„RODO zabrania przetwarzania”, czyli o niektórych nieporozumieniach z obszaru ochrony danych osobowych

Upływa właśnie kolejny rok obowiązywania przepisów ogólnego rozporządzenia o ochronie danych osobowych, czyli tzw. RODO[1]. Bez wątpienia wejście w życie przepisów tego aktu prawnego spowodowało znaczny wzrost zainteresowania społecznego i medialnego tematyką ochrony danych osobowych. I chociaż na przestrzeni ostatnich lat zdecydowana większość z nas wie na ten temat znacznie więcej niż jeszcze nie tak dawno temu, to jednak w praktyce wciąż funkcjonuje wiele mitów i niejasności wokół legalności przetwarzania danych osobowych. Przyjrzyjmy się niektórym z nich.

„Każda informacja o osobie fizycznej to dane osobowe”

Kiedy słyszymy pytanie, czym są dane osobowe, każdy z nas intuicyjnie wskazuje takie informacje, jak imię i nazwisko, adres zamieszkania, numer telefonu, adres poczty elektronicznej, wykształcenie, stan cywilny, numer PESEL itd. I trudno odmówić słuszności takiemu postrzeganiu tematu. Co do zasady bowiem wszystkie wskazane wcześniej informacje mogą być danymi osobowymi. Jednak przesądzając czy faktycznie mamy z nimi do czynienia, musimy pamiętać o kilku istotnych rzeczach, gdyż w pewnych okolicznościach określone informacje mogą zostać uznana za dane osobowe, a w innych przypadkach już tak nie będzie.

W pierwszej kolejności należy zwrócić uwagę na to, że zgodnie z definicją zawartą w art. 4 pkt 1) RODO, aby jakaś informacja mogła zostać zaliczona do danych osobowych, musi odnosić się (dotyczyć) do zidentyfikowanej osoby fizycznej lub do możliwej do zidentyfikowania osoby fizycznej. Ujmując to inaczej – aby informacja została uznana za dane osobowe, musi umożliwiać w sposób pośredni lub bezpośredni ustalenie tożsamości konkretnej osoby fizycznej. W związku z tym w zdecydowanej większości przypadków takie informacje jak samo imię, nazwisko, pełnione stanowisko w pracy, stopień naukowy czy numer konta bankowego nie będą traktowane jako dane osobowe, gdyż pozostają bez związku z konkretną osobą fizyczną. Na ich podstawie nie ustali się też niczyjej tożsamości.

Przykład:

Marcin, blondyn, sprzedawca, kredytobiorca, właściciel kota, ojciec… – żadna z tych informacji występująca osobno i bez zestawienia jej z inną nie będzie zaliczana do danych osobowych. Jest bowiem bardzo wielu mężczyzn noszących imię Marcin, niejeden klient spłaca kredyt, nie brakuje też tych, którzy mają koty itd.

Jednak w pewnych sytuacjach, np. w wąskim gronie przyjaciół lub we współpracującym ze sobą od lat zespole projektowym, nawet takie pojedyncze informacje jak imię, pseudonim, przezwisko czy przydomek, będą odnosiły się do konkretnej lub możliwej do zidentyfikowanej osoby. Wówczas takie informacje należy traktować jako dane osobowe.

Przykład:

Określenie „Olek” we wspomnianym zespole projektowym będzie się odnosiło do konkretnego zidentyfikowanego pracownika.

Zdecydowanie częściej dane osobowe będzie tworzyć zestaw kilku informacji. „Marcin, nasz sprzedawca ze Szczecina” – w tej sytuacji identyfikujemy konkretną osobę fizyczną. Wróćmy jednak na moment do pierwszego przykładu. Czy jeżeli będziemy wiedzieli, że wszystkie wskazane informacje dotyczą tej samej osoby, to jasne będzie, o kogo chodzi? Niekoniecznie. 

