We wcześniejszym wpisie wprowadzającym do tematyki RODO (artykuł TUTAJ) napisałam między innymi, skąd się wzięły zmiany w ochronie danych osobowych i kogo obejmą.

Dzisiaj dalszy ciąg podstawowych kwestii o ochronie danych. Proponuję, aby go nie omijać, gdyż poukładanie pewnych informacji i pojęć będzie kluczowe dla wdrożenia RODO.

Zastosowanie RODO

Krajowy projekt ustawy o ochronie danych osobowych analogicznie do uregulowań unijnych przyjmuje zakres przedmiotowy, stanowiąc, że przepisy o ochronie danych mają zastosowanie do:

  • danych  osobowych
  • dane są przetwarzane  w  sposób  całkowicie  lub  częściowo zautomatyzowany
  • dane są przetwarzane w  sposób  inny  niż  zautomatyzowany  stanowiące lub mające stanowić część zbioru danych.

Tyle prawa. A jak to wygląda w praktyce? Co oznacza przetwarzanie danych w sposób zautomatyzowany? O tym postaram się opowiedzieć poniżej.

 

Dane osobowe, które są przetwarzane

Gdy mówimy o przetwarzaniu danych osobowych niejednokrotnie zastanawiamy się o jakie dane chodzi, czy wszystkich osób, którym sprzedajemy, czy jakiejś konkretnej wyselekcjonowanej grupie.

Rozporządzenie Ogólne, podobnie jak we wcześniej obowiązującej Dyrektywie 95/46/WE, definiuje pojęcie „danych osobowych” w sposób następujący.

Dane osobowe to informacje o osobie fizycznej, którą bezpośrednio lub pośrednio można zidentyfikować.

Przykładowo, takimi danymi umożliwiającymi identyfikację jest imię i nazwisko, numer identyfikacyjny, adres IP, czy dane lokalizacyjne albo jeszcze inne szczególne czynniki określające tożsamość osoby, cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

A co z adresem e-mail?

Kilka lat temu przez Internet przeszła fala komentarzy i poglądów, jak na podstawie fantazyjnego adres mailowego, na przykład kociaczek1234  jest możliwość identyfikacji osoby.

Co prawda ani ustawa, ani rozporządzenie nie mówią wprost, to jednak w rozumieniu ustawy o ochronie danych osobowych adres e-mail  stanowi dane osobowe  (takie stanowisko przyjęło GIODO).

Pozyskane adresy e-mail (na przykład poprzez wpis na newsletter) stanowią zbiór danych osobowych, w  rozumieniu art. 7 ust. 1 ustawy obecnie jeszcze obowiązującej.

Konsekwencją takiego podejścia był obowiązek rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) zbioru danych subskrybentów newslettera.

Przetwarzanie danych w sposób całkowicie zautomatyzowany

Ze zautomatyzowanym  sposobem przetwarzania danych mamy do czynienia wówczas, gdy przetwarzane są w systemach informatycznych. Chociaż, przetwarzanie danych w sposób zautomatyzowany nie musi odbywać się w systemie informatycznym ( a np. przez wykorzystanie inteligentnych liczników). (za:  P.Litwiński (red.) Rozporządzenie UE ….Komentarz, 2018).

Definicję systemu informatycznego można znaleźć w dotychczas obowiązującej ustawie o ochronie danych osobowych (art. 7 pkt 2a). System informatyczny to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

Definicja jest bardzo pojemna. Próbę wytłumaczenia podjął się Naczelny Sąd Administracyjny w wyroku z 3 grudnia 2003r. sygn. II SA 232/02.

Należy jednak brać poprawkę na przytoczone orzeczenie. Z jednej strony, zostało wydane już kilkanaście lat temu, od kiedy realia życia gospodarczego uległy zmianie. Z drugiej strony, orzeczenie straciło częściowo swoją aktualność wskutek wydania rozporządzenia wykonawczego do ustawy, w którym przewidziany został wymóg odnotowywania informacji automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych do systemu informatycznego.

Zatem nie zaprzątając sobie głowy co Sąd powiedział, mam nadzieje, że przynajmniej intuicyjnie rozumiesz, czym jest system informatyczny.

Przetwarzanie danych w sposób częściowo zautomatyzowany

Wracając do rozporządzenia. Biorąc literalnie to, co zostało ujęte w rozporządzeniu. Także przetwarzanie w inny sposób niż zautomatyzowany,  a więc poza systemami informatycznymi, podlega regulacjom RODO, jednak pod pewnymi warunkami. A mianowicie, gdy dane stanowią lub mogą stanowić część zbioru danych.

Rozróżnienie to przyjęte w Rozporządzeniu jest analogiczne, jak w dotychczas obowiązującej dyrektywie 95/46/WE (art. 3 ust. 1). Jednak dla zrozumienie istoty sprawy niezbędne jest wytłumaczenie czym jest zbiór danych?

W art. 4 pkt 6 rozporządzenia znajdujemy następującą definicję zbioru danych. Jest to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.

Zatem zbiór danych to zestaw danych osobowych, którego cechami – warunkami uznania za zbiór danych – są:

1) uporządkowanie, a więc wewnętrzna struktura oraz

2) dostępność znajdujących się w nim danych osobowych według określonego kryterium, a więc możliwość odnalezienia danych konkretnej osoby bez konieczności czasochłonnego przeszukiwania wszystkich pozycji całego zestawu.

Przykładem takiego zbioru danych jest zbiór:

  • danych subskrybentów blogu „ZZ”,
  • baza klientów sklepu internetowego „XY”
  • baza danych dla realizacji zamówień,
  • dla wysyłania ofert handlowych
  • baza umów cywilnoprawnych

Jak wskazuje P. Litwiński  Ochrona danych osobowych, wynikająca z przepisów RODO, obejmuje [więc] informacje już na etapie ich gromadzenia,  a zatem wówczas, gdy zbiór danych jeszcze nie istnieje, ale  ma zostać utworzony na podstawie zbieranych danych (P.Litwiński (red.) P. Barta / M.Kawecki, Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz s.141-142).

Uznanie zestawu danych za zbiór nie jest uzależnione od tego, czy jest prowadzone w systemie informatycznym czy papierowo, czy jest zlokalizowane w jednym budynku lub pomieszczeniu, czy przeciwnie – w odrębnych lokalizacjach, np. serwerach administratora umieszczonych ze względów bezpieczeństwa w dwóch biurach w innych miastach lub archiwum dokumentów papierowych powierzonym wyspecjalizowanemu dostawcy usług archiwizacyjnych (Krzysztofek M., Ochrona danych osobowych w Unii Europejskiej po reformie. Komentarz do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, Legalis 2016).

To tyle na dzisiaj. Pamiętaj, że Rozporządzenia Ogólnego, które przypomnę zacznie obowiązywać już 25 maja 2018r. 

Gratulacje za dotarcie do końca! Z tego wpisu dowiedziałeś się:

  • Jaki jest zakres przedmiotowy rozporządzenia o ochronie danych osobowych
  • Co oznacza zautomatyzowany sposób przetwarzania danych
  • Czym jest zbiór danych

 

Określ zakres przetwarzanych przez siebie danych i przygotuj się na RODO

Jeśli spodobał ci się artykuł, koniecznie podziel się nim ze znajomymi: