Szukaj

RODO – jak najskuteczniej podać informację o przetwarzaniu danych?

Aktualizacja: 17 lut 2019


Wiesz już, jak najprościej sformułować informację o przetwarzaniu danych osobowych (pisałam o tym tutaj). Dziś o tym, w jakiej formie najlepiej ją podać. Ważna jest bowiem nie tylko zrozumiała treść, ale również przyjazny sposób jej udostępnienia.


Powiadomienie zawierające informację o przetwarzaniu danych osobowych nazywa się zazwyczaj powiadomieniem o ochronie danych, informacją o polityce prywatności, polityką ochrony prywatności, oświadczeniem o ochronie prywatności lub informacją o rzetelnym przetwarzaniu. RODO nie określa sposobu udzielania informacji osobie, której dane dotyczą, ale stwierdza wyraźnie, że administrator danych ma obowiązek podjąć „odpowiednie środki” dla zapewnienia przejrzystości. Wybierając właściwy sposób i format udzielania informacji, administrator danych powinien uwzględnić wszelkie okoliczności zbierania i przetwarzania danych, a zwłaszcza doświadczenie użytkownika produktu lub usługi. Oznacza to, że administrator musi ustalić:

1) z jakiego urządzenia korzysta użytkownik

2) jak w związku z tym przebiega komunikacja z administratorem danych oraz

3) jakie ograniczenia wynikają z tych dwóch czynników.

Dzięki udokumentowaniu takiego podejścia administratorzy danych będą mogli wykazać, dlaczego wybrany przez nich sposób jest najwłaściwszy w danych okolicznościach. Wcześniej mogą sprawdzić różne sposoby w drodze testowania przez użytkownika, tak aby uzyskać informacje zwrotne od użytkownika na temat przystępności, zrozumiałości i łatwości stosowania proponowanego sposobu.

Podanie informacji


Zgodnie z RODO administrator danych ma obowiązek podać informacje osobie, której dane dotyczą. Słowo „podać” jest tutaj kluczowe. Oznacza ono, że administrator danych musi czynnie podjąć działania w celu udzielenia informacji osobie, której dane dotyczą lub czynnie skierować ją do miejsca, w którym znajdują się te informacje.



Nie możesz zmuszać tej osoby do czynnego wyszukiwania informacji. Miejsce i sposób dostępu do informacji powinny być od razu dla niej oczywiste. Możesz jej te informacje podać bezpośrednio, w formie linków, wyraźnie je oznakować lub podać jako sformułowane w przystępny sposób odpowiedzi na pytania, a także zachęcić do skorzystania z kodu QR. Nie stosuj schematów kolorystycznych, które sprawią, że tekst lub link są mniej widoczne lub trudniejsze do zlokalizowania na stronie internetowej.

Przykład:

Jeśli prowadzisz działalność gospodarczą i masz stronę internetową, zamieść na niej informację o polityce prywatności. Na każdej podstronie tej strony powinien się znaleźć bezpośredni link do informacji o polityce prywatności w formie powszechnie stosowanego hasła, np. „Ochrona prywatności", „Polityka ochrony prywatności" lub „Informacja o polityce prywatności".


Wszystkie informacje skierowane do osoby, której dane dotyczą, powinny być dla niej również dostępne w jednym miejscu lub w ramach jednego dokumentu (elektronicznego na stronie internetowej lub papierowego), który powinien być łatwo dostępny na wypadek, gdyby osoba ta chciała zapoznać się z całością informacji.


Przykład:

W momencie zbierania danych osobowych w środowisku online podaj link do informacji o polityce prywatności lub udostępnij informację na tej samej stronie, na której zbierasz dane osobowe.


Warstwowe informacje


Jeżeli administrator danych działa w internecie, powinien korzystać z warstwowej informacji o polityce prywatności. Może wtedy połączyć różne metody dla zapewnienia przejrzystości. Lepiej korzystać z warstwowych informacji o polityce prywatności aby odsyłać do różnych kategorii informacji, niż wyświetlać na ekranie wszystkie informacje w formie ciągłego tekstu. Dzięki temu można uniknąć przeładowania informacyjnego. Warstwowe informacje o polityce prywatności pomogą zrównoważyć kwestie kompletności i zrozumienia, w szczególności dzięki umożliwieniu użytkownikom bezpośredniego przejścia do tej sekcji informacji, którą chcą oni przeczytać.



Warstwowe informacje o polityce prywatności nie mają być zwykłymi podstronami, które wymagają kilku kliknięć, aby dotrzeć do danej informacji. Struktura i wygląd pierwszej warstwy informacji o polityce prywatności powinna dawać osobie, której dane dotyczą, jasny obraz, jakie informacje są dostępne na temat przetwarzania jej danych osobowych, oraz gdzie i w jaki sposób może je znaleźć w warstwach informacji. Pierwsza warstwa powinna zawierać informacje na temat przetwarzania, które ma największy wpływ na osobę, której dane dotyczą, zwłaszcza takiego, które może ją zaskoczyć. Chodzi o to, aby osoba ta była w stanie zrozumieć na podstawie informacji zawartych w pierwszej warstwie, jakie konsekwencje pociągnie za sobą dla niej to przetwarzanie. Informacje zawarte w poszczególnych warstwach powinny być ze sobą spójne i nie mogą być wewnętrznie sprzeczne.


