Warstwowy obowiązek informacyjny

  • 28.11.2022

  • Autor: Karolina Jarosz

  • News

Jednym z podstawowych obowiązków administratora jest poinformowanie osoby, której dane pozyskuje o tym m.in. kto, po co i jak długo będzie te dane przetwarzał oraz jakie prawa przysługują ww. osobie[1].

Obowiązek ten powinien zostać zrealizowany przez administratora w sposób przejrzysty, tak by informacje były sformułowane jasnym i prostym językiem, zrozumiale dla odbiorcy[2]. RODO proponuje rozwiązanie polegające na połączeniu informacji ze standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania[3]. Zdawałoby się zatem, że ilość informacji wymaganych do wyczerpującego wypełnienia obowiązku z art. 13 i 14 RODO wymusi wypracowanie zwięzłej formy przekazu. Tymczasem, praktyka sprowadza się zwykle do przedstawienia zapisanej ciągłym tekstem strony A4 lub systemowego odsyłania do równie rozległego komunikatu. W konsekwencji, niewiele osób zapoznaje się z klauzulą w ogóle.

 

Problem przejrzystości w kontekście obowiązku informacyjnego dostrzegła również Grupa Robocza Art. 29 (obecnie Europejska Rada Ochrony Danych) (dalej: GR29), wskazując: „W RODO istnieje pewien kontrast między, z jednej strony, wymogami przekazania osobom, których dane dotyczą, wyczerpujących informacji wymaganych na podstawie RODO, a z drugiej strony wymogami przekazania tych informacji w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie”.[4] Jednocześnie w swoich wytycznych GR29 zaproponowała rozwiązanie w postaci warstwowych klauzul informacyjnych.

Przy ich zastosowaniu obligatoryjne informacje zostają przekazywane sukcesywnie:

  • Pierwsza warstwa to zestaw informacji, z którymi osoba zapoznaje się w pierwszej kolejności.
    Są to szczegóły na temat:
  • Tożsamości administratora.
  • Celów przetwarzania.
  • Opisu przysługujących osobie praw.[5]
  • Druga warstwa to zestaw pozostałych informacji, do których osoba ma dostęp za pośrednictwem innych środków, np. po kliknięciu w link, otrzymania w wiadomości e-mail lub pojawienia się we wskazanym miejscu.[6]

 

 

Warstwowe spełnianie obowiązku informacyjnego może być stosowane w różnych formach komunikacji, w tym cyfrowej, telefonicznej czy osobistej oraz przy różnych podstawach przetwarzania.

 

Nie jest to mechanizm nowy, lecz wciąż często pomijany. Jego prawidłowe wykorzystanie pozwala natomiast, zgodnie z założeniami GR29, wyeliminować przeładowanie informacyjne oraz zrównoważyć kwestie kompletności i zrozumienia. To z kolei niewątpliwie przyczynia się nie tylko do zapoznania się z klauzulą przez jej odbiorcę, lecz również do świadomego korzystania z przysługujących praw.  

 

Dodatkowym aspektem przemawiającym za tym, aby zwracać uwagę na poprawne wypełnianie obowiązku informacyjnego jest czujność organu nadzorczego. Na przestrzeni ponad 4 lat obowiązywania RODO można już odnotować, że Prezes Urzędu Ochrony Danych Osobowych przygląda się tej kwestii. Za uchybienia w przedmiotowym zakresie, poza oczywistym nakazem do uzupełnienia klauzuli, w 2019 r. nałożona została na jeden z podmiotów kara finansowa w wysokości 943.470,00 PLN[7].

[1] Art. 13 i 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: „RODO”)

[2] Art. 5 i motyw 39 RODO

[3] Motyw 60 RODO

[4] Pkt 34 wytycznych w sprawie przejrzystości na podstawie rozporządzenia 2016/679, zmienione i przyjęte w dniu 11 kwietnia 2018 r. (dalej: „Wytyczne”)

[5] Pkt 36 i 38 Wytycznych

[6] Pkt 38 Wytycznych

[7] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 15 marca 2019 r., sygn. ZSPR.421.3.2018




Wdrożenie RODO – oferta cenowa

Zewnętrzny Inspektor Ochrony Danych

Audyt RODO

Autor

Karolina Jarosz

Adwokat, absolwentka Wydziału Prawa i Administracji Uniwersytetu Warszawskiego. Studiowała również na Uniwersytecie w Oviedo w ramach programu Erasmus. Ukończyła studia podyplomowe na Uniwersytecie Warszawskim: Prawo Medyczne, Bioetyki i Socjologii Medycyny. Ma kilkuletnie doświadczenie z zakresu ochrony danych osobowych zdobyte we współpracy
z wiodącymi kancelariami prawnymi. Udzielała wsparcia prawnego podmiotom m.in. z branży medycznej i ubezpieczeniowej. Przeprowadzała audyty i sporządzała dokumentację w podmiotach leczniczych, a od 2018 r. uczestniczyła w procesach wdrożenia RODO w organizacjach klientów. W zakresie swojej praktyki zawodowej reprezentowała przedsiębiorców w wielu postępowaniach sądowych i pozasądowych. Posługuje się językiem angielskim.