Audyt rzetelności i przejrzystości przetwarzania danych

Jedną z naczelnych zasad RODO jest zasada rzetelności i transparentności (art. 12 ust. 1 RODO). Podmioty danych powinny rozumieć, co dzieje się z ich danymi osobowymi powierzanymi różnym firmom. Wszelkie komunikaty dotyczące ochrony danych osobowych powinny być dla podmiotów danych zrozumiałe i przejrzyste, pisane jasnym i prostym językiem.

Grupa Robocza Art. 29 stworzyła odrębny dokument – Wytyczne co do przejrzystości[1]. Stanowi on świetny przewodnik, według którego można dokonać audytu przejrzystości procesów przetwarzania danych osobowych w firmie.

Nie jest możliwe przytoczenie całej treści wytycznych. Zostaną zatem wymienione jedynie najważniejsze zalecenia:

  • Informacje i komunikaty dotyczące przetwarzania danych osobowych powinny być podawane w zwięzłej i przejrzystej formie. Tekst ma być zrozumiały dla przeciętnego użytkownika, który nie zna się na prawie ani kwestiach technicznych. Teksty powinny też być dostosowane do publiczności, do której są kierowane. Przykładowo, w przypadku dzieci czy osób starszych należy dostosować komunikaty do percepcji tych osób.
     
  • Administrator powinien wyeliminować teksty długie, skomplikowane, pisane trudnym prawniczym językiem, powodujące „zmęczenie użytkownika” (obecnie, niestety, większość komunikatów o ochronie danych osobowych tak jest redagowana). Teksty te odstraszają i nie są czytane przez użytkowników, co powoduje, że ważne dla nich informacje w rzeczywistości nie są przez odbiorców rejestrowane.
     
  • Teksty dotyczące ochrony danych osobowych powinny być oddzielone od innych tekstów (np. tekst regula­minu lub długich warunków umownych) i łatwo dostępne dla osób zainteresowanych. Grupa Robocza Art. 29 sformułowała nawet postulat, by tekst polityki prywatności umieszczany na stronie www był dostępny na każdej z zakładek tej strony i to „w odległości” maksymalnie dwóch kliknięć[2].
     
  • Komunikaty powinny być formułowane w stronie czynnej (np. Możesz dowiedzieć się, dzwoniąc do nas pod numer…, zamiast Informacje mogą być udzielone pod numerem… albo Możesz wypisać się z listy, zamiast Przysługuje Ci prawo dokonania sprzeciwu wobec figurowania w zbiorze danych).
     
  • Najlepszym sposobem informowania odbiorców w internecie będzie polityka prywatności pisana w sposób „warstwowy”. W pierwszej kolejności, w miejscu łatwo dostępnym powinny być umieszczane najważniejsze podstawowe informacje wraz z linkami do informacji szczegółowych. Komunikaty mogą być również pisane w formie „rozwijalnej” lub ze znakiem „i” albo „?” sugerującym, że po najechaniu na niego myszką otrzyma się większą ilość informacji. Jeśli przetwarzanie danych osobowych odbywa się w internetowym portalu, gdzie użytkownik posiada swoje konto, dobrym pomysłem jest uruchomienie w panelu sterowania osobnej zakładki „prywatność”, gdzie w każdym momencie użytkownik może zmienić swoje ustawienia. Należy przy tym zadbać o to, by użytkownik mógł łatwo zrozumieć, do czego dane ustawienie służy.
     
  • Frazy takie jak: Możemy używać Twoich danych osobowych do rozwijania nowych usług albo Będziemy używać pozys­kane od Ciebie dane do celów naukowych, albo Będziemy wykorzystywać Twoje dane osobowe do proponowania Ci spersonalizowanych ofert, są przykładami zbyt mało przejrzystej informacji. Są to stwierdzenia ogólnikowe, z których tak naprawdę nic nie wynika dla podmiotu danych.

     
  • W komunikatach dotyczących danych osobowych powinno się unikać takich słów, jak: „możemy”, „niektóre”, „często”, „możliwe, że” – jako zbyt enigmatycznych.
  • Można dostarczać komunikaty o danych osobowych w formie audio lub wideo, jeśli w ten sposób będą bardziej zrozumiałe dla odbiorców. Należy wówczas umożliwić ponowne odsłuchanie czy obejrzenie materiału.
     
  • Komunikaty dotyczące ochrony danych osobowych nie powinny być nachalne oraz zakłócać korzystania z usługi. Denerwujące pop-upy czy komunikaty wyświetlane/wysyłane po kilka razy mogą powodować frustrację użytkowników i akceptowanie ich „dla świętego spokoju”. Wówczas nie można powiedzieć, że komunikat został dostarczony skutecznie.
     
  • To administrator powinien podejmować aktywne działania w celu dotarcia do użytkownika ze stosowną informacją. Nie wystarczy umieszczenie informacji „głęboko” w serwisie czy na samym końcu regulaminu, czy na ekranie, do którego można dotrzeć po długotrwałym scrollowaniu. Takie zamieszczenie informacji (w trudno dostępnym miejscu) nie będzie uważane za skuteczne jej dostarczenie.

Podsumowując, dobrą metodą na sprawdzenie, czy dostarcza się klientom/użytkownikom odpowiednio przejrzystej, zrozumiałej informacji, jest postawienie siebie w ich miejscu. Wszyscy wszak jesteśmy użytkownikami. Jeśli dany komunikat dla nas samych wydaje się niezrozumiały lub enigmatyczny, oznacza to, że najprawdopodobniej nie spełnia on wymogów RODO.

 

[1]  Guidelines on transparency under Regulation 2016/679, dostępne tutaj: //ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611232

[2]  W momencie pisania tego tekstu wytyczne dotyczące przejrzystości nie mają jeszcze ostatecznej wersji – trwają konsultacje społeczne.