Przetwarzanie danych osobowych, to definicja pułapka. Dobry przykład rozmijania się języka potocznego z językiem prawniczym. Pierwsze skojarzenie większości osób nie zajmujących się RODO, to różne aktywne operacje na danych osobowych. Jest to skojarzenie jak najbardziej prawidłowe, ale nie do końca. Takie rozumienie nie uwzględnia operacji bardziej pasywnych. Tymczasem operacje takie jak np. przechowywanie danych osobowych, również stanowią ich przetwarzanie!
RODO definicja przetwarzania danych
Oto definicja pojęcia przetwarzanie z art. 4 ust. 2 RODO:
Na każdym prowadzonym przeze mnie szkoleniu, wykonuje wspólnie z grupą proste ćwiczenie. Na początku prezentuję powyższą treść definicji i proszę o jej uważne przeczytanie. Następnie przedstawiam krótki praktyczny case. Możesz go rozwiązać samodzielnie tu i teraz.
Przetwarzanie w praktyce
Przykład praktyczny:
Do firmy Rekrutujemy Spółka Akcyjna, wpłynęło CV Jana K. Kandydat zostawił je w recepcji w siedzibie spółki. Zaskoczona recepcjonistka (przecież obecnie większość CV przychodzi drogą mailową), schowała CV do szuflady. Curriculum Vitae przeleżało w szufladzie przez okres 2 lat. Nowy recepcjonista, który zastąpił poprzedniczkę, znalazł CV i nie wiedząc co z nim począć – wrzucił do niszczarki.
Pytanie prawne brzmi następująco. Czy dane osobowe Jana K. były przetwarzane przez Rekrutujemy Spółka Akcyjna. Jeśli tak, to jakie były czynności przetwarzania danych osobowych?
Zastanów się chwilę, zanim odpowiesz. Zapoznaj się dokładnie z definicją. Czas na rozwiązanie.
Tak, dane osobowe były przetwarzane przez spółkę. Zostały one zebrane (CV trafiło do szuflady). Następnie były przez 2 lata przechowywane (w szufladzie). Na samym końcu zostały zniszczone w niszczarce do dokumentów przez nowego recepcjonistę.
Za każdym razem, przynajmniej dwóch lub więcej kursantów jest zaskoczonych odpowiedzią. Błędy w prawidłowym rozumieniu definicji przetwarzania danych osobowych, bardzo często wychodzą również w toku naszych ankiet audytowych. Pracownicy szybko zapominają wiedzę wyniesioną ze szkoleń, jeśli nie jest ona powtarzana czy przypominana.
Pakiet wdrożeniowy RODO Optymalnie
Masz niekompletną dokumentację, a Twój rejestr czynności przetwarzania świeci pustkami? Nie wiesz jak opracować klauzule informacyjne tak, aby ich treść spełniała warunki RODO? Twoi pracownicy nadal nie wiedzą czym są dane osobowe i jakie są podstawowe zasady ich przetwarzania?
SprawdźPrzetwarzanie rozumiane w sposób szeroki
Dlaczego warto pamiętać o tym, że przetwarzanie danych osobowych, rozumiemy w sposób szeroki?
Po pierwsze, niektórzy myślą, że uda im się obejść przepisy RODO, uznając, że przecież dane osobowe nie są przetwarzane. Rozporządzenie stosujemy tylko w przypadku przetwarzania danych osobowych. Proste i skuteczne. Tylko pozornie. Stara łacińska paremia mówi, że ignorantia iuris nocet, (nieznajomość prawa szkodzi). Oczywiście gdybyśmy w takiej sytuacji przetwarzali dane osobowe, bez podstawy prawnej, bez wdrożenia adekwatnych środków zabezpieczenia tych danych to ryzykujemy odpowiedzialność na podstawie RODO.
Po drugie, pytanie o rozumienie pojęcia przetwarzania danych osobowych, to jedno z ulubionych pytań kontrolerów UODO. Nie tylko zresztą UODO, wielu audytorów bada poziom RODO świadomości w Zespole.
