Obowiązek informacyjny w środowisku internetowym

Obowiązek informacyjny w RODO – podstawowe zasady

RODO w sposób analogiczny do poprzednio obowiązującej ustawy o ochronie danych osobowych nakłada na administratorów danych osobowych obowiązki informacyjne w stosunku do podmiotów danych, tj. podmiotów, których dane zamierzają przetwarzać. Równocześnie zakres informacji, który powinien zostać przekazany podmiotowi danych na podstawie art. 13 i art. 14 RODO, został istotnie rozszerzony. Katalog tych informacji jest inny w przypadku, gdy dane osobowe pozyskiwane są od osoby, której dotyczą (art. 13 RODO), a inny gdy pozyskiwane są w odmienny sposób (art. 14 RODO). Obejmuje on w szczególności informację o celu przetwarzania danych, podstawie prawnej przetwarzania, tożsamości administratora, okresie, przez jaki dane osobowe będą przetwarzane oraz o odbiorcach danych lub kategoriach tych odbiorców. Jednocześnie zakres informacji, które zgodnie z RODO muszą zostać przekazane podmiotowi danych, nie jest uzależniony od formy ich pozyskiwania i sposobu utrwalenia – dotyczy to zarówno tradycyjnych, „analogowych” form przetwarzania danych, jak również ich przetwarzania w środowisku cyfrowym, w tym na potrzeby reklamy internetowej.  Zatem niezależnie od tego, czy dane pozyskiwane są za pośrednictwem tradycyjnego formularza, czy za pomocą  rozwiązań   technologicznych   pozwalających   gromadzić i przetwarzać   dane o aktywności użytkowników stron internetowych (przykładowo poprzez informacje zapisywane w plikach cookies), zakres informacji, jaki musi trafić do osoby, której dane są przetwarzane, pozostaje taki sam.

Przekazanie określonych informacji w ramach wykonania obowiązków informacyjnych musi jednocześnie odpowiadać określonym standardom jakościowym, co ma na celu zagwarantowanie, że informacja rzeczywiście dotrze do jej odbiorcy i – co bardziej istotne – że zostanie zrozumiana (RODO kładzie szczególny nacisk na efektywność komunikacji z podmiotami danych). Standard ten, wyrażony w motywie 39 preambuły RODO oraz w treści art. 12 ust. 1 RODO, sprowadzić można do kilku podstawowych wymogów odnoszących się zarówno do wykorzystywanego języka komunikacji, jak również do sposobu jej przekazania, tj. do wymogów, aby informacje związane z przetwarzaniem danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.

Obowiązek informacyjny związany ze zbieraniem danych osobowych powinien być wykony- wany z inicjatywy administratora danych, tj. bez konieczności występowania z dodatkowym żądaniem przez podmiot danych. Innymi słowy, to administrator powinien „aktywnie” zadbać o to, aby dostarczyć podmiotowi danych wszelkie wymagane przepisami informacje o przetwarzaniu danych i zapewnić, aby sposób ich przekazania odpowiadał zasadzie prostoty i jasności przekazu. W praktyce oznaczać to będzie albo udzielenie (przekazanie) niezbędnych informacji bezpośrednio przez administratora, albo skierowanie podmiotu danych do miejsca, w którym takie informacje się znajdują (np. link do strony, informacja o możliwości skorzystania z kodu QR itd.)30.

RODO nie daje administratorom żadnych konkretnych wskazówek odnośnie treści informacji przekazywanych odbiorcom danych (m.in. jakiego języka używać; jakich słów i zwrotów unikać; czy wreszcie jak szczegółowo opisać dane zagadnienie), jak również odnośnie formy przekazywanego komunikatu (m.in. czy powinno to nastąpić w ramach polityki prywatności serwisu internetowego; czy też odrębnego bannera zawierającego zestaw wszelkich wymaganych informacji) – w tym zakresie to administratorzy muszą samodzielnie podjąć decyzję, jak sfomułować i następnie jak „dostarczyć” wszystkie informacje wymienione w art. 13 i 14 RODO w sposób, który będzie zwięzły, zrozumiały i jasny dla ich odbiorców i to administratorzy ponoszą pełną odpowiedzialność za podjęte w tym zakresie decyzje. Powyższe daje administratorom znaczny poziom swobody w doborze odpowiedniego, tj. uwzględniającego specyfikę danego procesu przetwarzania, sposobu w zakresie wykonania obowiązków informacyjnych. Jak wskazuje GrupaRobocza Art. 29, administrator ma wręcz obowiązek uwzględnić wszelkie okoliczności związane ze zbieraniem danych w konkretnym procesie przetwarzania, a w szczególności wziąć pod uwagę poziom doświadczenia użytkownika/pomiotu danych31. W praktyce oznacza to konieczność doboru środków wyrazu do rodzaju odbiorcy, co wydaje się wnioskiem dość oczywistym z punktu widzenia celu, jakim jest przecież skuteczne przekazanie informacji. Tym samym obowiązek informacyjny (sposób jego wykonania), na stronie internetowej zawierającej„lekkie” treści, np. o tematyce rozrywkowej kierowanej do młodzieży, może (a wręcz powinien) różnić się od obowiązku realizowanego na stronie internetowej dedykowanej „poważnym” tematom, np. prawnym czy gospodarczym, i kierowanej do zupełnie innej grupy odbiorców.

Sposoby spełniania obowiązku informacyjnego w internecie

Niezależnie od powyższych trudności związanych z praktyką wykonywania obowiązków informacyjnych – pozostaje jeszcze, równie istotna, kwestia wkomponowania klauzul informacyjnych w poszczególne funkcjonalności stron internetowych oraz usług świadczonych za ich pośrednictwem. Jest to szczególnie ważne w przypadku, w którym dana strona oferuje conajmniej kilka usług jednocześnie, tj. przykładowo gromadzi dane o aktywności użytkowników na potrzeby reklamy dopasowanej do ich preferencji, daje możliwość zarejestrowania się na newsletter oraz do poczty elektronicznej.

Jest dość oczywiste, iż klauzula informacyjna powinna być „widoczna” bezpośrednio na etapie zbierania danych od podmiotu danych – co stanowi najpewniejszy sposób wypełnienia wymogów związanych z przejrzystością procesów przetwarzania. Mianowicie – podmiot danych otrzymuje informacje bezpośrednio w momencie, gdy „zostawia” swoje dane (np. w formularzu rejestracyjnym, służącym do założenia konta poczty elektronicznej, czy przy zapisie na newsletter), co istotnie ogranicza ryzyko wprowadzenia podmiotu danych w błąd odnośnie celów i sposobów przetwarzania jego danych w konkretnych procesach.

Z tego względu wypełnienie obowiązku informacyjnego następować powinno w sposób adekwatny do sposobu zbierania danych, tj.:

  • w przypadku zbierania danych za pośrednictwem strony WWW – należy zamieścić stosowne informacje w bezpośrednim sąsiedztwie formularza służącego do wprowadzania danych,
  • w przypadku zbierania danych za pośrednictwem komunikacji e-mail lub podobnej – należy zamieścić stosowne informacje w bezpośrednim sąsiedztwie takiego oznaczenia adresu komunikacji (adres e-mail, nr komunikatora) lub w instrukcji nawiązania komunikacji,
  • w przypadku reklamy internetowej realizowanej z wykorzystaniem danych gromadzonych za pomocą m.in. plików cookies lub innych podobnych technologii (w tym reklamy realizowanej w modelu programmatic), z uwagi na brak jednego konkretnego miejsca, w którym dochodzi do zbierania danych osobowych (jak w przypadku np. formularzy internetowych) – należy zamieścić odpowiednie informacje jeszcze przed rozpoczęciem korzystania ze strony internetowej. Przykładowo, informacje takie pojawić się mogą w ramach komunikatu wyświetlanego użytkownikom bezpośrednio po wejściu na daną stronę internetową.

