Jak realizować obowiązek informacyjny RODO?
Przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679mz dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”) nie wskazują w jaki sposób administrator danych osobowych ma realizować obowiązek informacyjny, o którym mowa w art. 13 i 14 RODO. Wspomniane przepisy wskazują jedynie zakres treściowy klauzul informacyjnych.
Pewne wskazówki co do teko w jaki sposób realizować obowiązek informacyjny odnajdziemy w motywach RODO. Z treści motywu 39 wyłania się generalny zamysł, zgodnie z którym przetwarzanie danych osobowych powinno odbywać się zgodnie z zachowaniem zasady przejrzystości. Wspomniana zasada wymaga zaś, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Motyw 58 ponadto wskazuje, że w stosownych przypadkach informacje mogą być dodatkowo wizualizowane.
Z powyższego wynika, że dla prawidłowego wykonania obowiązku informacyjnego nie zawsze najlepszym rozwiązaniem będzie posłużenie się precyzyjnymi sformułowaniami prawnymi zaczerpniętymi wprost z RODO. Ważny będzie kontekst sytuacyjny, tzn. do adresat komunikatu, w tym jego wiek oraz jego zdolność zrozumienia terminologii prawniczej.
Zakres informacji jakie należy zawrzeć w klauzuli informacyjnej wskazany został w art. 13 i 14 RODO. Jeśli chodzi o sposób w jaki klauzula informacyjna powinna być przekazywana adresatom to poza jednym wyjątkiem RODO również tej kwestii nie wyjaśnia. Wspomniany wyjątek dotyczy momentu przekazania informacji. W przypadku pozyskiwania danych bezpośrednio od osoby, której dotyczą (np. w związku z zakładaniem konta w sklepie internetowym) obowiązek informacyjny powinien być spełniony w chwili pozyskiwania danych. Natomiast jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą (lecz np. pozyskano w związku z nabyciem baz danych lub z jawnych rejestrów) administrator realizuje obowiązek informacyjny:
- w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
- jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
- jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
Od strony technicznej obowiązek informacyjny może być spełniony w dowolny sposób, w szczególności na piśmie, ustnie, przez telefon lub poprzez opublikowanie na stronie internetowej. Jednakże należy pamiętać, że administrator danych musi być w stanie wykazać, iż obowiązek informacyjny wypełnił w sposób prawidłowy. Zarówno co do zakresu i treści komunikatu jak i chwili jego udostępnienia zainteresowanej osobie i co najistotniejsze, że osoba, której dane dotyczą mogła się z nim rzeczywiście zapoznać. W praktyce prawidłowość sposobu realizacji obowiązku informacyjnego zależy od konkretnego przypadku. W każdym jednak przypadku zainteresowanej osobie należy zapewnić realną możliwość zapoznania się z klauzulą informacyjną. W praktyce może to okazać się problematyczne. Istotę problemu pomoże zobrazować ten prosty przykład. Jeśli administratora danych kieruje swe usługi względem osób starszych, to zamieszczenie klauzuli informacyjnej na stronie internetowej administratora może być niewystarczające a nawet niewłaściwe. Nie każda starsza osoba ma bowiem możliwość i umie korzystać z internetu. W tym przypadku należy wybrać inny sposób realizacji tego obowiązku.
Prawidłowe wykonanie obowiązku informacyjnego jest jednym z ważniejszych jakie obciążają administratora danych. Warto poświęcić mu więc nieco uwagi.
komentarze:
Brak komentarzy