Co to są dane osobowe i jak je chronić?

Spory o to, co to są dane osobowe, nie gasną. Spróbuję więc przedstawić moje rozumienie tego zagadnienia oparte o RODO.




Co to są dane osobowe?

Zacznijmy od cytatu (RODO Art. 4 pkt. 1)

„dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); […]

To początek definicji, w którym należy zwrócić uwagę w zasadzie na każde słowo.  Zacznę od końca. Dane osobowe to informacje o osobie fizycznej. Tak więc nie będą to informacje o spółce akcyjnej. Oczywiście te informacje będą chronione na mocy oddzielnych przepisów, jak choćby o tajemnicy przedsiębiorstwa, ale w gestii RODO nie jest ochrona informacji o spółce akcyjnej, spółce z o.o., przedszkolu, szkole itp. Jednakowoż Przemysław Adam Śmiejek prowadzący przedsiębiorstwo pod firmą Lobo Solitario Przemysław Adam Śmiejek jest jak najbardziej osobą fizyczną i informacje o prowadzonym przez niego przedsiębiorstwie pod RODO podlegają. To ważny aspekt ochrony danych, bo przez lata przyzwyczailiśmy się do wyłączania spod ochrony przedsiębiorców. A jednak ich dane, jako dane osób fizycznych, są również nią objęte.

Pójdźmy teraz do wyrażenia wszelkie informacje o osobie fizycznej. Wszelkie. Nie tylko informacje, które ją identyfikują! Sporo osób nie związanych zawodowo z ochroną danych ogranicza ochronę do imienia, nazwiska, telefonu, adresu i tym podobnych danych, które identyfikują osobę. Tak, oczywiście, dane identyfikujące to są również dane osobowe. Ale nie jedyne. Słowo wszelkie jest tu tak ważne, że zostało dodane specjalnie w sprostowaniu do RODO z 2018 roku (wcześniej definicja nie zawierała tego słowa) aby nie było wątpliwości, że nie można żadnych informacji o osobie fizycznej wyłączać z bycia danymi osobowymi.

Tak więc informacja o tym, że teraz (godzina 23:22 26. lutego 2019) siedzę przed swoim biurkiem i piszę ten tekst, to także informacja o mnie i dane osobowe. Czarny kolor moich skarpetek to również informacja o mnie. Same w sobie te dane mnie nie identyfikują.

Jeżeli utniemy moje imię, nazwisko i inne rzeczy które na mnie wskazują, to informacja o gościu, który siedzi przy biurku, pisze tekst na bloga i nosi czarne skarpetki przestaje być danymi osobowymi. Dokona się tak zwana anonimizacja. Na tej podstawie np. studenci medycyny mogą otrzymywać zanonimizowane kartoteki pacjentów do prowadzenia badań. Byleby nie było możliwe zidentyfikowanie, kogo kartoteki dotyczą.

No właśnie, nadszedł czas, żeby Art. 4 pkt. 1 zacytować do końca. Oto jego dalsza część:

[…] możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Czyli, proszę Państwa, wiemy już, że danymi osobowymi są wszelkie dane o zidentyfikowanej osobie fizycznej. Ale jak widać z wyjaśnienia powyżej, ta osoba nie musi być jasno wymieniona z imienia i nazwiska. Wystarczy, że w jakikolwiek sposób można ją zidentyfikować. Lubiący koty prezes rządzącego w Polsce ugrupowania już został przeze mnie zidentyfikowany, choć nie wymieniłem jego imienia, nazwiska czy adresu. Wszyscy Czytelnicy doskonale wiedzą o kim piszę, więc mamy do czynienia z osobą zidentyfikowaną.

Proszę jeszcze raz spokojnie przeczytać definicję wyżej. Zobaczyć, że osobę mogą identyfikować dowolne rzeczy, nawet jej cechy charakterystyczne. Wprost wymienia się identyfikator internetowy, więc jeśli ktoś jest znany w internecie pod pseudonimem, albo identyfikuje go adres e-mail, to już mamy do czynienia z danymi osobowymi. Nawet jeśli adres sam w sobie nie zawiera jego imienia i nazwiska.

Dlatego, Szanowni Czytelnicy, nadawanie dzieciom pseudonimów stosowane w niektórych przedszkolach nie ma najmniejszego sensu. Henio Nowak nazwany przez przedszkole Heniem Helikopterem nadal pozostaje zidentyfikowaną osobą fizyczną. Nadal wiadomo o kogo chodzi i ten pseudonim w żaden sposób nie chroni tego dzieciaka, a jedynie robi mu, mówiąc kolokwialnie, „wodę z mózgu”, bo sam nie wie jak się nazywa, w domu inaczej, w przedszkolu inaczej.

Dlatego, Szanowni Czytelnicy, wołanie dzieci w klasie numerami z dziennika również nic nie daje. Osoba pozostaje zidentyfikowana i na forum klasy jest nadal rozpoznawalna, a wywoływanie numerem sprawia, że sytuacja staje się nieprzyjemna z psychologicznego punktu widzenia.

Oczywiście, pseudonimizacja jest jednym z działań zalecanych przez RODO, ale musi być stosowana tam, gdzie to ma sens. Od lat polskie szkoły podpisują prace maturalne jedynie numerami PESEL zdającego. To sensowne działanie, bo dzięki niemu egzaminator sprawdzający nie sugeruje się imieniem czy nazwiskiem.

Tak, pseudonimizację, czyli nadawanie numerów, stosują od lat uczelnie wyższe, które wywieszają w publicznie dostępnych miejscach wyniki egzaminów. Tam to ma sens, gdyż osoba postronna nie zorientuje się tak łatwo, że student o numerze indeksu ABC12345678 to Grzegorz Brzęczyszczykiewicz urodzony w Chrząszczyżewoszycach, powiat Łękołody.

A dane „wrażliwe”?

Wszelkie informacje to dane osobowe, ale RODO wymienia dane szczególnych kategorii, które przyjęło się nazywać potocznie danymi wrażliwymi. Tym razem katalog jest zamknięty i są one wymienione wprost. Zajrzyjmy do artykułu 9 RODO i dowiemy się, że są to (cytat lekko zmodyfikowany):

dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej

W rzeczywistości szkolnej i przedszkolnej, w jakiej ja się obracam, sytuacja wygląda następująco:

  • Dane ujawniające pochodzenie rasowe i etniczne pojawiają się głównie w kontekście organizacji akcji specjalnych, takich jak na przykład zajęć świetlicy dla dzieci romskich. Ale to marginalny zakres.
  • Poglądy polityczne w ogóle nie powinny nas dotyczyć.
  • Przekonania religijne ograniczamy do rozpatrywania wniosków o organizację zajęć z religii.
  • Dane genetyczne – nie stwierdzono.
  • Dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej – bardzo rzadko. Natknąłem się na informację o jednej ze szkół, w której działa system otwierający drzwi odciskiem palca, ale osobiście z tą szkołą nie współpracowałem.
  • Dane dotyczące zdrowia – to jest główna domena przetwarzania danych szczególnych kategorii w szkole. Tu mamy wszelkiej maści zwolnienia lekarskie (uczniów i pracowników), orzeczenia z poradni psychologiczno-pedagogicznej, wnioski o pomoc zdrowotną dla nauczycieli, wnioski o pomoc socjalną (uczniów i nauczycieli) itp. Ta część powinna więc podlegać największej uwadze w szkole czy przedszkolu.
  • Seksualność i orientacja seksualna – szkoła tego nie przetwarza.

Warto zauważyć, że w katalogu danych wrażliwych nie ma daty urodzenia, choć wiele pań przeciwko temu protestuje. Nie ma tu też numeru PESEL, choć jego ujawnienie może czasami spowodować więcej problemów dla osoby fizycznej, niż informacja o jej stanie zdrowia.

Jak przetwarzać dane?

No dobra stary, toś teraz zasunął. Twoje czarne skarpetki to są dane osobowe o tobie, czyli co, mam sobie wypalić teraz mózg, bo już to zapamiętałem? Albo nie będę patrzył na ucznia, bo zobaczę jak on wygląda, jakie ubranie nosi, a może nawet zauważę, że na coś choruje i pochodzi z Gambii? 

No więc właśnie! To że jakaś informacja to dane osobowe, nie oznacza od razu, że mamy od niej uciekać. Zacznijmy od  artykułu 2, pkt. 1:

Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.

Czy jeżeli ktoś myśli intensywnie o moich czarnych skarpetkach, to przetwarza te informacje w sposób choćby częściowo zautomatyzowany albo w ramach danych osobowych stanowiących część zbioru danych? Zapewne nie!

Faktycznie jeśli np. nauczyciel zacznie notować sobie, w jakich ubraniach chodzą jego uczniowie, to już owszem, zaczyna powstawać zbiór danych, ale jeżeli patrzymy na poruszającego się na wózku inwalidzkim, czarnoskórego homoseksualistę ze znaczkiem partii politycznej w klapie, modlącego się w synagodze nie oznacza, że przetwarzamy cały wachlarz danych „wrażliwych”. Dopóki nie będziemy tego notować, tworzyć zbioru takich informacji albo przetwarzać w sposób zautomatyzowany, to nie ma tu zastosowania RODO.

Dobrze, ale ja mam kajecik, w którym mam adresy, telefony, daty urodzenia ciotek, babć, dziadków i nawet można tam znaleźć informację o jątrew mojej żony. Mam to spalić?

To już twoja decyzja. Artykuł 2, pkt. 2 stanowi:

2. Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych:

c) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;

więc o ile nie wykorzystujesz tych danych zawodowo, to RODO nic do tego.

