Administrator w komunikacie kierowanym do osoby małoletniej może jej zalecić zachowanie ostrożności. Czasami przekaz może odbywać się przez pośredników, np. nauczycieli lub rodziców - mówi Monika Młotkiewicz, naczelnik wydziału współpracy z inspektorami ochrony danych Urzędu Ochrony Danych Osobowych.
Monika Młotkiewicz, naczelnik wydziału współpracy z inspektorami ochrony danych Urzędu Ochrony Danych Osobowych / DGP
UODO wydał niedawno komunikat, z którego wynika, że dzieci mają prawo do otrzymania informacji o naruszeniach ich danych osobowych. W jakim wieku osoby mają państwo na myśli?
Chodzi o osoby małoletnie, czyli poniżej 18. roku życia – tak należy przyjmować na gruncie RODO. Oczywiście osoby powyżej 16. roku życia mają, zgodnie ze wspomnianym rozporządzeniem – możliwość samodzielnego decydowania o udzieleniu zgody na przetwarzanie danych osobowych w związku z usługami społeczeństwa informacyjnego. Jednak nasz komunikat odnosił się ogólnie do osób niepełnoletnich. Mówiąc krótko, dotyczył on obowiązków administratorów w zakresie komunikowania się z osobami niepełnoletnimi w przypadku naruszeń ochrony danych osobowych wymagających powiadomienia osób, których dane dotyczą. Należy różnicować ten przekaz – wszak w grupie osób niepełnoletnich możemy mieć zarówno małe dzieci, jak i osoby prawie dorosłe.
Prawnicy zastanawiają się jednak, na ile komunikat UODO wskazuje konkretny obowiązek, którego spełnienie będzie sprawdzane przez organ nadzorczy w toku ewentualnej kontroli lub badania naruszeń.
Komunikat miał być wskazówką na temat tego, jak przestrzegać przepisów chociażby w zakresie powiadamiania osób, których dane dotyczą, o naruszeniu ochrony danych (art. 34 RODO). Niemniej jednak trzeba pamiętać, że o konieczności odrębnego potraktowania przekazu kierowanego do dzieci mówi wprost art. 12 ust. 1 RODO. Zawiera on wyraźne odesłanie do art. 34 (zawiadomienie osoby o naruszeniu jej danych osobowych) i stanowi, że w przypadku naruszeń należy poinformować osoby o tym w sposób jasny i przejrzysty. RODO wymaga, by wszelkie komunikaty były dostosowane do odbiorcy. Duży nacisk kładzie na konieczności posługiwania się prostym i komunikatywnym językiem, w szczególności, gdy te informacje są kierowane do dziecka.
Czy administratorzy projektujący treść obowiązku informacyjnego lub komunikaty o naruszeniu są zobowiązani do różnicowania tych treści dla użytkowników niepełnoletnich oraz dorosłych? Spróbujmy wyjaśnić na przykładzie: jeśli ktoś ma portal społecznościowy i dojdzie do naruszenia danych osobowych, to czy trzeba wysłać inną informację do 10-latków, a inną do 50-latków?
Tak. Administratorzy wiedzą bowiem, jakie dane osobowe przetwarzają i jakich osób one dotyczą. W przypadku naruszenia muszą ponadto określić kategorie osób dotkniętych naruszeniem, np. czy tymi osobami są dzieci. Tym samym muszą się zastanowić, jakiego rodzaju komunikaty muszą trafić do dzieci, a jakie do innych kategorii osób dotkniętych naruszeniem. Z wytycznych Grupy Roboczej Art. 29, dotyczących naruszeń ochrony danych osobowych, wynika zalecenie dla administratorów, aby korzystali z różnych kanałów komunikacji i opracowali różnego rodzaju komunikaty dostosowane do odbiorców. Chodzi zatem o to, żeby komunikat był zrozumiały, pomocny, a przez to skuteczny i spełniający swoją rolę.
W jaki sposób przekaz powinien się jednak różnić w zależności od adresowania go do dzieci albo dorosłych?
