Poradnik BINGO 7. Dane osobowe w organizacji

Dane osobowe są dla organizacji jak… powietrze dla człowieka: otaczają Was, czy tego chcecie, czy nie, i są niezbędne do prowadzenia działalności. Chociaż podejścia organizacji do wykorzystywania danych osobowych bywają diametralnie różne, organizacje łączy to, że mają w tym zakresie konkretne obowiązki prawne, a także szczególną odpowiedzialność wobec społeczeństwa. Jeśli nie chronicie odpowiednio danych osobowych, narażacie samych siebie na sankcje prawne, a osoby z Waszego otoczenia – pracowników, wolontariuszy, darczyńców, odbiorców działań – na najprzeróżniejsze konsekwencje: od utraty prywatności po zagrożenia dla ich bezpieczeństwa, gdy dane trafią w niepowołane ręce.

[Ten tekst powstał przed wejściem w życie RODO. Jeśli szukasz informacji, jak wdrożyć do organizacji RODO, przejdź do 13. odcinka Poradnika BINGO.]

Dlaczego organizacja powinna dbać o ochronę danych osobowych?

Wiele osób traktuje ochronę danych jak (uciążliwy) obowiązek prawny. Tymczasem dbałość o dane osobowe w organizacji jest wyrazem szacunku wobec jej otoczenia, np. prywatności. Lekceważąc tę sferę, narażacie osoby, których dane przetwarzacie, na rozmaite nieprzyjemne konsekwencje. Na przykład wyciek danych osób korzystających z porad prawnych w organizacji zajmującej się prawami osób LGBTQ czy przemocą domową może narazić te osoby na ataki fizyczne czy internetowe. Publikowanie nazwisk prywatnych darczyńców, wolontariuszy czy współpracowników na stronie internetowej bez ich zgody stanowi naruszenie ich prywatności, które może negatywnie przełożyć się np. na relacje w pracy (gdy pracownik wspiera działalność, która nie podoba się pracodawcy).

Zadbanie o odpowiednio wysokie standardy ochrony danych osobowych w organizacji może wiązać się z koniecznością zaangażowania specjalisty od tej tematyki, skutkować kosztami wdrożenia zmian w rozwiązaniach informatycznych (np. żeby dostosować stronę internetową czy system CRM). Wymaga też – co jest chyba jeszcze trudniejsze niż wygospodarowanie środków na opłacenie prawnika – czasu i zaangażowania zespołu na przeprowadzenie analiz, wypracowanie rozwiązań i procedur, przeszkolenie i wsparcie zespołu. Nie liczcie na gotowce.

Wysiłek włożony w zaopiekowanie się danymi osobowymi opłaci się Wam od strony prawnej. Gdy w 2018 r. nowe przepisy o ochronie danych zamiast dostarczać – tak jak jest to obecnie – listę gotowych wymogów (nie zawsze sensownych, niestety) postawią organizację wobec wyzwania oceny ryzyka i wypracowania odpowiednich do niego rozwiązań, będzie Wam dużo łatwiej mu sprostać.

Podstawowe definicje

Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej (np. takiej, którą znamy bezpośrednio) lub możliwej do zidentyfikowania (czyli takiej, którą można wskazać na podstawie posiadanych informacji, choćby numeru identyfikacyjnego, wyglądu lub jakiejkolwiek kombinacji cech: np. czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną czy społeczną bądź kulturową tożsamość tej osoby). Nie mamy do czynienia z danymi osobowymi wówczas, gdy informacja dotyczy instytucji (np. firmy, organizacji), grupy osób, osoby zmarłej lub fikcyjnej (np. postaci literackiej). Daną osobową może być każda informacja, nie tylko imię i nazwisko, ale też np. kolor oczu określonej osoby; choroba, na którą cierpi; informacja o kodzie genetycznym czy identyfikator internetowy. To, czy jakaś informacja jest daną osobową, zależy od kontekstu: np. numer pompy insulinowej dla podmiotu, który posiada również inne informacje o właścicielu pompy stanowi dla tego podmiotu daną osobową. Ta sama informacja nie będzie stanowić danej osobowej dla innego podmiotu, który – nie posiadając dodatkowych informacji – nie będzie w stanie zidentyfikować jej właściciela.

Przetwarzanie danych osobowych to każda czynność dokonywana na danych osobowych, np. zbieranie, udostępnianie innym podmiotom, jak również samo przechowywanie danych, a nawet ich usuwanie.

Dane osobowe podlegają ochronie, co oznacza, że podmioty, które je przetwarzają (administratorzy danych osobowych – mogą nimi być zarówno organizacje, jak i firmy czy instytucje publiczne), powinny spełnić określone warunki. Żeby przetwarzać dane, trzeba mieć ku temu podstawę prawną. Takie podstawy wskazuje art. 23 ustawy o ochronie danych osobowych. Najczęściej wykorzystywane to:

• zgoda osoby, której dane dotyczą (musi być dobrowolna; świadoma i jednoznaczna, wyodrębniona z oświadczeń woli innej treści – np. nie powinno się łączyć zgody na przetwarzanie danych w celach wysyłki newslettera i udziału w rekrutacji na szkolenie);
• uprawnienie lub obowiązek wynikający z przepisu prawa (np. stowarzyszenie ma prawo przetwarzać dane osobowe swoich członków);
• fakt, że dane są niezbędne do wykonania umowy (np. umowy darowizny, umowy sponsoringu, umowy o pracę);
• usprawiedliwiony interes administratora danych osobowych (np. przesłanie darczyńcom i osobom, które przekazały organizacji pożytku publicznego 1% podatku, informacji o własnych działaniach organizacji, czyli tzw. marketing własnych produktów i usług).

Żadna z podstaw prawnych nie ma pierwszeństwa – wszystkie są równorzędne, a posiadanie tylko jednej podstawy przetwarzania danych osobowych jest wystarczające w świetle obowiązujących przepisów.

Zasady przetwarzania danych i obowiązki administratora danych osobowych

Administratorzy danych osobowych – i to zarówno organizacje, jak i firmy czy instytucje publiczne – nagminnie naruszają prawa osób, których dane przetwarzają, i nie dopełniają swoich obowiązków wskutek niewiedzy czy niedbałości. Czasem jest to celowe działanie. Nie traktujcie tego jednak jako usprawiedliwienia, żeby nie zaprowadzić porządku w swojej organizacji! Wy też – jako osoby fizyczne, których dane są przetwarzane – jesteście ofiarami takich nieprawidłowości.

Administrator danych osobowych (w naszej sytuacji: organizacja) może przetwarzać dane, pod warunkiem że:

• posiada ku temu podstawę prawną (zasada legalności);
• chroni interesy osób, których dane dotyczą;
• przetwarza dane w konkretnych, rzeczywistych, zgodnych z prawem celach (zasada celowości);
• dane są poprawne merytorycznie i adekwatne w stosunku do celów, w jakich są przetwarzane – nie można zbierać danych „na zapas” (zasada merytorycznej poprawności i adekwatności);
• usuwa dane, gdy ustanie cel ich przetwarzania (zasada ograniczenia czasowego).

Co więcej, administrator:

• podlega obowiązkowi informacyjnemu: powinien poinformować osoby, których dane przetwarza, w jakim celu to robi, o swojej siedzibie i pełnej nazwie, w jakim zakresie dane przetwarza, a także o tym, że mają prawo dostępu do swoich danych oraz ich poprawiania, oraz o tym, czy podanie danych jest dobrowolne, czy wymagane;
• powinien umożliwić osobom, których dane przetwarza, wykonanie ich praw (wgląd do danych, poprawianie ich, cofnięcie zgody na przetwarzanie, prawo do informacji, prawo sprzeciwu etc., por. pkt Prawa osób, których dane są przetwarzane);
• powinien chronić dane przed dostępem osób nieuprawnionych; nie może przekazywać danych innemu podmiotowi, np. grantodawcy, jeśli nie posiada odrębnej podstawy prawnej do udostępnienia danych;
• ma obowiązek prowadzić dokumentację dotyczącą ochrony danych osobowych, np. politykę bezpieczeństwa informacji, instrukcję zarządzania systemem informatycznym, ewidencję upoważnień;
• powinien zgłosić zbiory do rejestracji (więcej poniżej) lub powołać administratora bezpieczeństwa informacji (ABI).