Wykorzystanie zawodowe

Myślę, że już wyjaśniłem, iż wiele codziennych przetwarzań w ogóle pod RODO nie podlega.

Zawodowa aktywność jednak zazwyczaj ochronie podlega i wytworzył się tu koszmarny mit, że skoro RODO chroni dane, to na wszystko należy brać zgodę. Idę do okulisty i dostaję do podpisania zgodę na wykorzystanie moich danych osobowych celem prowadzenia dokumentacji medycznej. Idę do szkoły/przedszkola i dostaję do podpisania zgodę na wykorzystanie danych osobowych dziecka w celu realizacji podstawy programowej i wystawiania ocen. No to ja się pytam, czy jeśli nie wyrażę zgody, to moje dziecko nie będzie oceniane (miła myśl swoją drogą, bo oceny to zło) i w dokumentacji szkolnej nie będzie figurowało? Nie, nie, zgodę podpisać trzeba. A czy zgoda wymuszona jest zgodą? Ano nie jest.

Dane zwykłe

Trochę już o tym pisałem w artykule Nie ma zgody na zgodę, więc teraz tylko krótko, na jakiej podstawie przetwarzamy dane zwykłych kategorii:

  • przetwarzanie jest niezbędne do wykonania umowy, […] lub do podjęcia działań […] przed zawarciem umowy; (RODO Art. 6, p. 1 lit b)
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; (RODO Art. 6, p. 1 lit c)
  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym […]; (RODO Art. 6, p. 1 lit e)
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora (RODO Art. 6, p. 1 lit f)
  • osoba, której dane dotyczą wyraziła zgodę (RODO Art. 6, p. 1 lit a)

Zgodę specjalnie wrzuciłem na sam koniec, bo ona ma być ostatecznością. Najczęściej w szkole sięgamy po RODO Art. 6, p. 1 lit c. Nawet jeśli rodzic dobrowolnie zapisuje dziecko do przedszkola, to czynność zapisania jest dobrowolna, ale już podanie danych jest wymagane prawem, a następnie w toku lat nauki w przedszkolu te dane będą rozbudowywane całkowicie w mocy prawa.

Podobnie wspomniane przeze mnie ocenianie ucznia – prawo oświatowe szkołę do tego zobowiązuje.

Nie bierzemy też zgody od nauczycieli na przekazywanie danych do ministerstwa w ramach SIO (system informacji oświatowej), gdyż zmusza nas do tego ustawa o tymże systemie informacji oświatowej.

Na mocy prawa rozliczamy pracowników podatkowo i realizujemy rozliczenia ubezpieczeń w ramach SUS.

Oczywiście zgoda w szkole się pojawia. Przykładowo:

  1. prosimy o zgodę na wykorzystanie wizerunku dziecka na stronach WWW (choć to zgoda z ustawy o prawie autorskim i prawach pokrewnych, a nie z RODO);
  2. prosimy i zgodę na wykorzystanie wizerunku nauczyciela na stronach WWW (j.w.);
  3. prosimy o zgodę na publikację na stronach WWW informacji o uczniach (wyniki konkursów, zawodów, prowadzone działania w szkole, otrzymane nagrody);
  4. prosimy o zgodę na podanie prywatnego telefonu nauczyciela rodzicom lub uczniom (przy czym wykorzystanie telefonu do kontaktu pracodawca-pracownik to już nie zgoda, a art. 6.1.f RODO);
  5. uznajemy za zgodę czynność złożenia CV przez kandydata na pracownika

i chyba tylko tyle. Większość działań szkoły i przedszkola to nie jest zgoda.

Dane wrażliwe

W tym zakresie jest nieco inny katalog, ale również poza zgodą mamy dopuszczone inne możliwości. Oto kilka pasujących do szkoły, które pozwalają przetwarzać dane, jeżeli:

  • przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora […] w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej (RODO Art. 9, p. 2 lit b)
  • przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej (RODO Art. 9, p. 2 lit h)
  • osoba, której dane dotyczą wyraziła wyraźną zgodę (RODO Art. 9, p. 2 lit a)

Na co zwracać uwagę?

Chroniąc dane, chronimy przede wszystkim prawa i wolności osób, których te dane dotyczą. Już pisałem w artykule Obowiązki inspektora, że rola administratora danych osobowych jest rolą służebną. Celem RODO jest ochrona osób fizycznych, a nie ochrona danych jako takich. Chronimy dane nie dlatego, że MY (administrator, jego pracownicy itp.) poniesiemy straty w przypadku wycieku danych, ich uszkodzenia albo zniszczenia, ale że osoby fizyczne te straty poniosą.

