawny powinny być jasne i precyzyjne, a ich zastosowanie przewidywalne dla osób im podlegających – jak wymaga tego orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej i Europejskiego Trybunału Praw Człowieka. Jednakże artykuł 14 ust. 5 lit. c) nie będzie miał zastosowania, jeżeli administrator danych ma obowiązek pozyskania danych bezpośrednio od osoby, której dane dotyczą, w którym to przypadku zastosowanie będzie miał artykuł 13. W takim przypadku jedynym wyłączeniem na mocy GDPR, zwalniającym administratora danych od udzielenia osobie, której dane dotyczą, informacji dotyczącej przetwarzania, będzie zwolnienie na mocy artykułu 13 ust. 4 (tj. gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już takimi informacjami). Jednakże, jak wspomniano poniżej w ustępie 68, państwa członkowskie, na szczeblu krajowym, mogą również – zgodnie z artykułem 23 – uchwalić dalsze szczegółowe ograniczenia prawa do przejrzystości, ujętego w artykule 12 i informacji, ujętych w artykule 13 i artykule 4.
PrzykładOrgan podatkowy, na mocy prawa krajowego, podlega obowiązkowemu wymogowi pozyskania od pracodawców szczegółów pensji ich pracowników. Dane osobowe nie są pozyskane od osób, których dane dotyczą i z tego względu organ podatkowy podlega wymogom artykułu 14. Jako że pozyskiwanie danych osobowych przez organ podatkowy od pracodawców jest wyraźnie określone przez prawo, wymagania w artykule 14, dotyczące informacji, nie mają w tym sensie zastosowania do organu podatkowego. |
Poufność z racji obowiązku zachowania tajemnicy
-
Artykuł 14 ust. 5 lit d) przewiduje zwolnienie administratorów danych z wymogu informowania, w przypadku gdy dane osobowe „muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy”. Jeżeli administrator danych pragnie oprzeć się na tym wyłączeniu, musi być w stanie wykazać, że zidentyfikował takie wyłączenie w sposób właściwy oraz sposób, w jaki obowiązek zachowania tajemnicy zawodowej bezpośrednio odnosi się do administratora danych w sposób, który uniemożliwia mu udzielenia osobie, której dane dotyczą, wszystkich informacji określonych w art. ust. 1, art. 14 ust. 2 oraz art. 14 ust 4.
PrzykładLekarz (administrator danych), w stosunku do informacji medycznej swoich pacjentów, podlega obowiązkowi zachowania tajemnicy zawodowej. Pacjent (w stosunku do którego ma zastosowanie obowiązek zachowania tajemnicy zawodowej) udziela lekarzowi informacji o swoim zdrowiu odnoszącym się do stanu genetycznego, który dotyka również wielu z jego bliskich krewnych. Pacjent podaje także lekarzowi pewne dane osobowe swoich krewnych (osób, których dane dotyczą), które mają tę samą przypadłość. Lekarz nie ma obowiązku udzielenia tym krewnym informacji, o których mowa w artykule 14, gdyż stosuje się tu wyłączenie, o którym mowa w artykule 14 ust. 5 lit d). Gdyby lekarz musiał udzielić krewnym informacji, o których mowa w artykule 14, zostałby naruszony obowiązek zachowania tajemnicy zawodowej, którego przestrzegania lekarz jest winny pacjentowi. |
Ograniczenia praw osób, których dane dotyczą
-
Artykuł 23 przewiduje, że państwa członkowskie (lub UE) mogą aktem prawnym dalej ograniczyć zakres praw osoby, której dane dotyczą, odnoszących się do przejrzystości oraz istotne prawa osoby, której dane dotyczą55, jeżeli takie środki szanują istotę podstawowych praw i wolności oraz są niezbędne i proporcjonalne do zabezpieczenia jednego lub większej liczby celów określonych w artykule 23 ust. 1 lit a)-j). Jeżeli takie krajowe środki pomniejszają konkretne prawa osoby, której dane dotyczą, albo ogólny warunek zachowania przejrzystości, który inaczej, na mocy GDPR, miałby