Na łamach cyklicznie udostępnianej w formie newslettera publikacji „RODO – rewolucja czy ewolucja…?” będziemy przybliżać Państwu zagadnienia z zakresu administrowania danymi osobowymi, bezpieczeństwa ich przetwarzania i ochrony tak, by 25 maja 2018 r. nowe zasady ochrony danych osobowych nie budziły żadnych wątpliwości. 

Aby przetwarzanie danych osobowych odbywało się w zgodzie z prawem musi zostać spełniony przynajmniej jeden z następujących warunków:

• osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej ilości celów (zgoda musi być wyraźna, dobrowolna i łatwa do cofnięcia!),
• przetwarzanie jest niezbędne do wykonania umowy lub czynności przed jej zawarciem,
• przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, 
• przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej.

Administrator Danych (Uniwersytet Jagielloński) oprócz podania swojej tożsamości i danych kontaktowych, zobowiązany jest poinformować osobę, której dane dotyczą o:

• danych kontaktowych do Inspektora Ochrony Danych (obecny ABI), o ile zostanie on wyznaczony,
• celu przetwarzania zbieranych danych osobowych,
• okresie przechowywania danych,
• prawie do wglądu do zebranych danych,
• prawie do sprostowania danych,
• prawie do bycia zapomnianym,
• prawie do ograniczenia przetwarzania zebranych danych,
• prawie do wniesienia sprzeciwu wobec przetwarzania zebranych danych,
• prawie do przenoszenia danych,
• prawie do cofnięcia udzielonej zgody na przetwarzanie zebranych danych,
• prawie do wniesienia skargi do organu nadzorczego.

Administrator Danych zobowiązany jest dodatkowo do zabezpieczenia danych przed udostępnieniem ich osobom nieupoważnionym, przetwarzaniem z naruszeniem RODO, zmianą, utratą, uszkodzeniem lub zniszczeniem.

Czym jest prawo do bycia zapomnianym?

To prawo do żądania skutecznego usunięcia danych osobowych z rejestru, w  którym zostały zebrane i zaprzestania ich przewarzania. Osoba, której dane dotyczą, może skorzystać z tego prawa, gdy zostanie spełniony jeden z następujących warunków:

• dane nie są już dłużej niezbędne do realizacji celu, w jakim zostały zebrane lub są przetwarzane,
• podmiot danych wycofał zgodę na przetwarzanie jego danych osobowych oraz nie istnieją podstawy prawne, aby mimo tego kontynuować przetwarzanie,
• podmiot danych sprzeciwia się przetwarzaniu oraz nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania,
• podmiot danych sprzeciwia się przetwarzaniu jego danych osobowych na potrzeby i  w  zakresie marketingu bezpośredniego (w tym profilowania),
• przetwarzanie w inny sposób nie jest lub nie było zgodne z RODO lub innymi przepisami prawa,
• dane osobowe zostały zebrane od osób poniżej 16 roku życia.

Na żądanie osoby, której dane dotyczą, administrator zobowiązany jest do usunięcia wszystkich jej danych personalnych zarówno z cyfrowych baz danych, jak i papierowych nośników typu wydruki, e-maile, pliki, skany, a nawet luźne notatki, o ile pozwalają na to inne przepisy prawa.

W Uniwersytecie prawo „do bycia zapomnianym” może mieć zastosowanie między innymi w następujących przypadkach:

• marketingu bezpośredniego w stosunku do absolwentów,
• procesie rekrutacji na studia wyższe w stosunku do kandydatów, którzy nie zostali przyjęci na studia.

Minimalizowanie i adekwatność zbieranych danych

Zasada minimalizowania zbieranych danych osobowych dotyczy celu, w jakim mają być one przetwarzane. RODO nakazuje, aby Administrator Danych gromadził i wykorzystywał tylko te dane, które są rzeczywiście zgodne z założonymi celami, możliwymi do osiągnięcia przy pomocy właśnie tych danych. Oznacza to możliwość gromadzenia jedynie takich danych, które są niezbędne dla określonego celu przetwarzania. Zbierane dane muszą być adekwatne do celu, np. żeby wywiązać się z obowiązku informacyjnego w stosunku do osoby, której dane zbieramy, należy pozyskać tylko jedną drogę kontaktu, np. numeru telefonu. Pozyskanie dwóch dróg kontaktowych w postaci adresu e-mail i numeru telefonu w celu wykonania obowiązku informacyjnego jest nadmiarowe i narusza zasadę minimalizacji.

Czym jest pseudonimizowanie?

Jedną z kategorii danych osobowych są dane pseudonimizowane, czyli przetwarzane w taki sposób, aby nie było możliwe zidentyfikowanie, do kogo należą, bez dostępu do innych informacji, przechowywanych bezpiecznie w innym miejscu. Jest to proces odwracalny, zatem po odszyfrowaniu i użyciu dodatkowych informacji dane mogą z powrotem zostać przypisane do konkretnych osób i pozwolą na ich zidentyfikowanie.

Dane poddane pseudonimizacji nadal są danymi osobowymi!

Innym procesem jest anonimizacja danych zawartych w zbiorze. Jest to takie przekształcenie danych osobowych, po którym nie można już przyporządkować poszczególnych informacji osobistych lub rzeczowych do określonej lub możliwej do zidentyfikowania osoby fizycznej, albo można tego dokonać jedynie niewspółmiernie dużym nakładem czasu i kosztów.

Dane zanonimizowane nie mają charakteru osobowego!

1. Czy teraz już wiesz, jak legalnie przetwarzać dane osobowe?
2. Czy znasz prawa osoby udostępniającej dane?