Jednym z najważniejszych zadań administratorów danych osobowych pod rządami RODO będzie realizacja względem osób, których dane dotyczą, obowiązku informacyjnego.

Ponieważ katalog informacji jakie trzeba będzie przekazywać znacznie się powiększył w stosunku do dotychczasowych przepisów, powstało wiele pytań i wątpliwości, w jaki sposób realizować obowiązek informacyjny, aby zachować zgodność z RODO, nie zniechęcając przy okazji klientów firmy zbyt rozbudowanymi komunikatami.

Dodatkowo, warto wziąć pod uwagę aspekt pragmatyczny – im dłuższa informacja, tym większe prawdopodobieństwo, że osoba, do której jest ona adresowana, w ogóle jej nie przeczyta, ponieważ szkoda jej będzie czasu jaki musiałaby na to poświęcić lub po prostu nie będzie chciała podejmować wysiłku intelektualnego.

Na prowadzonych przeze mnie szkoleniach z RODO pytania o sposób, zakres i formę realizacji obowiązku informacyjnego pojawiają się bardzo często.

Niedawno Grupa Robocza art. 29 (dalej: GR29), niezależny unijny zespół ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, opublikowała nowe wytyczne w zakresie przejrzystości pod rządami rozporządzenia 2016/679. Znajdujemy w nim wiele ważnych wskazówek dotyczących sposobu wykonywania przez administratora obowiązku informacyjnego z RODO.

Przede wszystkim GR 29 przyznała, że stosowanie rozbudowanych komunikatów może prowadzić do „zmęczenia informacyjnego” odbiorcy (ang. information fatigue).

W celu uniknięcia zniechęcenia osoby, której dane dotyczą, do zapoznania się z treścią przydługiej informacji, GR29 uznaje zasadność dokonania selekcji i przekazania w pierwszej kolejności najistotniejszych wiadomości, takich jak:

1. tożsamość administratora,
2. cele przetwarzania,
3. opis praw osoby, której dane dotyczą.

W zakres tej „pierwszej warstwy informacyjnej” powinny wchodzić również informacje o przetwarzaniu, które ma największy wpływ na osoby, których dane dotyczą, i mogłoby je zaskoczyć. Na ich podstawie osoba powinna zrozumieć, jakie konsekwencje będzie miało dla niej konkretne przetwarzanie jej danych osobowych przez danego administratora.

Powyższe podejście wynika z faktu, że nie wszystkie informacje, które administrator ma obowiązek przekazać osobie zgodnie z art. 13 i 14 RODO, mają dla niej taką samą wagę. Wskazane jest potraktowanie niektórych z nich priorytetowo.

GR29 wskazała informacje, które jej zdaniem mają najistotniejsze znaczenie, przy czym w konkretnych okolicznościach przetwarzania, może okazać się zasadne przekazanie już na samym początku także innych, ważnych informacji, których Grupa nie wymieniła w wydanych przez siebie wytycznych. Ostatecznie, to administrator będzie miał obowiązek wykazać, że dokonał właściwej priorytetyzacji, w ramach zasady rozliczalności.

Dalsze informacje, które zgodnie z RODO administrator ma obowiązek przekazać (czyli te trochę mniej istotne), mogą być udostępnione np. w postaci linków, które będą bezpośrednio odsyłać zainteresowane osoby do sekcji z pełną treścią tych informacji.

Jeżeli administrator zdecyduje się na wskazane przez GR29 rozwiązanie polegające na warstwowym przekazywaniu wymaganych przez RODO informacji, mimo to powinien on w każdym przypadku zapewnić, aby kompletna informacja adresowana do osób, których dane dotyczą, była dostępna w jednym miejscu lub w jednym dokumencie.

Istotne znaczenie ma jakość, dostępność i zrozumiałość informacji.

Klauzule informacyjne powinny być na tyle łatwo dostępne, aby osoba, której dane dotyczą, nie musiała np. aktywnie przeszukiwać strony internetowej administratora w celu dotarcia do stosownych informacji. W przypadku pozyskiwania danych osobowych za pomocą formularza dostępnego na stronie www, klauzula informacyjna powinna być zamieszczona na stronie z formularzem, niezależnie od innych dokumentów dot. prywatności dostępnych w serwisie.

Na podstawie przekazanych informacji osoba, której dane dotyczą, ma mieć możliwości dokonania zawczasu oceny, jakie będą konsekwencje związane z przetwarzaniem jej danych.

Informacja powinna być przekazana językiem na tyle jasnym i prostym, aby była ona zrozumiała dla przeciętnego odbiorcy z grupy docelowej. GR29 wskazuje, że należy ją przekazać „w sposób najprostszy jak to jest możliwe”, unikając przy tym złożonych zdań lub struktur językowych, a także nadmiernie technicznego, prawniczego lub specjalistycznego słownictwa.

W przypadkach, w których administrator zdecyduje się zrealizować obowiązek informacyjny ustnie, np. poprzez nagrany komunikat uruchamiany podczas rozmowy telefonicznej, należy zapewnić osobie, której dane dotyczą, możliwość jego ponownego odsłuchania.

Jeżeli chodzi o sposób realizacji obowiązku informacyjnego, za niezbędne minimum uznaje się zapewnienie publicznej dostępności nowej klauzuli informacyjnej (np. na stronie internetowej administratora). Niemniej, jeżeli zmiany lub dodatki do treści wcześniej przekazanej informacji mają istotniejszy charakter, powinny być one dostarczone zainteresowanej osobie bezpośrednio. W niektórych przypadkach publiczne udostępnienie informacji może być zatem uznane za niewystarczające.

Konieczność realizacji przez administratora obowiązku informacyjnego jest niezależna od tego, w jaki sposób wszedł on w posiadanie danych osobowych.

Możemy w tym zakresie wyróżnić dwa przypadki:

1. administrator zebrał dane osobowe bezpośrednio od osoby, której dane dotyczą,
2. administrator pozyskał dane osobowe z innych źródeł, np. od innej osoby, ze źródeł publicznie dostępnych lub od innego administratora danych.

W pierwszym przypadku zrealizowanie  obowiązku informacyjnego jest łatwiejsze, ponieważ zachodzi bezpośrednia interakcja pomiędzy administratorem a osobą, której dane dotyczą. W takiej sytuacji, klauzula informacyjna ma być dostępna bezpośrednio podczas pozyskiwania danych. Dotyczy to także przypadków, w których dane są zbierane przez administratora bezpośrednio od osoby, za pomocą środków komunikacji elektronicznej.

Z kolei w drugim przypadku, administrator najpierw wchodzi w posiadanie danych, a dopiero potem może zrealizować obowiązek informacyjny. Istnieje zatem odstęp czasu pomiędzy pozyskaniem danych a przekazaniem wymaganych informacji osobie, której dane dotyczą.

O ile nie zachodzi żaden z wyjątków od konieczności wykonania obowiązku informacyjnego względem osoby, których dane zostały pozyskane z innego źródła, administrator musi przekazać wymagane w RODO informacje w nieprzekraczalnym terminie 1 miesiąca od pozyskania danych. Nie powinien jednak zwlekać do końca tego terminu, ale starać się zrealizować ten obowiązek w miarę możliwości jak najszybciej.

W wydanych wytycznych GR29 podkreśliła również, że wymogi z RODO w zakresie przejrzystości znajdują zastosowanie niezależnie od podstawy prawnej oraz obowiązują przez cały cykl życia przetwarzania danych osobowych.

Co istotne, w ramach zasady przejrzystości, administrator powinien również informować osobę, której dane dotyczą, o istotnych zmianach w zakresie przetwarzania jej danych.

W szczególności, jeżeli administrator planuje rozpoczęcie przetwarzania danych w innym celu niż ten, dla którego zostały zebrane, ma obowiązek poinformować o tym osobę, której dane dotyczą, z odpowiednim wyprzedzeniem. Niedozwolone jest przetwarzanie danych w takim innym celu bez uprzedniego poinformowania tej osoby. W przypadku gdy podstawą przetwarzania danych była zgoda, może zachodzić konieczność odebrania osobnej zgody na przetwarzanie danych osobowych w nowym celu.

Przetwarzanie danych to proces, dlatego jednorazowe zrealizowanie obowiązku informacyjnego wobec danej osoby może okazać się niewystarczające w przypadku firmy, która ciągle się rozwija. Aby zachować zaufanie swoich klientów, powinna ona zadbać, aby mieli oni aktualną informację o tym, w jaki sposób ich dane są przetwarzane.