Jednym z podstawowych założeń wprowadzenia tak daleko idących zmian w prawie regulującym zasady przetwarzania danych osobowych, jest niejako odwrócenie akcentów poprzez przyznanie wyraźnie mocniejszej pozycji osobom, których przetwarzane informacje dotyczą. Emanacją takiego stanu rzeczy jest wskazanie zasad rzetelności i przejrzystości jako gwarancji poszanowania praw każdego pojedynczego człowieka. Art. 5 ust.1 lit. a RODO stanowi, że — Dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”) […]
Zasada rzetelności i przejrzystości przetwarzania danych to nie budząca wątpliwości świadomość tego, że odpowiednie dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane. Co niezwykle istotne, RODO wielokrotnie podkreśla obowiązek zachowania prostoty języka i jasności sformułowań wszelkich komunikatów związanych z przetwarzaniem danych osobowych. Tym samym stosowanie języka prawniczego w formie, chociażby wygodnych z perspektywy prawników klauzul, może nie spełniać przesłanek zasad rzetelności i przejrzystości. Autorzy nie definiują wprost jak należy konfrontować realizację tych zasad z rzeczywistością, niemniej należy przyjąć, że działania administratorów danych muszą umożliwiać zrozumienie bez trudu skutków przetwarzania danych uwzględniając możliwości osób nieposiadających specjalistycznej wiedzy prawniczej, zwłaszcza dzieci. A to z kolei usprawiedliwia a nawet wymusza zastosowanie metod dotychczas praktycznie nieobecnych w procedurach ochrony danych osobowych, w postaci chociażby prostych grafik, wizualizacji czy schematów. Tutaj akurat RODO daje jasny sygnał stanowiąc, że informacje kierowane do ogółu społeczeństwa lub osoby, której dane dotyczą powinny być zwięzłe, łatwo dostępne i zrozumiałe, by były formułowane jasnym i prostym językiem, a w stosownych przypadkach, dodatkowo wizualizowane.
Zasada rzetelności i przejrzystości wiążę się jednak przede wszystkim z odpowiednim wypełnianiem obowiązków informacyjnych, które RODO formułuje niezwykle precyzyjnie, nie pozostawiając wątpliwości co do ich zakresu. Art.12-14 dotyczące praw osób, których dane dotyczą oraz informacji i dostępu do danych osobowych, zawierają właściwe normy stanowiące bardzo istotny fragment całości uregulowań.
Mianowicie RODO normuje we wskazanym fragmencie podstawowy obowiązek nałożony na administratora danych, którym jest konieczność udzielania jasnej i precyzyjnej informacji we wszelkich sprawach dotyczących przetwarzania przynależnych jej danych osobowych. Co więcej administrator musi udzielić osobie, której dane dotyczą, bez zbędnej zwłoki, wszelkich informacji o działaniach podjętych w związku z przetwarzaniem danych, w takich przypadkach, jak chociażby profilowanie.
Dodatkowo administrator danych, podczas pozyskiwania danych osobowych, jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej właśnie osoby, musi podać szereg bardzo istotnych informacji identyfikujących. Są to, m.in. — tożsamość i dane kontaktowe administratora; cele przetwarzania danych osobowych; podstawa prawna przetwarzania; prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią; informacje o odbiorcach danych osobowych lub o kategoriach odbiorców. Obok tego administrator zobligowany jest do jasnego i precyzyjnego przekazania informacji niezbędnych do zapewnienia rzetelności i przejrzystości przetwarzania, takie jak — okres, przez który dane osobowe będą przechowywane; informacje o prawie do żądania od administratora dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania; informacje o prawie do cofnięcia zgody na przetwarzanie w dowolnym momencie, informacje o prawie wniesienia skargi do organu nadzorczego. Bardzo podobnie, jedynie z drobnymi j różnicami wygląda sytuacja, kiedy administrator nie pozyskuje danych od osoby, której one dotyczą. W takim przypadku po stronie administratora leżą, m. in. dodatkowy obowiązek przekazania informacji dotyczącej kategorii odnośnych danych osobowych.
Piotr Gutowski dla IT Law Solutions
Polecamy także pozostałe wpisy z cyklu, w którym omawiamy zasady przetwarzania danych osobowych: