Zasada przejrzystości na gruncie RODO
Istotnym aspektem ochrony danych osobowych są zarówno forma, jak i treść informacji przekazywanych przez administratora osobom, których dane będą przetwarzane. Jako takiej definicji przejrzystości na próżno szukać w RODO, ale art. 5 RODO wylicza zasady dotyczące przetwarzania danych osobowych, w tym zasadę przejrzystości (ust. 1 a). Stanowi ona, że dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Dotyczy w szczególności informowania osób, których dane dotyczą o tożsamości administratora, celach przetwarzania oraz innych informacjach mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących. Wynika to też z potrzeby uświadamiania osób fizycznych o ryzykach, zasadach, zabezpieczeniach i ich prawach związanych z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem.
Elementy przejrzystości
W rozdziale III RODO zatytułowanym „Prawa osoby, której dane dotyczą”, w szczególności w art. 12, ustawodawca unijny wskazał na elementy zasady przejrzystości. Są to:
- udzielanie niezbędnych informacji osobom, których dane dotyczą podczas pozyskiwania ich danych (art. 13 i art. 14 RODO);
- prowadzenie przejrzystej i zrozumiałej komunikacji z osobami, których dane dotyczą, w trakcie realizacji ich praw (art. 15 –22 i art. 34 RODO).
Zgodnie z treścią przywołanego wyżej art. 12 RODO informacje pochodzące od administratora mają być:
- przekazywane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, co oznacza, że komunikacja powinna odbywać się w sposób efektywny, zwięzły, jednoznaczny i łatwy do przyswojenia, tak aby nie przytłoczyć odbiorcy informacjami. Komunikaty te należy wyraźnie odróżnić od innych informacji niezwiązanych z prywatnością, np. postanowień umownych czy ogólnych warunków korzystania;
- przedstawione jasnym i prostym językiem, bez stosowania złożonych struktur zdaniowych i językowych, aby sformułowania były zrozumiałe dla odbiorcy (w szczególności jeśli komunikat dotyczy dzieci, ważne jest, aby administrator zapewnił właściwe i przystępne słownictwo oraz adekwatny styl wypowiedzi, tak aby dziecko będące odbiorcą informacji wiedziało, że jest ona skierowana do niego);
- przekazane w łatwy sposób, tj. zapisane odpowiedniej wielkości czcionką, a także z takim układem tekstu, który zapewnia szybki i prosty dostęp do informacji (zakaz ukrywania informacji wśród przekazu innego rodzaju). W efekcie osoba, której dane dotyczą, nie powinna być zmuszona do wyszukiwania informacji, a miejsce i sposób dostępu do tych informacji powinny od razu być dla niej oczywiste;
- udzielane na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie, co oznacza, że forma pisemna jest domyślna przy udzielaniu informacji, przy czym jeżeli administrator danych prowadzi stronę internetową, możliwe jest stosowanie warstwowych oświadczeń, które następnie odsyłają do pełnej polityki prywatności (dotyczy to również np. stopek w e-mailu). Równocześnie, jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie (pod warunkiem że innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą);
- zasadniczo wolne od opłat, co oznacza nieodpłatność udzielenia informacji czy wręcz zakaz uzależniania przekazania informacji od dokonania transakcji finansowej, np. od zapłaty za usługi lub towary bądź od ich zakupu.
Przejrzystość informacji należy zapewnić na poszczególnych etapach przetwarzania danych:
- przed rozpoczęciem przetwarzania danych lub w chwili jego rozpoczęcia (zbieranie danych bezpośrednio od osoby, której dane dotyczą, lub pozyskiwanie ich w inny sposób);
- przez cały czas przetwarzania (informowanie osób, których dane dotyczą, o ich prawach);
- w poszczególnych momentach przetwarzania (m.in. w czasie wystąpienia naruszenia).
Jednocześnie, jeżeli dochodzi do nadużycia prawa do informacji, administrator danych może pobrać opłatę od osoby, której dane dotyczą, lub odmówić spełnienia żądania.
Przejrzystość w ramach ochrony danych w fazie projektowania
Równie istotną kwestią związaną z przejrzystością jest uwzględnianie ochrony danych w fazie projektowania (zgodnie z wymogami określonymi w art. 25). Dlatego też administratorzy danych powinni już od samego początku uwzględniać kwestie ochrony danych w swoich operacjach i systemach przetwarzania, a nie traktować ją jako formalność do dopełnienia w ostatniej chwili.