Dzieciom można zalecić np. zachowanie ostrożności w sytuacji prób kontaktu z nimi, gdyby ktoś chciał uzyskiwać od nich bezpośrednio kolejne dane osobowe. Dzieci mogą też otrzymać podpowiedź, by zmienić hasła dostępowe do swoich kont na określonych portalach lub w mediach społecznościowych. Warto też wskazać dzieciom osoby, z którymi mogą się skontaktować w razie potrzeby (art. 34 RODO), np. inspektora ochrony danych, który udzieli im dodatkowych wyjaśnień i wskazówek. Przecież dzieci mogą mieć dalsze pytania dotyczące naruszenia ich danych osobowych. Wśród zaleceń może znajdować się rekomendacja do zasięgnięcia pomocy u rodziców. Te zalecenia mogą być bardzo różne. Wiele zależy od tego, jak sumiennie administrator podchodzi do wykonania obowiązku w tego typu sytuacjach i jak bardzo dba o interesy osoby, której naruszenie dotyczy. Jak bardzo rozumie jej sytuację.
Skąd jednak wiadomo, że przekaz kierowany do dzieci jest właściwy?
Z naszego doświadczenia wynika, że administratorzy przetwarzający dane osób małoletnich na co dzień zajmują się utrzymywaniem z nimi jak najskuteczniejszego dialogu i dzięki temu nie mają też większych kłopotów z komunikowaniem swoim odbiorcom przypadków naruszeń danych osobowych.
Czasami przekaz kierowany do dzieci może odbywać się przez pośredników, np. nauczycieli lub rodziców. Mieliśmy przykład szkoły ponadpodstawowej, która w wyniku błędu systemu informatycznego ujawniła informację o leczeniu psychiatrycznym niektórych uczniów. I szkoła jako administrator podjęła inne środki zapobiegawcze względem dzieci, o których informacje wyciekły, a inne względem ich rodziców. Przeprowadziła indywidualne spotkania, a także zaoferowała, w razie potrzeby, specjalistyczne wsparcie psychologiczne zarówno dzieciom, jak i rodzicom. Działania były również skierowane do innych uczniów tej szkoły i polegały na podnoszeniu świadomości na temat wykluczenia społecznego i tolerancji.
W przepisach antymonopolowych mamy definicję przeciętnego konsumenta, która wskazuje, w jaki sposób rozumie on kierowany do siebie przekaz. W przypadku ochrony danych osobowych czegoś takiego nie ma...
Jasny, przejrzysty i zrozumiały język to podstawa skutecznej komunikacji nie tylko w dziedzinie ochrony danych osobowych. W odniesieniu do zasady przejrzystości przyjętej w RODO jest wiele wytycznych, na których administratorzy mogą się oprzeć, gdy mają wątpliwości, jak formułować taki przekaz – np. wytyczne dotyczące tej zasady sformułowane przez wspomnianą Grupę Roboczą Art. 29. Szczegółowe wskazówki na temat prawidłowego powiadamiania osób zawarte są również w poradniku naszego urzędu „Obowiązki administratorów związane z naruszeniami ochrony danych”.
Czy organ nadzorczy może ukarać administratora danych osobowych za to, że w przypadku wycieku danych, poinformował o tym osoby niepełnoletnie i dorosłe, ale zrobił to w sposób niezrozumiały dla dzieci?
UODO posiada takie uprawnienie. W pierwszej kolejności sięga jednak po inne możliwości i środki. W formularzu zgłoszenia incydentu znajduje się rubryka, w której administratorzy wpisują, czy powiadomili osoby o naruszeniu i załączają tam treść tego powiadomienia. Organ nadzorczy bada tę treść pod kątem tego, czy administrator skutecznie wywiązał się z obowiązku i czy wskazał odpowiednie informacje i zalecenia jego adresatom. W naszych ocenach bierzemy pod uwagę, czy treść została dostosowana do konkretnej sytuacji i określonych odbiorców. Im bardziej szablonowe i odbiegające od stanu faktycznego powiadomienie, tym większe ryzyko, że UODO nakaże ponowne wystosowanie odpowiedniej wiadomości do osób, których dane dotyczą.