Jednym z wielu wyzwań stawianych przed administratorami danych – a więc wszystkimi przedsiębiorcami – jest kwestia realizacji obowiązku informacyjnego. Jaka powinna być treść klauzuli, gdzie ją zamieścić, kiedy zapoznać z nią podmioty danych i czy faktycznie jest to aż tak skomplikowane?
RODO a biznes
Od wejścia w życie unijnego ogólnego rozporządzenia o ochronie danych (RODO) przed administratorami danych postawiony został cały szereg nowych wyzwań. Szerzej o nowych obowiązkach dla przedsiębiorców w związku z RODO pisałem w tekście: Zgodność z RODO cały czas musi być priorytetem.
Jednym z nich jest konieczność realizowania – w szerszym niż w czasie obowiązywania ustawy o ochronie danych osobowych z 1997 r. zakresie – obowiązku informacyjnego wobec podmiotów danych.
Jak pokazało 5 lat stosowania unijnego rozporządzenia w Polsce oraz jego interpretowania – czy raczej nadinterpretowania – sposobów realizacji obowiązku może być cały wachlarz. Na nieszczęście dla biznesu, proponowane rozwiązania wiązać się mogą z utrudnieniami w prowadzeniu działalności lub też zakrawają o nieśmieszny żart (jak chociażby klauzule informacyjne na wizytówkach).
Zobacz procedurę w LEX: Realizacja obowiązku informacyjnego przy gromadzeniu danych osobowych >
RODO i związane z nim obowiązki niestety często kojarzą się bardziej ze złem koniecznym i progiem zwalniającym dla biznesu, niż ze sposobem na podniesienie poziomu bezpieczeństwa oraz zaufania do organizacji wśród klientów i kontrahentów. Ale czy faktycznie musi tak być?
Czytaj też: Co wie o nas Barbie? Lepiej sprawdzić, jakie dane zbiera zabawka
Co zawrzeć w klauzuli?
Szczegółowy zakres informacji, które należy przekazać osobie, której dane dotyczą, znajduje się w art. 13 RODO. Zgodnie z jego brzmieniem, administrator informuje m.in. o celach, w których dokonuje przetwarzania, odbiorcach danych czy przysługujących osobom prawach, w związku z przetwarzaniem ich danych osobowych.
Co jednak w przypadku, gdy dane pozyskiwane są w inny sposób, niż od osoby, której dane dotyczą? Taka sytuacja ma miejsce m.in. podczas kupowania gotowych baz danych. Wówczas z pomocą przychodzi art. 14 RODO, zgodnie z którym konieczne będzie także wskazanie źródła pochodzenia danych.
Poprawne sformułowanie klauzuli informacyjnej - w zakresie większości punktów - nie powinno stanowić problemu dla świadomych administratorów. Wyzwaniem może być jednak określenie okresów przechowywania danych, podstaw prawnych przetwarzania, czy prawnie uzasadnionych interesów, w przypadku powoływania się na podstawę z art. 6 ust. 1 lit. f RODO.
By zniwelować ryzyko związane z nieprawidłową realizacją obowiązku informacyjnego, warto skonsultować treść klauzuli z profesjonalną firmą doradczą.
Czytaj w LEX: Wypełnienie obowiązków informacyjnych wobec osoby, której dane dotyczą >
Prosty język
W celu zadbania o poprawność treści obowiązku informacyjnego, administrator nie musi posługiwać się skomplikowanym językiem prawniczym. Rezygnacja z niego, na ile to możliwe, będzie postrzegana jako plus (w ramach zasady przejrzystości). Tym bardziej, że treści mają być zrozumiałe i przystępne dla ich odbiorcy, który niekoniecznie będzie dobrze odnajdował się w meandrach prawniczej nomenklatury.
Instrukcje w zakresie sposobu komunikowania informacji o przetwarzaniu danych osobowych możemy znaleźć m.in. w motywie 39 RODO. Zgodnie z jego treścią: „(…) Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem”.
Zobacz nagranie szkolenia w LEX: Tworzenie klauzul informacyjnych na przykładach >
Długie klauzule utrudnieniem dla biznesu
Gdy dysponujemy już treścią klauzul informacyjnych dla poszczególnych procesów, w ramach których będzie dochodziło do przetwarzania danych osobowych (np. sklep internetowy, rekrutacja, newsletter), pozostaje pytanie, w którym miejscu je umieścić. I czy muszą one być aż tak długie?
Zgodnie z RODO administrator powinien spełnić obowiązek informacyjny już w momencie zbierania danych. W praktyce oznacza to, że klauzula powinna być dostępna dla danych podmiotów na etapie, w którym będą oni podejmować decyzję o przekazaniu danych, np.: w formie uczestnictwa w programie lojalnościowym, założeniu konta, czy przesłaniu wiadomości w ramach formularza kontaktowego na stronie internetowej.
Mając na uwadze duży zakres informacji, które muszą zostać przekazane w klauzuli, pojawia się wiele wątpliwości biznesowych dotyczących m.in. czytelności strony internetowej czy chociażby utrudniania klientowi sklepu online zakupu produktu. I tutaj z pomocą przychodzą warstwowe klauzule informacyjne.
Grupa Robocza Art. 29 (obecnie Europejska Rada Ochrony Danych) dostrzegła trudność w zachowaniu balansu pomiędzy udzieleniem podmiotom wyczerpujących informacji na temat przetwarzania ich danych, a formułowaniem zwięzłej, czytelnej i łatwo dostępnej treści komunikatu. Rozwiązaniem tego problemu okazało się być dopuszczenie używania tzw. warstwowych klauzul informacyjnych.
W pierwszej warstwie komunikatu kierowanego do podmiotów danych muszą zostać zawarte informacje takie jak: tożsamość administratora, cele przetwarzania, prawa przysługujące podmiotom danych. Na tym etapie warto jest także wskazać miejsce (załączyć odnośnik do pliku lub strony), w którym odbiorca komunikatu będzie mógł zapoznać się z drugą warstwą, czyli kompletną klauzulą informacyjną zawierającą wszystkie elementy, o których mowa w art. 13 i 14 RODO. Tego typu rozwiązanie pozwala na zrealizowanie obowiązku bez konieczności „straszenia” klienta np. koniecznością scrollowania kilku stron tekstu, co znacząco mogłoby przyczynić się do jego rezygnacji z zakupów na stronie.
Zobacz LEX News: Korzystanie z wyłączeń realizacji obowiązku informacyjnego z art. 13 i art. 14 RODO na przykładach >
Kary finansowe
Brak realizacji obowiązku informacyjnego wobec podmiotów danych może skutkować nałożeniem przez Urząd Ochrony Danych Osobowych kar finansowych. RODO wskazuje górne progi sankcji. Są nimi: do 10 mln euro lub do 2 proc. wartości rocznego światowego obrotu przedsiębiorstwa oraz do 20 mln euro lub do 4 proc. takiego obrotu.
Wysokość sankcji zależna jest od wielu czynników, do których należą m.in. czas trwania naruszenia przepisów, czy liczba osób objętych takim naruszeniem. Polski organ nadzoru w marcu 2019 r. wymierzył karę ponad 940 tys. zł firmie Bisnode Polska sp. z o.o. związku z niedopełnieniem art. 14 RODO.
Czytaj w LEX: Prawo dostępu do danych oraz uzyskania informacji o przetwarzaniu >
Podsumowanie
Warto także pamiętać, że realizacja obowiązku informacyjnego jest równie istotna, co dopełnienie innych zawartych w RODO wymogów. Biorąc pod uwagę różnorodność celów przetwarzania danych, podstaw prawnych, na których są one oparte, oraz sposobów przetwarzania, niemożliwe będzie zastosowanie jednego szablonu do wszystkich okoliczności.
Chociaż z perspektywy administratora obowiązek ten na pierwszy rzut oka może jawić się jako próg zwalniający dla biznesu, to poprawna interpretacja przepisów i wytycznych umożliwi zrealizowanie go w sposób prosty i bezbolesny. Co nie oznacza, że kiedykolwiek zapomnimy o wspomnianych wcześniej wizytówkach z legendarną już formułą „Administratorem Twoich danych jest…”.
Czytaj w LEX: Nowoczesne formy marketingu w świetle przepisów RODO >
Oskar Zacharski, prawnik, inspektor ochrony danych, audytor ISO 27001, autor publikacji branżowych
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
