RODO obliguje administratora danych osobowych do komunikacji z podmiotami danych, m.in. w związku z realizacją obowiązku informacyjnego. Komunikacja musi odbywać się w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, a administrator powinien używać jasnego i prostego języka. Nie zawsze jednak spełnienie tego wymogu jest takie proste, jak się wydaje. Skorzystaj ze wskazówek opartych o Wytyczne Grupy Roboczej Art. 29.
RODO nie definiuje zasady przejrzystości. Z drugiej strony wymaga realizacji tej zasady w procesie przetwarzania danych. Otóż zgodnie z art. 5 ust. 1 RODO dane osobowe muszą być przetwarzane nie tylko zgodnie z prawem i rzetelnie, ale też w sposób przejrzysty dla podmiotu tych danych. Regułę tę uzupełniono w motywie 39 RODO, w którym wskazano, że wszelkie przetwarzanie danych osobowych powinno być dla osób fizycznych przejrzyste, przy czym zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.
Co więcej art. 12 RODO stanowi, iż administrator powinien prowadzić komunikację z podmiotami danych, stosując:
zwięzłą, przejrzystą, zrozumiałą i łatwo dostępną formę,
jasny i prosty język (co należy szczególnie weryfikować w przypadku kierowania informacji do dziecka),
regułę udzielania informacji na piśmie lub w inny przejrzysty sposób (w tym w stosownych przypadkach elektronicznie),
regułę udzielania informacji ustnie, na żądanie osoby, której dane dotyczą, o ile informacji można udzielić ustnie, po uprzednim potwierdzeniu tożsamości tej osoby.
Dotyczy to szczególności realizacji obowiązku informacyjnego i uprawnień podmiotów danych, o których mowa w art. 15 – art. 22 RODO, a także powiadamiania o naruszeniu ochrony danych osobowych.
Przydatne wskazówki interpretacyjne możemy znaleźć w Wytycznych Grupy Roboczej Art. 29. Przede wszystkim komunikacja musi odbywać się w zwięzłej formie. Innymi słowy administrator powinien komunikować się w sposób efektywny i zwięzły, aby nie przytłoczyć odbiorcy nadmiarem informacji. Zbyt duża liczba szczegółowych informacji uczyni bowiem dany komunikat nieczytelnym.
Jak zadbać o zwięzłość komunikacji z podmiotem danych? Co do zasady warto unikać cytowania długich przepisów i podawania nieobligatoryjnych szczegółów formalno-technicznych związanych z przetwarzaniem danych osobowych. Dobrym rozwiązaniem jest też warstwowe podawanie informacji na stronie internetowej, tak aby odbiorca mógł szybko dotrzeć do interesującej go kwestii.
Informacja musi być na tyle prosta, by zrozumiał ją przeciętny przedstawiciel grupy docelowych odbiorców.Dlatego warto w miarę możliwości pozyskać informacje na temat podmiotów danych, w oparciu o które należy sformułować zrozumiałe dla nich sformułowania.
Dobrą praktyką jest posiadanie przez ADO wiedzy na temat osób, o których zbiera on informacje. Wiedzę tą ADO może wykorzystać do dobrania możliwie najbardziej zrozumiałych dla danych odbiorców sformułowań.
Co oznacza, że informacja dla podmiotu danych powinna być łatwo dostępna? Otóż podmiot danych nie powinien być zmuszony do podejmowania nadmiernego wysiłku zmierzającego do wyszukania informacji. Przede wszystkim oczywiste dla odbiorcy powinno być miejsce i sposób dostępu do informacji.
Zgodnie z wytycznymi łatwą dostępność informacji można zagwarantować, podając linki do informacji, wyraźnie ją oznakowując czy też podając jako przystępnie sformułowane odpowiedzi na pytania na stronie internetowej (FAQ, polityka prywatności, specjalna zakładka czy w ramach wyskakujących okien). Co istotne, powinny być one widoczne dlatego nie mogą „zlewać się” z innymi tego typu zakładkami.
Wymóg łatwej dostępności można zrealizować również poprzez ustne udzielenie stosownych informacji, przy wówczas należy pamiętać o konieczności zweryfikowania tożsamości danej osoby.
Administrator musi zadbać nie tylko o formę komunikacji, ale również o jej język. Istotne jest takie sformułowanie informacji, by dany komunikat został jednoznacznie zrozumiany przez podmiot danych. Należy więc unikać pojęć abstrakcyjnych lub wieloznacznych.
Administrator powinien unikać takich sformułować jak: „może”, „niektóre”, „często” i „możliwe”. Poza tym należy dbać o właściwą strukturę akapitów i zdań, stosując wypunktowania i wcięcia w tekście, aby wskazać związki hierarchiczne. Warto też starać się używać strony czynnej zamiast biernej. Niewskazane jest natomiast nadmierne używanie języka: prawniczego, technicznego lub specjalistycznego. Należy też pamiętać, by w razie konieczności tłumaczenia informacji z języka obcego, tłumaczenie było wierne i zrozumiałe.
Jasny i prosty język jest w szczególności istotny, gdy administrator komunikuje się z osobą niepełnoletnią. W przypadku dzieci bardzo małych, jak wskazuje Grupa Robocza Art. 29 warto też wdrożyć środki zapewnienia przejrzystości skierowane do ich rodziców/opiekunów prawnych, ponieważ wydaje się, że w większości przypadków takie dzieci nie będą w stanie zrozumieć nawet najbardziej podstawowych wiadomości dotyczących przejrzystości.
Tabela. Złe i dobre praktyki w komunikacji z podmiotami danych
Sformułowania nieprawidłowe |
Sformułowania prawidłowe |
„Możemy wykorzystywać Twoje dane osobowe do opracowywania nowych usług” Dlaczego nieprawidłowe? Administrator nie wskazał wyraźnie, czym są „usługi”, ani w jaki sposób dane pomogą ich w opracowaniu. |
„Będziemy przechowywać historię Twoich zakupów i wykorzystywać szczegółowe informacje na temat produktów, które kupiłeś w przeszłości, aby proponować Ci inne produkty, którymi naszym zdaniem możesz być zainteresowany” Dlaczego prawidłowe? W tym przypadku wyraźnie wskazano, jakie rodzaje danych będą przetwarzane oraz zaakcentowano że podmiot danych, będzie otrzymywać ukierunkowane reklamy produktów i że dane tej osoby będą wykorzystywane w tym celu. |
„Możemy wykorzystywać Twoje dane osobowe do celów badawczych” Dlaczego nieprawidłowe? Administrator nie sprecyzował, o jakiego typu „badaniach” mowa. |
„Będziemy przechowywać i badać informacje na temat Twoich ostatnich wizyt na naszej stronie i sposobu, w jaki poruszasz się po różnych sekcjach naszej strony, do celów analitycznych, aby dowiedzieć się, w jaki sposób użytkownicy korzystają z naszej strony, i uczynić ją bardziej intuicyjną” Dlaczego prawidłowe? Zostało wyraźnie wskazane, jakie rodzaje danych będą przetwarzane, oraz rodzaj analizy, którą ADO ma zamiar przeprowadzać). |
„Możemy wykorzystywać Twoje dane osobowe do oferowania spersonalizowanych usług” Dlaczego nieprawidłowe? Administrator nie sprecyzował, o jakiego typu „badaniach” mowa. (ADO nie wskazał wyraźnie, na czym polega „personalizacja”). |
„Będziemy rejestrować, na które artykuły na naszej stronie kliknąłeś, i wykorzystamy te informacje do tworzenia na tej stronie reklam przeznaczonych dla Ciebie, które będą dopasowane do Twoich zainteresowań, zidentyfikowanych przez nas na podstawie przeczytanych przez Ciebie artykułów” Dlaczego prawidłowe? Administrator wyraźnie wskazał, jakie rodzaje danych będą przetwarzane, oraz rodzaj analizy, którą ma zamiar przeprowadzać. Wyjaśnił też, co obejmuje personalizacja i w jaki sposób określono zainteresowania osoby, której dane dotyczą). |
Zobacz także:
Komunikacja z podmiotami danych może być prowadzona nie tylko w formie pisemnej. Art. 12 RODO dopuszcza również formę elektroniczną, a nawet ustną. Stosując formę elektroniczną, zgodnie z Wytycznymi warto stosować warstwowe oświadczenia o ochronie prywatności bądź informacje o polityce prywatności. Można też wykorzystywać wyskakujące powiadomienia kontekstowe typu „just-in-time”, powiadomienia za pomocą funkcji 3D Touch czy też powiadomienia wyświetlające się po najechaniu kursorem oraz pulpity nawigacyjne prywatności.
Nie jest wykluczona ustna komunikacja z podmiotem danych i to nie tylko poprzez rozmowę bezpośrednią czy też telefoniczną, ale też poprzez telefoniczny automatyczny komunikat głosowy. Co istotne, w takim przypadku ogólne informacje na temat ochrony prywatności, o których mowa w art. 13 i 14 RODO, mogą zostać przekazane ustnie nawet bez konieczności weryfikacji tożsamości odbiorcy tej informacji, ponieważ są one udostępniane również przyszłym użytkownikom/klientom, których tożsamości administrator nie jest w stanie zweryfikować.
Komunikacja z podmiotem danych w ramach art. 13, art. 14, art. 15-22 i art. 34 RODO nie może zostać uzależniona od wniesienia przez osobę fizyczną stosownych opłat lub skorzystania z konkretnych usług. Odpłatność informacji godzi bowiem w zasadę przejrzystości. Niemniej jednak od tego zakazu przewidziany jest wyjątek. Jeżeli bowiem żądania podmiotu danych są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, wówczas administrator może:
pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań albo
odmówić podjęcia działań w związku z żądaniem.
Administrator musi jednak być w stanie udowodnić wystąpienie wskazanych przesłanek.
Masz wątpliwości dotyczące formy lub treści komunikacji z podmiotami danych? Skorzystaj z pomocy naszych specjalistów, którzy m.in.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 5, art. 13, art. 14, art. 15-art. 22, art. 34.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl