RODO w praktyce: Forma spełnienia obowiązków informacyjnych

RODO nie przewiduje konkretnej formy, w jakiej należy wypełnić obowiązek informacyjny, wskazując jedynie, że administrator zobowiązany jest podjąć „odpowiednie środki” w celu właściwego poinformowania osoby, której dane dotyczą. 

Poniżej zwięźle omówiono każdy z elementów składających się na wymaganą przepisami RODO ogólną formę wypełniania obowiązków informacyjnych.

„Odpowiednie środki”

Takie ogólne sformułowanie oznacza, że przy podejmowaniu decyzji o formie i metodzie wypełnienia obowiązku informacyjnego administrator powinien wziąć pod uwagę wszystkie okoliczności zbierania i przetwarzania danych (np. rodzaj używanego urządzenia czy rodzaj interakcji użytkownika z administratorem).

„Zwięzłe, przejrzyste, zrozumiałe i łatwo dostępne”

Wymóg, aby informacje przekazywane osobom, których dane dotyczą, były zwięzłe i przejrzyste, oznacza, że administrator powinien przedstawić je w taki sposób, aby uniknąć zmęczenia informacyjnego. Ponadto informacje te powinny być wyraźnie odróżnione od innych informacji niezwiązanych z ochroną danych osobowych (np. postanowień umowy).

Z kolei wymóg, aby informacje przekazywane w ramach obowiązku informacyjnego były zrozumiałe, oznacza, że powinny być zrozumiane przez przeciętnego docelowego obiorcę, tak aby był w stanie stwierdzić zakres przetwarzania jego danych osobowych.

Sformułowanie „łatwo dostępne” wymaga, aby osoba, której dane dotyczą, nie musiała poszukiwać informacji dotyczących przetwarzania danych. Innymi słowy, dla osoby, której dane dotyczą, powinno być oczywiste, gdzie może uzyskać dostęp do tych informacji. Na przykład, jeżeli administrator prowadzi stronę internetową, powinien opublikować na niej informacje dotyczące ochrony danych osobowych, a link do nich powinien być wyraźnie dostępny na każdej podstronie (informacje te mogą być ujęte np. w ramach „polityki prywatności”, a link do niej może znajdować się stopce).

„Wyrażone jasnym i prostym językiem”

Niniejszy wymóg nie powinien budzić wątpliwości. Obowiązek informacyjny powinien być spełniany z użyciem możliwe najprostszego języka, bez stosowania zawiłych sformułowań (w tym zbyt legalistycznej czy technicznej terminologii) oraz skomplikowanych struktur językowych, a informacje powinny być konkretne i ostateczne, tzn. nie pozostawiać miejsca na różne interpretacje.

„Udzielone na piśmie (również elektronicznie) lub ustnie, jeżeli osoba, której dane dotyczą, tego zażąda”

RODO wprowadza generalną zasadę udzielania informacji osobie, której dane dotyczą, na piśmie, dopuszczając formę elektroniczną, jeżeli okoliczności konkretnego przetwarzania danych to uzasadniają (np. jeśli administrator prowadzi stronę internetową, za pośrednictwem której przetwarza dane osobowe).

RODO dopuszcza alternatywę w postaci udzielenia wskazanych informacji ustnie na wniosek osoby, której dane dotyczą. Ustne udzielenie informacji może polegać nie tylko na przekazaniu informacji przez jedną osobę drugiej, ale również na automatycznym przekazaniu takich informacji. Przykładem uzasadniającym zastosowanie ustnej formy udzielenia informacji może być np. sytuacja, gdy osoba z dysfunkcją wzroku korzysta z usług społeczeństwa informacyjnego. Należy również pamiętać o obowiązku przestrzegania zasady rozliczalności – administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, złożyła wniosek o informacje ustne oraz że informacje te zostały jej faktycznie udzielone. 

„Wolne od opłat”

Niniejsze sformułowanie dotyczy dwóch aspektów. Po pierwsze, administrator nie może pobierać opłat od osób, których dane dotyczą, za udzielanie informacji w ramach wypełniania obowiązku informacyjnego. Po drugie, informacje te nie mogą być uzależnione od transakcji finansowych. I tak na przykład, jeżeli dane osobowe są przetwarzane w związku z zakupem przez klienta towaru w sklepie internetowym, informacje wynikające z obowiązku informacyjnego powinny być przekazane temu klientowi przed dokonaniem transakcji, w chwili gdy są faktycznie zbierane, a nie już po dokonaniu transakcji.

RODO nie ogranicza udzielania informacji osobom, których dane dotyczą, jedynie do komunikacji językowej, umożliwiając wykorzystanie w tym celu narzędzi służących do wizualizacji. Rozporządzenie jako przykład takich narzędzi wskazuje znaki graficzne, ale również znaki jakości oraz oznaczenia w zakresie ochrony danych (np. norma ISO/IEC 27001).

Konkretna forma wypełniania obowiązku informacyjnego zawsze zależeć będzie od specyfiki danej firmy oraz okoliczności przetwarzania danych osobowych. Poniżej przedstawiono przykłady rozwiązań w zależności od kontekstu przetwarzania danych:

1) Kontekst cyfrowy

Dobrym przykładem rozwiązania, które można zastosować np. na stronach internetowych, są rozwijane informacje dotyczące prywatności umieszczone np. pod formularzem kontaktowym w taki sposób, że widać pierwszych kilka słów dotyczących przetwarzania danych, a po kliknięciu rozwijają się pozostałe informacje.

Innym przykładem wypełnienia obowiązku informacyjnego w kontekście cyfrowym jest ujęcie informacji w ramach polityki prywatności (bądź podobnego dokumentu), do której link znajduje się zarówno na każdej podstronie, jak i w ramach konkretnego działania użytkownika, np. pod formularzem, w którym użytkownik uzupełnia swoje dane niezbędne do dostawy.

Kolejnym przykładem są wyskakujące w odpowiednim czasie okienka zawierające informacje dotyczące konkretnej danej osobowej. W sytuacji gdy użytkownik, kupując towar w sklepie internetowym, podaje np. numer telefonu, pojawiające się obok pole może wyjaśniać, że dana ta zbierana jest wyłącznie na potrzeby kontaktu związanego z zakupem. Ten sposób ma raczej charakter dodatkowy i należy uzupełnić go np. o link do polityki prywatności. Niewątpliwie jednak metoda ta umożliwia podział rozbudowanych informacji na mniejsze i łatwiej przyswajalne fragmenty, co skutecznie zapobiega zmęczeniu informacyjnemu.

2) Kontekst papierowy

Dobrym rozwiązaniem w celu wypełnienia obowiązku informacyjnego w kontekście papierowym jest dołączenie do zawieranej umowy dokumentu zawierającego potrzebne informacje, które mogą być również przedstawione w formie infografik czy schematów wyjaśniających cele i zakres przetwarzania danych.

Ponadto informacje te mogą być częścią umowy, jednakże muszą być wyraźnie oddzielone od jej treści, a więc ujęcie ich jako np. załącznika do zawieranej umowy stanowić będzie skuteczne wypełnienie obowiązku informacyjnego.

3) Kontekst telefoniczny

W sytuacji gdy do przetwarzania danych osobowych dochodzi za pośrednictwem telefonu informacje mogą być udzielone osobie, której dane dotyczą, albo przez rzeczywistą osobę, albo poprzez automatyczne nagranie. Należy przy tym pamiętać o konieczności przestrzegania zasady rozliczalności – administrator powinien dysponować zapisem udowadniającym fakt przekazania wymaganych informacji.

Aleksandra Marek

Artykuł stanowi fragment lekcji nr. 3 e-kursu: Rodo w praktyce - zapraszamy do udziału w e-kursie!