Obowiązki informacyjne: największe wyzwania administratorów danych osobowych

Prawidłowa realizacja obowiązku informacyjnego jest niewątpliwie jednym z kluczowych wyzwań, przed którym stają administratorzy danych osobowych. Doświadczenia wynikające z pierwszego roku stosowania RODO pokazują, iż obowiązki informacyjne wykonywane są przez administratorów bardzo różnie i niestety nie zawsze prawidłowo. Wniosek, o którym mowa, dotyczy niemalże w równym stopniu tradycyjnych form przekazywania informacji, jak również tych wykorzystywanych w świecie cyfrowym. W tym ostatnim przypadku – znaczna liczba technicznych możliwości realizacji obowiązku informacyjnego (np. za pomocą poczty elektronicznej czy wszelkiego rodzaju komunikatów pojawiających się na stronach internetowych, okienek pop-up, powiadomień push i pull) tylko pozornie ułatwia jego wykonanie. Jednocześnie budzi bowiem sporo wątpliwości odnośnie miejsca czy momentu, w którym powinny zostać przekazane poszczególne informacje, szczególnie wobec przyjęcia warstwowego podejścia do wykonywania obowiązków informacyjnych. Dotyczy to w szczególności procesów przetwarzania danych związanych z nowoczesną reklamą internetową, a zwłaszcza reklamą realizowaną w modelu programmatic.

Podkreślenia wymaga, że przekazanie informacji, zawierającej wszystkie elementy wskazane odpowiednio w art. 13 i 14 RODO, nie jest wystarczające do w pełni prawidłowego wykonania obowiązku informacyjnego. Formułowanie rozbudowanych i bardzo szczegółowych klauzul informacyjnych, których przeczytanie (od razu i w całości) jest niezbędne do tego, aby dotrzeć do treści umieszczonych na stronie internetowej czy skorzystać z dostępnej tam usługi, nie jest – wbrew często pojawiającym się opiniom – właściwym rozwiązaniem. Po pierwsze, tego rodzaju praktyka jest niewątpliwie uciążliwa dla odbiorców przekazywanych informacji i wcale nie prowadzi do założonego celu – nad- miar informacji podanych w nieprzystępnej formie i nieodpowiednim miejscu, często sformułowanych z wykorzystaniem specjalistycznego, hermetycznego języka nie zwiększa poziomu wiedzy i świadomości w zakresie procesu przetwarzania danych. Przeciwnie – zbyt duża ilość informacji sformułowanych z pominięciem wymogów dotyczących przejrzystości i jasności przekazu pro- wadzić może do dezinformacji na skutek tzw. „przeładowania informacyjnego”. Po drugie, takie podejście do wykonywania obowiązków informacyjnych utrudnia normalne korzystanie z usług społeczeństwa informacyjnego. W efekcie jest również niekorzystne z biznesowego punktu widzenia administratorów, którym zależy przecież na tworzeniu usług i produktów możliwie najbardziej atrakcyjnych i przyjaznych dla klientów. Po trzecie wreszcie, takie podejście budzić może wątpliwości natury prawnej, szczególnie w kontekście wymogów wynikających z zasady przejrzystości, tj.wymogów formułowania informacji kierowanych do podmiotów danych w sposób zwięzły i przejrzysty. Zasadę tę w odniesieniu do wykonywania obowiązków informacyjnych można by sprowadzić do dość prostej dyrektywy, tj. nakazu informowania w taki sposób, aby odbiorca zrozumiał przekazywaną informację (czyli aby informacja „dotarła” do odbiorcy, do którego jest kierowana), a nie tak, aby tylko formalnie sprostać wszelkim wymogom związanym z przekazywaniem określonych informacji. Bardzo istotny jest bowiem również sposób wykonania obowiązków informacyjnych, a ten powinien uwzględniać wymogi wskazane w art. 12 ust. 1 RODO, zgodnie z którym administrator powinien przekazywać informacje w zwięzłej, przejrzystej i łatwo zrozumiałej formie.

Przeciwnie – zbyt duża ilość informacji sformułowanych z pominięciem wymogów dotyczących przejrzystości i jasności przekazu pro- wadzić może do dezinformacji na skutek tzw. „przeładowania informacyjnego”. Po drugie, takie podejście do wykonywania obowiązków informacyjnych utrudnia normalne korzystanie z usług społeczeństwa informacyjnego. W efekcie jest również niekorzystne z biznesowego punktu widzenia administratorów, którym zależy przecież na tworzeniu usług i produktów możliwie najbardziej atrakcyjnych i przyjaznych dla klientów. Po trzecie wreszcie, takie podejście budzić może wątpliwości natury prawnej, szczególnie w kontekście wymogów wynikających z zasady przejrzystości, tj.wymogów formułowania informacji kierowanych do podmiotów danych w sposób zwięzły i przejrzysty. Zasadę tę w odniesieniu do wykonywania obowiązków informacyjnych można by sprowadzić do dość prostej dyrektywy, tj. nakazu informowania w taki sposób, aby odbiorca zrozumiał przekazywaną informację (czyli aby informacja „dotarła” do odbiorcy, do którego jest kierowana), a nie tak, aby tylko formalnie sprostać wszelkim wymogom związanym z przekazywaniem określonych informacji. Bardzo istotny jest bowiem również sposób wykonania obowiązków informacyjnych, a ten powinien uwzględniać wymogi wskazane w art. 12 ust. 1 RODO, zgodnie z którym administrator powinien przekazywać informacje w zwięzłej, przejrzystej i łatwo zrozumiałej formie.

Jak się wydaje, przyczyną wyżej wspomnianych praktycznych problemów z prawidłowym wykonaniem obowiązków informacyjnych jest konieczność pogodzenia dwóch pozornie sprzecznych ze sobą elementów, tj. z jednej strony znacznej ilości informacji, które administratorzy mają obowiązek przekazać podmiotom danych (art. 13 i 14 RODO), a z drugiej konieczności zachowania zwięzłej, przejrzystej i łatwo zrozumiałej formy przekazu (art. 12 RODO). Rozwiązaniem w powyższym zakresie wydaje się przyjęcie, zgodnie ze stanowiskiem Grupy Roboczej Art. 29, tzw. „warstwowego podejścia” do wykonania obowiązku informacyjnego (ang. layer approach). Podział wszystkich informacji, których przekazanie podmiotom danych składa się na obowiązek informacyjny, na kilka grup/zestawów oraz przekazywanie ich stopniowo (zgodnie z założeniami warstwowego podejścia) wydaje się jednocześnie odpowiadać na problem „przeładowania informacyjnego”, tj. sytuacji, w której podmiot danych otrzymuje jednocześnie tak wiele szczegółowo ujętych informacji dotyczących przetwarzania jego danych osobowych, że w efekcie nie jest w stanie ich przyswoić i zrozumieć.

Warstwowe podejście do wykonania obowiązku informacyjnego

Warstwowe podejście do wykonywania obowiązków informacyjnych – rozwiązanie zaproponowane przez Grupę Roboczą Art. 29 – w możliwie największym uproszczeniu oparte jest na przekazywaniu wymaganych prawem informacji w dwóch lub w kilku płaszczyznach (poziomach)komunikacji. W środowisku cyfrowym możliwie jest zatem odesłanie do różnych kategorii informacji zamiast przekazania wszystkich informacji w pojedynczym komunikacie wyświetlanym na ekranie.Tytułem przykładu – na poziomie formularza rejestracyjnego, w ramach którego zbierane są dane osobowe, użytkownik otrzymuje podstawowe informacje o procesie przetwarzania danych (pierwsza warstwa informacyjna) i jednocześnie zostaje odesłany do polityki prywatności, w ramach której znajduje wszystkie pozostałe informacje (druga warstwa informacyjna). W zależności od stopnia skomplikowania procesu warstw informacyjnych może być również więcej– kluczowe jest jednak zachowanie językowej, logicznej i funkcjonalnej spójności pomiędzy poszczególnymi warstwami tak, aby spełniona była zasada przejrzystości przetwarzania danych. Zgodnie z wytycznymi Grupy Roboczej, w ramach pierwszej warstwy informacyjnej administrator ma obowiązek przekazać przede wszystkim informacje o (i) celach przetwarzania, (ii) tożsamości administratora danych i (iii) prawach osoby, której dane dotyczą. Chodzi zatem o te kategorie informacji, dzięki którym podmiot danych będzie w stanie zrozumieć, jakie będą konsekwencje przetwarzania jego danych osobowych w konkretnym procesie przetwarzania.

