Administrator, przetwarzający i dane osobowe w RODO

Poprzedni materiał był pierwszym z cyklu artykułów dotyczących obowiązujących przepisów w zakresie ochrony danych osobowych. Uzbrojeni w tę wiedzę możemy rozpocząć analizę kluczowych zagadnień, które umożliwią wdrożenie i stosowanie przepisów RODO w placówce fizjoterapeutycznej.

W niniejszym artykule dowiesz się:

  1. Kiedy jesteś administratorem danych, a kiedy podmiotem przetwarzającym dane – to jaki jest Twój status ma kluczowe znaczenie dla obowiązków wynikających z RODO.
  2. Kiedy dochodzi do przetwarzania danych osobowych – intuicyjne rozumienie tego zwrotu może być bowiem złudne.
  3. Czym są dane osobowe – aby chronić dane musisz wiedzieć jakie informacje stanowią dane osobowe, a jakie nie.

1. KIEDY JESTEŚ ADMINISTRATOREM DANYCH, A KIEDY PODMIOTEM PRZETWARZAJĄCYM?

Zanim poznasz definicję administratora danych oraz podmiot u przetwarzającego powinieneś wiedzieć, że tę rolę ustalasz indywidualnie, w stosunku do każdej kategorii danych jakie przetwarzasz. Zatem w stosunku do jednych kategorii danych(zbiorów danych) będziesz posiadał status administratora, a inne kategorie danych będziesz przetwarzać jako podmiot przetwarzający.Jeżeli prowadzisz działalność gospodarczą, to najpewniej występujesz chociaż w jednej z tych ról, jeżeli nie w obu.

Dla pełnej jasności będę podawał pełne definicje z RODO, a potem je maksymalnie upraszczał, tak abyś mógł dostrzec kluczowe dla właściwiej kwalifikacji przesłanki.

Administratorem danych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (art. 4 pkt 7) RODO).

Maksymalnie upraszczając definicję administratorem jest podmiot, który ustala cele i sposoby przetwarzania danych osobowych.

Przekładając to na bardziej praktyczne podejście, jesteś administratorem gdy w oparciu o jedną z podstaw prawnych (które będziemy omawiać w kolejnym artykule) możesz zarządzać danymi, co przejawia się w tym, że możesz decydować:

  • w jakich celach będziesz używać danych – tutaj należy jednak poczynić istotne zastrzeżenie. To, że posiadasz status administratora danych, nie uprawnia Cię do wykorzystywania danych w jakichkolwiek chcesz celach. Tak naprawdę, to w jakich celach możesz używać danych osobowych wynikać będzie z podstawy prawnej, która sprawiła, że stałeś się administratorem tych danych.
  • w jaki sposób będziesz używać danych – tutaj także zastrzeżenie: dane powinieneś używać w taki sposób, w jaki jest to uzasadnione ze względu na ich charakter i cele, które realizujesz. Te sposoby mogą się zmieniać w czasie.

Gdyby przeszło Ci przez myśl, że dobrze jest być administratorem danych osobowych tj. posiadać nad nimi władztwo i decydować o ich wykorzystaniu, to zastanów się dobrze. Posiadanie statusu administratora niesie bowiem za sobą daleko idące konsekwencje.Administrator to kluczowy podmiot zobowiązany do ochrony danych osobowych, ponieważ zgodnie z przepisami RODO jego władztwo naddanymi osobowymi, obowiązki i odpowiedzialność mają najszerszy charakter.

Dla faktu bycia administratorem nie jest istotne czy dane te przetwarzasz samodzielnie, czy też zlecasz ich przetwarzanie innym podmiotom tak,aby to one realizowały Twoje cele. Istotna jest faktyczna możliwość decydowania o posiadanych danych osobowych. Podmioty, którym jako administrator, możesz zlecić przetwarzanie danych to podmioty przetwarzające.

Podmiotem przetwarzającym jest  osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora (art. 4 pkt 8)RODO).

Maksymalnie upraszczając definicję – podmiotem przetwarzającym jest podmiot, który przetwarza dane osobowe w imieniu (i na zlecenie) administratora.

Dlatego wszystkie operacje, jakie wykonywane są przez podmiot przetwarzający na powierzonych danych osobowych, powinny być realizowane wyłączenie w zakresie w jakim podmiot został do tego upoważniony przez administratora. Podmiot przetwarzający uzyskuje prawo przetwarzania danych w następstwie zawarcia z administratorem umowy powierzenia przetwarzania danych. Zasadniczo podmiot przetwarzający może przetwarzać dane dopóki taka umowa między nim, a administratorem istnieje.

Z praktycznego punktu widzenia powierzenie danych osobowych może być dla administratora korzystne, gdyż w ten sposób może delegować część odpowiedzialności związanej z przetwarzaniem danych na inny podmiot.

Przykładowo taka sytuacja ma miejsce w przypadku korzystania przez fizjoterapeutę z usług świadczonych za pośrednictwem systemu AsPhys. Powinieneś wiedzieć, że najpewniej w stosunku do danych osobowych swoich pacjentów posiadasz status administratora danych (więcej na ten temat dowiesz się w kolejnych artykułach). Korzystając z usługi świadczonej za pośrednictwem systemu AsPhys prowadzisz dokumentację medyczną w formie elektronicznej. Dokumentacja ta przechowywana jest w infrastrukturze sprzętowej, za bezpieczeństwo której odpowiada dostawca usługi AsPhys. Dzięki temu fizjoterapeuta dzieli się z innym podmiotem ryzykiem związanym z zapewnieniem bezpieczeństwa danych.

Ważne jest przy tym, aby administrator korzystał ze sprawdzonych,rzetelnych i zapewniających bezpieczeństwo danych podmiotów przetwarzających. Więcej na ten temat znajdziesz w artykule,w którym będę opisywał jak (i z kim) zawrzeć umowę powierzenia przetwarzania danych.

2. KIEDY DOCHODZI DO PRZETWARZANIA DANYCH OSOBOWYCH?

Podając powyżej przykład powierzenia danych osobowych wskazałem na przypadek przechowywania danych w infrastrukturze sprzętowej innego podmiotu (np. dostawcy usługi AsPhys).

Powinieneś wiedzieć, że przechowywanie danych jest jedną z form przetwarzania danych. W swojej praktyce czasami spotykam się ze zdziwieniem klientów, którzy, intuicyjnie, przez przetwarzanie danych rozumieją wyłącznie dokonywanie operacji na danych tj. aktywne używanie ich w konkretnym celu gospodarczym. Tymczasem samo przechowywanie danych w pamięci komputera stanowi formę przetwarzania danych osobowych.Form przetwarzania danych jest jednak zdecydowanie więcej.

Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie,utrwalanie, organizowanie, porządkowanie, przechowywanie,adaptowanie lub modyfikowanie, pobieranie, przeglądanie,wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie,ograniczanie, usuwanie lub niszczenie.

Maksymalnie upraszczając definicję przetwarzanie, to wykonywanie operacji na danych osobowych, a przykładowymi formami przetwarzania jest: zbieranie, utrwalanie,organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Z powyższego wynika, że przetwarzanie danych nie polega tylko na aktywnych operacjach na danych osobowych; wystarczające jest że dany podmiot tylko zbiera dane lub tylko posiada do nich dostęp.

3. CZYM SĄ DANE OSOBOWE?

Czas na kluczowe zagadnienie, od którego być może powinienem był rozpocząć ten artykuł. Świadomie jednak przyjąłem inną kolejność, aby nie odstraszyć potencjalnych czytelników.Niewątpliwie to, kiedy mamy do czynienia z danymi osobowymi bywa problematyczne w ustaleniu. Wystarczy spojrzeć na definicję

Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej(„osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną,genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (art. 4 pkt 1) RODO).

Maksymalnie upraszczając definicję –dane osobowe to jakiekolwiek informacje, które nawet pośrednio, umożliwiają zidentyfikowanie osoby.

Należy przyznać, że nawet specjaliści z zakresu ochrony danych osobowych miewają problem z ustaleniem czy konkretne informacje, w danej sytuacji, stanowią dane osobowe czy są tzw. danymi nieosobowymi –dane niepozwalające na identyfikację osoby.

RODO, a właściwie jeden z motywów preambuły do RODO (swoiste uzasadnienie do tych przepisów), daje nam wskazówkę w jaki sposób powinniśmy ustalać czy konkretne informacje stanowią dane osobowe.I tak, zgodnie z motywem 26 Preambuły RODO:

Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.

Prawodawca unijny proponuje zatem przeprowadzenie przez administratora swoistego testu, który polega na zbadaniu możliwości powiązania konkretnej informacji z konkretną osobą przy uwzględnieniu takich czynników jak koszt i czas potrzebny do zidentyfikowania danej osoby oraz technologia dostępna w momencie przetwarzania danych, z uwzględnieniem postępu technologicznego.

Z tego wynika, że konkretna informacja dla jednego podmiotu będzie daną osobową, dla innego już nie (np. wymagałaby poniesienia zbyt wysokich kosztów).

Ale dość teorii. Co na pewno stanowi dane osobowe? Imię i nazwisko,adres zamieszkania, numer telefonu (zakładając, że jest to numer telefonu do osoby, nie do instytucji), a także numer PESEL, który jest indywidualnym numerem każdej osoby.

Innym przykładem informacji stanowiącej dane osobowe może być adres poczty elektronicznej, w sytuacji, gdy na podstawie jego treści można określić tożsamość jego właściciela. Dzieje się tak w momencie, gdy elementem treści adresu jest np. imię i nazwisko jego właściciela.

Danymi osobowymi mogą być także mniej oczywiste informacje takie jak:identyfikatory internetowe (w tym tzw. „nick”), zarejestrowany głos, wizerunek osoby nagrany na kamerze monitoringu, tablice rejestracyjne samochodu, odcisk palca. W niektórych przypadkach danymi osobowymi mogą być także informacje, które samodzielnie nie dają możliwości ustalenia osoby, ale w powiązaniu z innymi danymi już taka możliwość istnieje. Wyobraźmy sobie sytuację,że do fizjoterapeuty trafia pacjent o bardzo rzadkim,oryginalnym imieniu, który dodatkowo posiada nieczęsto występującą jednostkę chorobową. Możliwa jest sytuacja, że w skali kraju będzie występować tylko jedna taka osoba – o takim imieniu z tą przypadłością. Ujawniając zatem samo imię oraz jednostkę chorobową możemy zatem doprowadzić do naruszenia ochrony danych osobowych.

Zalecana jest zatem szczególna ostrożność, zwłaszcza w kontekście danych medycznych. Zdecydowanie lepiej jest uznać, iż dana informacja, lub zestaw informacji stanowią dane osobowe nawet, gdyby istniały w tym zakresie wątpliwości.

autor: radca prawny Mateusz Nowak
strona firmowa: www.radcaprawnyit.pl
adres e-mail: mateusznowak@radcaprawnyit.pl

Archiwum