Po trzecie wreszcie, jeśli Twój Zespół nie zna podstawowych terminów i pojęć to zachodzi obawa, granicząca z pewnością, że ma kłopoty również w sprawach bardziej złożonych. Przykładowo, jeśli pracownik nie wie, że przechowywanie danych osobowych na serwerze jest ich przetwarzaniem to najpewniej nie będzie także wiedział, że z zewnętrzną firmą, która świadczy usługi hostingu należy zawrzeć umowę powierzenia przetwarzania danych osobowych.
Kiedy dane osobowe NIE są przetwarzane?
Takich sytuacji jest bardzo mało i trudno je sobie wyobrazić. Jeśli mamy w naszej organizacji dane osobowe, to jest to praktycznie równoznaczne z tym, że je przetwarzamy. Udało nam się jednak znaleźć kilka wyjątkowych sytuacji, kiedy nie dochodzi do przetwarzania danych osobowych.
Oto i one:
- monitoring wizyjny w funkcji podglądu na żywo (bez zapisywania nagrań w pamięci rejestratora lub innego nośnika),
- pomiar temperatury ciała osoby wchodzącej do budynku bez zapisywania uzyskanego rezultatu pomiaru.
Przetwarzam dane osobowe i co dalej?
Jeśli dysponujesz danymi osobowymi i co więcej, przetwarzasz je (co nie jest zbyt trudne), to nie ma jeszcze powodów do obaw. Każda organizacja przetwarza jakieś dane osobowe. Problem pojawia się wtedy, kiedy przetwarzanie nie ma żadnej podstawy prawnej. Więcej o podstawach prawnych, czyli tzw. przesłankach legalności, znajdziesz tutaj.
Problemem może być również sytuacja, kiedy przetwarzasz dane osobowe, ale RODO nie zostało wdrożone w Twojej organizacji. Oczywiście, jeśli posiadasz jedynie biznesowe dane kontaktowe w niewielkiej ilości to wdrożenie RODO może sprowadzać się do dosłownie kilku prostych czynności.
2 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
A co z takim przykładem?
Oddajemy komputer do serwisu w celu naprawienia usterki hardware’owej. Na dysku (załóżmy na potrzeby ćwiczenia umysłowego, że nie da się go wyciągnąć) zapisane są dane osobowe ale serwisowi nie przekazujemy żadnych instrukcji co do ich przetwarzania. Jednocześnie dysk jest zaszyfrowany i zabezpiezpieczony hasłem spełniającym wymogi bezpiecznego hasła. W efekcie czego nie ma dzisiaj sposobu na dostanie się do danych o ile nie zna się hasła. Dodatkowo w siedzibie firmy istnieje świeża kopia zapasowa danych wykonana tuż przed oddaniem komputera do serwisu. Jest też procedura do szybkiego odzyskiwania danych na stacji roboczej z kopii zapasowej. Wobec tego ewentualne zniszczenie dysku ma zerowy wpływ na osoby, których dane dotyczą.
Pytanie więc czy w takiej sytuacji serwis przetwarza dane osobowe? I pytanie drugie czy gydybśmy nie wykonali kopii zapasowej więc ewentualne zniszczenie dysku skutkowałoby zniszeniem jedynej kopii danych. Czy ten drugi przypadek różni się w jakikolwiek sposób z perspektywy serwisu? Tj. czy w tym drugim przypadku serwis przetwarza dane?
Dzień dobry, w naszej opinii w żadnych z podanych przypadków serwis nie przetwarza danych osobowych (nie posiada narzędzia do ich odczytu).
Brak kopii danych w przypadku zniszczenia dysku miałoby znaczenie z punktu widzenia incydentu bezpieczeństwa (doszłoby do utraty dostępu do danych, co ma już wpływ na osoby, których dane dotyczą). Pozdrawiamy!