Czy można stosować klauzule warstwowe i w jakich przypadkach? Zwróciłem się z takim zapytaniem do Prezesa Urzędu Ochrony Danych Osobowych. Oto odpowiedź:
Warszawa, 24 czerwca 2022 r.
Szanowny Panie Inspektorze,
w odpowiedzi na pismo z 30 maja br. przede wszystkim należy zastrzec, że
wiążące stanowiska w przedmiocie stosowania przepisów o ochronie danych osobowych Urząd
Ochrony Danych Osobowych może zająć po przeprowadzeniu postępowania w danej sprawie
(np. kontrolnego, czy skargowego). W każdym konkretnym przypadku konieczna jest bowiem
dokładna znajomość wszystkich okoliczności faktycznych dotyczących rodzaju danych,
warunków i celów ich przetwarzania. Niemniej – mając na uwadze powyższe – przedstawiam
wskazówki, które mogą być pomocne w rozstrzygnięciu przedstawionych przez Pana
wątpliwości.
Obowiązek informacyjny, tj. obowiązek przekazania przez administratora osobie, której
dane dotyczą, określonych informacji, uregulowany został w art. 13 i art. 14 RODO.
Obowiązek ten jest ściśle związany z jednym z uprawnień składających się na prawo do
ochrony danych osobowych – uprawnieniem osoby, której dane dotyczą, do „bycia
poinformowanym” o fakcie i okolicznościach przetwarzania danych.
Spełniając obowiązek informacyjny warto pamiętać, że zgodnie z art. 12 ust. 1 RODO
wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem danych osobowych
powinny być łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem
(zasada przejrzystości).
W Wytycznych w sprawie przejrzystości na podstawie rozporządzenia 2016/679, WP260
rev.01 dostępnych pod linkiem: https://uodo.gov.pl/pl/3/1343 wyjaśniono, że element „łatwej
dostępności” oznacza, że osoba, której dane dotyczą, nie powinna być zmuszona do
wyszukiwania informacji. Ważne jest zatem, aby podanie osobie, której dane dotyczą,
wszystkich wymaganych prawem informacji było wynikiem aktywnego działania
administratora, rozumianego jako udzielenie wszelkich informacji z wyłączeniem aktywności
ze strony podmiotu danych lub czynne skierowanie go do miejsca, w którym bez żadnych
przeszkód odnajdzie on interesujące go informacje, objęte ramami zwięzłej, przejrzystej,
zrozumiałej i łatwo dostępnej formy.
W ww. wytycznych wskazano ponadto, że administrator może spełnić obowiązek
informacyjny w sposób „warstwowy”, polegający na przekazywaniu w pierwszym rzędzie
najbardziej istotnych informacji, dotyczących przetwarzania, z jednoczesnym odesłaniem do
miejsca, w którym znajdują się informacje szczegółowe (pkt 36).
W punkcie 38 powyższych Wytycznych wyjaśniono ponadto, że warstwowe podejście do
udzielania informacji dotyczących przejrzystości osobom, których dane dotyczą, można
zastosować również w kontekście innym niż internetowy/cyfrowy (np. w kontaktach
osobistych lub w rozmowie telefonicznej), gdzie administratorzy danych mogą zastosować
różne sposoby w celu ułatwienia podawania informacji.
Niezależnie od formatów stosowanych w takim warstwowym podejściu GR29 zaleca, by
w pierwszej „warstwie” (innymi słowy – w ramach głównego sposobu, w który administrator
po raz pierwszy wchodzi w interakcję z osobą, której dane dotyczą) przekazywano zasadniczo
najważniejsze informacje (wskazane w pkt 36), tj. szczegółowe informacje na temat celów
przetwarzania, tożsamość administratora i wskazanie istniejących praw osoby, której dane
dotyczą, a także informacje na temat najważniejszych skutków przetwarzania lub na temat
przetwarzania, które może zaskoczyć osobę, której dane dotyczą. Na przykład, jeżeli pierwszy
kontakt z osobą, której dane dotyczą, ma miejsce drogą telefoniczną, informacje te mogłyby
zostać przekazane podczas rozmowy telefonicznej, a pozostałe informacje wymagane na
podstawie art. 13 i 14 RODO mogłyby zostać jej przekazane za pośrednictwem innych,
dodatkowych środków, takich jak przesłanie kopii polityki ochrony prywatności w wiadomości
e-mail lub przesłanie osobie, której dane dotyczą, linku do warstwowego internetowego
oświadczenia o ochronie prywatności / warstwowej internetowej informacji o polityce
prywatności administratora. W opinii Grupy Roboczej Art. 29 na podstawie informacji
zawartych w pierwszej warstwie osoba, której dane dotyczą, powinna być w stanie zrozumieć
jakie konsekwencje pociągnie za sobą dla niej to przetwarzanie.
Jak wskazano w pkt 17 ww. Wytycznych zaleca się ponadto, by wszystkie informacje
skierowane do osoby, której dane dotyczą, były dla niej również dostępne w jednym miejscu
lub w ramach jednego dokumentu (np. elektronicznego na stronie internetowej lub
papierowego), który powinien być łatwo dostępny na wypadek, gdyby osoba ta chciała
zapoznać się z całością informacji.
Przepisy RODO nie narzucają zatem konkretnej formy realizacji obowiązku
informacyjnego, wymagają natomiast aby obowiązek informacyjny został spełniony
w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
Ponadto treść klauzuli informacyjnej powinna być dostosowana do konkretnego procesu
przetwarzania danych i dokładnie precyzować istotne informacje w szczególności takie jak
podstawa i cel przetwarzania oraz przysługujące prawa.
