Trzeba będzie prowadzić przejrzystą komunikację z osobą, której dane dotyczą. Co to oznacza

Monika Brzozowska-Pasieka

Autor: Joanna Łuczak-Tarka

Dodano: 28 września 2017
Przejrzysta komunikacja z podmiotem danych

Zgodnie z ogólnym rozporządzeniem o ochronie danych administrator danych będzie musiał komunikować się z osobą, której dane dotyczą, w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Dowiedz się, jak realizować ten wymóg w praktyce.

Jedną z naczelnych zasad przetwarzania danych osobowych na gruncie ogólnego rozporządzenia o ochronie danych (rodo) stała się nieznana dotychczas zasada przejrzystości. Kreuje ona nowy standard w stosunkach między administratorem danych a osobą, której dane dotyczą. Przedmiotem troski i zainteresowania administratorów ma być teraz nie tylko treść komunikatów kierowanych do osób, których dane dotyczą. Równie istotna staje się także ich forma, która musi być przystępna dla odbiorców. Za przestrzeganie zasady przejrzystości odpowiada administrator, który w ewentualnych sytuacjach spornych musi umieć wykazać jej przestrzeganie.

Osoba, której dane dotyczą, musi być świadoma swoich praw

Wymóg przejrzystości komunikatów kierowanych do podmiotów danych wprowadzony przez prawodawcę europejskiego stanowi element składowy całej grupy regulacji o charakterze gwarancyjnym. Obejmują one prawa osób, których dane dotyczą, wśród których szeroko pojęte prawo do informacji zajmuje istotne miejsce. To właśnie dysponowanie określonym zestawem informacji, przekazanych z wykorzystaniem odpowiedniego języka, ma pozwolić podmiotowi danych na podjęcie decyzji dotyczącej zarówno ewentualnego przetwarzania dotyczących go danych, jego zakresu, jak i korzystania z przysługujących mu praw, w tym narzędzi ochrony prawnej.

Ma to skutkować faktycznym wzmocnieniem pozycji podmiotu danych i zapewnieniem mu realnej kontroli prawidłowości przetwarzania dotyczących go danych. Dlatego właśnie, jak czytamy w motywie 39 rodo, „osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem”. Zadanie to ma zrealizować administrator.

Ważne:

Zasada przejrzystości oznacza przekazywanie podmiotowi danych określonych informacji, odpowiednim językiem tak, by mógł on podjąć decyzję o przetwarzaniu swoich danych.

Unikaj sformalizowanego języka

Na mocy art. 12 rodo na administratora nałożono obowiązek prowadzenia komunikacji z osobą, której dane dotyczą, w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Reguły te dotyczą przekazywania informacji zarówno w związku z realizacją obowiązku informacyjnego (w przypadku bezpośredniego i pośredniego pozyskiwania danych), jak i wykonywaniem przez podmiot danych przysługujących mu wobec administratora uprawnień.

Dla takich przypadków ogólne rozporządzenie o ochronie danych wprowadza wymogi dotyczące jakości komunikatów kierowanych do osób, których dane dotyczą. Obowiązują one niezależnie od tego, czy do komunikacji z podmiotem danych dochodzi w wyniku jego inicjatywy (np. na skutek złożenia zapytania o przetwarzanie jego danych), czy na skutek działania samego administratora. Co więcej, w motywie 58 rodo wskazuje się, że także informacje kierowane do ogółu społeczeństwa powinny spełniać te kryteria.

Realizując wymogi wynikające ze wskazanych regulacji i przygotowując treści skierowane do podmiotów danych, należy unikać sformalizowanego, zawiłego języka, który utrudnia ich przyswojenie. Jest to zadanie tym bardziej trudne, biorąc pod uwagę hermetyczny język, charakterystyczny dla samego ogólnego rozporządzenia o ochronie danych. Przez profesjonalistów może być on oceniany jako stosunkowo precyzyjny, jednak z punktu widzenia przeciętnego odbiorcy jest mało czytelny.

Dostosuj komunikat do odbiorców

Formułując określoną wiadomość, poza katalogiem niezbędnych do przekazania informacji, administrator powinien uwzględnić krąg jej odbiorców. Należytą realizację zasady przejrzystości należy oceniać właśnie z punktu widzenia grupy docelowych adresatów danego komunikatu. Jeśli treść informacji była zrozumiała i mogła zostać stosunkowo łatwo przyswojona przez osoby o podobnych możliwościach poznawczych, to należy uznać, że nie doszło do jej naruszenia, nawet jeśli przez konkretną osobę nie została w pełni zrozumiana albo została zrozumiana błędnie.

Uwaga

Szczególną starannością administrator powinien wykazać się w przypadku komunikatów skierowanych do dzieci. Warto w tym przypadku sięgać po dodatkowe narzędzia np. w celu zwiększenia czytelności klauzul informacyjnych, administrator może je dodatkowo wzbogacić o standardowe znaki graficzne, które w widoczny, zrozumiały i czytelny sposób, przedstawią sens zamierzonego przetwarzania.

Nie należy zapominać, że art. 12 ogólnego rozporządzenia o ochronie danych reguluje także tryb, terminy i formy udzielania informacji przez administratora osobie, której dane dotyczą, oraz wykonywania przysługujących podmiotowi danych praw. Wprowadza także generalną zasadę braku opłat z tytułu podawania informacji i prowadzenia komunikacji z osobą, której dane dotyczą, oraz przewiduje wyjątki od niej.

Przygotowania zacznij już teraz

Biorąc pod uwagę całość regulacji art. 12 rodo, czas, który pozostał do wdrożenia ogólnego rozporządzenia o ochronie danych, należy wykorzystać na wypracowanie nowego modelu komunikacji z podmiotem danych, a także wprowadzenie takich procedur wewnętrznych, które faktycznie ułatwią osobom, których dane dotyczą, realizacje uprawnień zagwarantowanych im na gruncie ogólnego rozporządzenia o ochronie danych.

Dla znaczącej grupy administratorów będzie to stanowiło dodatkowe wyzwanie, związane z wdrożeniem nowych przepisów. Nie jest bowiem tajemnicą, że do tej pory większość podmiotów przetwarzających dane skupiała się na realizacji obowiązków informacyjnych oraz niezbędnej komunikacji z podmiotami danych, przede wszystkim od strony formalnej. Tym bardziej nie należy zapominać, o sankcji możliwej do zastosowania wobec administratora, naruszającego zasadę przejrzystości, którą jest administracyjna kara pieniężna w maksymalnej wysokości.

Uwaga

Za naruszenie praw osób, których dane dotyczą, których elementem jest zasada przejrzystości, ogólne rozporządzenie o ochronie danych przewiduje karę finansową w maksymalnej wysokości do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Podstawa prawna: 
  • rozporządzenie Parlamentu Europejskiego i Rady (UE) z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Monika Brzozowska-Pasieka

Autor: Joanna Łuczak-Tarka

doktor nauk prawnych, prawnik w Lubasz i Wspólnicy – Kancelaria Radców Prawnych sp. k., członek Rady Programowej Centrum Ochrony Danych Osobowych i Zarządzania Informacją UŁ, nauczyciel akademicki, ekspert z zakresu ochrony danych osobowych i dostępu do informacji publicznej

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x