Wytyczne 4/2019 w sprawie domyślnej ochrony danych wskazują, że od początku komunikacji z osobami, których dane dotyczą, administrator musi jasno i zrozumiale informować, w jaki sposób będzie gromadzić, wykorzystywać i udostępniać ich dane osobowe. Przejrzystość polega na umożliwieniu osobom, których dane dotyczą, zrozumienia praw przysługujących im na mocy art. 15 –22 RODO, a w razie konieczności – także skorzystania z tych praw. Implementacja omawianej zasady w ramach mechanizmów ochrony danych w fazie projektowania powinna obejmować następujące elementy:
- jasność komunikacji – informacje powinny być sformułowane jasnym i prostym językiem, zwięźle i zrozumiale;
- semantyka – komunikacja powinna mieć jasne znaczenie dla danej grupy odbiorców;
- dostępność – informacje powinny być łatwo dostępne dla osoby, której dane dotyczą;
- kontekstowość – informacje powinny być przekazywane w odpowiednim czasie i w odpowiedniej formie;
- istotność – przekazywane powinny być informacje mające znaczenie i zastosowanie do konkretnej osoby, której dane dotyczą;
- uniwersalne projektowanie – informacje powinny być dostępne dla wszystkich, formułowane w językach nadających się do odczytu maszynowego w celu ułatwienia i zautomatyzowania czytelności i przejrzystości,
- zrozumiałość – osoby, których dane dotyczą, powinny rozumieć, czego mogą oczekiwać w odniesieniu do przetwarzania ich danych osobowych, w szczególności gdy odbiorcami są dzieci lub osoby z grupy szczególnie narażonej;
- wielokanałowość – informacje powinny być dostarczane w różnych mediach i różnymi kanałami (innymi niż tekst), aby zwiększyć prawdopodobieństwo ich skutecznego dotarcia do osoby, której dane dotyczą.
Przykład
- Administrator danych opracowuje politykę prywatności w celu spełnienia wymogów przejrzystości. Polityka prywatności nie powinna zawierać dużej ilości tekstu, którego zrozumienie jest trudne dla przeciętnego odbiorcy. Powinna być napisana jasnym i zwięzłym językiem, aby ułatwić użytkownikowi strony internetowej zrozumienie sposobu przetwarzania jego danych osobowych. Zatem administrator danych dostarcza informacji w sposób wielowarstwowy, w którym podkreśla się najważniejsze punkty. Administrator stosuje menu w formie listy rozwijalnej oraz linki do innych podstron w celu dalszego wyjaśnienia pojęć zawartych w polityce, a także klipy wideo objaśniające najważniejsze punkty informacji.
Podążając za powyższym przykładem, dostęp do polityki prywatności nie może być utrudniony dla osób, których dane dotyczą. Polityka prywatności jest więc udostępniana i widoczna na wszystkich podstronach danej strony internetowej w taki sposób, że osoba, której dane dotyczą, jest zawsze tylko o jedno kliknięcie od dostępu do informacji. Dostarczane informacje są również opracowywane zgodnie z najlepszymi praktykami i standardami projektowania uniwersalnego, aby były dostępne dla wszystkich.
Praktyczny kurs IOD
potwierdzi Twoje wysokie kompetencje
Jak mówić? O przejrzystości w komunikacji zewnętrznej i wewnętrznej
Administrator jest obowiązany do udzielania stosownych informacji zarówno osobom, od których bezpośrednio pozyskał dane (art. 13 RODO), jak i osobom których dane uzyskał z innych źródeł (art. 14 RODO). Informacje te administrator podaje w rozsądnym terminie po pozyskaniu danych osobowych.
Istotne jest również miejsce podania informacji o przetwarzaniu danych. Wewnątrz organizacji informacje o przetwarzaniu danych zamieszczane są np. w klauzulach informacyjnych dołączanych do umów z kontrahentami, formularzy rekrutacyjnych dla kandydatów albo dokumentów związanych z zatrudnieniem.
Przykład
- Pracodawca w formularzu dla kandydata/pracownika zamieszcza klauzulę informacyjną ze wskazaniem najważniejszych elementów dotyczących przetwarzania jego danych, w tym m.in. tożsamości administratora, celów i podstaw prawnych przetwarzania danych, odbiorców danych lub czasu przechowywania danych.
Wobec coraz większego przepływu osób zatrudnionych między krajami oraz obecności polskich firm na rynku europejskim istotnym zagadnieniem stał się język komunikowania o ochronie danych. Jak wskazuje Urząd Ochrony Danych, RODO nie narzuca wprost formy, w tym języka, w jakim ma być sporządzona dokumentacja przetwarzania danych osobowych w organizacji działającej na terenie Polski, ponieważ nie wyklucza tego, że w relacjach wewnętrznych firmy czy w kontakcie z kontrahentami może być używany inny język niż polski.
Przykład
- Pracodawca zamieszcza ogłoszenie o pracę w języku niemieckim, angielskim lub ukraińskim. Ważne jest, aby informacja o przetwarzaniu danych także została przedstawiona w tym samym języku, żeby cudzoziemiec mógł się z nią zapoznać bez użycia dodatkowych środków, np. translatora (który również nie daje gwarancji dokładnego tłumaczenia). Podobnie należy postąpić w sytuacji, gdy pracownicy firmy nie posługują się językiem polskim, a zrozumiałą formą przekazu jest dla nich komunikacja w innym języku. Wówczas zasadne jest, aby administrator przekazywał im wymagane informacje również w tym samym języku.
- Polska firma, która przedstawia ofertę na rynku zagranicznym i komunikuje się z klientami, nie powinna zapomnieć o zamieszczeniu informacji o ochronie danych osobowych w języku użytym w ofercie. Jako przestrogę można potraktować nałożenie kary przez austriacki organ ochrony danych na polską firmę, która nie zastosowała się do powyższej zasady. W decyzji z 7 stycznia 2021 r. organ ten stwierdził, że informacje w rozumieniu wymogu przejrzystości mają być podawane zrozumiałym i prostym językiem. W przepisach brakuje jednak wyraźnego uregulowania języka narodowego, w którym należy to zrobić. Dlatego rozstrzygnięcie w tej sprawie musi opierać się na indywidualnym przypadku. Ze względu na wpisaną w RODO zasadę lokalizacji rynku można przyjąć, że informacje i komunikaty muszą być co do zasady tłumaczone na języki krajów, w których przedsiębiorca oferuje przedmiotowe usługi, z uwzględnieniem narodowości lub miejsca zamieszkania osoby, której dane dotyczą.
Kolejnym obszarem wewnątrz organizacji, którym należy się zająć pod kątem zasady przejrzystości, jest ochrona sygnalistów (czyli osób zgłaszających lub ujawniających nieprawidłowości, nadużycia lub nielegalne działania wewnątrz organizacji). W swoich zaleceniach Europejski Inspektor Ochrony Danych Osobowych (dalej: EIOD) wskazuje, że informacje na temat procedur informowania o nieprawidłowościach powinny być ogólnie dostępne w ramach organizacji, np. w zapisach polityki prywatności na stronie internetowej administratora. Dodatkowo poszczególne kategorie osób, których dane dotyczą, powinny zostać poinformowane w trybie art. 12 –14 RODO. EIOD zaleca równocześnie, aby w zawiadomieniu o ochronie danych była mowa o konsekwencjach karnych lub dyscyplinarnych nadużycia procedury informowania o nieprawidłowościach (w celu eliminacji fałszywych zgłoszeń).
Na zewnątrz organizacji realizacja zasady przejrzystości odbywa się poprzez zamieszczenie polityki prywatności na stronie internetowej, w stopkach wiadomości e-mail, komunikatach głosowych odczytywanych przed rozmową telefoniczną, pod formularzami kontaktowymi, pod checkboksami itd. Jako przykład można podać sytuację, gdy osoba fizyczna rejestruje się w celu korzystania z internetowej usługi poczty elektronicznej i od razu otrzymuje wszystkie informacje wymagane zgodnie z art. 13 ust. 1 i 2 RODO. Ponadto z unijnych zaleceń wynika, że w momencie zbierania danych osobowych w środowisku online należy podawać link do oświadczenia o ochronie prywatności lub do informacji o polityce prywatności albo udostępniać te informacje na tej samej stronie, na której zbiera się dane osobowe.
Przykład
- Podmiot medyczny, aby ułatwić pacjentom składanie wniosków o udostępnienie danych osobowych, zamieścił na swojej stronie internetowej formularz elektroniczny, a w recepcjach przychodni udostępnia formularze w formie papierowej. Dodatkowo placówka przyjmuje wnioski o udostępnienie danych, które są składane inną drogą (np. listownie lub formie e-maila), oraz zapewnia specjalny punkt kontaktowy (telefoniczny), aby pomóc osobom, których dane dotyczą, w korzystaniu z przysługujących im praw.
Swoistym sposobem na ułatwienie i skrócenie realizacji obowiązku informacyjnego jest zastosowanie tzw. warstwowego obowiązku informacyjnego. Administrator podaje najważniejsze informacje dotyczące przetwarzania danych, tj. tożsamość administratora, cele przetwarzania i prawa osób, których dane dotyczą, a następnie odsyła w formie linku do pełnej treści klauzuli informacyjnej, zamieszczonej w polityce prywatności na stronie internetowej.