Zgubienie klasówek przez nauczyciela jest problemem nie dlatego, że się on napracował przy układaniu zadań, sprawdzaniu i że teraz będzie musiał ponownie przeprowadzić sprawdzian. Zgubienie klasówek jest problemem, dlatego że naruszone zostały prawa i wolności ucznia. Że uczeń się zestresował i napisze gorzej powtórkę. Że być może ktoś te prace znalazł i wykorzystał przeciwko temu uczniowi.

Dlatego zawsze musimy przy przetwarzaniu danych zwracać uwagę na następujące aspekty:

  1. Poufność (dane nie mogą trafić do osób nieuprawnionych).
    Jeżeli dane trafią do osoby niepowołanej, może ona wyrządzić krzywdę właścicielowi danych. Jaką, choćby taką, jak w przypadku Marka: Czy system chroni prawa i wolności osób?
  2. Integralność/prawidłowość (dane nie mogą ulec zafałszowaniu).
    Chroniąc dane, musimy dbać o to, aby ktoś nie naruszył integralności, czyli celowo nie sfałszował danych. Miałem kiedyś do czynienia z przypadkiem, gdy złośliwy portier obniżył w systemie informatycznym wypłatę dla głównej księgowej. Dla administratora czysty zysk – mniej pieniędzy poszło na wypłaty. Ale dla osoby poszkodowanej strata może być nawet bardzo dotkliwa, jeśli przez takie działanie np. rata kredytu automatycznie nie uległa spłacie i bank obciążył ją odsetkami. O konsekwencjach sfałszowania czy nawet omyłkowego zaburzenia prawidłowości danych w przypadku np. informacji o dawce podawanego w szpitalu leku nie chcę nawet myśleć.
  3. Dostępność (dane nie mogą ulec zniszczeniu lub czasowej blokadzie).
    Co z tego, że dane są poufne i poprawne, jeśli nie ma do nich dostępu? Idealna lista płac, z której nie da się wykonać przelewu z wypłatami, bo komputer się zepsuł albo księgowa zachorowała, przestaje mieć sens. Co z tego, że nauczyciel nie zgubił klasówek, tylko omyłkowo spalił je w piecu? Nikt nie poznał danych, żaden złośliwy kolega nie sfałszował oceny, a jednak uczeń ma problem.
  4. Celowość (dane mogą być przetwarzane tylko w określonych celach).
    Dane powinny być przetwarzane w celach, w jakich zostały zebrane. Wuefista może zadzwonić do rodzica w sprawie kontuzji dziecka na zajęciach, ale nie może wykorzystać danych kontaktowych z dziennika do promocji organizowanego przez siebie aerobiku dla mam. Cały czas należy pamiętać, że dane zostały zebrane i są przetwarzane w jasno określonych celach, poza które wychodzić nie wolno.
  5. Adekwatność (tylko tyle ile potrzeba do realizacji celu).
    Nie wolno przetwarzać danych nadmiarowo. Jeżeli prawo oświatowe nakazuje wywiesić listę osób przyjętych do pierwszej klasy na terenie szkoły, to oznacza, że wieszamy tylko imię i nazwisko osoby oraz informację o przyjęciu. Zdarzają się szkoły, które drukują listę z systemu rekrutacji, a na liście znajduje się jeszcze PESEL, adres i inne informacje o dziecku. To złamanie zasady adekwatności i zarazem poufności, bo dane zostają ujawnione niewłaściwie.
  6. Odpowiedni czas przechowywania (kategorie archiwalne).
    Danych nie przechowujemy na wszelki wypadek, bo mogą się przydać. Zmorą szkół są nauczyciele, u których można znaleźć prace uczniów jeszcze z lat 90. Nie! Polityki bezpieczeństwa powinny określać jak długo przechowywane są dane. To wynika zresztą bardzo często z celowości. Gdy ustaje cel przetwarzania, dane powinny zostać usunięte. O ile oczywiście dane nie podlegają pod którąś z kategorii archiwalnych i wtedy cel nie ustaje, a się zmienia, na cel archiwalny. Np. arkusze ocen przechowywane są przez 50 lat w celach archiwalnych, choć uczeń dawno już szkołę opuścił.

Podsumowanie

Nie należy się bać przetwarzania danych, jeżeli jest na to odpowiednia podstawa prawna i zachowane zostały odpowiednie warunki przetwarzania. Dane nie są jakimiś kosmicznymi radioaktywnymi substancjami, których należy unikać. Wręcz przeciwnie, wiele firm istnieje wyłącznie po to, aby przetwarzać dane. Dla szkół i przedszkoli głównym celem jest prowadzenie procesu dydaktyczno-wychowawczego i opiekuńczego, ale jego realizacja również jest bardzo silnie z danymi związana. To nie jest złe, ole zachowamy wszystkie zasady bezpieczeństwa.

Author: Szumiąca Iodła

Szumią jodły na gór szczycie, IOD swe RODO kocha.