Podczas wszystkich naszych ostatnich spotkań on-line przewija się kwestia podstaw przetwarzania. Zasadniczo wyłania się z dyskusji jeden dość niebezpieczny trend – pominięcie kompletnego rozważenia możliwości i prawidłowości podstawy przetwarzania na rzecz swoistego “pójścia na skróty”. Może jest to przyzwyczajenie pochodzące z czasów “przed-RODO”, a może po prostu mało który ekspert zwraca uwagę na tę kwestię czy to wdrażając systemy, czy szkoląc.
Biorąc po uwagę to, że analiza ta bywa czasochłonna mimo wszystko wykonuje się ją tylko raz dla danego procesu. Natomiast błędne przypisanie może być przyczyną wielu problemów, w tym nawet kar ze strony organu nadzorczego, ponieważ wraz z wyborem podstawy wiąże się wiele elementów np. to jakie uprawnienia osobie przysługują. Wszak czym innym będzie odwołanie zgody, a czym innym jest sprzeciw przeciwko przetwarzaniu. I o ile cofnięcie zgody jest bezwzględnym zakazem dalszego przetwarzania, o tyle w przypadku uzasadnionego prawnie interesu administratora nie jest to już takie oczywiste (z wyłączeniem marketingu).
W dzisiejszym artykule postaramy się przybliżyć Wam kilka związanych z tym kwestii, poprzez praktykę zasady doboru podstaw przetwarzania. Praktykę, bo wskażemy elementy jakie należy brać pod uwagę w ocenie, czy dana przesłanka jest prawidłowo dobrana. Artykuł jest też początkiem cyklu poświęconego podstawom przetwarzania danych.
Dobór przesłanki
W “dobrych starych czasach” (czyli przed rozpoczęciem obowiązywania RODO) dobór przesłanki był dość prosty:
-Da się na czymś innym?
-Nie.
-To będzie zgoda. Zgoda… Niech podpiszą.
Trochę to może prześmiewczo i sarkastycznie, ale mniej więcej tak to wyglądało.
WAŻNE: w trakcie obowiązywania Ustawy o ochronie danych osobowych z 1997 co do zasady przypisywana była tylko jedna podstawa prawna przetwarzania.
RODO
RODO zmieniło nieco podejście do podstaw przetwarzania. Znamiennym jest zapis:
,,Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków(…)”
W praktyce oznacza to, że przetwarzanie danych osobowych może odbywać się nadal na podstawie jednej z przesłanek, ale wskazano już wprost, że w niektórych przypadkach decyzją administratora będzie to, która z nich jest najwłaściwsza. Tak jest czasami w sytuacjach, gdy “pasuje” zarówno zgoda jak i uzasadniony prawnie interes administratora lub bycie stroną umowy. Każdej z przesłanek z art. 6 poświęcę odrębny artykuł, dziś jednak chciałbym się skupić na czynnościach, które powinny odbywać się w trakcie identyfikacji procesu biznesowego, w którym dane są przetwarzane oraz procesu przetwarzania danych osobowych i doboru przesłanki najbardziej odpowiedniej jako podstawy przetwarzania.
Jaka jest różnica między procesem biznesowym a procesem przetwarzania danych: czytaj tutaj: Proces…
Analiza
Dobór każdej z podstaw przetwarzania ma swoje elementy oceny. Można powiedzieć, że do stosowania przesłanki do przetwarzania koniecznie jest spełnienie pewnych warunków.
Zgoda
I tak dla zgody, która jest pierwszą z podstaw (niestety nadal bywa najczęściej stosowana) są to:
- Dobrowolność;
- Konkretność;
- Świadomość;
- Jednoznaczność.
Informacji, które dotyczą warunków jak wyżej w RODO, znajdziemy wiele. Zarówno w motywach, związanych ze zgodą jak i w samych przepisach np. Art. 7 – warunki wyrażenia zgody. W wielu przypadkach błędy jakie zidentyfikowaliśmy w audytach wynikały z braku nawet najprostszej listy kontrolnej w 4 obszarach jak wyżej.
Strona umowy
Bardzo rzadko spotykamy się na audytach z analizą związaną ze stosowaniem tej podstawy prawnej. Zacytujemy, bo to są tak naprawdę dwie różne sytuacje:
„(…) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy(…)”
- Wariant I – osoba jest stroną, a dane są niezbędne do wykonania;
- Wariant II – osoba żąda podjęcia działań przed zawarciem umowy.
Wariant I
W tym wariancie ważne jest, aby ocenić jedno z najważniejszych zagadnień:
- Niezbędność danych.
