Wszelkie komunikaty związane z przetwarzaniem danych osobowych mają być zwięzłe i zrozumiałe oraz sformułowane jasnym i prostym językiem, a przy tym łatwo dostępne - mówi DGP dr Edyta Bielak- Jomaa, prezes UODO
Przy przetwarzaniu danych osobowych należy dopełniać obowiązku informacyjnego. RODO obowiązek ten rozbudowało. Między innymi wprost nakazało, by komunikacja z osobami, których dane dotyczą, była prowadzona w sposób przejrzysty. Pojawia się pytanie, jak interpretować to pojęcie.
Ogólne rozporządzenie o ochronie danych (RODO), które stosujemy od 25 maja 2018 r., posługuje się takimi sformułowaniami jak „przejrzyste informowanie” i „przejrzysta komunikacja”. To pojęcia kluczowe dla zapewnienia nam autonomii informacyjnej, dla świadomego podejmowania decyzji, w tym wyrażania zgody na wykorzystanie naszych danych, a także dla korzystania z praw, jakie nam przysługują. RODO wprowadziło takie regulacje, gdyż jego celem jest zwiększenie ochrony naszych danych, zwłaszcza w świecie cyfrowym. Jednym ze sposobów osiągnięcia tego zamierzenia jest zobowiązanie administratorów do przestrzegania zasady przejrzystości.
Administratorzy, dopełniając obowiązku informacyjnego w przypadku zbierania danych bezpośrednio od osoby, której one dotyczą, są zobowiązani, by – jak dotychczas – poinformować tę osobę m.in. o tym, kto jest administratorem, w jakim celu i na jakiej podstawie prawnej będzie wykorzystywał dane, a także komu ma zamiar je przekazywać. Muszą także podać informacje o prawie dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie wniesienia sprzeciwu. Nowością jest zaś m.in. obowiązek poinformowania o okresie, przez który dane będą przechowywane, o prawie do przeniesienia danych czy informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu. To właśnie jeden z przejawów zasady przejrzystości, o której stanowi art. 12 RODO. To, jak ją rozumieć, wyjaśnia motyw 39 rozporządzenia. Zwraca on m.in. uwagę na to, że osobom, których dane dotyczą, należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem ich danych osobowych.
Czy zasady tej trzeba przestrzegać przy pozyskiwaniu zgód na przetwarzanie danych osobowych?
Tak, ale nie tylko. Zasada przejrzystości ma być stosowana na wszystkich etapach komunikowania się z klientem, z osobą, której dane są przetwarzane. Przesądza ona, że wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem danych osobowych mają być zwięzłe, przejrzyste i zrozumiałe oraz sformułowane jasnym i prostym językiem. Mają też być łatwo dostępne, a więc nie powinno się ich szukać. Jeśli przykładowo są przekazywane za pośrednictwem strony internetowej, to ich odnalezienie nie powinno być skomplikowane. Dobrze by było, gdyby udało się do nich dotrzeć za pomocą maksymalnie trzech kliknięć.
Należy więc odpowiednio zorganizować proces komunikacji z osobami, których dane przetwarzamy, i zadbać o właściwe formułowanie kierowanych do nich przekazów i informacji. Chodzi o to, żeby nie były to noty pisane przez prawników dla prawników – jak to często dotychczas bywało. RODO wymusza, by w większym stopniu skoncentrować się na tym, aby informacja była jasna, klarowna i zrozumiała dla odbiorcy. To wymaga większego skupienia się na treści i sposobie przekazania informacji. Co ważne, administrator musi rozumieć procesy przetwarzania danych. Wtedy łatwiej jest mu właściwie o nich informować. Co również istotne, komunikat ma być konkretny i prawdziwy.
Przepisy nie określają, jak dokładnie taka komunikacja ma wyglądać. Jaką zatem informację urząd uzna za jasną i zrozumiałą?
Przepisy RODO nie dają gotowych rozwiązań. Zakładają i wymuszają na administratorze pewną samodzielność, co jednocześnie umożliwia mu dopasowanie komunikacji do specyfiki działalności, a także do wiedzy i świadomości osób, do których te przekazy są adresowane.
Informacje powinny być zwięzłe, napisane w sposób zrozumiały, prostym językiem. Warto więc np. nie powielać sformułowań zawartych w przepisach. Lepiej wyjaśnić, o co dokładnie chodzi, np. podając przykłady lepiej obrazujące dane zagadnienie. Informując np. o tym, iż dane będą wykorzystane do profilowania, warto wyjaśnić, co się kryje pod tym pojęciem i co takie operacje oznaczają dla osoby, której dane są przetwarzane.
Biorąc pod uwagę, iż komunikaty mają być proste, należałoby unikać długich, wielokrotnie złożonych zdań, gdyż ciężej jest je zrozumieć. Nie powinno się też używać trudnych wyrazów, które mogą nie być zrozumiałe dla przeciętnego odbiorcy.
Temu, jak można kształtować taką komunikację, poświęcone było jedno z wystąpień na zorganizowanej przez nas 29 stycznia 2018 r. konferencji z okazji Dnia Ochrony Danych Osobowych – nagranie z niej oraz prezentacja były od razu zamieszczone na naszej stronie internetowej. Wskazówek można też szukać w wytycznych dotyczących przejrzystości, przygotowanych przez skupionych w Grupie Roboczej Art. 29, a obecnie w Europejskiej Radzie Ochrony Danych, unijnych rzeczników ochrony danych, a więc także prezesa Urzędu Ochrony Danych. Jednak w każdym przypadku administrator musi indywidualnie podejść do formy komunikacji z osobami, których dane przetwarza, pamiętając o wymaganiach RODO, czyli prostej, jasnej, komunikatywnej i zwięzłej formie przekazu. Zwłaszcza tego, który kierowany jest do dzieci.