Wprowadzenie obowiązku informacyjnego, wynikającego z unijnego rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r., które dotyczy przetwarzania danych, niesie wiele problemów i wymaga więcej pracy niż można było przypuszczać - uważa Anna Kobylańska z Kancelarii Kobylańska&Lewoszewski.
Firmy pozyskujące dane osobowe muszą przekazać około 15 kategorii ważnych informacji. Jak te dane sformułować w sposób przejrzysty, zrozumiały i zwięzły?
Informacje o przetwarzaniu danych osobowych można przekazać na przykład w formie ikony albo w formie pytań i odpowiedzi. Warto zadać sobie pytanie: Kto przetwarza Twoje dane osobowe? Co będzie się działo z Twoimi danymi? Komu te dane będą udostępnione? I na te pytania należy udzielić jasnych odpowiedzi.

Dostosowanie tekstu do odbiorcy
- Jeśli dostosujemy językowo tekst do odbiorcy musimy wiedzieć, kim on jest, gdyż inaczej wyglądać będą teksty dla specjalistów, dla ekspertów IT, dla prawników, dla członków zarządu, a inaczej - dla przeciętnego obywatela, czyli najszerszej grupy docelowej. Ci ostatni często nie zdają sobie sprawy, jak ważny jest tekst, który do nich kierujemy. Trzecią grupą odbiorców są osoby głuche, których pierwszym językiem jest polski język migowy - wyjaśniała Ewelina Moroń z Pracowni Prostej Polszczyzny Uniwersytetu Wrocławskiego.
 

Kto jest administratorem danych?
Taką informację można podać w następujący sposób: "Administratorem Pani/Pana danych osobowych jest firma XY. O fimie piszemy "my". I tak: mamy siedzibę we Wrocławiu przy ul. Prostej, mamy kod pocztowy 33-987, telefon, mail. Albo: "Może się Pan/Pani kontaktować z nami w następujący sposób: listownie, e-mailowo, telefonicznie".
Można też wracać się do odbiorcy na "ty" - radzi Anna Kobylańska. 

Upraszczanie trudnych pojęć
Trzeba koniecznie podać cel przetwarzania danych osobowych. Ekspertki zwracają uwagę, że jest kilka elementów, które utrudniają przyswojenie komunikatu, np. strona bierna (dane będą przetwarzane, ale nie wiadomo, kto je będzie przetwarzał). Ponadto, zrozumienie utrudniają niekonkretne wyrażenia, takie jak np. "niezbędność" czy "prawnie uzasadniony interes".

Czytaj też>> Niewiele firm przygotowuje się do RODO

Zrozumieniu informacji nie sprzyja nagromadzenie pojęć trudnych, dotyczących celowości i podstawy prawnej. Anna Kobylańska proponuje taką formułę: "Będziemy przetwarzać Pani/Pana dane osobowe, aby zawrzeć umowę i wypełniać jej warunki, prowadzić nasze kampanie reklamowe i inne działania marketingowe, sprzedawać nasze produkty i usługi, wykonywać rozliczenia finansowe".
- Wymaga to pewnego odkrycia się - zauważa Ewelina Moroń. - Napisanie "cele marketingowe" nie wystarczy, bardziej zrozumiałe jest "zobaczysz reklamę i będziemy Ci chcieli zaproponować nowe produkty i usługi".

Odbiorcy naszych danych
Trzeba poinformować, że odbiorcami danych są osoby upoważnione przez administratora do wykorzystania danych w ramach wykonywania swoich obowiązków służbowych, którym spółka zleca wykonywanie takich czynności.
Inaczej ten komunikat może wyglądać: "W niektórych sytuacjach mamy prawo przekazywać Pani/Pana dane, jeśli będzie to konieczne, abyśmy mogli wykonywać nasze usługi. Będziemy przekazywać dane wyłącznie trzem grupom: osobom upoważnionym przez nas, naszym pracownikom i współpracownikom, którzy muszą mieć dostęp do danych, aby wykonywać swoje obowiązki, podmiotom przetwarzającym, którym zlecimy to zadanie, innym odbiorcom danych np. kurierom, bankom, ubezpieczycielom, kancelariom prawnym, spółkom z naszej grupy kapitałowej".

Decyzje zautomatyzowane
Jak poinformować o podejmowaniu zautomatyzowanych decyzji na przykład na skutek profilowania? Warto podkreślić, że przepisy RODO wymagają wymieniania kryteriów podejmowania tych decyzji oraz skutków automatyzacji. 

RODO. Ogólne rozporządzenie o ochronie danych., Magdalena Kuba

RODO. Ogólne rozporządzenie o ochronie danych. Komentarz >>


- Musimy przyjąć przy wyjaśnianiu tak trudnych kwestii, że jedna myśl to jedno zdanie - mówi Ewelina Moroń. Na przykład "Będziemy automatycznie przetwarzać Pani/Pana dane, m.in. profilować je." Profilowanie, to np. określenie, w jaki sposób korzystasz z internetu. "Dzięki temu możemy dopasować naszą ofertę do Pani/Pana potrzeb. W wyjątkowych sytuacjach skutkiem takiego działania będzie automatyczna odmowa zawarcia umowy na podstawie analizy, którą wykona nasz system".
To jest wersja przerzucająca odpowiedzialność na roboty. Ale jeśli firma chce pokazać swoje działania i wziąć za nie odpowiedzialność, to pisze wprost o odmowie zawarcia umowy: "W wyjątkowych sytuacjach będziemy mieli prawo odmówić podpisania z Panem/Panią umowy, jeśli wcześniej nie wywiązał się Pan/Pani z innych umów, zawartych z naszą firmą lub ze spółką z naszej grupy kapitałowej". 

Komu zlecić pisanie klauzul?
Trzeba także odbiorcom wyjaśnić, czym są identyfikatory internetowe, czym jest analiza predykatywna i dane behawioralne.  
Na trudny tekst składają się: średnia długość zdań i trudne wyrazy. Trudne wyrazy można tłumaczyć innymi wyrazami opisowo, przykładem albo ikoną lub zmiękczeniem typu "tzw.".
Wniosek z tego jest jasny: nie zawsze zlecać prawnikom pisanie klauzul informacyjnych - podsumowują  Ewelina Moroń i Anna Kobylańska.


Źródło: fragmenty wypowiedzi Eweliny Moroń i Anny Kobylańskiej, Konferencja GIODO z 29 stycznia 2018 r. pt. "Zainwestuj w prywatność - przygotowujemy się do RODO".


 

 
X

RODO


Potrzebujesz WIĘCEJ wiarygodnych informacji o zagadnieniu RODO? Sprawdź, co jeszcze na ten temat znajdziesz w LEX.
LEX Search – nowa wersja wyszukiwarki LEX z elementami sztucznej inteligencji. Chcesz łatwiej i szybciej znaleźć właściwe dokumenty?

Sprawdź, co zyskasz dzięki LEX Search >>