Temat dowodów raz jeszcze. Za sprawą kolejnych stanowisk (?) Prezesa naszego organu nadzorczego i polemiki byłego urzędnika wróciłem do dyskusji. Akurat kilka dni temu mieliśmy podobną dyskusję w temacie ochrony danych z przedstawicielami… banków. W trakcie szkolenia uznałem, że to świetny “energizer” (taka przerwa w szkoleniu, która ma budzić) i…

Reklama

#RODO w praktyce

Wyjąłem swój dowód. Nieważny już jakiś czas, ale to nie ważne. Wrócę później. I czytam jakie to dane są:

  • Po pierwsze mam dowód – czyli mam ukończone 18 lat;
  • Po drugie dowód wydała mi Rzeczpospolita Polska – czyli jestem obywatelem polskim;
  • Po trzecie – mam nazwisko rodowe (akurat nie mam), ale może to być informacja np. o pochodzeniu (np. szlacheckim, ale też i z innego kraju);
  • Po czwarte imiona moich rodziców – czyli dalej dane o pochodzeniu i rodzicach i…

UWAGA!!! Dane osób trzecich są na moim dowodzie! 

  • Imię mojego ojca – w zestawieniu z tym, że to mój dowód oznacza, że mój ojciec ma co najmniej jednego syna
  • Imię mojej matki – w zestawieniu z tym, że to mój dowód oznacza, że moja matka ma co najmniej jednego syna
  • Wzór mojego podpisu – dane identyfikujące (wyjątkowo i wprost. Ale dziś nie będę się rozwodził nad kryminalistyką)
  • Data urodzenia – czyli to jak stary jestem
  • Płeć – aktualna. 
  • Numer dowodu osobistego (zapamiętajcie, to ważne)
  • Data wydania (to też ważne)
  • Odwracam dowód. Zaznaczam, mam ten stary. 
  • Adres zameldowania – czyli dane o lokalizacji (potencjalnej). A może też o wykroczeniach? Bo… jak będę codziennie w banku, albo co drugi dzień i będzie to przepiękne miasto Rzeszów, czy zachodzi podejrzenie, że jestem sprawcą wykroczenia? (meldunek)
  • Miejsce urodzenia (dane identyfikujące plus miejsce pochodzenia)
  • Wzrost (dane o cechach fizycznych)
  • Kolor oczu (jak wyżej)
  • Data wydania – to jest ciekawostka. Informuje o danych historycznych w dacie wydania. Czyli o tym, że w tamtym okresie przebywałem w konkretnym miejscu. 
  • Kto mi go wydał (dane o lokalizacji)
  • Numer PESEL – dane identyfikujące wprost. 
  • Numer dowodu

Nośnik

Jak widać dowód osobisty jest nośnikiem ogromnej ilości danych o osobie. Dla naszych Czytelników krótka instrukcja obsługi:

  1. Odnajdź RODO
  2. Odnajdź art 5 RODO 
  3. Odnajdź art 6 RODO
  4. Weź swoje opisy procesów
  5. Znajdź CELE przetwarzania danych w procesie
  6. Znajdź ZAKRES przetwarzania danych (W tym kategorie)

Weź powyższy zestaw danych i OCEŃ SAMODZIELNIE:

  • Czy masz przesłanki przetwarzania (od razu dopisz te, które są właściwe) ot tak dla przykładu:
  • Do danego procesu potrzebujesz danych dotyczących mojego pobytu (zameldowania) z 2008 roku?
  • Do danego procesu potrzebujesz danych moich rodziców? I czy poinformowałeś ich o tym, że ich dane przetwarzasz (w trybie i na zasadach z art 14 RODO)?
  • Do danego procesu potrzebujesz wiedzy o moim obywatelstwie?
  • Do danego procesu musisz mieć moje dane dotyczące pochodzenia (miejsce urodzenia i nazwisko rodowe)?

I tak dalej, przez wszystkie te powyższe punkty. Ale nie, nie to jest “gwoździem” do tematu dyskusji. W rozmowach dotyczących dowodów wiele osób z sektora finansowego (biura brokerskie, banki, TFI i podobne) argumentowali to tym, że ten dokument i jego kopia ma cel IDENTYFIKACYJNY. 

Przepraszam… ale czy mój NIEWAŻNY dowód mnie nadal identyfikuje? 

Tak… jak audytowaliśmy z praktykantami z Europejskiej Akademii Bezpieczeństwa i Ochrony centra przetwarzania danych, serwerownie klientów, inne obiekty to tak. Dla służby ochrony to był jak najbardziej “dokument potwierdzający tożsamość”.

Drugie pytanie jakie zadawałem. Tak, w dniu podpisywania czegokolwiek ten dokument mnie identyfikował. I nawet był aktualny. A czy dziś jest?

Czy dzisiejszy zestaw informacji o mnie (czyli tego, co się wytwarza na podstawie danych osobowych) jest AKTUALNY? 

Pamiętajcie, że cel istniał np. w dniu podpisania kredytu. Pewność, że podpisałem z konkretną osobą. A czy nadal występuje PO PODPISANIU?

Podsumowanie

Pod rozwagę dla wszystkich, którzy uważają że dowód jest OK. Jeśli przejdziecie te wszystkie elementy jak wyżej, czyli listę kontrolną do danych w zestawieniu z RODO – art 5, art 6 i uznacie, że jednak wolno wam używać, OK. Tylko zapiszcie, że to zrobiliście, bo inaczej ciężko będzie się wykazać rozliczalnością, czyli tym, że wzięliście pod uwagę wszelkie okoliczności.

Podsumowanie 2

Propozycja, prośba… prośba, bo lubię wszystkich fanów #RODOmaniaków. Pamiętajcie, że w RODO nie posługujemy się “myśleniem obiektowym”. W tym myśleniu patrzymy na obiekt np. “dowód osobisty” czy obiekt “rodzaj firmy” z dopiskiem – “na pewno procesor” i… wpadamy pod niezgodność. RODO wymaga rozumienia sposobu przetwarzania danych, kontekstu, celu, zakresu.. wszystkiego razem. A nie myślenia na zasadzie obiektu – bo jak ten jest procesorem dla mnie, to zawsze będzie. A nie… czasem będzie administratorem, będąc nadal procesorem. Ale to już na następny raz zostawię.