Dołącz do czytelników
Brak wyników

Prawo pod lupą

29 października 2018

NR 58 (Październik 2018)

RODO w OPS – wybrane zagadnienia z zakresu wdrażania przepisów

0 34

Upłynęło kilka miesięcy od wejścia w życie punijnych przepisów dotyczących przetwarzania danych osobowych. Jednak w niektórych obszarach w dalszym ciągu istnieje szereg wątpliwości, które usuwać będą interpretacje Prezesa UODO.

Pod „patronatem” Ministerstwa Cyfryzacji powołana została Grupa ds. Ochrony Danych Osobowych, która ma stanowić forum wymiany doświadczeń w zakresie wdrożenia RODO i zagadnień związanych z ochroną prywatności i (jak informuje dr Maciej Kawecki – Dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji) w jej ramach opracowany został już na początku sierpnia br. poradnik dotyczący stosowania RODO w ochronie zdrowia. Może w niedalekiej przyszłości doczekamy się podobnego poradnika dedykowanemu instytucjom pomocy społecznej. Jednak na razie o inicjatywie takiej nie słychać.

RODO przewiduje wzmocnioną ochronę dla tzw. szczególnych kategorii danych osobowych (na gruncie wcześniej obowiązującego prawa krajowego określanych mianem „danych wrażliwych”). Zgodnie z art. 9 ust. 1 RODO, zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Tymczasem, zdani wyłącznie na własną logikę i wymianę doświadczeń, musimy tworzyć procedury, które zagwarantują właściwe, prawidłowe, zgodne z prawem przetwarzanie danych osobowych naszych klientów i pracowników.

Zasady ogólne przetwarzania danych osobowych

Przepisy RODO zdefiniowały zasady ogólne przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 RODO, dane osobowe muszą być:

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zasady zgodności z prawem, rzetelności i przejrzystości);
  • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89  ust. 1 za niezgodne z pierwotnymi celami (zasada ograniczenia celu przetwarzania);
  • adekwatne, stosowne oraz ograniczone do tego, co niezbędne, do celów, w których są przetwarzane (zasada minimalizacji danych);
  • prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (zasada prawidłowości);
  • przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą (zasada ograniczenia przechowywania);
  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności i poufności).

Natomiast zgodnie z art. 5 ust. 2 RODO, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (zasada rozliczalności).

Zasada zgodności z prawem (legalizmu) – oznacza, że, co do zasady, przetwarzanie danych osobowych jest legalne jedynie wówczas, gdy zachodzą określone przepisami prawa przesłanki do ich przetwarzania (albo zgoda osoby, której dane dotyczą albo jedna z pozostałych przesłanek wskazanych w art. 6, art. 9, art. 10 RODO).

Zasada rzetelności – rzetelność przetwarzania danych osobowych przede wszystkim wprowadza wymóg dla administratorów danych brania pod uwagę interesów i uzasadnionych oczekiwań osoby, której dane dotyczą (np. prawo do bycia zapomnianym), zachowania proporcjonalności ingerencji w prywatność spowodowanej przetwarzaniem danych, a także zapewnienia, że dane nie będą przetwarzane w innych celach11.

Zasada przejrzystości – związana jest przede wszystkim z wypełnieniem obowiązków informacyjnych wobec osoby, której dane są przetwarzane, w szczególności w zakresie oznaczenia administratora danych, faktu przetwarzania danych, zakresu i celu ich przetwarzania, uprawnień osoby, której dane dotyczą, w procesie przetwarzania danych (art. 13–22 RODO), przy czym należy zadbać m.in. o to, aby informacje były łatwo dostępne, zrozumiałe i sformułowane jasnym i prostym językiem, a cele przetwarzania były wyraźne, uzasadnione i określone w momencie ich zbierania.

Zasada ograniczenia celu przetwarzania – oznacza, że cel, w jakim przetwarzane są dane osobowe musi być konkretny, realnie istniejący, precyzyjnie określony, prawnie uzasadniony; nie można dalej przetwarzać danych w sposób wychodzący poza pierwotnie określony cel, co oznacza związanie administratora danych celem przetwarzania.

Zasada minimalizacji danych – oznacza, że dane osobowe powinny być przetwarzane jedynie wtedy, gdy celu przetwarzania nie można osiągnąć innymi sposobami; jeżeli przetwarzanie danych może zostać zastąpione (bez uszczerbku dla osiągnięcia celu) przez przetwarzanie innego rodzaju informacji, oznacza to zakaz przetwarzania danych osobowych; oznacza to również, że dane muszą być odpowiednie i stosowne do osiągnięcia celu ich zebrania, ale nie mogą być nadmierne2.

Zasada prawidłowości danych – stanowi, że do obowiązków administratora danych należy, by przetwarzane dane były prawidłowe (prawdziwe, merytorycznie poprawne) i w miarę potrzeby uaktualniane; administrator ma obowiązek podejmowania działań, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. 

Zasada ograniczenia przechowywania danych – oznacza, że obowiązkiem administratora danych jest dbałość o to, by dane nie były przetwarzane przez okres dłuższy niż jest to niezbędne do celów przetwarzania; w praktyce oznacza to ścisłe przestrzeganie obowiązujących w jednostkach instrukcji archiwizowania i usuwania dokumentacji zawierającej dane osobowe (zgodnie z kategorią archiwalną zawartą choćby w JRWA).

Zasada integralności i poufności (bezpieczeństwa danych) – oznacza obowiązek przetwarzania w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych; zapewnieniu stosowania tej zasady służy nałożony na administratora czy podmiot przetwarzający obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić taki stopień bezpieczeństwa danych, by zapobiegać ryzyku nieuprawnionego czy niezgodnego z prawem przetwarzania danych, przy czym oszacowanie ryzyka należy równie do obowiązków administratora czy podmiotu przetwarzającego.

Zasada rozliczalności – nakłada na administratora odpowiedzialność za przestrzeganie wszystkich zasad wskazanych w art. 5 ust. 1 RODO; oznacza ona – w opinii 3/2010 Grupy Roboczej art. 293 – obowiązek wdrożenia środków (w tym wewnętrznych procedur) gwarantujących przestrzeganie przepisów o ochronie danych w związku z operacjami ich przetwarzania oraz sporządzenie dokumentacji, która wskazuje osobom, których dane dotyczą, oraz organom nadzorczym, jakie środki podjęto, aby zapewnić przestrzeganie przepisów o ochronie danych osobowych; ponadto zgodnie z art. 24 ust. 1 RODO, administrator ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. 

Zgodność z prawem przetwarzania danych

Skoro zasadą jest, że danych osobowych nie przetwarzamy, a ich przetwarzanie możliwe jest jedynie w ściśle wskazanych okolicznościach, należało te okoliczności wskazać. I tak, zgodnie z art. 6 ust. 1 RODO, przetwarzanie danych osobowych jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim spełniony jest co najmniej jeden z poniższych warunków:

a. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony dan...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • 10 wydań czasopisma "Doradca w Pomocy Społecznej"
  • Dostęp do wszystkich archiwalnych artykułów w wersji online
  • pełen dostęp do archiwalnych numerów czasopisma w wersji elektronicznej
  • ...i wiele więcej!
Sprawdź

Przypisy