Obowiązek informacyjny na gruncie przepisów RODO 

BySylwia Ostrowska

obowiązek informacyjnyWydaje się, że jednym z najprostszych wymagań do spełnienia na gruncie RODO jest przekazanie treści informacji osobie fizycznej o przetwarzaniu jej danych osobowych. Prosto ujmując, chodzi o to by wskazać: kto, dlaczego i jak długo oraz komu udostępnia i jakie przysługują tej osobie prawa. Jak się jednak okazuje, niby prosty wymóg a nie jednemu Administratorowi sprawia wiele trudności. I to, pomimo, że przepisy RODO są już z nami prawie 4 lata a obowiązek informacyjny wynikał również z Ustawy  o ochronie danych osobowych z 1997 roku.  

Można więc zadać sobie pytanie co z tym obowiązkiem jest nie tak? 

Według Mojego doświadczenia, zdobytego poprzez analizowanie treści setek różnych obowiązków, problem dotyczy zasady przejrzystości. Jednej z podstawowych zasad RODO. Odnosi się ona do treści komunikatów, aby były łatwo dostępne oraz napisane łatwym i prosty językiem, czyli zrozumiale dla odbiorcy. Tak jak w zakresie dostępności Administratorzy potrafią wypracować określone schematy postępowania, tak w pozostałych determinantach wskazanej zasady już jest dużo gorzej.  

Mowa tu przede wszystkim o twardym prawniczym języku, który, aż odtrąca odbiorcę od przeczytania, czy też kumulacji niepotrzebnej treści powodującej napompowanie informacji do mega rozmiarów.
W licznych przypadkach widać też tendencję do ułatwiania sobie życia. Mam tu na myśli kumulację wszelkich czynności przetwarzania w jednym obowiązku informacyjnym. Niby zrozumiałe dla Administratora, ale dla odbiorcy tego komunikatu już nie. Czasami warto drogi Administratorze spojrzeć przez pryzmat odbiorcy. Czy ty przeczytałbyś treść, z której nic nie wynika. A może skończyłbyś już w połowie, uznając, że i tak nic nie rozumiesz. Niestety tak się dzieje. A to nie jest korzystane zarówno dla Administratora jak i odbiorcy.

Dlaczego dla Administratora?

Bo próbując wypełnić zasadę rozliczalności w zakresie przekazania informacji, zasypujesz nią osoby fizyczne. Pewnie klientów, pracowników, petentów w zależności od sektora. Jak myślisz, czy treść takiej informacji nie wpływa na obraz całej organizacji w kontekście podejścia do obszaru ochrony danych osobowych, rzetelności i świadomości? „Tak ja cię widzą tak o Tobie piszą”. Może więc warto poświęcić trochę czasu, rzetelnie i logicznie ułożyć sobie treść, którą sam zrozumiesz. Oczywiście możesz powierzyć wykonanie tego zadania pracownikowi, a może Inspektorowi Ochrony Danych. Pamiętaj jednak, że to Administrator ponosi odpowiedzialność na gruncie RODO, za zgodność z przepisami o ochronie danych osobowych.  

Od czego więc zacząć 

Zrób listę podstawowych celów przetwarzania danych w organizacji np. zawarcie i realizacja umowy lub wysyłka newslettera. Na tej podstawie zorientujesz się, ile komunikatów należy opracować. Pierwsza część obowiązku jest prosta i będzie się powtarzała. Określamy w niej administratora, jego dane kontaktowe oraz dane Inspektora Ochrony Danych, jeśli został wyznaczony. Dalej to już Twoja wyobraźnia co do treści. Pilnować jednak trzeba, aby ta treść swoim zakresem wypełniła wymagania wskazane w art. 13 lub 14 RODO. Czyli cel przetwarzania, zakres zbieranych danych, czy podanie ich jest obowiązkowe a może nie, jak długo będziesz przechowywał, czy może komuś je udostępnisz albo dokonasz ich transferu do Państwa trzeciego.

Oczywiście nie możemy zapomnieć o opisaniu praw przysługujących osobie, której dane będą przetwarzane. Mowa tu o prawie do informacji, dostępu, kopii itp. Czy jednak warto opisywać wszystkie? Raczej nie, opisując wszystkie, nawet te, które w danym procesie nie przysługują, już wprowadzasz daną osobę w błąd. Tym samym nie uzyskasz zgodności z zasadą przejrzystości oraz rzetelności na gruncie RODO.  

Może i RODO nie jest prostym przepisem prawa. Ale daje niezwykłą możliwość kształtowania systemu do potrzeb danej organizacji. Mam tu na myśli jego neutralność. Czasami nie warto zaczynać przygody z RODO od tych najtrudniejszych elementów, jeśli możemy już w tym prostych kwestiach narazić się na ryzyko ukarania przez Prezesa Urzędu Ochrony Danych Osobowych.   

Zobacz ofertę Naszych usług w obszarze ochrony danych osobowych.