Home  ›  Aktualności  ›  Warstwowy obowiązek informacyjny

Warstwowy obowiązek informacyjny

Wyślij link znajomemu

Jednym z podstawowych obowiązków administratora jest poinformowanie osoby, której dane pozyskuje o tym m.in. kto, po co i jak długo będzie te dane przetwarzał oraz jakie prawa przysługują ww. osobie[1].

Obowiązek ten powinien zostać zrealizowany przez administratora w sposób przejrzysty, tak by informacje były sformułowane jasnym i prostym językiem, zrozumiale dla odbiorcy[2]. RODO proponuje rozwiązanie polegające na połączeniu informacji ze standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania[3]. Zdawałoby się zatem, że ilość informacji wymaganych do wyczerpującego wypełnienia obowiązku z art. 13 i 14 RODO wymusi wypracowanie zwięzłej formy przekazu. Tymczasem, praktyka sprowadza się zwykle do przedstawienia zapisanej ciągłym tekstem strony A4 lub systemowego odsyłania do równie rozległego komunikatu. W konsekwencji, niewiele osób zapoznaje się z klauzulą w ogóle.

 

Problem przejrzystości w kontekście obowiązku informacyjnego dostrzegła również Grupa Robocza Art. 29 (obecnie Europejska Rada Ochrony Danych) (dalej: GR29), wskazując: „W RODO istnieje pewien kontrast między, z jednej strony, wymogami przekazania osobom, których dane dotyczą, wyczerpujących informacji wymaganych na podstawie RODO, a z drugiej strony wymogami przekazania tych informacji w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie”.[4] Jednocześnie w swoich wytycznych GR29 zaproponowała rozwiązanie w postaci warstwowych klauzul informacyjnych. Przy ich zastosowaniu obligatoryjne informacje zostają przekazywane sukcesywnie:

 

  • Pierwsza warstwa to zestaw informacji, z którymi osoba zapoznaje się w pierwszej kolejności. Są to szczegóły na temat:
    • Tożsamości administratora.
    • Celów przetwarzania.
    • Opisu przysługujących osobie praw.[5]
  • Druga warstwa to zestaw pozostałych informacji, do których osoba ma dostęp za pośrednictwem innych środków, np. po kliknięciu w link, otrzymania w wiadomości e-mail lub pojawienia się we wskazanym miejscu.[6]

Warstwowe spełnianie obowiązku informacyjnego może być stosowane w różnych formach komunikacji, w tym cyfrowej, telefonicznej czy osobistej oraz przy różnych podstawach przetwarzania.

 

Nie jest to mechanizm nowy, lecz wciąż często pomijany. Jego prawidłowe wykorzystanie pozwala natomiast, zgodnie z założeniami GR29, wyeliminować przeładowanie informacyjne oraz zrównoważyć kwestie kompletności i zrozumienia. To z kolei niewątpliwie przyczynia się nie tylko do zapoznania się z klauzulą przez jej odbiorcę, lecz również do świadomego korzystania z przysługujących praw.

 

Dodatkowym aspektem przemawiającym za tym, aby zwracać uwagę na poprawne wypełnianie obowiązku informacyjnego jest czujność organu nadzorczego. Na przestrzeni ponad 4 lat obowiązywania RODO można już odnotować, że Prezes Urzędu Ochrony Danych Osobowych przygląda się tej kwestii. Za uchybienia w przedmiotowym zakresie, poza oczywistym nakazem do uzupełnienia klauzuli, w 2019 r. nałożona została na jeden z podmiotów kara finansowa w wysokości 943.470,00 PLN[7].

 

Autor: Karolina Jarosz

 

[1] Art. 13 i 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: „RODO”)

[2] Art. 5 i motyw 39 RODO

[3] Motyw 60 RODOprawie przejrzystości na podstawie rozporządzenia 2016/679, zmienione i przyjęte w dniu 11 kwietnia 2018 r. (dalej: „Wytyczne”)

[5] Pkt 36 i 38 Wytycznych

[6] Pkt 38 Wytycznych

[7] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 15 marca 2019 r., sygn. ZSPR.421.3.2018