Zasady przetwarzania danych osobowych na gruncie RODO

Zespół prawny

A.M. Jesiołowscy-Finanse sp. z o.o.

Wprowadzenie

W poprzednim artykule zostało wyjaśnione czym są dane osobowe oraz na jakie kategorie dzielą je przepisy RODO (a więc Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z  dnia 27 kwietnia 2016 roku – w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)). Kolejnym niezwykle istotnym zagadnieniem jest pojęcie przetwarzania danych osobowych oraz operacji do niego pochodnych. Wyjaśnienie tej kwestii pozwoli bowiem na przeanalizowanie zasad przetwarzania danych osobowych, do których przestrzegania zobowiązują przepisy RODO.

Pojęcie przetwarzania danych osobowych i ich rodzaje

Jak wynika z definicji art. 4 pkt 2 RODO „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak: 

  • zbieranie, 
  • utrwalanie, 
  • organizowanie, 
  • porządkowanie, 
  • przechowywanie, 
  • adaptowanie lub modyfikowanie, 
  • pobieranie, 
  • przeglądanie, 
  • wykorzystywanie, 
  • ujawnianie poprzez przesłanie, 
  • rozpowszechnianie lub innego rodzaju udostępnianie, 
  • dopasowywanie lub łączenie, 
  • ograniczanie, 
  • usuwanie
    lub 
  • niszczenie. 

Definicja ta zawiera trzy przesłanki ogólne charakteryzujące kategorię przetwarzania (które muszą być spełnione kumulatywnie) oraz przykładowy katalog czynności, które mogą je stanowić.

Oprócz tego, prawodawca unijny zdecydował zawrzeć legalne definicje dwóch szczególnych rodzajów przetwarzania danych osobowych, tj. profilowania i pseudonimizacji. Zgodnie z art. 4 pkt 4 RODO profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. Jak wskazuje się w doktrynie, profilowanie umożliwia wywiedzenie, poprzez wnioskowanie z już posiadanych danych, dodatkowych informacji o konkretnej osobie, co wiąże się z ryzykiem:

  1. błędnej oceny danej osoby i dyskryminacji;
  2. naruszenia prawa do prywatności (w szczególności poprzez brak wiedzy podmiotu danych o tym, że jest profilowany);
  3. podważenia autonomii informacyjnej jednostki (brak wiedzy o tym, które dane są wykorzystywane do profilowania i jakie wnioski o cechach lub przyszłym zachowaniu są formułowane).

Jako przykłady profilowania można wskazać gromadzenie informacji dotyczących preferencji i aktywności użytkowników serwisów internetowych m.in. dla spersonalizowania oferty skierowanej do tych użytkowników, jak również sytuacje korzystania z różnego rodzaju urządzeń, które gromadzą informacje o sposobie zachowania użytkowników (np. samochody wyposażone w moduł GPS i przekazujące drogą radiową informacje na temat położenia, przebytej trasy, stylu i prędkości jazdy i wiele innych informacji).

Jeśli chodzi o pseudonimizację, to jej definicja zawarta jest w art. 4 pkt 5 RODO, stosownie do którego termin ten oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Może ono przebiegać na różne sposoby, najczęściej w drodze przypisania pseudonimu bezpośrednio poprzez osobę, której dane dotyczą, lub choćby z wykorzystaniem numeru ID użytkownika (podmiot odpowiedzialny za dane osobowe użytkowników może w tym celu skorzystać także z usług podmiotu trzeciego, np. jednostki certyfikacyjnej).

Główne zasady dotyczące przetwarzania danych 

Katalog podstawowych zasad przetwarzania danych osobowych wyrażony przede wszystkim w art. 5 RODO. Na gruncie tego przepisu doktryna wyodrębniła następujące zasady przetwarzania danych osobowych, posiadające nadrzędną moc w stosunku do pozostałych przepisów o ochronie danych osobowych:

  1. Zasadę legalności (zgodności z prawem),
  2. Zasadę rzetelności,
  3. Zasadę przejrzystości,
  4. Zasadę celowości (ograniczenia celu przetwarzania),
  5. Zasadę adekwatności (minimalizacji danych),
  6. Zasadę prawidłowości (merytorycznej poprawności danych),
  7. Zasadę ograniczenia przechowywania,
  8. Zasadę integralności i poufności (bezpieczeństwa danych)
    oraz
  9. Zasadę rozliczalności.