zastosowanie do administratorów danych, administrator danych powinien być w stanie wykazać, w jaki sposób przepis krajowy ma do niego zastosowanie. Jak określono w artykule 23 ust. 2 lit. h), środki legislacyjne muszą zawierać postanowienia dotyczące prawa osoby, której dane dotyczą, do uzyskania informacji o ograniczeniach swoich praw, o ile takie poinformowanie jej nie narusza celu ograniczenia. Zgodnie z niniejszym oraz zasadą rzetelności, administrator danych powinien również informować osoby, których dane dotyczą, że opiera się (lub będzie opierał się, w przypadku korzystania z konkretnego prawa osoby, której dane dotyczą) na takim krajowym ograniczeniu legislacyjnym w zakresie korzystania z praw osoby, której dane dotyczą lub w zakresie obowiązku zachowania przejrzystości, o ile takie działanie nie szkodzi celowi legislacyjnego ograniczenia. Jako taka, przejrzystość wymaga, by administratorzy danych z góry udzielali osobom, których dane dotyczą odpowiedniej informacji dotyczącej ich praw i wszystkich szczegółowych ograniczeń tych praw, na których administrator może chcieć się oprzeć, tak by osoba, której dane dotyczą, nie była zaskoczona rzekomym ograniczeniem konkretnego prawa, gdy później próbuje skorzystać z niego w odniesieniu do administratora. W odniesieniu do pseudonimizacji i minimalizacji danych oraz w zakresie, w jakim administratorzy danych mogą utrzymywać, że opierają się na artykule 11 GDPR, grupa robocza art. 29 potwierdziła wcześniej w Opinii 3/ 201756,że artykuł 11 GDPR należy interpretować jako sposób egzekwowania „rzeczywistej” minimalizacji danych pozostający jednak bez uszczerbku dla wykonywania przez osoby, których dane dotyczą, swoich praw oraz że wykonywanie tych praw należy umożliwić przy pomocy „dodatkowych informacji” dostarczonych przez osobę, której dane dotyczą.
-
Dodatkowo artykuł 85 wymaga, by państwa członkowskie za pomocą prawa pogodziły ochronę danych z prawem do wolności wypowiedzi i informacji. Niniejsze, między innymi, wymaga, by państwa członkowskie przewidziały odpowiednie wyłączenia lub odstępstwa od pewnych postanowień GDPR (w tym od wymogu zachowania przejrzystości zawartego w artykułach 12-14) dotyczących przetwarzania do celów publicystycznych, akademickich, artystycznych lub celów wypowiedzi literackiej, jeżeli muszą pogodzić te dwa prawa.
55 Jak określono w art. 12-22 oraz art. 34 i art. 5, w zakresie, w jakim ich postanowienia odpowiadają prawom i obowiązkom przewidzianym w art. 12-22.
56 Opinia nr 03/2017 dotycząca przetwarzania danych osobowych w ramach współpracujących inteligentnych systemów transportowych (C-ITS) – patrz ustęp 4.2.
Przejrzystość i naruszenia ochrony danych
-
Grupa robocza art. 29 wydała osobne wytyczne dotyczące naruszeń danych57 , jednak do celów niniejszych wytycznych obowiązki administratorów danych związane z informowaniem osoby, której dane dotyczą, o naruszeniach danych muszą w pełni uwzględniać wymogi przejrzystości określone w artykule 1258. Powiadomienie o naruszeniu ochrony danych musi spełniać te same – określone powyżej – wymogi (w szczególności stosowania jasnego i prostego języka), które mają zastosowanie do każdej innej komunikacji z osobą, której dane dotyczą, w związku z jej prawami lub przekazywaniem informacji zawartej w artykule 13 i artykule 14.
57 Wytyczne w sprawie powiadomień o naruszeniu ochrony danych osobowych na mocy rozporządzenia 2016/679, WP 250
58 Wyjaśnia to artykuł 12 ust. 1, który szczególnie odnosi się do „…wszelkiej komunikacji na mocy art. 15-22 i 34 dotyczącej przetwarzania do osoby, której dane dotyczą…” [dodano podkreślenie].
Załącznik
lnformacja, która – na mocy art. 13 lub art. 14 – musi być udzielona osobie, której dane dotyczą
Rodzaj wymaganej informacji |
Właściwy artykuł (jeżeli dane zbierane są bezpośrednio od osoby, której dane dotyczą) |
Właściwy artykuł(jeżeli dane nie są pozyskiwane od osoby, której dotyczą) |
Komentarz grupy roboczej art.. 29 w sprawie wymogu informowania |
|||
Tożsamość i dane kontaktowe administratora i, w stosownym przypadku, jego przedstawiciela59 |
Art. 13 ust. 1 lit. a) |
Art. 14 ust. 1lit. a) |
Niniejsza informacja powinna pozwolić na łatwą identyfikację administratora i – najlepiej – na różne formy komunikacji z administratorem danych (np. numer telefonu, e-mail, adres pocztowy, itp.). |
|||
Dane do kontaktu z inspektorem ochrony danych; w stosownychprzypadkach |
Art. 13 ust. 1 lit. b) |
Art. 14 ust. 1lit. b) |
Zobacz wytyczne grupy roboczej art. 29 dotyczące inspektorów ochrony danych6oDodatkowo do określenia celów zamierzonego przetwarzania danych osobowych, należy określić podstawę, na której się ono opiera na mocy artykułu 6. W przypadku specjalnych kategorii danych osobowych, należy podać stosowne postanowienie artykułu 9 |
|||
Cele i podstawa prawna przetwarzania |
Art. 13 ust. 1 lit c) |
Art. 14 ust. 1 lit. c) |
||||
59 Jak definiuje art. 4 ust. 17 GDPR (i powiązany motyw 80), „przedstawiciel” oznacza osobę fizyczną lub prawną mającą siedzibę w Unii, która została wyznaczona na piśmie przez administratora lub podmiot przetwarzający na mocy art. 27 do reprezentowania administratora lub podmiotu przetwarzającego w zakresie ich obowiązków wynikających z GDPR. Niniejszy obowiązek ma zastosowanie, jeżeli – zgodnie z art. 3 ust. 2 – administrator lub podmiot przetwarzający nie ma siedziby w UE, ale przetwarza dane osobowe osób, które zamieszkują UE, a przetwarzanie odnosi się do oferowania towarów i usług lub monitorowania zachowania osób, których dane dotyczą, na terenie UE.
60 Wytyczne dotyczące inspektorów ochrony danych, WP243 wersja 01, ostatni przegląd i przyjęcie w dniu 5 kwietnia 2017 r.
(i w stosownych przypadkach, mające zastosowanie prawo Unii lub państwa członkowskiego, na mocy którego takie dane są przetwarzane). Jeżeli, zgodnie z art. 10, przetwarzane są dane osobowe odnoszące się do wyroków skazujących i wykroczeń albo odnoszące się do środków bezpieczeństwa w oparciu o artykuł 6 ust. 1, w stosownych przypadkach należy określić odnośne prawo Unii lub państwa członkowskiego, na mocy którego wykonywane jest przetwarzanie. |
|||
W przypadku, gdy prawnie uzasadniony interes (art. 6 ust. 1 lit. f)) stanowi prawną podstawę przetwarzania, prawnie uzasadniony interes, do którego dąży administrator danych albo strona trzecia |
Art. 13 ust. 1 lit. d) |
Art. 14 ust. 2 lit. b) |