Pozostałe wymagane prawem informacje mogą znaleźć się w kolejnej warstwie informacyjnej. Z uwagi na konieczność zbudowania funkcjonalnego połączenia pomiędzy pierwszą i drugą (odpowiednio drugą i kolejną) warstwą informacyjną, konieczne jest również oczywiście jasne i niebudzące wątpliwości odesłanie do tej drugiej warstwy. Zatem, poza wyżej wymienionymi elementami treściowymi klauzuli informacyjnej, powinna się w niej znaleźć również informacja, gdzie można zapoznać się z kompletem informacji na temat przetwarzania danych osobowych.

Jakie są zalety warstwowego podejścia do wykonywania obowiązków informacyjnych? Jak wskazuje Grupa Robocza Art. 29, takie podejście pozwala uniknąć „przeładowania informacyjnego”32, tj. sytuacji, w której odbiorca informacji, na skutek zbyt dużej ich ilości oraz mało przejrzystej formy ich przekazania przestaje rozumieć treść komunikatu lub zniechęca się do przeczytania go w całości. Dodatkowo pozwala ono w efektywny sposób pogodzić znaczny zakres informacji, jakie muszą zostać przekazane podmiotom danych, z wymogiem, aby wszystkie te informacje zostały przekazane w jasny i zrozumiały sposób. Jednocześnie Grupa Robocza Art. 29 wprost wskazuje, że właściwym rozwiązaniem jest pozostawienie podmiotom danych wyboru w zakresie tego, z którymi informacjami chcą się zapoznać. Ten ostatni wniosek (oparty, jak się wydaje, na oczywistym założeniu, że nikogo nie da się zmusić do przeczytania klauzuli informacyjnej) wymaga szczególnego uwypuklenia. Wobec powyższego, praktyczne rozwiązania w zakresie wykonania obowiązku informacyjnego, które w celu zapoznania się z kompletem informacji o przetwarzaniu danych, wymagają od podmiotów danych podjęcia określonych działań (przykładowo kliknięcia w „dowiedz się więcej”, „zobacz listę zaufanych partnerów”, wejścia w „ustawienia zaawansowane” czy „politykę prywatności”) uznać należy za w pełni prawidłowe. Oczywiście administrator danych osobowych ma obowiązek zadbać o to, aby precyzyjnie i jasno wskazać, jakie konkretne działanie musi zostać podjęte w celu otrzymania kompletnej informacji o przetwarzaniu.

Ważne jest, żeby pierwsza, podstawowa warstwa obowiązku informacyjnego realizowana była w formie właściwej dla zbierania informacji w ramach danego procesu – osoba informowana powinna łatwo i przede wszystkim już w momencie gromadzenia jej danych osobowych otrzymać podstawowe informacje na temat danego procesu przetwarzania. Przekazanie informacji w warstwie szczegółowej może natomiast polegać na odesłaniu do polityki prywatności (link), a w przypadku innych – niż poprzez stronę internetową – form komunikacji może się odbywać w następujący sposób:

  • w formie wiadomości e-mail przesyłanej osobie, której dane są zbierane, przygotowane do pobrania pod unikalnym adresem URL,
    • w formie komunikatu na stronie WWWdostępnego tylko dla osoby, której dane są zbierane     (zakładka     prywatność     np.w panelu konta użytkownika).

Realizacja obowiązku informacyjnego na kilku poziomach (zgodnie z wyżej opisanymi założeniami) wydaje się najbardziej odpowiednim rozwiązaniem w przypadku bardziej skomplikowanych proce- sów przetwarzania, np. w przypadku reklamy internetowej realizowanej w modelu programmatic. Poziom skomplikowania tego procesu nie pozwala bowiem na jasne i zrozumiałe dla użytkowników stron internetowych podanie wszelkich wymaganych informacji za jednym razem, przykładowo wyłącznie w ramach jednego komunikatu wyświetlanego na stronie internetowej.

Obowiązek informacyjny w marketingu internetowym

Mając na uwadze, że informacje o użytkownikach stron internetowych, które zbierane są w ramach nowoczesnego marketingu internetowego, w określonych sytuacjach mogą stanowić dane osobowe, niezbędne jest rozważenie, jak w tej sytuacji wykonać obowiązki informacyjne wobec osób, których dane te dotyczą33. W pierwszej kolejności należy określić, jaka będzie podstawa prawna tego obowiązku, a w konsekwencji – jaki będzie zakres informacji wymagających przekazania pod- miotowi danych (czyli „co przekazać?”). Następnie konieczne będzie zastanowienie się nad praktycznymi sposobami przekazania tych informacji w taki sposób, aby sprostać wymogom art. 12 RODO, tj. aby informacje zostały przekazane w zwięzłej ,przejrzystej i łatwo zrozumiałej formie (czyli „jak przekazać?”).

W większości przypadków nie budzi wątpliwości określenie tego, który z obowiązków informacyjnych powinien zostać wykonany przez administratora danych przetwarzającego je w ramach usług związanych z marketingiem internetowym, tj. czy będzie to obowiązek związany ze zbieraniem informacji bezpośrednio od podmiotu danych (art. 13 RODO), czy też obowiązek wynikający z innych sposobów zbierania tych danych (art. 14 RODO). W typowej sytuacji administrator będzie miał obowiązek wykonać obowiązek wynikający z art. 13 ust. 1 i 2 RODO – z uwagi na to, że dane osobowe będą zbierane bezpośrednio od osoby, której dotyczą (np. od osoby odwiedzającej daną stronę internetową). W świetle wytycznych Grupy Roboczej Art. 29 za dane osobowe zbierane bezpośrednio od danej osoby uznać należy nie tylko dane „aktywnie” przekazane przez podmiot danych (przykładowo w sytuacji wypełnienia formularza rejestracyjnego), ale również dane pozyskiwane przez administratora w drodze obserwacji (np. obserwacja „aktywności” danego uczestnika strony internetowej poprzez technologie śledzące)34.

Odnosząc się do kwestii sposobów wykonania obowiązku informacyjnego, warstwowe podejście do jego wykonania zostało przyjęte i wdrożone przez niemal wszystkich wydawców serwisów internetowych (oczywiście konkretne przyjęte rozwiązania różnią się w szczegółach, ale – co ważne – wszystkie oparte zostały na podobnych założeniach). Mając na uwadze fakt, iż to właśnie za pośrednictwem serwisów internetowych ich użytkownicy otrzymują informacje o przetwarzaniu ich danych osobowych dla celów nowoczesnej reklamy internetowej (w tym w szczególności reklamy realizowanej w modelu programmatic) – serwisy są naturalnym „miejscem kontaktu” użytkowników i wszystkich podmiotów zaangażowanych w procesie reklamowym, powyższą praktykę należy ocenić zdecydowanie pozytywnie. Stanowi ona istotny krok w stronę zwiększenia przejrzystości całego procesu przetwarzania danych osobowych w celu wyświetlania reklam i treści dopasowanych do preferencji użytkowników.

Podkreślenia wymaga, że wydawcy stanęli przed szczególnie trudnym wyzwaniem w związku ze sposobem funkcjonowania rynku reklamy programmatic, który angażuje w proces przetwarzania danych bardzo wiele podmiotów występujących w bardzo różnych rolach (reklamodawcy, platformy popytowe i podażowe, domy mediowe oraz inni pośrednicy reklamowi). Ich zadaniem było zatem zaprojektowanie poszczególnych warstw zawierających informacje o przetwarzaniu danych w taki sposób, aby użytkownik danego serwisu od samego początku, tj. od chwili wyświetlenia danej strony internetowej miał pełną i jednocześnie jasną informację zarówno o podmiotach, które biorą udział w proce- sie przetwarzania, jak i o celach przetwarzania prowadzącego do dopasowania treści serwisu lub personalizacji wyświetlanej na jego powierzchni reklamy.

