Ci z Państwa, którzy pamiętają jeszcze ustawę o ochronie danych osobowych z 1997 r., pamiętają też zapewne pojęcie zbioru danych osobowych, na którym opierało się ówczesne podejście do ochrony danych osobowych: zbiory danych się nazywało, opisywało się przepływy danych między nimi, rejestrowało się zbiory w ówczesnym GIODO. To zbiorocentryczne podejście skończyło się wraz z rozpoczęciem stosowania RODO w 2018 r. – RODO już nie myśli w kategoriach zbiorów, RODO podchodzi do ochrony danych osobowych w sposób procesowy.
Procesowe podejście do ochrony danych osobowych wywodzi się z zasady uwzględniania ochrony danych w fazie projektowania, czyli privacy by design. Privacy by design zakłada ochronę informacji od początku do końca jej cyklu życia, od zebrania do usunięcia. Co więcej, privacy by design to także podejście proaktywne do ochrony danych osobowych, zakładające włączenie ochrony danych osobowych w projekt od samego początku i dążenie do tego, by ew. problemy przewidywać i starać się ich uniknąć, a nie reagować na te, które dopiero się wydarzą.
Obowiązek uwzględniania ochrony danych w fazie projektowania wymusza na administratorach danych patrzenie na przetwarzanie danych jako na proces, rozpoczynający się od zebrania danych, a kończący się na ich usunięciu – ale wymusza także odpowiednie zaprojektowanie tego procesu. A narzędziem, które ma to umożliwić, są obowiązki skupione wokół pojęcia czynności przetwarzania danych osobowych. Czynność przetwarzania danych to – w ślad za prezesem Urzędu Ochrony Danych Osobowych – „zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane („Wskazówki i wyjaśnienia dotyczące obowiązku rejestrowania czynności i kategorii czynności przetwarzania określonego w art. 30 ust. 1 i 2 RODO”, uodo.gov.pl). „Zespół powiązanych ze sobą operacji”, czyli nic innego, jak czynności przetwarzania danych składające się na cykl życia danych osobowych, od zebrania po usunięcie. Czynnością będzie np. rekrutacja pracowników, którą zaczyna zebranie danych, a kończy usunięcie po zakończeniu rekrutacji i upływie terminów przedawnienia roszczeń; czynnością będzie obsługa zamówień w sklepie internetowym, którą rozpoczyna złożenie zamówienia, a kończy usunięcie danych osobowych po wykonaniu zamówienia, upływie terminów przedawnienia i usunięciu dokumentów finansowo-księgowych; czynnością będzie przyjmowanie wniosków o świadczenie z zakresu pomocy społecznej, którą rozpoczyna przyjęcie wniosku, a kończy usunięcie danych lub przekazanie ich do archiwum – i tak dalej.
Procesowe podejście do ochrony danych osobowych rozpoczyna się od zaprojektowania czynności przetwarzania danych. W pewnym uproszczeniu, ale jednak oddającym istotę problemu, całe zagadnienie można sprowadzić do sześciu pytań:
a) po co mi są dane?
b) jakie dane będę zbierał?
c) dlaczego mogę je przetwarzać?
d) jak zapewnię poprawność danych?
e) jak je zabezpieczę?
f) jak długo będę je przechowywał?
Te pytania to nic innego, jak refleks zasad ochrony danych osobowych z art. 5 ust. 1 RODO. A jak działają w praktyce? Wyobraźmy sobie, że projektujemy czynność przetwarzania danych osobowych dla celów rekrutacji. Mamy więc cel przetwarzania danych: rekrutacja. Zakres danych wyznaczają nam przepisy prawa, konkretnie Kodeksu pracy. Nie musimy zbierać zgody na przetwarzanie danych, o ile prowadzimy rekrutację na konkretne stanowisko – ale jeżeli chcemy zachować dane dla przyszłych rekrutacji, musimy zebrać zgody. Poprawność danych zapewniamy, stosując np. w formularzach internetowych słownikowanie nazw ulic czy kodów pocztowych, a środki zabezpieczenia danych dobieramy w oparciu o analizę ryzyka. Dane przechowujemy do zakończenia procesu rekrutacji i upływu terminów przedawnienia roszczeń, chyba że kandydata zatrudniamy lub kandydat wyraził zgodę na przetwarzanie danych dla celów przyszłych rekrutacji.
Oczywiście w odniesieniu do innych czynności przetwarzania swoboda decyzyjna po stronie administratora projektującego czynność może być znacznie większa – w szczególności, w typowych sytuacjach powstanie potrzeba samodzielnego określenia zakresu przetwarzanych danych osobowych. Niemniej jednak istota projektowania czynności pozostanie taka sama.
Ponieważ w przepisach RODO zrezygnowano z rejestracji zbiorów danych osobowych przez organ nadzorczy, w zamian zdecydowano się nałożyć pewne obowiązki rejestracyjne bezpośrednio na administratorów danych. W efekcie, administrator danych powinien samodzielnie opisywać czynności przetwarzania danych w swojej organizacji w prowadzonym przez siebie rejestrze czynności przetwarzania danych. W rejestrze umieszcza się takie informacje o czynnościach przetwarzania, jak dane administratora, cel przetwarzania, opis kategorii osób, których dane dotyczą oraz danych osobowych, kategorie odbiorów danych, informacje o ew. transferach danych do krajów trzecich, planowane terminy usunięcia danych i ogólne informacje o stosowanych środkach zabezpieczenia danych. Jest to więc podstawowe narzędzie zapewnienia zgodności z przepisami o ochronie danych osobowych, bo opisujące każdą czynność przetwarzania, ale też podstawowe źródło informacji dla audytora lub inspektorów Urzędu Ochrony Danych Osobowych.
Procesowe podejście do ochrony danych osobowych to dzisiaj obowiązek prawny. Nie powinniśmy go jednak traktować wyłącznie jako ciężaru nałożonego na administratorów danych – to doskonały sposób na to, by przetwarzanie danych w organizacji spełniało wymogi stawiane przez obowiązujące prawo.
Autor jest adwokatem, partnerem w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów
