Zgodnie z motywem 39 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO), zasada przejrzystości wymaga, by wszelkie informacje i komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne, zrozumiałe i sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących.
Jedną z podstawowych zasad przetwarzania danych osobowych, skatalogowanych w art. 5 ust. 1 RODO jest zasada przejrzystości. Na jej podstawie, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Rozwinięcie tej zasady zawiera art. 12 RODO, zgodnie z którym obowiązkiem administratora danych osobowych jest podejmowanie takich środków, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14 RODO, oraz prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 RODO w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.
Co w sytuacji, gdy osoba, które danej dotyczą, nie posługuje się językiem, w którym została sporządzona i przekazana informacja administratora o przetwarzaniu danych?
Analiza zasady przejrzystości zawartej w art. 5 ust. 1 lit a) RODO prowadzi do wniosku, że kryterium uznania przetwarzania danych osobowych jest przejrzystość przetwarzania z punktu widzenia osoby, której dane dotyczą. Takie rozumienie ww. zasady pozostaje w zgodzie z podstawowym celem RODO, jakim jest ochrona praw osób fizycznych, ale jednocześnie w pewnych przypadkach (tj. gdy osoba, której dane dotyczą, z uwagi na barierę językową nie może zapoznać się z informacją administratora) może prowadzić do stwierdzenia braku spełnienia obowiązku informacyjnego administratora danych, pomimo faktycznego przekazania informacji, o których mowa w art. 13 i 14 RODO, w języku będącym językiem urzędowym kraju siedziby administratora.
Praktycznych informacji w przedmiotowym zakresie dostarczają wytyczne Grupy Roboczej Art. 29 w sprawie przejrzystości. Zgodnie z ww. wytycznymi, jeżeli administrator kieruje informacje do osób, których dane dotyczą i które posługują się innym językiem lub innymi językami, należy zapewnić tłumaczenie w tym języku lub tych językach.
Jeżeli zatem administrator danych osobowych z siedzibą na terenie Polski dysponuje wiedzą, że wśród osób, których dane dotyczą, znajdują się osoby posługujące się różnymi językami lub konkretnym językiem, powinien zapewnić by osoby te zostały prawidłowo i zgodnie z RODO poinformowane o przetwarzaniu ich danych poprzez zastosowanie, oprócz podstawowej klauzuli informacyjnej w języku polskim, także uniwersalnej klauzuli informacyjnej w języku angielskim (jak np. w przypadku informacji o stosowaniu monitoringu na lotniskach) lub klauzuli informacyjnej sporządzonej w tym konkretnym języku (jak np. w przypadku kierowania usługi stricte do obywateli Ukrainy przebywających w Polsce).
Grupa Robocza Art. 29 w ramach ww. wytycznych dostarcza także dalsze szczegóły odnośnie skutecznego wypełniana obowiązku informacyjnego wobec cudzoziemców, zgodnie z którymi jeżeli informacje są tłumaczone na język obcy, administrator danych powinien zapewnić, by wszystkie tłumaczenia były wierne oraz by frazeologia i składnia tekstów w języku obcym były zrozumiałe, tak by nie trzeba było rozszyfrowywać znaczenia przetłumaczonego tekstu lub dokonywać jego reinterpretacji.
Z powyższego należy wywodzić, że do klauzul informacyjnych sporządzanych w językach obcych mają przepisy takie same jak w przypadku wszelkich innych klauzul, które w każdym przypadku mają służyć nadrzędnemu celowi w postaci skutecznego zapewnienia dostępu do informacji osobom, których dane są przetwarzane, o tożsamości administratora, celach przetwarzania, prawach takich osób oraz pozostałych informacji, stosownie do art. 13 i 14 RODO.
Nie występują dodatkowe regulacje prawne które w sposób szczegółowy opisują kryteria pozwalające stwierdzić, czy w danym przypadku wymagane jest sporządzenie informacji o przetwarzaniu danych w języku innym, aniżeli rodzimy język administratora danych osobowych – w każdym przypadku wymaga to indywidualnej oceny administratora uwzględniającej konkretne okoliczności i ryzyka oraz aspekt rozliczalności z prawidłowego wykonania obowiązku informacyjnego administratora, a także konieczności rzetelnego zapewnienia osobom, których dane dotyczą, możliwości realizacji praw przyznanych na gruncie RODO.
Ryzyko związane z niepoprawnym wypełnieniem obowiązku informacyjnego
W przypadku uznania w wyniku kontroli organu nadzorczego, że administrator danych uchybił obowiązkowi poinformowania podmiotów danych o przetwarzaniu poprzez niedostarczenie informacji wymaganych zgodnie z art. 13 lub 14 RODO, lub dostarczenie informacji niepełnych, administrator może ponieść odpowiedzialność finansową w wysokości do 20 mln euro lub 4% obrotu z poprzedniego roku obrotowego, w zależności od tego, która z kwot jest kwotą wyższą (art. 83 ust. 5 RODO).
opracowanie: apl. adw. Mateusz Orlicki z kancelarii prawnej „CKC SOLUTION”