fotoprawo.pl: RODO – nowe obowiązki administratorów danych - fotoprawo.pl
Czerwiec
14

RODO – nowe obowiązki administratorów danych

14.06.2018 17:30
fot. vchal/shutterstock.com

Administratorem danych osobowych jest każdy podmiot, który ustala cele i sposoby przetwarzania danych osobowych. Tak szeroka definicja z Rozporządzenia RODO w zasadzie nadaje status administratora każdemu, gdyż każdy przetwarza jakieś dane osobowe w wybrany przez siebie sposób i w samodzielnie określonym celu. Administrator danych nie jest jednak wynalazkiem RODO. Już ustawa o ochronie danych osobowych […]

Administratorem danych osobowych jest każdy podmiot, który ustala cele i sposoby przetwarzania danych osobowych. Tak szeroka definicja z Rozporządzenia RODO
w zasadzie nadaje status administratora każdemu, gdyż każdy przetwarza jakieś dane osobowe w wybrany przez siebie sposób i w samodzielnie określonym celu. Administrator danych nie jest jednak wynalazkiem RODO. Już ustawa o ochronie danych osobowych wyróżniała taki podmiot i nakładała na niego daleko idące obowiązki. Co się zmieniło po 25 maja 2018 r., kiedy zaczęto stosować przepisy Rozporządzenia?

Wbrew pozorom i na przekór powszechnym obawom Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. RODO) zdjęło z administratorów danych niektóre uciążliwe obowiązki znane na gruncie ustawy o ochronie danych osobowych. Pozory, jakoby RODO utrudniło życie administratorom danych osobowych, wzięły się stąd, że do tej pory mało kto przejmował się wspomnianą ustawą. Dopiero groźba nałożenia wysokich kar, na jakie w pewnych warunkach pozwalają nowe przepisy, spowodowała lawinę pytań o to, kto jest administratorem danych i jakie w związku z tym ma obowiązki.

Jak już zaznaczyliśmy sobie na początku, w myśl przepisów RODO administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Przykładowo, administratorem danych będzie zawodowy fotograf, który zbierze dane osobowe w postaci wizerunku klienta, jego imienia i nazwiska czy numeru telefonu, a następnie zdecyduje, że dane te zapisze na dysku komputera i wykorzysta w celu wykonania umowy z takim klientem. Nie trzeba więc wiele, by zostać administratorem danych… na którym ciążą obowiązki wypełniające cały rozdział IV Rozporządzenia.

Najogólniej rzecz ujmując, administrator danych osobowych powinien wdrożyć takie środki techniczne i organizacyjne, aby przetwarzanie danych odbywało się zgodnie z Rozporządzeniem (m.in. z zasadą rzetelności i przejrzystości, minimalizacji danych, ograniczenia celu i przechowania, zasadą integralności oraz poufności) i aby móc to wykazać (co z kolei statuuje zasada rozliczalności). Dobierając środki powinien on jednak zawsze uwzględnić charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o rożnym prawdopodobieństwie i wadze zagrożenia. Inne będą zatem środki stosowane przez podmiot świadczący usługi medyczne, a inne przez fotografa prowadzącego działalność na niewielką skalę.

Jednym z najczęściej dyskutowanych środków, pomagającym też zrealizować postulat rozliczalności, jest prowadzenie rejestru czynności przetwarzania danych osobowych. Zgodnie bowiem z zasadą rozliczalności, administrator jest odpowiedzialny za przestrzeganie zasad RODO i musi być w stanie to wykazać. W praktyce, może pomóc w tym prowadzenie rejestru. Nie jest to bardzo skomplikowane zadanie i na stronie internetowej Prezesa Urzędu Ochrony Danych Osobowych (wcześniej: tzw. GIODO) możemy znaleźć wzory takich rejestrów (np. tu: https://uodo.gov.pl/pl/123/214). Co istotne, obowiązek prowadzenia rejestru nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że:

  • przetwarzanie, którego dokonuje, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego
  • obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

Niestety, nie ma jednej odpowiedzi na pytanie, czy wobec tego fotograf ma obowiązek prowadzenia takiego rejestru. Fotograf jako administrator danych osobowych, musi samodzielnie odpowiedzieć sobie na pytania:

  • czy przetwarzanie przez niego danych może naruszyć prawa lub wolności osób, które dotyczą,
  • czy przetwarzanie nie ma charakteru sporadycznego.

Już jedna twierdząca odpowiedź wystarczy, by koniecznym był obowiązek prowadzenia rejestru.

W praktyce najtrudniejsze może okazać się ocenienie czy przetwarzanie danych może doprowadzić do naruszenia praw lub wolności. Jest to jednak kwestia bardzo indywidualna i zależy od dwóch czynników:

  • prawdopodobieństwa wystąpienia naruszenia oraz
  • powagi tego zdarzenia, tj. wielkości szkody, jaką zdarzenie to może spowodować w odniesieniu do osoby, której dane dotyczą.