Pulpit nawigacyjny

Pulpit nawigacyjny prywatności to miejsce, z którego osoby, których dane dotyczą, mogą przeglądać informacje i zarządzać swoimi preferencjami w zakresie prywatności, zezwalając na określone sposoby wykorzystania danych przez usługę albo uniemożliwiając takie wykorzystanie. Jest to szczególnie przydatne, gdy osoby, których dane dotyczą, korzystają z tej samej usługi na różnych urządzeniach. Mają wtedy im dostęp do swoich danych osobowych i kontrolę nad nimi bez względu na sposób korzystania z usługi.


Łatwiej jest też wtedy spersonalizować informację o polityce prywatności poprzez uwzględnienie jedynie tych rodzajów przetwarzania, które są stosowane wobec danej osoby. Włączenie pulpitu nawigacyjnego prywatności do istniejącej architektury usługi zapewni intuicyjność dostępu. Informacje na temat ochrony prywatności będą wtedy stanowiły konieczną i integralną część usługi, w przeciwieństwie do obszernych i ogólnych polityk prywatności zredagowanych w żargonie prawniczym.


Powiadomienie typu „just-in-time”


Wykorzystuje się aby przekazać konkretne informacje dotyczące prywatności w najodpowiedniejszym czasie dla osoby, której dane dotyczą. Metoda ta ułatwia podawanie informacji na różnych etapach procesu pozyskiwania danych. Pomaga też podzielić przekazywane informacje na krótsze, łatwiejsze do zrozumienia części, niż w przypadku całej, długiej polityki prywatności.


Przykład

Jeżeli osoba, której dane dotyczą, zakupi produkt przez internet, krótkie informacje wyjaśniające możesz podać w wyskakujących okienkach towarzyszących odpowiednim polom tekstu. Informacje podane obok pola zawierającego prośbę o numer telefonu, mogłyby na przykład zawierać wyjaśnienie, że dane te są zbierane wyłącznie do celów kontaktów w sprawie zakupu oraz że zostaną ujawnione wyłącznie do celów usługi doręczenia.



Inne sposoby podania informacji


  • Forma papierowa

- wyjaśnienia pisemne, ulotki, informacje w dokumentacji umownej, komiksy, infografiki lub schematy blokowe


  • Forma telefoniczna

- wyjaśnienia ustne przez człowieka w formie udzielania odpowiedzi na pytania

- zautomatyzowane bądź nagrane wcześniej informacje umożliwiające wybór opcji odsłuchania informacji.


  • Internet rzeczy

- znaki graficzne, kody QR, ostrzeżenia głosowe, informacje pisemne zawarte w papierowych instrukcjach konfiguracji, filmy wideo zawarte w cyfrowych instrukcjach konfiguracji, informacje pisemne na temat urządzenia inteligentnego, wiadomości wysłane SMS-em lub pocztą elektroniczną, tablice informacyjne, oznakowanie informacyjne, publiczne kampanie informacyjne.


  • Kontakty bezpośrednie

- udział w sondażu opinii publicznej, osobista rejestracja w celu skorzystania z usługi, wyjaśnienia ustne lub pisemne przekazane w formie papierowej lub elektronicznej.


  • Monitoring wizyjny:

- widoczne tablice zawierające informacje, oznakowanie informacyjne, publiczne kampanie informacyjne, ogłoszenia w mediach.


Narzędzia wizualizacyjne


RODO przewiduje wykorzystanie narzędzi wizualizacyjnych, takich jak znaki graficzne, mechanizmy certyfikacji oraz znaki jakości i oznaczenia w dziedzinie ochrony danych. Nie możesz jednak wykorzystywać znaków graficznych aby zastąpić nimi czynne wykonywanie obowiązków administratora danych. Znaki graficzne mają być stosowane dla zwiększenia przejrzystości informacji, dzięki ograniczeniu konieczności przekazywania dużych ilości informacji pisemnych.


Użyteczność znaków graficznych zależy jednak od standaryzacji symboli i rysunków, które mają być powszechnie wykorzystywane i uznawane w całej UE.   Opracowanie kodu znaków graficznych ma się opierać na podejściu opartym na dowodach. To znaczy, że zanim dojdzie do standaryzacji, trzeba przeprowadzić badania skuteczności znaków graficznych. Takich badań jeszcze nie przeprowadzono. Tymczasem więc pozostają Ci sposoby wskazane powyżej.





Źródła:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG), OJ L 119, 4.5.2016, p. 1–88.

Grupa Robocza Art. 29, Wytyczne w sprawie przejrzystości na podstawie rozporządzenia 2016/679, 17/PL GR260 rev.01.

©2018 by joannaosiejewicz.