Równie istotne jest to, że, chociaż nie wynika to wprost z treści wspomnianego art. 4 pkt 1) RODO, do danych osobowych należy zaliczyć każdą informację dotyczącą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, chociaż określenia „każda” nie znajdziemy w polskiej wersji językowej RODO. Na taką konieczność interpretacji tego przepisu wskazuje jednak m.in. Motyw 26 RODO. Z jego treści wynika, że zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Również tzw. Grupa Robocza Art. 29, czyli obecnie Europejska Rada Ochrony Danych, stwierdziła, że „pojęcie danych osobowych obejmuje wszelkie stwierdzenia na temat osoby. Obejmuje ono informacje „obiektywne” (…), a także informacje „subiektywne”, opinie lub oceny. Ten ostatni rodzaj stwierdzeń dotyczy w znacznym stopniu przetwarzania danych osobowych w sektorach takich jak bankowość (…), ubezpieczenia (…) lub też zatrudnienie”[2]. To ostatnie jest warte szczególnego podkreślenia. Mając na uwadze wytyczne Grupy Roboczej, należy pamiętać, że dane osobowe pracownika to nie tylko jego imię i nazwisko, adres służbowej poczty elektronicznej itp., ale także opinie przełożonego o zatrudnionym. W związku z tym stwierdzenia typu „Pani Marta jest znakomitym organizatorem pracy sekretariatu” lub „Pan Łukasz nie zawsze angażuje się w wykonywanie swoich obowiązków” również należy zaliczyć do danych osobowych.   

Podsumowując – o ile informacje dotyczą życia prywatnego, rodzinnego czy zawodowego lub wskazują zachowania i aktywności społeczne konkretnej lub możliwej do zidentyfikowania osoby fizycznej, należy je uznać za dane osobowe.

„Nic nie robię z zebranymi danymi, czyli ich nie przetwarzam”

Większość z nas określenie „przetwarzać” będzie kojarzyła z wykonywaniem aktywności, które mają na celu przerobienie czegoś na coś innego, zmianę jednej formy na inną, wytworzenie jednego produktu na bazie wcześniejszego itp. Takie rozumienie znajduje swoje potwierdzenie w słowniku[3]. Jeżeli jednak wspomniane wcześniej pojęcie pojawia się w kontekście ochrony danych osobowych, to jego znaczenie jest inne, tzn. zdecydowanie szersze. Z definicji zawartej w art. 4 pkt 2) RODO, wynika, że przetwarzanie „oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”. Oznacza to, że na dobrą sprawę niemal wszystko co robimy z danymi osobowymi, powinniśmy traktować jako ich przetwarzanie. W związku z tym również samo zbieranie (gromadzenie) danych i nierobienie z nimi nic więcej należy traktować jako przetwarzanie. Nie ma przy tym znaczenia, czy wymienione we wskazanym przepisie operacje na danych wykonujemy automatycznie w tabelce programu Excel, czy zdajemy się na algorytm, czy też robimy to ręcznie poprzez segregowanie dokumentów w formie papierowej. W intencji unijnego prawodawcy tak szeroka definicja przetwarzania ma umożliwić zapewnienie jak najskuteczniejszej ochrony danych podczas wykonywania na nich wszelkich działań.

„Mój wiek i moje zarobki to dane wrażliwe”

Zaznaczmy to od razu – od początku obowiązywania RODO należy mówić o szczególnej kategorii danych osobowych, które odróżnia się od tzw. danych zwykłych. Szczególne kategorie danych osobowych pokrywają się niemal jeden do jednego z danymi wrażliwymi (danymi sensytywnymi), które były znane w okresie obowiązywania dyrektywy 95/46/WE i ustawy o ochronie danych osobowych z 1997 r. Zarówno szczególne kategorie danych osobowych, jak i dane wrażliwe to tylko te informacje, które zostały enumeratywnie wyliczone w stosownym przepisie aktu prawnego. Aktualnie jest to art. 9 ust. 1 RODO. Do szczególnej kategorii zaliczamy dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, a także dane genetyczne, dane biometryczne, jeżeli są przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby fizycznej. Niezależnie zatem od tego jak bardzo jesteśmy uczuleni na zachowanie w poufności informacji dotyczących roku naszego urodzenia bądź zasobności portfela, to takich danych nie będzie można zakwalifikować do szczególnych kategorii.

Nie oznacza to bynajmniej, że pracodawca powinien ujawniać zarobki zatrudnianych osób. Przeciwnie – ujawnienie bez zgody pracownika wysokości jego wynagrodzenia za pracę może być naruszeniem prawa do prywatności. Tak wynika z uchwały 7 sędziów Sądu Najwyższego (I PZP 28/93).

Data urodzenia to z kolei informacja, która jest zaliczana do zwykłych danych osobowych i jako taka podlega takiej samej ochronie, jak inne tego typu informacje.

 „Mój wizerunek to dane biometryczne”

Wiele nieporozumień narosło także wokół pojęcia danych biometrycznych.  Ich definicję znajdziemy w art. 4 pkt 14 RODO i zgodnie z nią oznaczają one „dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne”. Czy zatem każde utrwalenie głosu lub wizerunku twarzy będzie stanowiło przetwarzanie danych biometrycznych? Czy dzieje się tak np. wtedy, kiedy na fotografii utrwalimy wizerunek osoby fizycznej? Odpowiedź brzmi – nie! Aby można było mówić o przetwarzaniu danych biometrycznych musimy zastosować wspomniane w przywołanym przepisie specjalne techniki przetwarzania, które pozwolą na jednoznaczne zidentyfikowanie konkretnej osoby fizycznej.

Warto w tym miejscu odwołać się także do treści Motywu 51 RODO, w którym zostało wyraźnie stwierdzone, że „(…)przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości”.

„RODO zabrania przetwarzania danych osobowych”

„Nie podam moich danych osobowych bo obowiązuje RODO”, „RODO zabrania ujawniania nam danych osobowych”, „Bez mojej wiedzy i zgody nikt nie ma prawa robić czegokolwiek z moimi danymi osobowymi” – bezpodstawne wygłaszanie podobnych opinii nie jest wprawdzie już tak powszechne, jak to miało miejsce jeszcze dwa czy trzy lata temu, niemniej nadal się zdarza. Z drugiej strony spotykamy się z opiniami, że ujawnienie informacji o pobycie pacjenta w szpitalu nie stanowi informacji o jego stanie zdrowia, bo „nikt nie powiedział, na co choruje pacjent”.

Powiedzmy wprost – nie jest prawdą, że RODO zabrania przetwarzania danych osobowych. Taki wniosek należy wysnuć chociażby z pełnej nazwy aktu prawnego. Nie ma w niej określenia typu „o zakazie przetwarzania” czy nawet „o ograniczeniu przetwarzania” danych osobowych. A przecież są nam znane akty prawne Unii Europejskiej, w których tytułach takie wyrazy spotkamy. W pełnej nazwie RODO znajdziemy zaś takie określenia jak „ochrona osób fizycznych” oraz, co ważne, „swobodny przepływ danych”. Dodatkowo w treści samego Rozporządzenia zostało podkreślone, że prawo do ochrony danych osobowych nie jest prawem bezwzględnym, że należy je postrzegać w kontekście jego funkcji społecznej oraz że jego stosowanie należy wyważyć w kontekście innych praw (Motyw 4 RODO). W innym miejscu zostało stwierdzone wprost, że „nie ogranicza się ani nie zakazuje swobodnego przepływu danych osobowych w Unii z powodów odnoszących się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych” (art. 1 ust. 3 RODO). Nie da się zatem obronić tezy, że „RODO zabrania”.

Czy to oznacza, że mamy pełną dowolność w omawianym obszarze? Oczywiście, że nie. Swoboda nie oznacza bowiem braku reguł, lecz dokładnie poruszanie się w wyznaczonych przez nie ramach. W tym kontekście szczególnie ważny jest obowiązek stosowania zasad przetwarzania danych osobowych, o których jest mowa w art. 5 RODO oraz wykonywania operacji przetwarzania danych osobowych na co najmniej jednej z podstaw przetwarzania, o których jest mowa w art. 6 RODO (dane zwykłe), w art. 9 ust. 2 RODO (szczególne kategorie danych osobowych) oraz w art. 10 RODO.

Treść artykułu nie wyczerpuje wszystkich zagadnień związanych z tematem nieporozumień, które powstały na gruncie przepisów RODO. Mnóstwo niejasności budzi chociażby kwestia danych dotyczących zdrowia, pojawia się wiele pytań dotyczących profilowania, nie wszyscy widzą różnicę pomiędzy anonimizacją a pseudonimizacją itd. A bez większego ryzyka można stwierdzić, że to jedynie wierzchołek góry lodowej.

Dlatego jeżeli prowadzisz firmę lub zastanawiasz się nad rozpoczęciem działalności gospodarczej i masz pytania lub wątpliwości dotyczące ochrony danych osobowych to już dziś skontaktuj się z ośrodkiem sieci Enterprise Europe Network (EEN) przy Polskiej Agencji Rozwoju Przedsiębiorczości (PARP). Postaramy się rozwiać wszystkie wątpliwości.

Zapraszamy do kontaktu

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

[2] Opinia Grupy Roboczej Art. 29 w sprawie pojęcia danych osobowych (data dostępu: 13 maja 2022 r.)

[3] Słownik Języka Polskiego, definicja przetwarzania (data dostępu: 13 maja 2022 r.)