Obowiązki administratorów danych osobowych ma każdy podmiot, który ustala cele i sposoby przetwarzania danych osobowych. Tak szeroka definicja z Rozporządzenia RODO w zasadzie nadaje status administratora każdemu. Każdy bowiem przetwarza jakieś dane osobowe w wybrany przez siebie sposób i w samodzielnie określonym celu. Administrator danych nie jest jednak wynalazkiem RODO. Już ustawa o ochronie danych osobowych wyróżniała taki podmiot i nakładała na niego daleko idące obowiązki. Co się zmieniło po 25 maja 2018 r., kiedy zaczęto stosować przepisy Rozporządzenia?
Wbrew pozorom i na przekór powszechnym obawom Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. RODO) zdjęło z administratorów danych niektóre uciążliwe obowiązki znane na gruncie ustawy o ochronie danych osobowych. Pozory, jakoby RODO utrudniło życie administratorom, wzięły się stąd, że do tej pory mało kto przejmował się wspomnianą ustawą. Dopiero groźba nałożenia wysokich kar spowodowała lawinę pytań o to, kto jest administratorem danych i jakie ma obowiązki.
Kto jest administratorem danych osobowych?
Jak już zaznaczyliśmy na początku, w myśl przepisów RODO administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Przykładowo, administratorem danych będzie zawodowy fotograf, który zbierze dane osobowe w postaci wizerunku klienta, jego imienia i nazwiska czy numeru telefonu, a następnie zdecyduje, że dane te zapisze na dysku komputera i wykorzysta w celu wykonania umowy z takim klientem. Nie trzeba więc wiele, by zostać administratorem danych… na którym ciążą obowiązki wypełniające cały rozdział IV Rozporządzenia.
Jakie obowiązki ma administrator danych?
Administrator danych osobowych powinien wdrożyć takie środki techniczne i organizacyjne, aby przetwarzanie danych odbywało się zgodnie z Rozporządzeniem. Zgodnie z zasadami rzetelności i przejrzystości, minimalizacji danych, ograniczenia celu i przechowania, zasadą integralności oraz poufności. Musi również móc swoje działania wykazać, co z kolei statuuje zasada rozliczalności. Dobierając środki powinien on jednak zawsze uwzględnić charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o rożnym prawdopodobieństwie i wadze zagrożenia. Inne będą zatem środki stosowane przez podmiot świadczący usługi medyczne, a inne przez fotografa prowadzącego działalność na niewielką skalę.
Rejestry i obowiązek ich prowadzenia
Jednym z najczęściej dyskutowanych środków, pomagającym też zrealizować postulat rozliczalności, jest prowadzenie rejestru czynności przetwarzania danych osobowych. Zgodnie bowiem z zasadą rozliczalności, administrator jest odpowiedzialny za przestrzeganie zasad RODO i musi być w stanie to wykazać. W praktyce, może pomóc w tym prowadzenie rejestru. Nie jest to bardzo skomplikowane zadanie i na stronie internetowej Prezesa Urzędu Ochrony Danych Osobowych możemy znaleźć wzory takich rejestrów. Co istotne, obowiązek prowadzenia rejestru nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że:
- przetwarzanie, którego dokonuje, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
- nie ma charakteru sporadycznego
- obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.
Fotograf a rejestry
Niestety, nie ma jednej odpowiedzi na pytanie, czy wobec tego fotograf ma obowiązek prowadzenia takiego rejestru. Fotograf jako administrator danych osobowych, musi samodzielnie odpowiedzieć sobie na pytania:
- Czy przetwarzanie przez niego danych może naruszyć prawa lub wolności osób, które dotyczą?
- Czy przetwarzanie nie ma charakteru sporadycznego?
Już jedna twierdząca odpowiedź wystarczy, by koniecznym był obowiązek prowadzenia rejestru.
W praktyce najtrudniejsze może okazać się ocenienie czy przetwarzanie danych może doprowadzić do naruszenia praw lub wolności. Jest to jednak kwestia bardzo indywidualna i zależy od dwóch czynników:
- prawdopodobieństwa wystąpienia naruszenia
- powagi tego zdarzenia, tj. wielkości szkody, jaką zdarzenie to może spowodować w odniesieniu do osoby, której dane dotyczą.
Na ocenę prawdopodobieństwa naruszenia ma wpływ to, w jaki sposób zabezpieczamy dane przed ich ujawnieniem lub modyfikacją przez niepowołane osoby. O powadze naruszenia będzie natomiast przede wszystkim decydować to, jakich danych będzie ono dotyczyć. Można założyć, że zamknięcie na klucz w szufladzie notesu z danymi teleadresowymi klientów ani nie stwarza szczególnego ryzyka, że dostanie się do nich osoba niepowołana, ani że w najgorszym wypadku spowoduje znaczne szkody. Natomiast przesłanie klientowi zwykłym mailem zamówionych przez niego zdjęć utrwalających jego niekompletnie ubraną osobę byłoby obarczone dużo większym ryzykiem naruszenia. Groziłoby przecież znacznie poważniejszymi konsekwencjami dla praw i wolności tej osoby.