Powyższe zasady – jak podkreśla P. Fajgielski – muszą być spełnione łącznie, z czego można wywieść, iż przetwarzanie danych osobowych naruszające którąkolwiek z zasad, będzie stanowiło naruszenie przepisów RODO. Z drugiej strony autor ten podkreśla, iż większość z zasad ogólnych nie ma charakteru absolutnego i podlega ograniczeniom, które jednakowoż powinny być wyraźnie określone przepisami prawa i nie podlegać interpretacji rozszerzającej.

Zasada legalności (zgodności z prawem)

W zasadzie tej nie chodzi tylko o przetwarzanie zgodnie z przepisami RODO, ale także zgodnie z innymi aktami normatywnymi, które bezpośrednio lub pośrednio wkraczają w sferę danych osobowych. Zgodnie z poglądami doktryny i orzecznictwem sądów administracyjnych, brak wystarczających środków finansowych czy też trudności natury technicznej bądź organizacyjnej nie stanowią usprawiedliwienia dla naruszenia przepisów o ochronie danych osobowych przy przetwarzaniu danych.

Zasada rzetelności

Słownik Języka Polskiego PWN opisuje słowo „rzetelny” jako: 

1) wypełniający należycie swe obowiązki,

2) taki, jaki powinien być, odpowiadający wymaganiom,

3) zgodny z prawdą, wiarygodny.

Jednocześnie określenie to użyte w polskiej wersji RODO jest przetłumaczone z angielskiego fair, dlatego też w doktrynie wskazuje się, iż bardziej zasadnym byłoby uznanie, iż wymóg rzetelności obejmuje postępowanie w sposób uczciwy i w dobrej wierze. 

Zasada przejrzystości

Zasada ta wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Wynika z niej obowiązek informowania osób które dane dotyczą m.in. o:

  • tożsamości administratora danych,
  • celach przetwarzania danych,
  • innych niezbędnych informacji, mających wpływ na rzetelność i przejrzystość przetwarzania.

Ponadto z zasady przejrzystości wynika uprawnienie podmiotów danych do uzyskania potwierdzenia oraz informacji o przetwarzanych danych osobowych ich dotyczących. Generalnie zatem na administratorach danych osobowych ciąży powinność uświadomienia osobom fizycznym ryzyka, zasad, zabezpieczeń i praw związanych z przetwarzaniem danych osobowych oraz sposobów wykonywania praw przysługujących im w związku z takim przetwarzaniem.

Zasada celowości (ograniczenia celu przetwarzania)

Zgodnie z art. 5 ust. 1 lit. b RODO, dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, jednocześnie zaś dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami. Jak podkreśla P. Ziółkowski, prawodawca unijny wyraźnie tu stwierdził, że przetwarzanie danych osobowych musi być celowe i uzasadnione – jeżeli cel jest osiągnięty, dalsze przetwarzanie nie powinno mieć miejsca, chyba że zmieni się cel przetwarzania.

Zasada adekwatności (minimalizacji danych)

Stanowi ona, iż przetwarzane dane powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”). W praktyce ma ona bardzo doniosłe znaczenie – przykładem jej zastosowania może być sklep wysyłkowy, który może przetwarzać dane nabywcy konieczne do realizacji usługi (imię, nazwisko, adres, e-mail itp.), jednak nie jest uprawniony do przetwarzania innych jego danych, np. preferencji politycznych czy danych o charakterze biometrycznym. Należy też się zgodzić z poglądem doktryny, że „zbieranie danych, które potencjalnie w przyszłości mogą być użyteczne, lecz nie jest to jeszcze wiadome i cel tego wykorzystania nie został jeszcze określony (zbieranie danych „na zapas”), nie jest dopuszczalne zgodnie z omawianą zasadą”.

