RODO

Przetwarzanie Danych Osobowych i Klauzule RODO

Słownik języka polskiego PWN pod redakcją prof. dr Mieczysława Szymczaka, wyd. II definiuje i precyzuje pojęcie „przetwarzania” oraz „przetwarzania danych”: 

Przetwarzać, przetworzyć – przerabiać, zmieniać coś nadając inny kształt, wygląd, inną postać, formę; przekształcić, przeobrażać. Przetwarzać dane – opracowywać za pomocą maszyn cyfrowych duże ilości danych pomiarowych w celu uzyskania określonych informacji: bilansów, wskaźników ekonomicznych itp. 

Wikipedia pod hasłem „przetwarzanie” podaje definicję: uporządkowany proces przekształcania (transformacji), np. energii, informacji, materii. 

Przetwarzanie danych (ang. data processing) – to przekształcanie treści i postaci danych wejściowych (ang. input) metodą wykonywania systematycznych operacji w celu uzyskania wyników (ang. output) w postaci z góry określonej. Wyróżnia się przetwarzanie numeryczne (stosunkowo skomplikowane algorytmy i niewielkie ilości danych) oraz systemowe (stosunkowo proste algorytmy i duże ilości danych). Zapewne polscy urzędnicy nie zapoznali się jeszcze z fachowymi pojęciami stosowanymi w rozporządzeniach Unii Europejskiej, i dlatego jest tyle hałasu o RODO czyli w sumie o nic (w tym dużo bredni w Internecie). 

Wikipedia wyraźnie informuje czym jest przetwarzanie danych: „data processing”, nie tylko w słownikach informatycznych. Nie ma processingu (przetwarzania), nie ma problemów z danymi. Możesz trzymać w domu pamiętniki z wpisami znajomych, którzy Ci się kiedykolwiek do pamiętnika wpisali, a także listę osób które korzystały u Ciebie z jakiejkolwiek formy usług. 

Kiedy wpisujesz się do pamiętnika (zeszytu), kiedy zapisujesz się na listę uczestników spotkania w klubie czy na imprezie prywatnej, której gospodarz tego wymaga, wpisujesz swoje imię, nazwisko, datę urodzenia, adres zamieszkania, numer dowodu osobistego, telefon czy email – na pewno nie jest to przetwarzanie danych. Jeżeli nie chcesz się wpisać na listę - nie musisz tego robić, możesz zrezygnować z takiej imprezy. Przypominamy, że nawet u lekarza trzeba się zapisać wypełniając ankietę i podając wszystkie swoje dane osobowe, mail oraz telefon.

My nie zmieniamy czyli nie "przetwarzamy" danych osobowych, jakie nam dostarczają uczestnicy imprezy, czy kursu. Nie możemy ich też skasować z list uczestników, bo jest to dokument potwierdzający uczestnictwo w warsztatach czy terapii. Wystarczy, że organizator lub gospodarz imprezy, spotkania, treningu, kursu oświadczy, że: „nie prowadzi przetwarzania danych osobowych”. W swej istocie, kiedy uczestnik imprezy/spotkania sam się wpisuje na listę lub jak woli sam wręcza nam kartkę z podaniem czy prośbą o przyjęcie na spotkanie, nie przetwarzamy żadnych danych osobowych, zgodnie z definicją przetwarzania danych. 

Co więcej, „przetwarzanie danych”, o które chodzi ustawodawcy UE w oryginale angielskim, to tak zwany w informatyce „data processing”, a zatem elektroniczne przetwarzanie danych. Dopóki nie zacznę przepisywać danych osobowych z listy czy kartki z podaniem do komputera, a szczególnie do Internetu, nie dokonuję nawet „inputu” czyli wprowadzenia danych do przetwarzania. Nie ma zatem rozpoczęcia przetwarzania danych (data processingu). 

Wszyscy uczestnicy kursów, zajęć, terapii i obozów sami wpisują się na listy adresowe i wypełniają karty zgłoszeń, podanie o przyjęcie czy zapotrzebowanie na z jakim przyjechali - na kartkach. Każdy, kto sam się wpisuje - dokonuje „inputu” czyli wprowadzenia swoich danych osobowych. Klauzula prawna typu: „Nie przetwarzamy twoich danych osobowych ani numerycznie ani systemowo” - jest zatem absolutnie wystarczająca jeśli chodzi o RODO. Nie przyjmujemy też anonimowych osobników na żadne zajęcia, ani takich osób, które fałszują dane osobowe - czyli podają nieprawdziwe imię i nazwisko, czy adres.

Inna sprawa to fakt, że ustawa RODO jest zasadniczo sprzeczna z Konstytucją, która jest prawem podstawowym i nadrzędnym w stosunku do innych ustaw prawnych. Art. 54.1 Konstytucji powiada: „Każdemu zapewnia się wolność wyrażania swoich poglądów oraz pozyskiwania i rozpowszechniania informacji.” Konstytucja nie przewiduje ograniczenia dla pozyskiwania oraz rozpowszechniania informacji, a dane osobowe, nawet te bardzo wrażliwe - są informacjami. Konstytucja nie przewiduje nakładania ograniczeń na osoby fizyczne ani organizacje pozarządowe do Art.54.1. Za każdym razem, gdy urząd ochrony danych osobowych UODO zechce ci zabraniać czegoś w tej materii, możesz zwrócić się do sądu ze skargą na łamanie Konstytucji RP. 