Szczególne kategorie danych osobowych
Pozostałe warunki zwolnienia z obowiązku prowadzenia rejestru w przypadku osób zajmujących się świadczeniem usług fotograficznych raczej nie będą miały zastosowania. Z pewnością gromadzone przez takie osoby dane nie dotyczą wyroków skazujących czy naruszeń prawa. Mniej oczywistą kwestią jest to, czy gromadzone dane nie będą obejmować tzw. szczególnych kategorii danych osobowych. Owe szczególne kategorie to dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Na uwagę zasługują tu przede wszystkim tzw. dane biometryczne, gdyż w myśl RODO oznaczają one dane osobowe, wynikające ze specjalnego przetwarzania technicznego, dotyczące cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiające lub potwierdzające jednoznaczną identyfikację tej osoby, takie jak… wizerunek twarzy.
Wizerunek jako szczególna kategoria danych osobowych?
Na szczęście dla fotografów motyw 51 RODO wyjaśnia, że przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych. Fotografie bowiem są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. Na potrzeby Rozporządzenia przyjmuje się, że specjalne metody techniczne to metody, które pozwalają jednoznacznie ustalić cechy takie jak: cechy tęczówki oka, linii papilarnych palców, rozkład temperatury na twarzy i geometria dłoni, DNA, kształt ust, kształt uszu, barwę głosu, siatkówkę oka (dno oka), układ naczyń krwionośnych na dłoni lub przegubie ręki, itd. Dla uznania wizerunku twarzy za daną biometryczną nie wystarczy więc, jeśli na podstawie zdjęcia możemy rozpoznać znajomą nam osobę. Możliwość identyfikacji musi bowiem wynikać ze specjalnej technologii przetwarzania wizerunku, pozwalającej ustalić ww. cechy i przypisać je konkretnej osobie. Znakomita większość fotografów nie zbiera jednak danych biometrycznych przy wykonywaniu codziennej pracy.
Zgłoszenie naruszenia?
Kolejnym obowiązkiem administratorów wynikającym z RODO jest zgłaszanie naruszenia ochrony danych osobowych (pozyskania danych osobowych przez osobę nieuprawnioną) do organu nadzorczego (Prezesa UODO) w ciągu 72 godzin od jego stwierdzenia. Co więcej, każde naruszenie powinno zostać przez administratora udokumentowane, włącznie ze wskazaniem, w jakich okolicznościach doszło do naruszenia, jakie spowodowało skutki oraz jakie działania zaradcze podjęto. Ocena skutków jest przy tym bardzo ważna, gdyż w razie małego prawdopodobieństwa, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, to wówczas uchyla się obowiązek dokonania zgłoszenia do Prezesa UODO. Z kolei w razie stwierdzenia wysokiego ryzyka, administrator dodatkowo musi zawiadomić osobę, której dane dotyczą, że doszło do naruszenia.
Mniej znaczy tyle, co niezbędne
Następny obowiązek, który może mieć – i ma – zastosowanie do działalności osób zajmujących się fotografią, to obowiązek tzw. minimalizacji danych. A oznacza to tylko tyle, że dane osobowe gromadzone przez administratora muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Przykładowo, nie musimy znać numeru PESEL klienta, żeby wykonać dla niego fotografię i wystawić rachunek za taką usługę.
Nie dłużej niż potrzeba
Z powyższym wiąże się obowiązek ograniczenia przechowywania danych. Zgodnie z Rozporządzeniem RODO dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Co do zasady więc, jeśli przetwarzaliśmy dane wyłącznie w celu wykonania umowy, to po jej wykonaniu dane osobowe klienta (w tym jego wizerunek utrwalony na fotografii) powinniśmy usunąć.
Czy żyrafy wychodzą z szafy?
A co ze słynnymi „szafami zgodnymi z RODO”? Coś w tym jest, choć niewiele. Szafą „zgodną z RODO” jest każda szafka zamykana na klucz. Administrator danych – i nie jest to żadna nowość – powinien zapewnić ochronę danych osobowych przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Ważną grupą obowiązków administratora danych są obowiązki informacyjne – i tu rzeczywiście RODO wprowadza pewne nowości. Jest to jednak temat na tyle obszerny, że zostanie on omówiony w oddzielnym artykule.
Autor tekstu: Magdalena Stasiak, prawnik, ekspert portalu Fotoprawo.pl
kontakt: magdalena_stasiak@outlook.com