„Obowiązek informacyjny” - szkolenie dla IOD , 28 lutego 2019 r.
RODO znacząco rozszerzyło zakres obowiązku informacyjnego ciążącego na administratorach. Temu, jak go poprawnie realizować, poświęcone było 16. szkolenie dla inspektorów ochrony danych, które odbyło się 28 lutego 2019 r. w Warszawie.
Informacja jest kluczowa dla przetwarzania
Obecnie administrator musi podać osobom, których dane przetwarza, więcej informacji. Za sprawą RODO, czyli ogólnego rozporządzenia o ochronie danych, musi wskazać okres, przez jaki będzie przechowywał dane czy podać dane kontaktowe do inspektora ochrony danych (IOD), jeśli go wyznaczył. Ma też obowiązek poinformować osoby, o ile będzie ich to dotyczyło, o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu. Istotne jest informowanie o prawie do cofnięcia zgody w dowolnym momencie czy o prawie wniesienia skargi do Prezesa UODO. Nie może zapomnieć też, że gdy zbiera czyjeś dane od osób trzecich lub ze źródeł powszechnie dostępnych albo je kupuje, staje się ich administratorem i również musi dopełnić obowiązku informacyjnego. Nawet gdy jest to tylko numer telefonu lub adres e-mail.
– Wynikający z RODO obowiązek informacyjny ma być komunikacją człowieka do człowieka. Ma przejść z papieru do umysłów, z odhaczania na liście przykrego zadania na realne, aktualne i stałe wywiązywanie się z obowiązku, dla dobra osób, których te dane dotyczą – stwierdził Mirosław Sanek, zastępca Prezesa Urzędu Ochrony Danych Osobowych, otwierając szkolenie.
Zasada przejrzystości
Podczas szkolenia prelegenci zwrócili uwagę, jak ważna przy realizacji obowiązku informacyjnego jest zasada przejrzystości.
– Jeśli od administratora wymaga się, że ma zachowywać się uczciwie wobec osoby, której dane dotyczą, to w dużym stopniu musi zapewnić, aby była ona poinformowana i rozumiała, co dzieje się z jej danymi osobowymi – stwierdził Piotr Drobek, dyrektor Zespołu Analiz i Strategii w UODO, omawiając podczas szkolenia dla IOD, zasadę przejrzystości w świetle RODO.
Zasady zgodnego z prawem, rzetelnego i przejrzystego przetwarzania nie bez powodu zajmują pierwszą pozycję w katalogu zasad dotyczących przetwarzania danych osobowych i są ze sobą powiązane. W praktyce oznaczają one, że osoba, której dane dotyczą, powinna zostać poinformowana o podjęciu operacji przetwarzania i jej celach, a także o ryzyku, zasadach, zabezpieczeniach i prawach związanych z przetwarzaniem danych osobowych.
Szczególnie istotny przy spełnieniu przez administratora obowiązku informacyjnego jest odpowiedni stopień przejrzystości i rzetelności skierowanego komunikatu.Jakość, dostępność i zrozumiałość informacji jest tak samo ważna, jak sama treść informacji, która musi zostać udzielona osobom, których dane dotyczą.
Zasada przejrzystości wymaga, by wszelkie informacje i komunikaty związane z przetwarzaniem danych osobowych były łatwo dostępne, zrozumiałe oraz sformułowane jasnym i prostym językiem.
Prelegenci wielokrotnie odwoływali się do techniki prostej polszczyzny. Ta spopularyzowana przez językoznawców z Uniwersytetu Wrocławskiego metoda w tym kontekście jest godnym polecenia narzędziem ułatwiającym tworzenie zrozumiałych komunikatów. Ponadto przy projektowaniu przekazu szczególną uwagę należy zwrócić na treści adresowane do dzieci. Innym sposobem, który może ułatwić administratorom wywiązywanie się z obowiązku informacyjnego jest warstwowe informowanie, jednak musi być ono dopasowane do rodzaju komunikacji. Może się ono sprawdzić, np. przy aplikacjach elektronicznych.
Obowiązek informacyjny sprzyja budowaniu zaufania
Osobne wykłady poświęcone były przejrzystemu informowaniu w kontekście powiadamiania osób o naruszeniu ochrony ich danych osobowych oraz realizacji obowiązku informacyjnego przy monitoringu wizyjnym.
Monika Młotkiewicz, dyrektor Zespołu Współpracy z Administratorami Danych w UODO, podkreślała, że zasada przejrzystości sprzyja m.in. odpowiedzialnemu i uczciwemu podejściu do wykorzystywania danych osobowych. Wskazywała, że jest to odpowiedź na oczekiwania osób fizycznych, które chcą zrozumiałych zasad postępowania z ich danymi oraz poczucia kontroli nad nimi. Wspomniana zasada służy budowaniu trwałych, bo opartych na wzajemnym zaufaniu, relacji między administratorami a osobami, których dane dotyczą, ale także pozyskiwaniu lojalności i otwartości tych osób.
Monika Młotkiewicz, omawiając zastosowanie zasady przejrzystości w kontekście powiadamiania osób o naruszeniu ochrony danych osobowych, wskazała, że administrator powinien:
- użyć jasnego i prostego języka,
- wyjaśnić cel takiego powiadomienia, aby osoby, których dane dotyczą, zrozumiały charakter naruszenia i wiedziały, co muszą zrobić, aby się zabezpieczyć,
- zastosować język, jakiego zwykle używa w komunikacji z osobą, której dane dotyczą. Czasami może być bowiem konieczne np. skorzystanie z komunikacji głosowej (w przypadku osób niewidomych) czy w języku ojczystym, jeśli jest to cudzoziemiec, tak aby osoba, której dane dotyczą, mogła zrozumieć przekazywane informacje.
Uczulała także, aby administrator działał tak, by z komunikatem o naruszeniu bezpieczeństwa danych osobowych dotrzeć do wszystkich osób fizycznych, na które dane naruszenie wywiera wpływ. Może to w praktyce oznaczać, że użyje wielu kanałów przekazywania informacji.
O różnorodności metod informowania wspomniał także Krzysztof Król z Zespołu Analiz i Strategii w UODO, gdy omawiał zasady informowania osób obserwowanych na skutek zastosowania monitoringu wizyjnego. Ponadto zwrócił uwagę, że przydatnym dla administratorów rozwiązaniem może być dokonana przez nich ocena , czy zastosowana metoda komunikacji spełnia potrzeby komunikacyjne odbiorców oraz czy zastosowane rozwiązania komunikacyjne docierają do odbiorcy bez zakłóceń. Dzięki temu administrator łatwiej zbada skuteczność zastosowanego systemu komunikacji.
Realizacja obowiązku informacyjnego przy monitoringu wizyjnym wiąże się z właściwym oznaczeniem miejsc, gdzie będzie on prowadzony. W tym kontekście Krzysztof Król zachęcał, aby stosować formy komunikacji dostępne dla różnych grup odbiorców, w tym szczególnie zadbać o potrzeby komunikacyjne osób z niepełnosprawnościami.
Relacja ze szkolenia dostępna jest poniżej: