Informowanie o prawach osoby, której dane dotyczą – prościej znaczy lepiej

Myślę, że nie ma większego paradoksu w przepisach RODO, jak obowiązek przekazania informacji o przetwarzaniu danych, który z jednej strony musi spełniać wyśrubowane wymagania art. 13 lub 14 RODO, z drugiej powinien być prosty i przejrzysty, zgodnie z art. 12 RODO. Są to sprzeczności, których nie da się pogodzić. W efekcie większość administratorów / inspektorów woli „pójść” w kierunku długiej i skomplikowanej klauzuli, aby nie narazić się na naruszenie obowiązku przekazania klauzuli informacyjnej.

Uważam, że coraz częściej zapominamy o celu i sensie tworzenia klauzul, czyli ułatwienie osobie, której dane dotyczą zrozumienia co będzie się działo z jej danymi, a także jakie ma prawa. Dzisiaj chciałabym skupić się właśnie na informowaniu o uprawnieniach, bo są dwie, coraz mocniej walczące ze sobą „szkoły”.

Pierwsze podejście polega na wskazaniu w klauzuli, że osoba, której dane dotyczą ma prawo żądać realizacji swoich praw, a administrator oceni, czy one w danym przypadku przysługują i da jej odpowiedź o swoich działaniach lub ograniczeniach w tym zakresie. Jest zwięźle i nie przeciąża odbiorcy. Druga opcja to opisanie wprost, które prawa rzeczywiście przysługują w danej sytuacji. Na przykład: w tym procesie masz prawo do dostępu, sprostowania, a nie masz prawa do przeniesienia danych czy sprzeciwu. Brzmi bardzo precyzyjnie i czytelnie, bo od samego początku wskazano jaki jest zakres uprawnień. Jednakże już od dawna jestem przeciwniczką takiego rozwiązania.

Dlaczego? Po pierwsze – długość. Taka klauzula rozrasta się do rozmiarów, które mało kto doczyta do końca, a przecież cały sens RODO polega na tym, by pisać jasnym i prostym językiem. Po drugie – złożoność. Jeśli mamy kilka podstaw prawnych przetwarzania, to nagle okazuje się, że jedne prawa przysługują tylko w odniesieniu do jednej podstawy, inne do innej, a próba opisania tego w jednym akapicie zamienia się w łamigłówkę. Po trzecie – procesy przetwarzania nie są statyczne. Zdarza się, że ktoś przekaże nam dodatkowe dane z własnej inicjatywy, żeby ułatwić kontakt, a wtedy cele i podstawy przetwarzania mogą się zmienić. Rzadko kto pisze w takiej sytuacji nową klauzulę informacyjną, a to ma istotny wpływ na to, jakie prawa przysługują danej osobie. W efekcie wcześniejsze precyzyjne wskazanie praw może wprowadzić w błąd.

Dlatego rekomenduję pierwszą opcję. Zamiast wchodzić w detale i mnożyć wyjątki, lepiej prosto poinformować, że osoba może żądać realizacji swoich praw, a administrator oceni, które z nich faktycznie mają zastosowanie w danym kontekście. Przykładowo, taki zapis w klauzuli może wyglądać tak:

„Przysługuje Pani/Panu prawo żądania od Administratora realizacji uprawnień wynikających z RODO, w szczególności dostępu do danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przeniesienia danych, a także prawo wniesienia sprzeciwu wobec przetwarzania danych. Administrator każdorazowo dokona oceny, czy w danej sytuacji może zrealizować dane żądanie, biorąc pod uwagę przepisy prawa oraz podstawę przetwarzania, i poinformuje Panią/Pana o podjętych działaniach.”

To rozwiązanie jest bardziej uczciwe i praktyczne. Klauzula pozostaje czytelna, a ryzyko wprowadzenia kogoś w błąd maleje. RODO nie jest po to, żeby mnożyć akapity pełne niezrozumiałego żargonu, tylko żeby człowiek wiedział, jakie ma możliwości. A jeśli naprawdę będzie chciał z nich skorzystać, to administrator ma obowiązek sprawdzić, które prawa można zrealizować i rzetelnie o tym poinformować.