O zasadach dotyczących przetwarzania danych osobowych wynikających z art. 5 ogólnego rozporządzenia o ochronie danych osobowych 2016/679 z dnia 27 kwietnia 2016 roku zostało napisanych wiele wyjaśnień, czy wskazówek. Na ogół skupiających się, za zasadzie minimalizacji danych, ograniczonego przechowywania, czy poufności. Zapewne większość administratorów zrozumiała już konieczność ich stosowania. Zasada przejrzystości traktowana jest poniekąd „po macoszemu”. Może to wynikać z wątpliwości w jaki sposób należy stosować tą zasadę, a nie przestrzeganie tej zasady może okazać się w przyszłości bardzo kosztowne. Warto w tym miejscu przypomnieć karę w wysokości 50 mln Euro, jaką otrzymał Google od francuskiego NCIL (odpowiednika polskiego Urzędu Ochrony Danych Osobowych) za nieprzestrzeganie zasady przejrzystości właśnie. Jak informuje nas Niebezpeicznik: „Francuski urząd przeanalizował dokumenty i przeprowadził “inspekcje online”. Odnotował następujące problemy:
- Informacje o przetwarzaniu danych nie były przedstawione przejrzyście. Rozbito je na różne dokumenty i użytkownik może mieć problem z ustaleniem np. czasu przetwarzania danych lub kategorii danych użytych do personalizacji. Nierzadko użytkownik musi wykonać kilka czynności, nawet 5 lub 6, aby dotrzeć do wymaganej informacji.
- Część informacji nie jest ani jasna ani wyczerpująca.
- Cele przetwarzania danych opisano w sposób “zbyt ogólny i niejasny”, a przecież mówimy o firmie dostarczającej około 20 różnych usług. Dla niektórych danych w ogóle nie podano informacji o czasie przetrzymywania. W niektórych przypadkach użytkownik może nie mieć pewności, czy dane są przetwarzane na podstawie zgody czy na podstawie uzasadnionego interesu dostawcy usługi”i
Jako praktycy na co dzień analizując obowiązki informacyjne wynikające z art. 13 RODO (błędnie nazywane na stornach www. polityką ochrony danych w ujęciu art. 24 ust. 2 RODO) zachęcamy do zapoznania się z wytycznymi Grupy Roboczej art. 29 (obecnie Europejską Radę Ochrony Danych Osobowych) sygnowaną: 17PL WP/260 (do pobrania na https://www.rodokontrola.pl/do-pobrania/ ii
Na co zwrócić uwagę, by spełnić zasadę przejrzystości oraz zachować zasadę rozliczalności (art. 5 ust. 1 lit. a oraz ust. 2 RODO)?
Zgodnie z motywem 39 Preambuły RODO „Dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących
NASZA RADA: Jeżeli nie jesteś pewien, czy komunikat będzie zrozumiały dla odbiorcy, do którego jest skierowany, możesz skorzystać z narzędzia, które to oceni: http://www.jasnopis.pl/aplikacja Aplikacja ta określa klasę trudności tekstu wskazując słowa/frazy, które mogą być niezrozumiałe.
Cytując dr Piotra Drobka (komentarz RODOiii „…Przy realizacji obowiązków informacyjnych należy bowiem w większym stopniu uwzględnić potrzeby, oczekiwania oraz możliwości percepcji osób, których dane dotyczą. Nie mogą być one konstruowane w sposób mający głównie na celu wykazanie przed organami nadzorczymi lub sądami spełnienia obowiązków prawnych…”
NASZA RADA: postaraj się zachęcić odbiorcę komunikatu do zapoznania się z nim. Zaczynając zadnie od niechlubnego: Zgodnie z art. 13 ogólnego rozporządzenia o ochronie danych osobowych Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku, informujemy, że Administratorem danych osobowych jest…..która przetwarzać je będzie na podstawie (np.) art. 6 ust. 1 lit. b RODO oraz art. 9 ust. 2 lit. b RODO…… Taka konstrukcja nie zawsze będzie czytelna dla odbiorców treści komunikatu, wręcz może spowodować ich niechęć. Zasada przejrzystości nie będzie zrealizowana.
Przykładowy fragment treści obowiązku informacyjnego lub polityki prywatności spełniający zasadę przejrzystości:
Dziękujemy, za odwiedzenie naszej strony internetowej. Prosimy poświęć kilka minut, by zapoznać się z informacją o tym jak chronimy Twoje dane osobowe. Kim jesteśmy i po co zbieramy Twoje dane osobowe? …..(np. nazwa spółki) jest administratorem danych osobowych, oznacza to, że ustala cele i sposoby ich przetwarzania. Podstawowym celem przetwarzania Twoich danych będzie łącząca nas umowa współpracy (art. 6 ust. 1 lit. b RODO). W chwili nawiązania współpracy poprosiliśmy Cię o podanie (np.: imienia i nazwiska, adresu, itp.) gdyż było to konieczne do naszej współpracy….
Zwróć uwagę, iż zasada przejrzystości została również określona w art. 12 ust. 1 RODO, (na co zwraca uwagę dr P. Litwińskiiv, a co bezpośrednio odnosi się do realizacji żądań podmiotów danych (czyli osób, których dane przetwarzasz), szczególnie w procesie komunikacji z nimi.
NASZA RADA: Jakakolwiek komunikacja z osobami, których dane dotyczą, niezależnie, czy przez stronę www – w zamieszczonej klauzuli informacyjnej, czy w odpowiedziach przesyłanych pocztą e-mail, listem, czy udzielanych telefonicznie, zawsze musi uwzględniać jasność, czytelność komunikatu, który musi być zrozumiały, czyli spełniać zasadę przejrzystości.
Zachęcamy do zapoznania się ze szczegółowymi wytycznymi dotyczącymi zasady przejrzystości – do pobrania na: https://www.rodokontrola.pl/do-pobrania/
i https://niebezpiecznik.pl/post/50-mln-euro-kary-dla-google-za-naruszenie-rodo/
iii RODO Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, red. Naukowa: Edyta Bielak – Jomaa, Dominik Lubasz, Wolters Kluwer, Warszawa 2018
iv Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, (red.) dr P. Litwiński, P. Barta, dr M. Kawecki, Wydawnictw C.H. Beck, Warszawa 2018