Warstwowy obowiązek informacyjny
28.11.2022
Jednym z podstawowych obowiązków administratora jest poinformowanie osoby, której dane pozyskuje o tym m.in. kto, po co i jak długo będzie te dane przetwarzał oraz jakie prawa przysługują ww. osobie[1].
Obowiązek ten powinien zostać zrealizowany przez administratora w sposób przejrzysty, tak by informacje były sformułowane jasnym i prostym językiem, zrozumiale dla odbiorcy[2]. RODO proponuje rozwiązanie polegające na połączeniu informacji ze standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania[3]. Zdawałoby się zatem, że ilość informacji wymaganych do wyczerpującego wypełnienia obowiązku z art. 13 i 14 RODO wymusi wypracowanie zwięzłej formy przekazu. Tymczasem, praktyka sprowadza się zwykle do przedstawienia zapisanej ciągłym tekstem strony A4 lub systemowego odsyłania do równie rozległego komunikatu. W konsekwencji, niewiele osób zapoznaje się z klauzulą w ogóle.
Problem przejrzystości w kontekście obowiązku informacyjnego dostrzegła również Grupa Robocza Art. 29 (obecnie Europejska Rada Ochrony Danych) (dalej: GR29), wskazując: „W RODO istnieje pewien kontrast między, z jednej strony, wymogami przekazania osobom, których dane dotyczą, wyczerpujących informacji wymaganych na podstawie RODO, a z drugiej strony wymogami przekazania tych informacji w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie”.[4] Jednocześnie w swoich wytycznych GR29 zaproponowała rozwiązanie w postaci warstwowych klauzul informacyjnych.
Przy ich zastosowaniu obligatoryjne informacje zostają przekazywane sukcesywnie:
- Pierwsza warstwa to zestaw informacji, z którymi osoba zapoznaje się w pierwszej kolejności.
Są to szczegóły na temat:
- Tożsamości administratora.
- Celów przetwarzania.
- Opisu przysługujących osobie praw.[5]
- Druga warstwa to zestaw pozostałych informacji, do których osoba ma dostęp za pośrednictwem innych środków, np. po kliknięciu w link, otrzymania w wiadomości e-mail lub pojawienia się we wskazanym miejscu.[6]
Warstwowe spełnianie obowiązku informacyjnego może być stosowane w różnych formach komunikacji, w tym cyfrowej, telefonicznej czy osobistej oraz przy różnych podstawach przetwarzania.
Nie jest to mechanizm nowy, lecz wciąż często pomijany. Jego prawidłowe wykorzystanie pozwala natomiast, zgodnie z założeniami GR29, wyeliminować przeładowanie informacyjne oraz zrównoważyć kwestie kompletności i zrozumienia. To z kolei niewątpliwie przyczynia się nie tylko do zapoznania się z klauzulą przez jej odbiorcę, lecz również do świadomego korzystania z przysługujących praw.
Dodatkowym aspektem przemawiającym za tym, aby zwracać uwagę na poprawne wypełnianie obowiązku informacyjnego jest czujność organu nadzorczego. Na przestrzeni ponad 4 lat obowiązywania RODO można już odnotować, że Prezes Urzędu Ochrony Danych Osobowych przygląda się tej kwestii. Za uchybienia w przedmiotowym zakresie, poza oczywistym nakazem do uzupełnienia klauzuli, w 2019 r. nałożona została na jeden z podmiotów kara finansowa w wysokości 943.470,00 PLN[7].
[1] Art. 13 i 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: „RODO”)
[2] Art. 5 i motyw 39 RODO
[3] Motyw 60 RODO
[4] Pkt 34 wytycznych w sprawie przejrzystości na podstawie rozporządzenia 2016/679, zmienione i przyjęte w dniu 11 kwietnia 2018 r. (dalej: „Wytyczne”)
[5] Pkt 36 i 38 Wytycznych
[6] Pkt 38 Wytycznych
[7] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 15 marca 2019 r., sygn. ZSPR.421.3.2018
Wdrożenie RODO – oferta cenowa
Zewnętrzny Inspektor Ochrony Danych
Audyt RODO
Z tej samej kategorii
Kategorie