Szczególnie chronione są tzw. dane wrażliwe, czyli dane dotyczące m.in. pochodzenia etnicznego, poglądów politycznych, wyznania, stanu zdrowia, karalności, nałogów, życia seksualnego czy przekonań filozoficznych. W zakresie danych wrażliwych obowiązuje ogólny zakaz ich przetwarzania. Przetwarzanie danych wrażliwych jest jednak dopuszczalne pod warunkiem spełnienia jednej ze szczegółowo wskazanych w ustawie o ochronie danych osobowych postaw. Najbardziej przydatne – z punktu widzenia organizacji – wydają się następujące podstawy prawne przetwarzania danych wrażliwych:

• wyrażona na piśmie zgoda na przetwarzanie danych wrażliwych (wymogi formy pisemnej spełnia oświadczenie woli opatrzone własnoręcznym podpisem lub takie oświadczenie złożone w postaci elektronicznej i opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu);
• niezbędność do wykonywania statutowych zadań stowarzyszeń, fundacji lub innych niezarobkowych organizacji – pod warunkiem że przetwarzanie danych dotyczy wyłącznie członków tych podmiotów lub osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i jednocześnie zapewnione są pełne gwarancje ochrony przetwarzanych danych.

Zbiory danych

Każdy posiadający strukturę zestaw danych osobowych, dostępny (przeszukiwalny) po ustalonych kryteriach to zbiór danych osobowych. Dane osobowe w zbiorze mogą być wyrażone w dowolny sposób, również dźwiękiem czy obrazem (monitoring wizyjny).

Zbiory danych osobowych należy zgłosić do GIODO. Od tego obowiązku są jednak wyjątki. Nie trzeba zgłaszać np. zbiorów danych osób zatrudnionych (a także pracujących na podstawie umów cywilnoprawnych), zrzeszonych w organizacji, uczestników szkoleń ani zbiorów danych prowadzonych wyłącznie w formie papierowej. Od obowiązku zgłoszenia zbiorów do GIODO zwolnione są też organizacje, które powołały administratora bezpieczeństwa informacji (zgłaszają do GIODO tylko ABI). Powołanie ABI nie zwalania z obowiązku zgłaszania do GIODO zbiorów danych wrażliwych – te zawsze podlegają obowiązkowi rejestracji.

Prawa osób, których dane są przetwarzane

Każdej osobie, której dane są przetwarzane, przysługuje:

• prawo do informacji o tym, skąd dany podmiot pozyskał dane i w jakim celu je przetwarza;
• prawo do wycofania zgody na przetwarzanie danych;
• prawo do uzupełnienia, uaktualnienia i sprostowania danych;
• sprzeciw (o ile dane przetwarzane są na podstawie usprawiedliwionego interesu administratora), np. jeśli organizacja na tej podstawie przetwarza dane osoby, która przekazała jej 1% podatku, żeby przesłać jej informację o swoich działaniach, osoba ta może zgłosić sprzeciw i żądać zaprzestania przetwarzania danych.

Planowane zmiany

W 2018 r. wejdzie w życie nowe unijne rozporządzenie o ochronie danych osobowych, które wprowadzi kilka istotnych zmian w zakresie ochrony danych osobowych. Nie będzie listy wymogów technicznych, które organizacja będzie musiała spełnić (w przeciwieństwie do tego, jak jest obecnie). Organizacja będzie musiała ocenić ryzyko związane z tym, jakie dane przetwarza, i do tego dostosować rozwiązania. Zniknie też obowiązek rejestracji zbiorów. Organ ochrony danych będzie miał możliwość nałożenia dotkliwych kar finansowych za naruszenia w ochronie danych (w miejsce sporadycznie nakładanej kary grzywny czy – pozostającej w sferze czysto teoretycznej – kary pozbawienia wolności).

Anna Obem

Współpraca: Małgorzata Szumańska

Konsultacja merytoryczna: Anna Matusiak-Wekiera, Jędrzej Niklas

Polecamy:

Scenariusz lekcji pt. Podstawy ochrony danych osobowych

Poradnik BINGO powstaje w ramach projektu „BINGO, czyli bezpieczne organizacje” finansowanego ze środków Fundacji im. S. Batorego. Możesz dołożyć się do naszych działań, wspierając nas darowiznami i przekazując 1% na rzecz Panoptykonu.