IOD i jego godność

Czy polityka prywatności jest passe?

Czy IOD będą anonimowi? 9 listopada Prezes UODO zamieścił na swojej stronie internetowej komunikat w sprawie publikacji danych inspektora ochrony danych. Nawiązując do treści art. 11 UODO, Prezes UODO przypomniał o konieczności podania na stronie internetowej administratora (o ile takowa istnieje) imienia i nazwiska oraz adresu email lub numeru telefonu inspektora ochrony danych.

OBOWIĄZEK PUBLIKACJI IMIENIA I NAZWISKA IOD NA STRONIE INTERNETOWEJ

Tego rodzaju działania przypominająco-ostrzegawcze regulatora są bardzo cenne. W końcu nie jest on powołany jedynie do kontroli i karania (jak chcieliby niektórzy), ale również do edukacji i uświadamiania. Przypomnienie to jest tym ważniejsze, że dotyka realnego problemu przestrzegania tej jednej z najprostszych do spełnienia regulacji dot. ochrony prywatności. W ramach naszej praktyki ochrony danych osobowych na przełomie października i listopada zweryfikowaliśmy ok. 150 stron internetowych różnych organizacji (stron oficjalnych – nie badaliśmy stron produktowych, kampanijnych, landing page’y etc.).

Z naszego badania wynikło, że jedynie na 40% stron w łatwy sposób można było odnaleźć imię i nazwisko IOD. W pozostałych dane te nie zostały klarownie podane, przy czym jedną z teoretycznych możliwości było, że IOD nie został powołany (choć to mało prawdopodobne ze względu na specyfikę grupy badanej).

Graficznie wyniki te prezentują się tak:

CZY POLITYKA PRYWATNOŚCI JEST PASSE?

Pewnie teraz nadal rozpływałbym się w zachwycie nad mądrością naszego narodowego regulatora, gdyby nie pewna kontrowersyjna kwestia. Otóż w ramach komunikatu regulator stwierdził, że „Za niewłaściwie zatem uznać należy publikowanie tych danych w miejscach wymagających długiego przeszukiwania, takich jak »Aktualności « czy »Polityka prywatności«”. Z tezą dotyczącą „Aktualności” zgadzam się w pełni. Mam jednak poważną wątpliwość co do tezy dotyczącej „Polityki prywatności”.

Prezes UODO stwierdził również, że „Wskazane jest, by dane o wyznaczonym IOD znalazły się w ogólnie dostępnym miejscu strony np. w zakładce:

  • »Kontakt«,
  • »Inspektor ochrony danych«,
  • »RODO «,
  • »Ochrona danych osobowych«”.

Dlaczego jednak „Polityka prywatności” jest gorsza od „Ochrony danych osobowych”?

DANE OSOBOWE IOD A WYŻSZE CELE

Niewątpliwie podanie informacji dot. danych inspektora ochrony danych sprzyja zwiększeniu transparentności działalności administratora (nawet jeśli niekoniecznie co do samego sposobu przetwarzania danych – to, czy IOD nazywa się Nowak, czy Malinowski, raczej nie ma tu większego znaczenia). Tak też zdaje się rozumować Prezes UODO. Pierwsze słowa notki na stronie brzmią wszakże „Podmiot, który wyznaczył inspektora ochrony danych (IOD) powinien zadbać o to, by informacja o nim była łatwo dostępna dla osób, których dane dotyczą”. Wartością jest więc łatwa dostępność informacji, co z kolei nieodłącznie wiąże się z transparentnością.