Na ocenę prawdopodobieństwa wystąpienia naruszenia na pewno wpływ powinno mieć to, w jaki sposób zabezpieczamy dane przed ich ujawnieniem lub modyfikacją przez niepowołane osoby. O powadze naruszenia będzie natomiast przede wszystkim decydować to, jakich danych będzie ono dotyczyć. Można założyć, że zamknięcie na klucz w szufladzie notesu z danymi teleadresowymi klientów ani nie stwarza szczególnego ryzyka, że dostanie się do nich osoba niepowołana, ani że w najgorszym wypadku spowoduje znaczne szkody. Natomiast przesłanie klientowi zwykłym mailem zamówionych przez niego zdjęć utrwalających jego niekompletnie ubraną osobę byłoby obarczone dużo większym ryzykiem naruszenia, jak i groziłoby znacznie poważniejszymi konsekwencjami dla praw i wolności tej osoby.

Pozostałe ze wskazanych powyżej warunków zwolnienia z obowiązku prowadzenia rejestru w przypadku osób zajmujących się świadczeniem usług fotograficznych raczej nie będą miały zastosowania. Z pewnością gromadzone przez takie osoby dane nie dotyczą wyroków skazujących czy naruszeń prawa. Mniej oczywistą kwestią jest to, czy gromadzone dane nie będą obejmować tzw. szczególnych kategorii danych osobowych. Owe szczególne kategorie to dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Na uwagę zasługują tu przede wszystkim tzw. dane biometryczne, gdyż w myśl RODO oznaczają one dane osobowe, wynikające ze specjalnego przetwarzania technicznego, dotyczące cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiające lub potwierdzające jednoznaczną identyfikację tej osoby, takie jak… wizerunek twarzy. Na szczęście dla fotografów motyw 51 RODO wyjaśnia, że przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. Na potrzeby Rozporządzenia przyjmuje się, że specjalne metody techniczne to metody, które pozwalają jednoznacznie ustalić cechy takie jak: cechy tęczówki oka, linii papilarnych palców, rozkład temperatury na twarzy i geometria dłoni, DNA, kształt ust, kształt uszu, barwę głosu, siatkówkę oka (dno oka), układ naczyń krwionośnych na dłoni lub przegubie ręki, itd. Dla uznania wizerunku twarzy za daną biometryczną nie wystarczy więc, jeśli na podstawie zdjęcia możemy rozpoznać znajomą nam osobę. Możliwość identyfikacji musi bowiem wynikać ze specjalnej technologii przetwarzania wizerunku, pozwalającej ustalić ww. cechy i przypisać je konkretnej osobie. Znakomita większość fotografów nie zbiera jednak danych biometrycznych przy wykonywaniu codziennej pracy.

Kolejnym obowiązkiem administratorów wynikającym z RODO jest zgłaszanie naruszenia ochrony danych osobowych (pozyskania danych osobowych przez osobę nieuprawnioną) do organu nadzorczego (Prezesa UODO) w ciągu 72 godzin od jego stwierdzenia. Co więcej, każde naruszenie powinno zostać przez administratora udokumentowane, włącznie ze wskazaniem, w jakich okolicznościach doszło do naruszenia, jakie spowodowało skutki oraz jakie działania zaradcze podjęto. Ocena skutków jest przy tym bardzo ważna, gdyż w razie małego prawdopodobieństwa, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, to wówczas uchyla się obowiązek dokonania zgłoszenia do Prezesa UODO. Z kolei w razie stwierdzenia wysokiego ryzyka, administrator dodatkowo musi zawiadomić osobę, której dane dotyczą, że doszło do naruszenia.

Następny obowiązek, który może mieć – i ma – zastosowanie do działalności osób zajmujących się fotografią, to obowiązek tzw. minimalizacji danych. A oznacza to tylko tyle, że dane osobowe gromadzone przez administratora muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Przykładowo, nie musimy znać numeru PESEL klienta, żeby wykonać dla niego fotografię i wystawić rachunek za taką usługę.

Z powyższym wiąże się obowiązek ograniczenia przechowywania danych. Zgodnie z Rozporządzeniem RODO dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Co do zasady więc, jeśli przetwarzaliśmy dane wyłącznie w celu wykonania umowy, to po jej wykonaniu dane osobowe klienta (w tym jego wizerunek utrwalony na fotografii) powinniśmy usunąć.

A co ze słynnymi już „szafami zgodnymi z RODO”? Coś w tym jest, choć niewiele. Szafą „zgodną z RODO” jest każda szafka, zamykana na klucz. Administrator danych – i nie jest to żadna nowość – powinien zapewnić ochronę danych osobowych przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Ważną grupą obowiązków administratora danych są obowiązki informacyjne – i tu rzeczywiście RODO wprowadza pewne nowości. Jest to jednak temat na tyle obszerny, że zostanie on omówiony w oddzielnym artykule.

 

Magdalena Stasiak
prawnik, ekspert portalu Fotoprawo.pl
kontakt: magdalena_stasiak@outlook.com

Dodaj komentarz