Klauzula informacyjna RODO w domenach internetowych – czy spełnia swoje zadanie?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (dalej: „RODO”), nakłada na administratorów danych w art. 13 obowiązek informacyjny w przypadku zbierania danych od osoby, której dane dotyczą. Każdy użytkownik internetu musi natknąć się na taka klauzulę od 25 maja 2018 roku (wejście w życie przepisów RODO) otwierając praktycznie każdą domenę internetową. […]

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (dalej: „RODO”), nakłada na administratorów danych w art. 13 obowiązek informacyjny w przypadku zbierania danych od osoby, której dane dotyczą. Każdy użytkownik internetu musi natknąć się na taka klauzulę od 25 maja 2018 roku (wejście w życie przepisów RODO) otwierając praktycznie każdą domenę internetową.
 
Wymóg informowania użytkowników o gromadzeniu ich danych osobowych wynika z tego, że administratorzy w zasadzie każdej domeny internetowej gromadzą pliki cookie dla siebie oraz dla podmiotów, które reklamują się na ich domenie. Pliki cookie, to między innymi informacje o tym jakie słowa wpisujemy w wyszukiwarce dostępnej na stronie, ile czasu spędzamy na danej domenie, a nawet ile czasu spędzamy „patrząc” na wyświetlone na ekranie treści o danej tematyce. Niektóre pliki cookie stanowią dane osobowe, ponieważ zgodnie z art. 4 pkt. 1) RODO (w powiązaniu z Motywem (30) do RODO) stanowią „wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej” – o użytkowniku komputera.
 
Wracając jednak do tematu klauzuli informacyjnej – art. 13 RODO nakłada obowiązek poinformowania osoby, której dane dotyczą o bardzo wielu kwestiach. Mowa tu m in. o podaniu: tożsamości i danych kontaktowych administratora oraz jego przedstawiciela, danych kontaktowych inspektora ochrony danych, celów oraz podstawę prawną przetwarzania, informacji o okresie, przez który dane osobowe będą przechowywane, informacji o prawie do żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, o prawie do cofnięcia zgody na przetwarzanie, o prawie wniesienia skargi do UODO itp.
 
Prawdopodobnie nawet czytając niniejszy tekst, część czytelników jedynie przewertowała wzrokiem powyższe wyliczenie, a jest to wyliczenie niepełne. Jak głosi Motyw nr (39) do RODO, celem klauzul informacyjnych jest zapewnienie realizacji zasady rzetelności i przejrzystości przetwarzania – by te informacje „były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem”.
 
W Motywie (58) z kolei czytamy: „zasada przejrzystości wymaga, by wszelkie informacje kierowane do ogółu społeczeństwa lub osoby, której dane dotyczą, były zwięzłe, łatwo dostępne i zrozumiałe, by były formułowane jasnym i prostym językiem, a w stosownych przypadkach, dodatkowo wizualizowane”. Motyw ten odnosi się także do dzieci, nakazując sformułowanie obowiązku informacyjnego wobec nich tak jasnym i prostym językiem, by mogły je zrozumieć. Należy pamiętać, że dzieci coraz wcześniej i coraz częściej stają się aktywnymi i świadomymi użytkownikami internetu, a co za tym idzie, także osobami, których dane osobowe zbierają administratorzy.
 
Wymóg jasności i przejrzystość informacji (art. 12 ust. 1 RODO) pozostaje niedostrzegany przez podmioty formułujące klauzule informacyjne. Przepełnione niejasną, rozwlekłą treścią klauzule informacyjne (czasami napisane tekstem ciągłym!) powodują swego rodzaju inflację informacji, wywołując efekt, który w internetowym slangu określa się skrótem TL;DR (ang. Too Long; Didin’t Read) – osoby, które powinny być zainteresowane treścią klauzul w istocie ich nie czytają.
 

Na potrzeby niniejszego artykułu wyszukaliśmy i wyliczyliśmy, z ilu słów składa się średnio internetowa  klauzula informacyjna oparta na RODO. Z piętnastu losowych klauzul, które znaleźliśmy, średnia liczba słów wyniosła 721. To więcej, niż w niniejszym artykule. Nie negując potrzeby przejrzystości przetwarzania danych osobowych należy zastanowić się, czy cele, które zakładali legislatorzy europejscy uchwalając RODO, są w pełni realizowane. Naszym zdaniem – nie są. Przeczy to zupełnie jednej z najważniejszych zasad prawa Unii Europejskiej – effet utile (efektywności prawa).

Autorów klauzul informacyjnych mona zrozumieć o tyle, że mając do wyboru z jednej strony zsyntetyzowanie informacji, a z drugiej strony ryzyko, że organ kontroli uzna, że podano za mało informacji i w konsekwencji ukarze administratora mityczną karą finansową (do 20 000 000 EUR), administratorzy wybierają przeładowanie klauzul informacjami tak, aby zawrzeć w nich maksymalnie dużo informacji. Nawet takich informacji, które nie są potrzebne.

Być może najlepszym sposobem spełniania obowiązku informacyjnego jest informowanie w sposób „warstwowy”, tj. w taki sposób, że dopiero po kliknięciu nagłówka rozsuwa się dalsza, syntetyczna treść, a dopiero wersja dla dociekliwych wymagająca kolejnego kliknięcia, ujawnia pełny zakres informacji. Tylko tak można próbować dochować wymogu jasności i przejrzystości informowania.
 

Szukając klauzul informacyjnych w internecie zauważyliśmy, że podczas gdy zazwyczaj „wyskakują” od razu gdy wejdzie się na stronę, czasami trudno jest je odnaleźć w czeluściach zakładek danej strony. De lege ferenda, zamiast wprowadzać regulacje, które powodują jeszcze bardziej niż kiedykolwiek mechaniczne klikanie przycisku „akceptuj”, należałoby ułatwić osobom fizycznym wykonywanie swoich praw związanych z RODO i w ten sposób uświadomić społeczeństwo i zaktywizować je do troski o swoje dane osobowe.