STANOWISKO PREZESA UODO A WYTYCZNE W SPRAWIE TRANSPARENTNOŚCI

W tym kontekście warto przypomnieć, co na temat sposoby zwiększania przejrzystości mówiła niegdyś Grupa Robocza 29. W wytycznych w sprawie przejrzystości GR29 stwierdza, że:

„11. Element „łatwej dostępności” oznacza, że osoba, której dane dotyczą, nie powinna być zmuszona do wyszukiwania informacji; miejsce i sposób dostępu do informacji powinien od razu być dla niej oczywisty, co można zapewnić np. dzięki bezpośredniemu udzieleniu jej informacji, podaniu linków, wyraźnemu oznakowaniu takich informacji lub podaniu ich w formie odpowiedzi na pytanie sformułowanej w przystępny sposób (np. w internetowym warstwowym oświadczeniu o ochronie prywatności / warstwowej informacji o polityce prywatności, w FAQ, za pośrednictwem kontekstowych wyskakujących okien, które uruchamiają się podczas wypełniania internetowego formularza przez osobę, której dane dotyczą, lub – w interaktywnym kontekście cyfrowym – za pośrednictwem interfejsu chatbota itd. (…)

PRZYKŁAD

Każda organizacja, która prowadzi stronę internetową, powinna opublikować na niej oświadczenie o ochronie prywatności / informację o polityce prywatności. Na każdej podstronie tej strony należy umieścić bezpośredni link do oświadczenia o ochronie prywatności / informacji o polityce prywatności, używając powszechnie stosowanego hasła (np. „Ochrona prywatności”, „Polityka ochrony prywatności” lub „Informacja o polityce prywatności”).

Kiedy porównuję te dwa podejścia, doznaję pewnego intelektualnego szoku. I jak w reklamach pomarańczowego telekomu sprzed niemal 10 lat – choć sercem trochę rozumiem Prezesa UODO (po szaleństwie okołomajowym „RODO” i „prywatność” to dla wielu osób nie są ani synonimy, ani nawet wyrazy bliskoznaczne), rozum mówi mi „coś tu nie gra”. Czy powinniśmy zatem próbować kwestionować pogląd regulatora, czy może spróbować się dostosować?

Jak żyć?

Spełnienie oczekiwań Prezes UODO nie wydaje się szczególnie trudne, nawet jeżeli trzeba będzie w tym celu zmienić nazwę podstrony albo dorzucić nową. W naprawdę niewielu sytuacjach będzie powodować to poniesienie jakichkolwiek kosztów – a jeśli już, to raczej niewielkich.

Z drugiej strony wątpliwa jest w ogóle sama możliwość nakładania sankcji w razie niespełnienia powyższego wymogu. Kierując się ekonomiczną szkołą analizy prawa, w mojej ocenie prościej będzie jednak… wyjść naprzeciw oczekiwaniom Prezesa UODO.

W zakresie RODO jest o wiele więcej tematów do zaadresowania i poświęcenia im czasu niż argumentacja, dlaczego stanowisko Prezesa UODO akurat w tej sprawie może wydawać się kontrowersyjne. Ja w każdym razie rekomenduję wszystkim nazwanie podstrony z danymi kontaktowymi IOD zgodnie z oczekiwaniem regulatora.

Post Scriptum

PS: Na marginesie zwróćmy uwagę na jeszcze jedną istotną kwestię. Otóż obowiązek informowania o imieniu i nazwisku IOD nie wynika wprost z RODO. RODO – zarówno przy regulacjach dot. obowiązków informacyjnych, jak i przy przepisach dot. IOD – wskazuje jedynie na konieczność wskazania jego danych kontaktowych. Co więcej, wydaje się, że jest to zamysł zupełnie świadomy. Gdy RODO oczekuje podania danych kontaktowych, to tylko co do kanału kontaktu i sposobu jego nawiązania. Natomiast wszędzie tam, gdzie wymaga podania imienia i nazwiska IOD, mówi o tym wyraźnie. Polska ustawa jest więc pewnym elementem wykraczającym poza RODO – choć w mojej ocenie nie tyle nieszkodliwym, co wręcz pozytywnym. Wszak w dobie IoT, RPA, AI i innych magicznych skrótów podanie imienia i nazwiska pozwala na dużo bardziej „ludzkie” kontakty.


Zobacz inne artykuły autora