Należy przy tym pamiętać, że w niektórych sytuacjach sposób dopełnienia tego
obowiązku określony jest przepisami szczególnymi. Przykładem mogą być przepisy Kodeksu
postępowania administracyjnego (Kpa).
Zgodnie np. z art. 61 § 5 Kpa organ administracji publicznej przekazuje informacje,
o których mowa w art. 13 ust. 1 i 2 RODO, przy pierwszej czynności skierowanej do strony,
chyba że strona posiada te informacje, a ich zakres lub treść nie uległy zmianie. Odnosząc się
do przytoczonego przepisu Kpa należy zauważyć, że w piśmiennictwie przedmiotu zwrócono
uwagę na niedopuszczalność wykorzystania warstwowej realizacji obowiązku informacyjnego
w postępowaniu administracyjnym, z uwagi na to, że w przepisach k.p.a. sformułowano nakaz
przekazania informacji, o których mowa w art. 13 ust. 1 i 2 RODO (por. P. Litwiński,
Komentarz do art. 61a [w:] Ogólne rozporządzenie o ochronie danych…, red. P. Litwiński)
(P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób
fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego
przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie
o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych
osobowych. Komentarz, wyd. II, Warszawa 2022, art. 13).
Powyższy pogląd wydaje się słuszny w przypadku postępowań administracyjnych
prowadzonych w postaci papierowej. Wówczas bowiem administrator nie może mieć
pewności, że osoba, której dane dotyczą, ma dostęp np. do strony internetowej administratora,
do której można by ją przekierować w przypadku warstwowego spełniania obowiązku
informacyjnego. Jak bowiem wskazano w Wytycznych w sprawie przejrzystości
„najważniejsze jest, aby wybrane metody udzielania informacji były dostosowane do
konkretnej sytuacji, tj. do sposobu komunikacji między administratorem danych a osobą, której
dane dotyczą, lub sposobu zbierania informacji odnoszących się do tej osoby.” (pkt 19)
Z inną sytuacją mamy natomiast do czynienia, jeśli postępowanie prowadzone jest
w formie elektronicznej, wówczas wydaje się, że jeżeli przepisy szczególne nie wskazują
konkretnej formy spełnienia tego obowiązku, nie można wykluczyć możliwości zastosowania
informowania warstwowego.
Innym przykładem przepisu szczególnego, który wskazuje sposób realizacji obowiązku
informacyjnego jest art. 122h Kpa, zgodnie z którym w przypadku, gdy organ administracji
rozstrzyga sprawę „milcząco”, wówczas wystarczające jest zamieszczenie, klauzuli
informacyjnej z wykorzystaniem Biuletynu Informacji Publicznej urzędu lub na stronie
internetowej urzędu oraz w widocznym miejscu w swojej siedzibie, przy czym przekazanie
informacji w ten sposób nie zwalnia organu z obowiązku ich przekazania przy pierwszej
czynności skierowanej do strony. Należy jednak podkreślić, że w omawianym przypadku
prawodawca, rezygnując zasadniczo z wymogu indywidualnego poinformowania osoby, której
dane dotyczą, nakazał organowi udostępnianie informacji jednocześnie w kilku miejscach, co
sprawia, że organ nie jest uprawniony do wyboru najbardziej dogodnego miejsca udostępniania
informacji. Takie rozwiązanie ma sprawić, że pomimo braku indywidualnego poinformowania,
podmiot danych będzie miał łatwą możliwość uzyskania informacji, które powinny zostać mu
przekazane (P. Fajgielski w: jak wyżej).
Co do zasady zatem to administrator decyduje o sposobie wypełnienia obowiązku.
W każdej konkretnej sytuacji przede wszystkim powinien się zastanowić kiedy i wobec jakich
osób obowiązek ten ma być dopełniany. Przyjęcie określonego sposobu spełniania obowiązku
informacyjnego zależy często od celu i sposobu pozyskiwania danych. Jeśli kwestie te nie są
uregulowane przepisami prawa, sposób spełnienia obowiązku informacyjnego oraz treść
przekazywanych informacji powinny być dostosowane do potrzeb odbiorcy.
Właściwe dostosowanie treści klauzuli informacyjnej oraz wybór formy jej
przedstawienia jest niezwykle ważny z punktu widzenia zasady rozliczalności. To na
administratorze danych będzie bowiem ciążył obowiązek udowodnienia, że akurat taki rodzaj
komunikacji był w danym przypadku najbardziej właściwy oraz zgodny z przepisami
szczególnymi, jeśli miałyby one w danej sytuacji zastosowanie.
Informuję również, że wiele wskazówek oraz przykładów w jaki sposób spełniać
obowiązek informacyjny znaleźć można w szczególności w powołanych wyżej Wytycznych
w sprawie przejrzystości na podstawie rozporządzenia 2016/679, WP260 rev.01 dostępnych
pod linkiem: https://uodo.gov.pl/pl/3/1343, a także w prezentacjach ze szkoleń oraz
webinariach dot. obowiązku informacyjnego dostępnych na stronie internetowej UODO (np.:
https://uodo.gov.pl/pl/189/727, https://uodo.gov.pl/pl/213/930).
URZĄD OCHRONY
DANYCH OSOBOWYCH
Departament
Orzecznictwa i Legislacji
Wydział Współpracy
z Inspektorami Ochrony Danych
