Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

OPUBLIKOWANO: 5 PAŹDZIERNIKA 2018

 

Instrukcja zarządzania systemem informatycznym

 

Opracował: Grzegorz Dragon, absolwent Wydziału Prawa, Administracji i Ekonomii Uniwersytetu Wrocławskiego oraz inżynier informatyki. Wieloletni pracownik Wydziału Nadzoru Prawnego Śląskiego Urzędu Wojewódzkiego w Katowicach.  Autor szeregu publikacji poruszających m.in. zagadnienia prawa samorządowego, oświatowego oraz ochrony danych osobowych. Współwłaściciel firmy doradczej Lex in Tenebris sp. z o.o. sp. k.d.

 

 

Dane osobowe stały się towarem. Często jest to towar oddawany za darmo bez odpowiedniej świadomości tego faktu. Dane osobowe są towarem wartościowym, a podmioty, które pozyskują dane osobowe, mogą na nich dobrze zarobić. W celu ochrony osób fizycznych zostały wprowadzone nowe przepisy chroniące prawo do prywatności oraz do danych osobowych. W dniu 27 kwietnia 2016 r. zostało przyjęte Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w mediach zwane również Rozporządzeniem o ochronie danych osobowych – RODO, ogólnym rozporządzeniem o ochronie danych lub General Data Protection Regulation – GDPR. W niniejszym opracowaniu najczęściej stosowanym skrótem będzie RODO.

 

Ten akt prawny wprowadził wokół siebie wiele zamieszania, zwłaszcza medialnego. Rzadko bowiem zdarza się wdrażanie unijnego prawa bezpośrednio w krajach członkowskich. W tym przypadku ze względu na to, że mamy do czynienia z Rozporządzeniem Parlamentu Europejskiego i Rady (UE), ma ono bezpośrednie zastosowanie w państwach członkowskich, bez konieczności implementacji krajowych rozwiązań, jak to się dzieje z dyrektywami unijnymi. Skala zastosowania RODO jest niezwykle szeroka – dotyczy bowiem prawie wszystkich przedsiębiorców, organów administracji publicznej oraz innych podmiotów przetwarzających dane osobowe. Przetwarzanie danych osobowych nie musi odbywać się „stacjonarnie” – obowiązek ochrony danych spoczywa na podmiotach, które korzystają z systemów informatycznych przetwarzających dane osobowe.

 

Dyskusje o RODO rozgrzewane były również przewidzianymi w nim karami za nieprzestrzeganie określonych zasad. Zgodnie z art. 83 RODO kary pieniężne wynoszą do:

 

  • 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa w przypadku naruszeń:

 

  • obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25–39 oraz 42 i 43 RODO,
  • obowiązków podmiotu certyfikującego, o których mowa w art. 42 oraz 43 RODO,
  • obowiązków podmiotu monitorującego, o których mowa w art. 41 ust. 4 RODO;

 

  • 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa w przypadku naruszenia:

 

  • podstawowych zasad przetwarzania, w tym warunków zgody, o których mowa w art. 5–7 oraz 9 RODO,
  • praw osób, których dane dotyczą, o których mowa w art. 12–22 RODO,
  • przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, o którym mowa w art. 44–49 RODO,
  • wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX RODO,
  • nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1 RODO.

 

Pomimo tak wysokich kar nadal istnieje konieczność przetwarzania danych osobowych i należy to czynić zgodnie z obowiązującymi przepisami. Na początku jednak należałoby określić, czym są dane osobowe i czy istnieje ich klasyfikacja.

 

Zgodnie z art. 4 pkt 1 RODO dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Natomiast możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatorów takich: jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

 

Tak ogólny sposób definiowania danych osobowych sprawia, że dana osobowa może być nie tylko informacją zawartą w oficjalnych dokumentach osoby fizycznej, ale również może to być identyfikator internetowy lub dane z pliku cookie zapisanego na dysku twardym osoby przeglądającej internet.

 

Nie zawsze da się jednoznacznie stwierdzić, czy określona informacja powinna być traktowana jako dana osobowa. Nieco światła na to rzuca preambuła Rozporządzenia i, zgodnie z motywem 26, aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze Rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.

 

Wśród danych osobowych można wyróżnić szczególne kategorie, których przetwarzanie jest co do zasady zabronione. Mowa w tym miejscu o danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności bądź orientacji seksualnej tej osoby (art. 9 ust. 1 RODO).

 

Z RODO wynikają również inne zasady przetwarzania danych osobowych: pseudonimizacja i anonimizacja. Z pseudonimizacją mamy do czynienia wówczas, gdy przetworzenie danych osobowych następuje w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Pseudonimizowanymi danymi osobowymi są np. dane zaszyfrowane, których odczytanie jest możliwe po użyciu odpowiedniego klucza. Zaznaczyć jednak należy, że przetwarzanie danych osobowych, które zostały poddane pseudonimizacji, dalej podlega przepisom RODO – to w dalszym ciągu są dane osobowe, które można odczytać przy użyciu odpowiednich środków. Niemniej jednak używanie pseudonimizacji może ograniczyć ryzyko dla osób, których dane dotyczą, oraz pomóc administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych. Tym samym bezpośrednie wprowadzenie pojęcia „pseudonimizacja” w RODO nie służy wykluczeniu innych środków ochrony danych.