Podstawowym wymogiem, jaki nakłada ogólne rozporządzenie o ochronie danych (RODO) na administratora, w zakresie formy, w jakiej mają być przekazywane informacje osobie, której dane dotyczą, jest przejrzystość komunikacji. Stosownie do treści art. 12 RODO administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji. Chodzi o informacje podawane w przypadku zarówno zbierania danych od osoby, której dane dotyczą (art. 13 RODO), jak również gdy dane osobowe pozyskiwanie są w inny sposób (art. 14 RODO). Ponadto zasada przejrzystości jest wymagana, aby prowadzić z wszelką dbałością komunikację w sprawie przetwarzania (na mocy art. 15–22 i 34).

Jeśli pracownicy firmy nie posługują się językiem polskim, a zrozumiałą formą przekazu jest dla nich komunikacja w języku angielskim, zasadnym jest, aby administrator przekazywał im wymagane informacje również w języku angielskim. Należy jednak pamiętać, że ustawa z dnia 7 października 1999 r. o języku polskim ─ dalej ustawa o języku polskim, ustanawia wymóg używania języka polskiego przy wykonywaniu przepisów z zakresu prawa pracy (w art. 7 ust. 1), jeśli osoba świadcząca pracę ma miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej. Tym samym – ponieważ dotyczy to stosunków z zakresu prawa pracy – przekazanie przez administratora odpowiednich informacji w języku angielskim nie zwalnia go z przekazania tych samych informacji również w języku polskim.

Odnosząc się natomiast do języka, w jakim ma być sporządzona wewnętrzna dokumentacja administratora danych (np. polityka bezpieczeństwa danych osobowych), to podstawową zasadą RODO, przez pryzmat, której powinien być rozpatrywany ten problem, jest zasada rozliczalności. Zgodnie z art. 24 ust. 1 RODO, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO. Dlatego na administratorze ciąży obowiązek takiego zaprojektowania funkcjonującego u niego systemu ochrony danych osobowych, aby był zgodny z RODO i aby administrator mógł to wykazać. Zgodnie z art. 24 ust. 2 RODO, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

RODO nie narzuca wprost formy, w tym języka, w jakim mają być sporządzone owe polityki – jednak dokumentacja przetwarzania danych osobowych w firmie działającej na terenie Polski powinna być prowadzona w języku polskim, co nie wyklucza również innego języka, jeżeli jest on używany w relacjach wewnętrznych firmy. Mając na uwadze cel jakiemu mają służyć wspomniane polityki, sporządzenie ich wyłącznie w języku angielskim może być niewystarczające dla wykazania przez administratora, funkcjonującego w ramach polskiego porządku prawnego, zgodności z RODO.

Zakres szerokiego pojęcia bezpieczeństwa przetwarzania danych osobowych nie wchodzą wyłącznie przepisy RODO. Są to również m.in. wymogi ustaw: z dnia 10 maja 2018 r. o ochronie danych osobowych, z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych, z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, jak również wiele aktów prawnych odnoszących się do tajemnicy prawnie chronionej oraz ochrony danych w poszczególnych sektorach. Dlatego polityki ochrony danych osobowych muszą oprócz aktów prawnych o charakterze międzynarodowym uwzględniać również polskie ustawodawstwo.

Źródło: Newsletter dla Inspektorów Ochrony Danych nr 8/2020 (17) Urząd Ochrony Danych Osobowych

Click here to change this text