Naruszenia przejrzystości
Niewykonanie lub nieprawidłowe wykonanie obowiązku informacyjnego wiąże się z odpowiedzialnością dla administratora w postaci kary pieniężnej nałożonej przepisami RODO. Wynika to z tego, że obowiązek informacyjny należy spełnić niezwłocznie, a do przekazania jest wiele informacji, które z kolei – mimo ich skomplikowanej treści – powinny być przekazane w prosty, zwięzły i łatwy do zrozumienia sposób.
Przykład
- Osoba, której dane dotyczą, otrzymuje sprzeczne komunikaty dotyczące odwołania zgody, przez co zostaje wprowadzona w błąd (zob. decyzja Prezesa UODO z 16 października 2019 r., ZSPR.421.7.2019).
- Osoba, której dane zostały ujawnione zostaje niedostatecznie poinformowana o przysługujących jej prawach w związku z naruszeniem, jakie zaistniało u administratora, przez co ta osoba nie wie, jakie kroki powinna podjąć, aby uzyskać należyte wsparcie. Podobnie będzie w przypadku, gdy pod formularzem kontaktowym pojawi się checkbox do wyrażenia zgody, natomiast zakres treści dotyczących przetwarzania danych będzie niedostateczny, np. pojawi się jedynie informacja „wyrażam zgodę na przetwarzanie moich danych” lub rozwiną się kolejne zdania do przeczytania czy treści, w które należy kliknąć, wskutek czego użytkownik zgubi się w gąszczu komunikatów.
Jak europejskie organy ochrony danych reagują na naruszenia zasady przejrzystości?
Hamburski organ ochrony danych nałożył na administratora, spółkę Vattenfall Europe Sales GmbH, karę w wysokości 901 388,84 EUR za niedostateczne wypełnienie obowiązków wynikających z zasady przejrzystości, polegające na braku poinformowania klientów o procederze porównywania ich danych. Spółka oferowała umowy na dostawę energii elektrycznej z premią dla nowych klientów. Aby się dowiedzieć, czy potencjalni kontrahenci byli już klientami Vattenfall w przeszłości, firma przeprowadzała porównania z wykorzystaniem przechowywanych danych klientów z poprzednich lat. Analiza ta miała na celu uniemożliwienie powracającym klientom zawierania takich umów premiowych zbyt często, gdyż celem oferty było przede wszystkim pozyskanie nowych klientów.
Na firmę wynajmującą samochody z Czech tamtejszy organ ochrony danych nałożył karę w wysokości 1165 EUR za niepodanie informacji w rozumieniu art. 13 RODO osobom, które wynajmowały samochody wyposażone w urządzenie śledzące GPS i nie zostały o tym poinformowane.
Z kolei hiszpańska krajowa liga piłkarska (La Liga) została ukarana karą w wysokości 250 000 EUR za oferowanie aplikacji, która raz na minutę korzystała z mikrofonu telefonów komórkowych użytkowników w celu wykrywania pubów transmitujących mecze piłkarskie bez uiszczania opłaty. Zdaniem hiszpańskiego organu nadzorczego La Liga nie poinformowała użytkowników aplikacji o tej praktyce.
Zasada przejrzystości jest jedną z naczelnych zasad przetwarzania danych osobowych. Dlatego też jest tak ważne, aby administrator – spełniając równocześnie zasadę rozliczalności – wykazał, że dopełnił wszelkich obowiązków wynikających z RODO, by w odpowiedni sposób poinformować osobę fizyczną o przetwarzaniu jej danych. Administrator powinien należycie zadbać, aby osoba, której dane dotyczą, była świadoma ryzyka, zasad, zabezpieczeń i praw związanych z przetwarzaniem jej danych. Wyklucza to możliwość tajnego i ukrytego przetwarzania danych osobowych, chyba że jest to wyraźnie dozwolone prawem. Powyższe pozwala na stwierdzenie, że zasada przejrzystości kreuje obowiązek aktywnego podejmowania przez administratora wskazanych działań. Równocześnie jej stosowanie daje możliwość uniknięcia negatywnych konsekwencji zarówno dla administratora, jak i dla osoby, której dane dotyczą. Dzięki przestrzeganiu tej zasady z pewnością zmniejszać się będzie liczba naruszeń oraz wzrośnie świadomość społeczna.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
Jakie są elementy zasady przejrzystości w odniesieniu do przetwarzania danych osobowych zgodnie z RODO?