Jak chronić dane osobowe?
Tematyka ochrony danych osobowych wpisuje się w szersze zagadnienie prawa do prywatności. Aktualnie regulacja tejże tematyki zawarta jest przede wszystkim w art. 51 Konstytucji RP, w RODO (czyli w rozporządzeniu Parlamentu Europejskiego i Rady [UE] 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/we [ogólne rozporządzenie o ochronie danych]) oraz ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych. Co istotne, wspomniana ustawa reguluje te aspekty tematyki ochrony danych osobowych, które nie zostały rozwinięte w samym rozporządzeniu unijnym. Z kolei obowiązujące od 2018 r. RODO stanowi odpowiedź na potrzeby nowoczesnego społeczeństwa, w tym na jego informatyzację. Warto przy tym dodać, że wspomniane regulacje w zasadniczym stopniu nie utraciły mocy z uwagi na czas epidemii, co oznacza, że poziom ochrony danych osobowych z formalnego punktu widzenia nie powinien ulec zmniejszeniu w kontekście choćby ochrony zdrowia pod kątem rozpoznawania i leczenia COVID-19.
Czym są dane osobowe
Dane osobowe są to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Z kolei możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio oznaczyć, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (art. 4 pkt 1 RODO). Niemniej nie każda z powyższych informacji będzie stanowiła danę osobową, z uwagi na to, że bez większego uszczegółowienia, może odnosić się do szerszej grupy osób – a więc nie pozwalać na zidentyfikowanie danej osoby. Dlatego też często zdarza się, że dopiero zestawienie ze sobą kilku informacji pozwala na uznanie, że doszło dochodzi do wskazania na konkretną osobę, a więc do podania jej danych osobowych.
Definicja przetwarzania danych osobowych
Wydaje się, że pojęciem najistotniejszym z punktu widzenia zadanej tematyki jest pojęcie przetwarzania danych osobowych. Mylne w tej kwestii będzie odniesienie się do potocznego znaczenia zwrotu „przetwarzać”, który kojarzy się z czynnością zmierzającą do dokonania zmiany w pewnej materii (przetwarzanie kojarzy się z modyfikowaniem). W kontekście ochrony danych osobowych „przetwarzanie” doczekało się swojej definicji (bardziej odpowiadającej angielskiemu odpowiednikowi tegoż słowa – „processing”), zgodnie z którą oznacza ono operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (artykuł 4 pkt 2 RODO). Wobec tak skonstruowanego znaczenia, samo wejście w posiadanie określonych danych osobowych oznacza, że posiadacz je przetwarza.
W kwestiach podmiotowych podjętego zagadnienia należy wskazać, że sama kategoria danych osobowych dotyczy zawsze osób fizycznych. Oznacza to, że nie chroni się na gruncie regulacji RODO choćby danych osobowych osób prawnych, jak również danych dzieci poczętych, lecz jeszcze nienarodzonych, lub danych osób zmarłych. Rzecz jasna, z punktu widzenia omawianych przepisów, ochronie nie podlegają także informacje o zwierzętach.
Z kolei do szeroko rozumianej kategorii „przetwarzających” należy zaliczyć w pierwszej kolejności administratora. Jest nim podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Tego rodzaju definicja nie jest do końca trafna, gdyż zdarzają się sytuacje, gdy za administratora danych osobowych (ADO) uznaje się osobę, która choć dane przetwarza, to niekoniecznie decyduje o celach i sposobach przetwarzania (przykładem takiej osoby jest dyrektor szkoły).
W imieniu administratora działają podmiot przetwarzający (processor) oraz osoba upoważniona do przetwarzania danych osobowych. Pierwszy z podmiotów działa w imieniu ADO bazując na własnych środkach (tak funkcjonują przede wszystkim firmy zewnętrzne). Z kolei działanie drugiej, o ile również dotyczy przetwarzania danych osobowych w imieniu administratora, o tyle ma miejsce w oparciu o środki samego ADO (w tym katalogu mieszczą się przede wszystkim pracownicy).
Kontrolę nad przetwarzaniem danych osobowych sprawuje z kolei organ nadzorczy, którym jest niezależny organ publiczny ustanowiony przez państwo. W Polsce rolę taką sprawuje Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO), który przekształcił się z organu ochrony, którym był Generalny Inspektor Ochrony Danych Osobowych (GIODO). Co istotne, działanie Prezesa UODO w zakresie nakładania kar, są jawne i wszystkie informacje na ten temat można znaleźć na stronie internetowej urzędu.
Rola Inspektora Ochrony Danych Osobowych (IOD)
W kwestii rozważań podmiotowych nie można pominąć osoby Inspektora Ochrony Danych Osobowych (IOD), które pełni niezwykle istotną rolę pomocnika ADO. Choć aktualnie nie ma powszechnego obowiązku powoływania IODa, to kategorie podmiotów na który obowiązek taki został nałożony, są niezwykle szerokie. Podmiotami bowiem, w których powinien zostać powołany Inspektor Ochrony Danych osobowych, są:
- podmioty publiczne przetwarzające dane osobowe;
- podmioty, których główna działalność polega na operacjach przetwarzania , które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
- podmioty, których działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych dotyczących wyroków skazujących i czynów zabronionych.
Sam IOD, jeżeli został już powołany, powinien zostać umiejscowiony w takim miejscu ładu korporacyjnego, aby móc swobodnie działać – powinien znajdować się na górze hierarchii, najlepiej bezpośrednio pod kierownikiem danego podmiotu.
Szczególną cechą systemu ochrony danych osobowych jest skonstruowaniu tego systemu na bazie podejścia opartego na ryzyku. Oznacza to, że o sposobie ochrony danych osobowych w danym podmiocie decyduje wynik badania kontekstu przetwarzania danych osobowych, zasobów oraz możliwości. W oparciu o tak przeprowadzoną analizę ryzyka podmiot dane przetwarzający jest zobowiązany samodzielnie określić jakie środki ochrony należy wdrożyć, następnie samodzielnie środki te musi zastosować, i ostatecznie, w przypadku ewentualnego naruszenia, administrator sam musi zgłosić takie zdarzenie do Prezesa UODO. Samej analizy ryzyka dokonuje się zaś aktualnie dla pięciu głównych przypadków:
- ryzyko utraty danych osobowych;
- ryzyko nieuprawnionej zmiany danych osobowych;
- ryzyko zniszczenia danych osobowych;
- ryzyko nieuprawnionego dostępu do danych osobowych;
- ryzyko nieuprawnionego ujawnienia danych osobowych.
Istotą RODO z punktu widzenia zasad jest zasada zgodności przetwarzania danych z prawem, zasada adekwatności oraz zasada ograniczenia czasowego. Pierwsza z idei zobowiązuje do podjęcia działań z danymi osobowymi tylko na podstawie i w granicach prawa. Druga zasada wymusza ograniczenie zakresu przetwarzanych danych do niezbędnego minimum (z punktu widzenia celu). Trzecia zaś, kojarzona z „prawem zapomnienia”, zobowiązuje do ustalenia okresu maksymalnego, w którym dane będą przetwarzane.
Wykład V – „Jak chronić dane osobowe?”” z dnia 27.04.2022 r.
Nocny Kurs Prawa, I edycja
Prowadzący: Katarzyna Sobańska-Laskowska. radca prawny; Łukasz Laskowski, radca prawny
Moderator: dr Marcin Rudnicki, radca prawny
Projekt „Nocny kurs prawa” jest realizowany przez Wyższą Szkołę Prawa z siedzibą we Wrocławiu i dofinansowany przez Ministerstwo Edukacji i Nauki w ramach programu „Społeczna odpowiedzialność nauki”.