RODO - Podstawowa Wiedza dla Użytkownika i Administratora Bazy Danych 

Ustawa (unijne rozporządzenie) RODO reguluje kwestie przetwarzania danych w Internecie (na stronach internetowych i w chmurach danych oraz na nośnikach elektronicznych - dyskach), szczególnie w sklepach internetowych (RODO dotyczy danych zgromadzonych i przetwarzanych metodami informatycznymi, danych na dyskach twardych i nośnikach przenośnych). W dużej mierze dotyczy to obowiązku informacyjnego nałożonego na wydawców i właścicieli e-sklepów. Dotychczasowe prawo w sposób niekompletny i nieprecyzyjny dotyczyło kwestii związanych z przetwarzaniem danych przez portale społecznościowe, serwisy z treściami czy e-commerce (sklepy internetowe). RODO nakłada na przedsiębiorców obowiązek stałego monitorowania procesów związanych z przetwarzaniem danych osobowych w firmie internetowej lub chmurze. RODO ma zapobiegać nielegalnemu udostępnianiu danych osobowych w internecie oraz wyciekom danych z chmur internetowych. RODO reguluje nie tylko kwestie przetwarzania danych osobowych w Internecie, ale także zabezpiecza takie nasze dane osobowe jak odcisk palca, skan twarzy czy obraz źrenic (biometria), które coraz częściej wykorzystywane są jako hasło dostępu, a dotychczas nie podlegały pod ochronę danych osobowych. 

RODO zmniejszyło wymagania w zakresie pozyskiwania zgody osoby na przetwarzanie danych osobowych. Obecnie wyrażenie zgody na przetwarzanie danych osobowych nie zawsze musi następować na piśmie. RODO przesądza bowiem, że zgodą może być jednoznaczne okazanie woli w formie wyraźnego działania potwierdzającego (np. chęci uczestnictwa w zajęciach na które trzeba się zapisać, uczestnictwo w działalności klubu, stowarzyszenia, fundacji, imprezach religijnych etc). Na przykład, gdy przychodzisz chcąc brać udział w jakichkolwiek terapiach, zajęciach medytacji, jogi, tantry lub ajurwedy, a wymagane są zapisy (w tym badanie przez lekarza sportowego w wypadku intensywnej hatha jogi), to w sposób oczywisty musisz dostarczyć wymagane dane. Tak samo przy zapisywaniu do stowarzyszeń i fundacji, jeśli ktoś chce przynależeć, działać w takiej instytucji. To samo dotyczy wykładów, kursów, warsztatów i treningów, gdzie wymagana jest lista obecności i dane kontaktowe (wyobraźmy sobie, że osoba uczestniczyłaby anonimowo, bez dokumentów i tak, że nikt jej nie zna, a przypadkiem dostaje zawału lub udaru, umiera na atak serca czy udar, i nie ma jak podać jej danych ani karetce pogotowia ani ewentualnej rodzinie, żeby mogła odebrać zwłoki...). W interesie publicznym nawet jest stosowanie kart z zapisami wypełnianymi ręcznie lub czytelne wpisywanie się z imieniem, nazwiskiem, a także adresem zamieszkania na wszelkie listy uczestnictwa, w tym na terapie alternatywne (naturalne). 

RODO nie utrudnia prowadzenia przedsiębiorstw (internetowych). Małe i średnie firmy nie muszą m.in. podawać informacji o tym jak długo będą przetwarzać dane, są zwolnione z realizacji praw żądania dostępu do danych, ich sprostowania czy usunięcia (jak masz 90 stałych klientów jako fryzjer, to możesz ich pamiętać lub mieć w notesie albo na kartce w biurku – i to nie jest e-commerce ani internetowa baza danych, zatem nie podlega RODO). Zwolnienia te obowiązują wyłącznie w sytuacji, jeśli firmy nie gromadzą danych osobowych wrażliwych (np. PESEL, dane medyczne, dane biometryczne, pełne czyli wszystkie dane osobowe) lub nie udostępniają ich innym podmiotom na podstawie innej niż zgoda osoby, której dane dotyczą (nie sprzedają ani nie odstępują danych innym). Unijne Rozporządzenie RODO nie narzuca gotowych rozwiązań, nie nakazuje wprowadzenia niedopasowanych, odgórnych założeń. Każde działanie ma wynikać z indywidualnej sytuacji firmy i jej skonkretyzowanych potrzeb (klient może napisać swoje nazwisko i telefon na kartce, wtedy ty nie gromadzisz danych w komputerze, bo klient sam ci je dał własnoręcznie napisane – jako liścik). Wprowadzone zabezpieczenia danych w bazach danych w chmurach i na komputerach muszą być adekwatne, czyli skutecznie zadbać o bezpieczeństwo informacji (nie ma wymogów standardowych). Pisemna zgoda klienta (petenta) potrzebna jest tylko na udostępnianie jego danych osobowych innym podmiotom niż działalność własna (odsprzedaż danych, analizy rynkowe przez firmy zewnętrzne, przekazanie innej firmie etc.). Podmioty prywatne nie są zobowiązane do powoływania Inspektora Danych Osobowych (IDO). RODO w większości wypadków powtarza jedynie przepisy obowiązujące w Polsce już od 1997 roku. 

ZGODA na przetwarzanie danych osobowych jest oświadczeniem woli, może być wyrażona w dowolny sposób. Jednakże to na administratorze danych (bazy danych, chmury) spoczywa obowiązek udowodnienia, że uzyskał zgodę. Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia (ustne najlepiej nagrać). Przepisy nie ograniczają administratora danych w formie pozyskiwania zgody. Równie dobrze można wyrazić zgodę poprzez zaznaczenie okna w elektronicznym formularzu, jak i ustnie (np. przez nagranie wypowiedzi). Osoba może się własnoręcznie wpisać na listy uczestników, obecności, listę pracy, zapisać na kurs etc. 

A na koniec istotna klauzula portalu: 

„Nie przetwarzamy danych osobowych, nie przekazujemy danych podmiotom zewnętrznym (firmom etc.).”  

Redakcja Portalu