W tym celu wydawcy serwisów internetowych zdecydowali się wykorzystać tzw. consent-walls, tj.specjalne plansze wyświetlane użytkownikom od razu po wejściu na daną stronę internetową, umożliwiające również wyrażenie zgody na przetwarzanie danych osobowych w celach prowadzenia reklamy internetowej opartej na analizie danych dotyczących„aktywności” użytkowników i/lub wyrażenie zgody na instalowanie plików cookies oraz wykorzystywanie informacji w nich zapisanych m.in. do celów marketingowych (zgodnie z przepisem art. 173 Prawa Telekomunikacyjnego). Consent-walls, obok funkcjonalności związanych z wyrażeniem zgody, stanowią jednocześnie pierwszą warstwę w ramach wykonania obowiązku informacyjnego i zawierają najbardziej istotne informacje o procesie przetwarzania danych. Zazwyczaj są to informacje (i) mówiące o celu przetwarzania danych (dopasowywanie treści oraz personalizacja wyświetlanych reklam), (ii) kategorii wykorzystywanych danych (dane o „aktywności” użytkownika zapisywane w plikach cookies) oraz (iii) podmiotach zaangażowanych w proces przetwarzania (tu najczęściej pojawia się określenie „zaufani partnerzy”). Dodatkowo w ramach tej pierwszej warstwy znajduje się zwykle odesłanie do polityki prywatności lub innego miejsca, w którym podmiot danych może uzyskać komplet informacji na temat przetwarzania jego danych osobowych.

Zatem, użytkownikowi wchodzącemu na stronę internetową wyświetlany jest komunikat zawierający podstawowe informacje o przetwarzaniu jego danych osobowych (pierwsza warstwa obowiązku informacyjnego), a jednocześnie zawarty w nim zwrot „zobacz więcej” czy „dowiedz się więcej” stanowi aktywny link odsyłający do dokumentu, w którym proces przetwarzania został opisany kompletnie, tj. zgodnie z art. 13 ust. 1 i 2 RODO (druga warstwa obowiązku informacyjnego).

Z perspektywy administratora będącego wydawcą, tj. właścicielem strony internetowej, na którą wprowadzone zostały technicznie rozwiązania pozwalające na instalowanie technologii umożliwiających gromadzenie danych o użytkownikach stron internetowych, w szczególności zapisywanie ich w plikach cookies – najprostszym i najbardziej intuicyjnym rozwiązaniem wydaje się być zrealizowanie obowiązków informacyjnych w pełnym zakresie właśnie w polityce prywatności.

W ramach projektowania powyższych rozwiązań wydawcy stron internetowych przejęli dwazasadni- cze modele działania, tj.:

  • wykorzystali stosowane jeszcze przed RODO komunikaty zawierające klauzulę zgody na przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym użytkownika końcowego (czyli potocznie „zgoda na pliki cookies”), uzupełniając je o klauzulę zgody na przetwarzania danych osobowych oraz pierwszą warstwę informacji o procesach przetwarzania danych osobowych,
  • stworzyli nowe komunikaty obok równolegle istniejących komunikatów ze zgodą na pliki cookies, zawierające tylko zgodę na przetwarzania danych osobowych oraz pierwszą warstwę informacji o procesach przetwarzania.

Mając na uwadze wytyczne wynikające z zasady przejrzystości (jednej z podstawowych zasad wynikających z RODO), bardziej prawidłowe wydaje się pierwsze rozwiązanie. Połączenie obu klauzul zgody w jednym komunikacie od razu wskazuje na powiązanie pomiędzy instalowaniem plików cookies a przetwarzaniem danych osobowych w nich zapisanych (tj. przykładowo informacji o „aktywnościach” danego użytkownika na stronie internetowej), tym samym dając użytkownikowi podstawową wiedzę na temat sposobu funkcjonowania reklamy internetowej. Dodatkowo, mniejsza liczba komunikatów i zawartych w nich informacji jest po prostu bardziej czytelna i przyjazna dla użytkownika.

Tytułem przykładu, treść wyżej wspominanego consent-wall w zakresie wykonania obowiązku informacyjnego dotyczącego przetwarzania danych osobowych może wyglądać następująco: „poprzez (…) wyrażasz zgodę na przetwarzanie danych osobowych przez X oraz Zaufanych Partnerów X do celów marketingowych, w szczególności na potrzeby wyświetlania reklam dopasowanych do Twoich zainteresowań i preferencji (…). Pamiętaj, że wyrażenie zgody jest dobrowolne, a wyrażoną zgodę możesz w każdej chwili cofnąć. Dowiedz się więcej lub zdecyduj o zgodzie”.

W oparciu o dotychczasowe doświadczenia w stosowaniu RODO oraz wyżej poczynione uwagi dotyczące standardów komunikacji z podmiotami danych osobowych, tak zaprojektowany sposób wypełnienia obowiązku informacyjnego powinien spełniać następujące wymogi:

  • consent-wall powinien być czytelnie wyodrębniony od pozostałej zawartości strony internetowej (tak aby nie został przypadkowo „pominięty”), a informacje w nim zawarte dobrze widoczne dla użytkowników,
  • komunikat w nim zawarty powinien być sformułowany w sposób możliwie jasny i precyzyjny, tj. z wykorzystaniem krótkich zdań i powszechnie zrozumiałego, potocznego języka, a jednocześnie powinien zawierać podstawowe informacje o procesie przetwarzania (cel, tożsamość administratora oraz kategorie podmiotów zaangażowanych w przetwarzanie danych),
  • komunikat nie powinien być zbyt długi i zawierać zbyt szczegółowych informacji – te są przecież zawarte w drugiej warstwie informacyjnej, czyli w polityce prywatności, w szczególności komunikat nie powinien wymieniać wszystkich odbiorców danych występujących w modelu reklamy programmatic, a jedynie kategorię tych odbiorców (rozwiązanie wprost dopuszczane w treści art. 13 ust. 1 pkt e RODO),
  • komunikat powinien również zawierać krótkie wyjaśnienie, sformułowane potocznym językiem,co do tego, jakie będą konsekwencje przetwarzania danych osobowych użytkownika,
  • komunikat powinien zawierać widoczne odesłanie do miejsca, w którym zawarte są wszystkie informacje o procesie przetwarzania danych, np. do polityki prywatności,
    • polityka prywatności powinna zawierać wszystkie informacje wymienione w art. 13 ust. 1 i 2 RODO, a jednocześnie być sformułowana jasnym, prostym i zrozumiałym językiem,
    • polityka prywatności musi być łatwo dostępna na każdym etapie korzystania ze strony internetowej, a nie tylko przez odesłanie z komunikatu zawartego w consent-wall. W tym zakresie polityka prywatności powinna być co najmniej podlinkowana w dolnej części każdej strony danego ser- wisu,
    • komunikat zawarty w consent-wall nie powinien nadmiernie utrudniać normalnego korzystania z danego serwisu i jego funkcjonalności, w szczególności to użytkownik powinien samodzielnie decydować o tym, kiedy zapozna się z informacjami o przetwarzaniu jego danych osobowych.

Podsumowanie

Należy pozytywnie ocenić fakt, że wydawcy serwisów internetowych zdecydowali się na warstwowe podejście do wykonania obowiązków informacyjnych wynikających z RODO. Wobec znacznego poziomu skomplikowania procesów przetwarzania danych, związanych z reklamą internetową, a w szczególności tą realizowaną w modelu programmatic, to właśnie ten sposób przybliżenia wskazanych wyżej procesów użytkownikom serwisów należy uznać za właściwy, tj. odpowiednio prosty oraz czytelny. Jednocześnie należy zakładać, że przyjęte rozwiązania będą podlegać dalszym modyfikacjom i ujednoliceniu w ramach inicjatyw branżowych – w szczególności w ramach opracowanego przez IAB Europe standardu IAB Transparency & ConsentFramework.

30 Wytyczne Grupy Roboczej Art. 29 dotyczące przejrzystości na mocy rozporządzenia 2016/679.
31 Wytyczne Grupy Roboczej Art. 29 dotyczące przejrzystości na mocy rozporządzenia 2016/679.
32 Wytyczne Grupy Roboczej Art. 29 dotyczące przejrzystości na mocy rozporządzenia 2016/679.
33 Podkreślenia wymaga, że typowe identyfikatory internetowe, np. ID cookie, nie stanowią „same w sobie” danych osobowych. Danymi osobowymi będą dopiero informacje gromadzone za ich pośrednictwem lub do nich przypisane. Innymi słowy, identyfikatory powinny być traktowane jako dane osobowe dopiero wówczas, gdy łączone są z innymi unikatowymi identyfikatorami lub innymi informacjami, które pozwalają na identyfikację danej osoby fizycznej.
34 Wytyczne Grupy Roboczej Art. 29 dotyczące przejrzystości na mocy rozporządzenia 2016/679.