Omawiany konkretny interes musi zostać zidentyfikowany, jako dający korzyści osobie, której dane dotyczą. W ramach najlepszej praktyki administrator może udzielić osobie, której dane dotyczą, informacji z testu bilansującego, który musi zostać wykonany przed każdym zbieraniem danych osobowych od osób, których dane dotyczą, w celu umożliwienia oparcia się na art. 6 ust. 1 lit. f), jako prawnej podstawie przetwarzania. Niniejsze może zostać zawarte w warstwowym oświadczeniu/informacji o prywatności, aby uniknąć zmęczenia informacją (zobacz ustęp 35). W każdym razie grupa robocza art. 29 stoi na stanowisku, że informacja dla osoby, której dane dotyczą, powinna wyjaśniać, że może ona uzyskać informacje dotyczące testu bilansującego na żądanie. Niniejsze jest istotne dla efektywnej przejrzystości, gdy osoby, których dane dotyczą, mają wątpliwości co do rzetelnego przeprowadzenia testu bilansującego lub chcą złożyć skargę do organu nadzorczego. |
Kategorie danych osobowych, o których mowa |
Niewymaga-ne |
Art. 14 ust. 1 lit. d) |
Niniejsza informacja jest wymagana w scenariuszu artykułu 14, gdyż dane osobowe nie zostały pozyskane od osoby, której dane dotyczą, która – w związku z tym – nie posiada wiedzy na temat tego, jakie kategorie jej danych osobowych pozyskał administrator danych. |
Odbiorcy61 (lub kategorie odbiorców) danych osobowych |
Art. 13 ust. 1 lit. e) |
Art. 14 ust. 1 lit. e) |
Artykuł 4 ust. 9 definiuje pojęcie „odbiorcy” jako „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią”. [dodano wyróżnienie] Tak więc odbiorca nie musi być stroną trzecią. Stąd inni administratorzy danych, współadministratorzy i podmioty przetwarzające, do których dane zostały przekazane lub którym zostały one ujawnione, objęci są pojęciem „odbiorcy” i informacja o takich odbiorcach powinna zostać udzielona dodatkowo do informacji o odbiorcach będących stronami trzecimi. Należy podać rzeczywistego (nazwanego) odbiorcę danych osobowych lub kategorie odbiorców. Zgodnie z zasadą rzetelności, administratorzy muszą udzielić informacji o odbiorcach, która jest najbardziej istotna dla osób, których dane dotyczą. W praktyce będą to głównie nazwani odbiorcy, tak by osoby, których dane dotyczą, dokładnie wiedziały, kto posiada ich dane osobowe. Jeżeli administratorzy decydują się podać kategorie odbiorców, informacja powinna być tak szczegółowa, jak jest to możliwe, wskazując rodzaj odbiorcy (tj. odnosząc się do wykonywanych przez niego działań), przemysł, sektor i podsektor oraz lokalizację odbiorców. |
Szczegóły dotyczące przekazywania do krajów trzecich, fakt ich przekazania oraz szczegóły odnośnych zabezpieczeń62 (w tym występowanie lub braku decyzji Komisji, stwierdzającej odpowiedni stopień ochrony63) oraz środki uzyskania ich kopii i gdzie je udostępniono. |
Art. 13 ust. 1 lit. f) |
Art. 14ust. 1lit. f) |
Należy określić stosowny artykuł GDPR zezwalający na przekazywanie i odpowiedni mechanizm (np. decyzja stwierdzająca odpowiedni stopień ochrony na mocy artykułu 45/ wiążące reguły korporacyjne na mocy art. 47/ standardowe klauzule ochrony danych na mocy art. 46 ust. 2/ odstępstwa i zabezpieczenia na mocy art 49, itd.). Należy również udzielić informacji dotyczących miejsca i sposobu dostępu lub uzyskania odpowiedniego dokumentu, np. podając link do użytego mechanizmu. Zgodnie z zasadą rzetelności, informacja o przekazaniu do krajów trzecich powinna być dla osób, których dane dotyczą, na tyle konkretna, na ile jest to możliwe. Będzie to generalnie oznaczało podanie nazw krajów trzecich. |