Mała dygresja. Wielokrotnie wskazujemy czy to w naszych spotkaniach on-line, czy na spotkaniach Europejskiej Akademii Bezpieczeństwa i Ochrony i szkoleniach związanych z RODO, że warto jest korzystać z unifikowanych narzędzi, nawet jeśli są one przygotowane do zupełnie innego działania. Narzędziem, którego możemy użyć do tej oceny jest element oceny uzasadnionego interesu administratora. Pisaliśmy już o nim:
Czytaj więcej: Test równowagi, czy…?
Jednym z elementów, które są oceniane w ramach tej analizy jest ocena konieczności. Zawiera kilka ciekawych pytań, których z powodzeniem możemy użyć w ocenie “niezbędności” danych w umowie:
- Czy przetwarzanie danych rzeczywiście pozwala osiągnąć cel?
- Czy przetwarzanie jest proporcjonalne do celu?
- Czy cel będzie osiągnięty (może być) w inny sposób, bez przetwarzania tych danych lub gdy będzie ich mniej?
Webinar ESSA “Alkomaty vs RODO”
Wariant II
W tym wariancie mamy obszar do oceny, którego niestety prawie nigdzie nie widzę. Audytując RODO oceniamy bowiem nie tylko właściwość czy niewłaściwość przypisania przesłanki, ale też proces jaki poprzedził to przypisanie. Szczególnie w sytuacji identyfikacji niezgodności z przepisem prawa, musimy dotrzeć do tego, w jaki sposób zespół uznaje daną przesłankę za wiodącą.
O tym jak audytujemy, możecie przeczytać na stronie ESSA, gdzie opisaliśmy pełny audyt RODO: Audyt RODO
A zastosowanie 6.1.b w kontekście rekrutacji musi obejmować rozważenie w jaki sposób osoba, której dane dotyczą:
- Wyraziła żądanie przetwarzania danych osobowych.
Tak dokładnie brzmi podstawa prawna dla działania PRZED ZAWARCIEM UMOWY. Co ważne, w tym obszarze powinniśmy ocenić również kolejne elementy:
- Jakie to działania zostały objęte żądaniem?
Dodatkowo warto być pewnym co do tego, jakie jest przeświadczenie osoby co do przetwarzania danych osobowych do celów rekrutacji. Kolejny raz może nam przyjść z pomocą narzędzie z 6.1.f – uzasadnionego prawnie interesu administratora (jest to najtrudniejsza przesłanka, dlatego też ma najwięcej narzędzi). Obszarem badanym jest:
Analiza rozsądnych oczekiwań jednostki (podmiotu danych). Przykładowe pytania:
- W jaki sposób korzystałeś wcześniej z danych?
- Jeśli korzystasz z danych z innych źródeł, to które z informacji zostały podane w trakcie zbierania danych?
- Czy cel i metoda przetwarzania są zrozumiałe?
Pytań łącznie mamy 11 w tym zakresie. I mimo, że są one przeznaczone do 6.1.f idealnie sprawdzą się na ocenie oczekiwań strony umowy.
Webinar ESSA: Alkomaty vs RODO
Wypełnienie obowiązku prawnego
Wypełnienie obowiązku prawnego ciążącego na administratorze, to kolejna mocno dyskusyjna podstawa prawna przetwarzania danych osobowych. Przy jej stosowaniu należy naprawdę mocno uważać i przeczytać CAŁY przepis art. 6 RODO. Niemniej przy ocenie warto zwrócić uwagę na to, że jest to
OBOWIĄZEK, a nie UPRAWNIENIE.
W wielu przypadkach błędnie zostaje przypisana podstawa prawna do uprawnień. Jest to często wynikiem (dane po audytach) zmiany treści przesłanki w stosunku do Ustawy o ochronie danych osobowych z 1997 roku. W dawnym brzmieniu:
„(…) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (…)”
Co do zasady analiza tej podstawy prawnej sprowadza się do tych samych elementów:
- Identyfikacji ogólnego uprawnienia lub obowiązku (dziś już tylko obowiązku);
- Identyfikacji konkretnego przepisu, który wskazuje co administrator ma wykonać;
- Identyfikacji danych osobowych, jakie są niezbędne do spełnienia (często w formie druków zawartych w rozporządzeniach).
Zasady oceny tej podstawy prawnej opiszemy w kolejnych artykułach, bo jej stosowanie zawiera naprawdę wiele błędów, w tym w zakresie informacji dla osoby której dane dotyczą. Również odnosząc się nieco do kwestii audytu, bo audyt RODO zaczyna być coraz istotniejszym działaniem w środowisku, niezgodność bezpośrednio będzie odnosić się do art. 13 RODO ale formalnie będzie również naruszeniem zasady fundamentalnej z art. 5.1.a RODO – przejrzystości przetwarzania. W taki sposób budowane są wystąpienia pokontrolne Prezesa Urzędu Ochrony Danych Osobowych. Co wskazuje, że rzeczywiście od momentu rozpoczęcia obowiązywania RODO organ zmienił nie tylko nazwę, ale i zakres działania. Nie są to już kontrole, a pełne audyty z poszukiwaniem nie tylko naruszonego przepisu, ale również pominięcia procesów niezbędnych do zapewnienia zgodności z RODO i ochrony osób fizycznych.
Jak budować rekomendacje w audycie? Webinar ESSA: Zobacz tutaj
Uzasadniony prawnie interes administratora
Jest to ostatnia z podstaw, które dziś omówimy. Ta oraz pozostałe dziś wymienione, zostaną szczegółowo opisane w kolejny artykule. Sam przebieg oceny już został opisany.
Czytaj więcej: Test równowagi, czy…
Dziś chciałbym tylko zwrócić uwagę na kwestię stosowania 6.1.f w administracji publicznej. Co do zasady jest to przesłanka, która jest wykluczona do stosowania w przypadku organów działających o przepisy prawa. Ale nie wolno jej stosować w odniesieniu do zadań własnych tych organów, które powinny być określone co do zasady w przepisach ustaw, sprecyzowanych w rozporządzeniach. Dlatego w kontekście organów administracji, elementem analizy nie ujętym w bazowym scenariuszu powinny być ustalenia:
- Czy moja instytucja, organ zostały powołane do zadań, które oceniam (cel przetwarzania). Pomocnymi tutaj są ustawa o działach w administracji, czy wprost akty stanowiące konkretną instytucję (ustawy, uchwały, statuty).
Temat jest bardzo ciekawy i istotny oraz wymagający rozwinięcia.
Podsumowanie
Mam nadzieję, że w tym dość krótkim artykule wskazaliśmy zasady doboru podstawy przetwarzania danych wraz z oceną czy rzeczywiście dana przesłanka jest właściwa (czy może być zastosowana). Niestety na dziś w ochronie danych osobowych nadal stosowane są zasady dobrych porad czy wskazań “jak ma być”, czasem bywa to również podejście “przez analogię”. Jak błędne są to podejścia? Wystarczy przypomnieć przypadek jednej z bardziej uznanych osób w branży, która skarżyła jednego z przewoźników za używanie imienia i nazwiska na bilecie. Jednym z argumentów była analogia. Jak widać stosowana na zasadzie 1:1 nie zadziałała, Urząd oddalił skargę.
Kończąc w 2016 roku kurs Common law & principles na University of London z uwagą wsłuchiwałem się w istotę precedensu w rozumieniu prawa brytyjskiego. I ogromnym zaskoczeniem był przykład, który podał profesor na początku wykładu. Otóż osoba w latach 90 tych została uniewinniona na podstawie precedensu z roku około 1450. W roku 1450 (w przybliżeniu, nie pamiętam dokładnej daty) na tratwie dryfowało dwóch rozbitków. Skończyła się żywność. Jeden z rozbitków zabił drugiego a następnie go zjadł. Wierzcie mi, że sprawa z lat 90tych nie dotyczyła zjedzenia w Londynie drugiej osoby. Nawet jeśli byłby to uciążliwy lokator z mieszkania czy akademika. Precedens polega na zrozumieniu mechanizmu postępowania i podejmowania decyzji przez sprawcę, a nie na przypisaniu 1:1 (jeden do jednego) sytuacji dzisiejszej do wczorajszej.
Podobnie rzecz ma się do poradników, wytycznych i dobrych praktyk. W Polsce rozwiązania te, studium przypadku (case studies) traktowane są niemalże jak przepis prawa. Czyli jak już raz ktoś opisał (np. Urząd Ochrony Danych w poradniku) to zawsze tak będzie i zastosowanie z powołaniem się na konkretny poradnik czy artykuł uznawane jest za uzyskanie zgodności.
Otóż nie. I nie tylko w RODO. Bo choć inne przepisy są nieco bardziej instrukcyjne, zawierają treść dokumentu np. Instrukcja Bezpieczeństwa Pożarowego to jej zawartość ma wynikać nie z odtworzenia podobnego dokumentu w innej firmie, a z analizy zagrożenia pożarem i innym zagrożeniem miejscowym oraz z charakterystyki firmy i obiektu, w tym organizacji.
Dlatego apeluję do wszystkich specjalistów od RODO: naprawdę uważajcie na analogie. I na stosowanie rozwiązań, w tym kupionych w Internecie. Wasze przetwarzanie odnosi się do WASZEGO kontekstu. Nie innej firmy, nawet podobnej. I nie udowodnicie przed organem, że ZASTOSOWALIŚCIE dobre praktyki czy wytyczne, bo musicie rozważyć ich sensowność i skuteczność w Waszym systemie.