Zasada prawidłowości (merytorycznej poprawności danych)

Zgodnie z art. 5 ust. 1 lit. d RODO, dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane. Ponadto należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. Zdaniem P. Fajgielskiego, z zasady prawidłowości wynika obowiązek administratora danych uaktualnienia danych „w razie potrzeby”, co oznacza, że powinien on reagować na sygnały dotyczące nieprawidłowości, jednak nie ma po jego stronie obowiązku ciągłego przeglądania zasobów swoich baz danych w celu wyszukiwania danych nieprawidłowych.

Zasada ograniczenia przechowywania

Wynika ona z art. 5 ust. 1 lit. e RODO, wedle którego: dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Jednakże dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy RODO w celu ochrony praw i wolności osób, których dane dotyczą. Zasada ta koresponduje z prawem do usunięcia danych (prawo do bycia zapomnianym), z drugiej jednak strony istnieje możliwość nieograniczonego czasowo przechowywania danych, o ile zostaną zanonimizowane, a więc przekształcone do postaci, która nie pozwala na identyfikację osób, których dane dotyczyły (wymogu tego natomiast nie spełnia pseudonimizacja).

Zasada integralności i poufności (bezpieczeństwa danych)

Zasada ta oznacza przetwarzanie w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. P. Ziółkowski wskazuje przy tym, iż metodami realizacji tej zasady są tu w praktyce robienie kopii bezpieczeństwa i wprowadzanie haseł do systemu (w przypadku danych elektronicznych) oraz przechowywanie w sposób uniemożliwiający poznanie ich treści przez osoby postronne (w przypadku danych w postaci papierowej) – poprzez wykorzystywanie zamykanych szaf i stosowanie tzw. „zasady czystego biurka”. Równie ważne jest w tym kontekście uświadamianie swoich pracowników, aby bez zezwolenia nie wynosili dokumentacji z zakładu pracy czy też nie ujawniali informacji o klientach.

Zasada rozliczalności

Nakłada ona na administratora danych osobowych obowiązek nie tylko przestrzegania powyżej omówionych zasad, ale także wykazania ich przestrzegania (co może być przydatne np. podczas kontroli). Nie może być to, rzecz jasna, działanie jednorazowe, a wdrażane środki powinny być w miarę potrzeb weryfikowane i aktualizowane. Jak wskazuje się w doktrynie, pomocnym w wykazywaniu przez administratora danych przestrzegania przepisów RODO może okazać się stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji.

Podsumowanie

Przestrzeganie zasad przetwarzania danych osobowych jak i sama definicja przetwarzania są fundamentalną kwestią w zrozumieniu praktycznego obchodzenia się z danymi osób fizycznych w ramach prowadzonej działalności gospodarczej. Zgodnie z RODO definicja przetwarzania danych osobowych ma bardzo szeroki zakres, co sprawia, że praktycznie każda operacja takimi danymi, a wręcz styczność z nimi jest nią objęta. Istotne więc jest by przetwarzając dane np. klientów, kontrahentów, czy nawet własnych pracowników, robić to zgodnie z wszystkimi zasadami wskazanymi w art. 5 RODO. Równie istotnym co przestrzeganie zasad, jest wykazanie stosowania środków, które te zasady realizują, co często bywa trudne w praktyce. W niniejszej analizie zostały pokrótce przedstawione charakterystyki poszczególnych zasad i ich realizacji, jednakże można bez trudu wyobrazić sobie wiele problemów praktycznych przy stosowaniu każdej pojedynczej z nich. Dlatego też w sytuacji konkretnego stanu faktycznego najlepszym rozwiązaniem będzie zwrócenie się o dokonanie analizy prawnej i zaproponowania rozwiązań, które w danym przypadku pomogą lepiej funkcjonować firmie, a jednocześnie nie narażać się na ryzyko naruszenia przepisów RODO. 

Źródła

  1. Drobek Piotr. Art. 5. W: RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. Wolters Kluwer Polska, 2018.
  2. Fajgielski Paweł. Art. 4. W: Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz. Wolters Kluwer Polska, 2018.
  3. Lubasz Dominik, Chomiczewski Witold, Czerniawski Michał, Drobek Piotr, Góral Urszula, Kuba Magdalena, Makowski Paweł i Witkowska-Nowakowska Katarzyna. Art. 4. W: RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. Wolters Kluwer Polska, 2018.
  4. P. Ziółkowski, Zasady przetwarzania danych, SIP LEX 2018.