61 Jak określono w art. 4 ust. 9 GDPR i podano w motywie 31.
62 Jak określono w art. 46 ust. 2 i art. 46 ust. 3
63 Zgodnie z artykułem 45
Okres przechowywania (lub jeśli nie jest możliwy, kryteria użyte do określenia tego okresu) |
Art. 13 ust. 2 lit. a) |
Art. 14 ust. 2 lit. a) |
Niniejsze jest powiązane z wymogiem minimalizacji danych zawartym w art. 5 ust. 1 lit. c) i wymogiem ograniczenia przechowywania, zawartym w art. 5 ust. 1 lit. e).Okres przechowywania (lub kryteria jego określenia) mogą zostać podyktowane takimi czynnikami, jak: wymagania ustawowe lub wytyczne przemysłu, ale powinny być wyrażone w sposób pozwalający osobie, której dane dotyczą – w oparciu o jej sytuację – ocenić, okres przechowywania dla konkretnych danych/celów. Nie jest wystarczające, by administrator danych ogólnie stwierdził, że dane osobowe będą przechowywane tak długo, jak jest to niezbędne do prawnie uzasadnionych celów przetwarzania. W stosownych przypadkach dla różnych kategorii danych osobowych i/lub różnych celów przetwarzania należy określić różne okresy przechowywania, w tym – w stosownych przypadkach – okresy archiwizowania. |
Prawa osoby, której dane dotyczą, do:· dostępu;· sprostowania;· usuwania;· ograniczenia przetwarzania;· sprzeciwu wobec przetwarzania oraz· przenoszenia. |
Art. 13 ust. 2 lit. b) |
Art. 14 ust. 2 lit. c) |
Niniejsza informacja powinna być specyficzna dla scenariusza przetwarzania i powinna zawierać podsumowanie tego, co obejmuje prawo oraz w jaki sposób osoba, której dane dotyczą, może podjąć kroki w celu wykonania tego prawa i wszystkie ograniczenia dotyczące tego prawa (zobacz powyższy ustęp 68).W szczególności, najpóźniej podczas pierwszej komunikacji z osobą, której dane dotyczą należy wyraźnie zwrócić jej uwagę na prawo do sprzeciwu wobec przetwarzania i należy je przedstawić w sposób jasny i odrębnie od wszelkich innych informacji64.W odniesieniu do przenoszenia zobacz wytyczne grupy roboczej art. 29 dotyczące prawa do przenoszenia danych65. |
Jeżeli przetwarzanie opiera się na zgodzie (lub wyraźnej zgodzie), prawo do wycofania zgody w dowolnym momencie |
Art. 13 ust. 2 lit. c) |
Art. 14 ust. 2 lit. d) |
Niniejsza informacja powinna zawierać sposób wycofania zgody, biorąc pod uwagę, że wycofanie zgody powinno być tak samo łatwe, jak jej udzielenie66. |
Prawo do wniesienia skargi do organu nadzorczego. |
Art. 13 ust. 2 lit. d) |
Art. 14 ust. 2 lit. e) |
Niniejsza informacja powinna tłumaczyć, że zgodnie z art. 77 osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego miejsca zamieszkania, w miejscu pracy lub miejscu rzekomego naruszenia GDPR. |
Czy występuje ustawowy lub umowny wymóg udzielenia informacji albo czy zawarcie umowy jest konieczne |
Art. 13 ust. 2 lit. e) |
Niewymaga-ne |
Na przykład w kontekście zatrudnienia dostarczenie obecnemu lub ewentualnemu pracodawcy pewnych informacji może być wymogiem wynikającym z umowy |
64 Artykuł 21 ust. 4 oraz motyw 70 (mający zastosowanie w przypadku bezpośredniego marketingu)
65 Wytyczne dotyczące prawa do przenoszenia danych, WP 242 wersja 01, ostatni przegląd i przyjęcie w dniu 5 kwietnia 2017 r.
66 Artykuł 7 ust. 3
lub czy istnieje obowiązek udzielenia informacji oraz ewentualne konsekwencji ich niepodania |
Formularze online powinny jasno identyfikować, które pola są „wymagane”, a które nie oraz jakie będą konsekwencji niewypełnienia wymaganych pól. |
||
Źródło pochodzenia danych osobowych i jeśli ma zastosowanie, czy pochodzi ze źródeł publicznie dostępnych |
Niewymaga-ne |
Art. 14 ust. 2 lit. f) |
Podaje się konkretne źródło danych, chyba że jest to niemożliwe – zobacz dalsze wytyczne w ust. 60. Jeżeli konkretne źródło nie zostało nazwane, wtedy podana informacja powinna obejmować: charakter źródła (tj. źródło publiczne/prywatne) oraz rodzaje organizacji/przemysłu/sektor. |
Istnienie zautomatyzowanego podejmowania decyzji, w tym profilowania oraz – w stosownych przypadkach – istotną informację o zastosowanej logice a także o znaczeniu oraz przewidzianych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. |
Art. 13 ust. 2 lit. f) |
Art. 14 ust. 2 lit. g) |
Zobacz wytyczne grupy roboczej art. 29 dotyczące zautomatyzowanego indywidualnego podejmowania decyzji i profilowania67. |
67 Wytyczne dotyczące zautomatyzowanego indywidualnego podejmowania decyzji i profilowania do celów rozporządzenia 2016/679, Grupa robocza art. 251