W sposób szczególny zmiany wynikające z RODO dają się zauważyć w utworach literackich określanych mianem: „klauzula informacyjna”.
Są to opracowania wynikające wprost z Rozdziału III Prawa osoby, której dane dotyczą. Podstawą prawną do takiej twórczości jest wariantowe zestawienie artykułów 12. i 13. (jeśli dane osobowe są zbierane bezpośrednio od osoby, której dotyczą) lub artykułów 12. i 14. (jeśli dane osobowe zostały pozyskane inaczej niż bezpośrednio od osoby, której dotyczą).
Co to oznacza w praktyce…
- Klauzula informacyjna powinna być napisana w prosty sposób, przy użyciu ogólnie stosowanych słów i sformułowań, przez co powinna być łatwa do zrozumienia dla przeciętnego czytelnika. Jest to szczególnie istotne wtedy, kiedy jej czytelnikiem będzie dziecko.
- Elementem obligatoryjnym jest podanie danych identyfikacyjnych administratora, który będzie te dane przetwarzać. Dodatkowo, jeśli w przetwarzaniu mają udział inne podmioty, to należy przedstawić dane dotyczące odpowiednio;
- przedstawiciela administratora – osoby lub podmiotu, który w kraju reprezentuje administratora, który jest podmiotem zagranicznym,
- kontaktu z inspektorem ochrony danych osobowych – specjalistą, który wspiera administratora w realizacji działań przetwarzania danych osobowych,
- procesora – podmiotu realizującego przetwarzanie danych osobowych w celach i sposobami wskazanymi przez administratora.
- Na kolejnych miejscach RODO nakazuje poinformować o:
- celach i podstawach legalności przetwarzania,
- w zależności od zaistnienia:
- o prawnie uzasadnionych interesach administratora,
- o odbiorcach danych osobowych i kategoriach danych do przekazania,
- o zamiarze przekazania danych od innych podmiotów, krajów trzecich lub organizacji międzynarodowych,
- czasie przetwarzania albo o przesłankach, które wpływają na długość tego czasu,
- prawach osoby, której dane są przetwarzane:
- do żądania dostępu do danych, ich sprostowania, usunięcia (bycia „zapomnianym”) lub ograniczenia ich przetwarzania, wniesienia sprzeciwu wobec ich przetwarzania przez tego administratora oraz do ich przenoszenia,
- do cofnięcia w każdym czasie zgody na przetwarzanie danych osobowych, jeśli to zgoda jest przesłanką legalności ich przetwarzania,
- do wniesienia do organu nadzorczego skargi na przetwarzanie,
- do niepodlegania decyzjom podejmowanym wyłącznie w wyniku automatycznego przetwarzania danych osobowych (profilowania),
- do informacji o źródle danych, jeśli nie zostały zebrane wprost od osoby, której dotyczą.
Ostatnim ustępem w obu artykułach (13. i 14.) jest podobnie brzmiąca sentencja, którą można streścić słowami: nie ma wymogu przekazywania tych informacji, jeśli i w zakresie, w jakim osoba, której dane dotyczą, już to wie…
Zastanówmy się, co może się kryć za tym trudnym, wielokrotnie złożonym zdaniem…
- W przypadku przetwarzania danych osobowych pozyskanych z innego źródła niż wprost od osoby, której dotyczą mamy prawo oczekiwać, że osoba ta została poinformowana o swoich prawach związanych z udzielaniem i cofaniem zgody, dostępem do danych, ich poprawianiem, usuwaniem, przenoszeniem, profilowaniem, ograniczaniem, sprzeciwianiem i całej reszcie ewentualnych uprawnień związanych ze specyfiką przetwarzania. Pozostaje więc podać tylko informacje o administratorze i ewentualnych innych podmiotach uczestniczących w przetwarzaniu oraz o specyficznych szczegółowych warunkach, które go dotyczą.
- W sytuacji, kiedy przetwarza się dane osoby, która podlega uregulowanym algorytmom wynikającym z przynależności do określonej społeczności (gmina, powiat, województwo, przychodnia, ZUS, itp.) obowiązek informacyjny wymaga wypełnienia przy pierwszym po dacie 25 maja 2018 roku uczestnictwie tej osoby w procedurach właściwych dla tej społeczności. Wystarczy więc, że taka osoba raz zostanie zapoznana z klauzulą informacyjną i to potwierdzi (najlepiej na piśmie), żeby administrator był w przyszłości zwolniony z potrzeby powtarzania tego procesu informacyjnego. To może mieć istotny wpływ na tempo i atmosferę, które będą towarzyszyć załatwianiu spraw.
- W przypadku pozyskiwania danych osobowych za pomocą algorytmów zaszytych w stronach internetowych, np. związanych z nawiązywaniem kontaktu przez osoby zainteresowane ofertą organizacji, potrzeba zintegrować nawiązanie takiego kontaktu z potwierdzonym przekazaniem klauzuli informacyjnej zainteresowanej osobie. Także wtedy, gdy kontakt będzie podtrzymywany (powtarzany), wystarczy zrobić to za pierwszym razem i nie ma potrzeby ponownego epatowania tej konkretnej osoby klauzulą informacyjną.
- Dla zapewnienia sobie możliwości wykazania spełnienia obowiązku informacyjnego administrator powinien dążyć do uzyskania trwałego (np. pisemnego) potwierdzenia osoby, której dane przetwarza, że zapoznała się z klauzulą informacyjną.
Konkluzja – Analiza tej części RODO skłania mnie do propagowania idei wprowadzenia do szkół spraw tyczących przetwarzania i ochrony danych osobowych. Opisane powyżej zagadnienia mogą być w prosty sposób przedstawione dzieciom i młodzieży w ramach obowiązkowych zająć ujętych w programie przedmiotu dotyczącego zagadnień społecznych – „Wiedza o społeczeństwie”. Takie działanie byłoby w przyszłości istotnym argumentem uzasadniającym upraszczanie procedur informacyjnych związanych z rodo – znaczyłoby bowiem, że każdy, kto ukończył edukację w stopniu podstawowym te informacje już posiada.
Stanisław J. Rysz

dr hab. inż. nauk o bezpieczeństwie
praktyk i teoretyk w zakresie przetwarzania i ochrony danych osobowych oraz integracji systemów bezpieczeństwa i ochrony