Dane / Big Data Prawo

Zasada przejrzystości wg RODO

RODO zasada przejrzystości

Jedną z podstawowych zasad ochrony danych osobowych zawartych w RODO jest zasada przejrzystości.

Artykuł 5 Ogólnego rozporządzenia o ochronie danych (RODO) określa podstawowe zasady ochrony danych osobowych, które stosować powinni administratorzy danych. Zgodnie z zasadą zgodności z prawem, rzetelności i przejrzystości, dane osobowe powinny być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty w stosunku do osoby, której dane dotyczą.

Jakie elementy składają się na przejrzystość według RODO?

  • Wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem danych osobowych powinny być łatwo dostępne i zrozumiałe.
  • Informacje takie powinny być sformułowane jasnym i prostym językiem, a w stosownych przypadkach, dodatkowo wizualizowane.
  • Wszelkie informacje i komunikaty skierowane do dzieci powinny być sformułowane tak jasnym i prostym językiem, by dziecko mogło je bez trudu zrozumieć.
  • Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych.
  • Osobom fizycznym należy przekazać informację o sposobie wykonywania praw przysługujących im w związku z takim przetwarzaniem.
  • Osoba, której dane dotyczą, powinna być informowana o prowadzeniu operacji przetwarzania jej danych osobowych i o jej celach, w tym o fakcie profilowania oraz o konsekwencjach takiego profilowania.
  • Administrator powinien stosować odpowiednie matematyczne lub statystyczne procedury profilowania, wdrożyć środki techniczne i organizacyjne zapewniające w szczególności korektę powodujących nieprawidłowości w danych osobowych i maksymalne zmniejszenie ryzyka błędów. Jego obowiązkiem jest także zabezpieczenie danych osobowych w sposób uwzględniający potencjalne ryzyko dla interesów i praw osoby, której dane dotyczą, oraz zapobiegający m.in. skutkom w postaci dyskryminacji osób fizycznych z uwagi na pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania, przynależność do związków zawodowych, stan genetyczny lub zdrowotny, orientację seksualną lub skutkujący środkami mającymi taki efekt.

Jakie informacje administrator powinien przekazać osobie, która udostępnia swoje dane osobowe?

Administrator, podczas pozyskiwania danych osobowych, podaje następujące informacje:

  • tożsamość i dane kontaktowe administratora danych;
  • gdy zostali ustanowieni – dane kontaktowe przedstawiciela administratora oraz inspektora ochrony danych;
  • cele przetwarzania danych, dla których zostały zebrane;
  • podstawę prawną przetwarzania danych osobowych (np. zgoda, niezbędność do wykonania umowy, niezbędność do wykonania obowiązku wynikającego z przepisów prawa); jeżeli podstawą prawną przetwarzania danych jest prawnie uzasadniony interes, wskazanie na czym polega ten uzasadniony interes;
  • okres, w którym dane będą przechowywane, a gdy to nie jest możliwe, kryteria ustalania tego okresu;
  • o prawie dostępu do danych, sprostowania lub usunięcia danych oraz prawie do wyrażania sprzeciwu wobec przetwarzania danych osobowych;
  • o prawie do cofnięcia zgody na przetwarzanie danych;
  • o prawie do wniesienia skargi do organu nadzorczego;
  • czy podanie danych jest wymogiem umownym czy ustawowym;
  • o odbiorcach danych, którym dane zostaną ujawnione lub o kategoriach takich odbiorców
    zamiarze transferowania danych do państw trzecich (państw spoza Europejskiego Obszaru Gospodarczego) ;
  • o zautomatyzowanym przetwarzaniu danych, w tym profilowaniu, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Poza tym wszystkie pozostałe informacje konieczne do rzetelnego i przejrzystego przetwarzania danych osobowych.

Co w przypadku, gdy informacje nie zostały pozyskane od osoby, której dane dotyczą?

W przypadku, gdy administrator pozyskuje dane nie od osoby, której dane dotyczą, dodatkowo powinien poinformować tę osobę o:

  • kategoriach danych osobowych;
  • źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
  • jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji.

Dopasowanie języka do odbiorcy

Administrator danych powinien przedstawić te informacje używając łatwego w odbiorze języka, zrozumiałego dla osoby, której dane dotyczą, nawet jeśli jest to dziecko. Może się przy tym posługiwać standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens przetwarzania. Administrator powinien udzielić informacji na piśmie lub w inny sposób, w tym, w stosownych przypadkach, elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile administrator jest w stanie potwierdzić tożsamość osoby, której dane dotyczą.

Wyjątki – zwolnienie z obowiązku przekazania informacji

Jeśli administrator pozyskuje dane z innych źródeł niż osoba, której dane dotyczą, jest zwolniony z obowiązku przekazania informacji, jeśli:

  • osoba, której dane dotyczą, dysponuje już tymi informacjami;
  • udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;
  • pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator;
  • dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Wyzwania związane ze stosowaniem zasady przejrzystości

Niewykonanie lub nieprawidłowe wykonanie obowiązku informacyjnego zagrożone jest wysokimi karami pieniężnymi. Administratorom niełatwo będzie wykonać go poprawnie zakładając, że równocześnie: obowiązek ten trzeba spełnić niezwłocznie, należy przekazać bardzo dużo informacji, a także informacje te – pomimo ich niełatwej treści – powinny być przekazane w prosty, zwięzły i łatwy do zrozumienia sposób. Warto rozważyć, kiedy i w stosunku do jakiej grupy osób obowiązek ten powinien być wykonany przed 25 maja 2018 roku tak, aby w tej dacie administrator mógł się wylegitymować wykonaniem obowiązku prawnego.

Autor / Źródło: pwc