Przetwarzanie danych osobowych w urzędzie, firmie czy redakcji nie jest dziś tylko kwestią dobrej praktyki, ale konkretnym obowiązkiem prawnym. W Polsce na pierwszym planie stoją RODO i ustawa z 10 maja 2018 r., a w praktyce liczą się cztery rzeczy: cel zbierania danych, podstawa ich użycia, zakres dostępu i czas przechowywania. Poniżej rozkładam ten temat na części pierwsze, bez prawniczego żargonu, za to z naciskiem na to, co naprawdę trzeba zrobić i gdzie najłatwiej popełnić błąd.
Najważniejsze zasady, które warto mieć pod ręką
- RODO działa bezpośrednio, a polska ustawa dopina krajowe procedury, nadzór i kilka dodatkowych obowiązków.
- Zgoda nie jest jedyną podstawą użycia danych, a często nie jest nawet najlepszą.
- Administrator decyduje o celu i sposobie pracy z danymi, a podmiot przetwarzający działa na jego polecenie.
- Osobie, której dane dotyczą, trzeba jasno wyjaśnić, po co dane są zbierane, jak długo będą trzymane i jakie ma prawa.
- Bezpieczeństwo musi być proporcjonalne do ryzyka: szyfrowanie, kontrola dostępu, logi i procedury incydentów są ważniejsze niż same deklaracje.
- Po incydencie liczy się czas - zgłoszenie do organu nadzorczego zwykle trzeba zrobić w ciągu 72 godzin.
Jak prawo porządkuje dane osobowe w Polsce
Na gruncie polskim nie ma jednego dokumentu, który załatwia wszystko. RODO wyznacza standard dla całej Unii, a krajowa ustawa z 10 maja 2018 r. dopina sprawy organizacyjne: pracę organu nadzorczego, część zasad dotyczących inspektora ochrony danych, wybrane procedury kontrolne oraz odpowiedzialność cywilną. Ja patrzę na ten układ tak: rozporządzenie daje reguły gry, a ustawa mówi, jak te reguły mają działać w polskich instytucjach.W praktyce najważniejsze są zasady, które brzmią prosto, ale łatwo je rozjechać w codziennej pracy: celowość, minimalizacja, prawidłowość, ograniczenie przechowywania i rozliczalność. Jeśli zbierasz więcej niż trzeba, trzymasz dane bez terminu albo nie umiesz pokazać, dlaczego ktoś ma do nich dostęp, problem zwykle nie czeka długo.
W instytucjach publicznych i w organizacjach działających wokół spraw publicznych to ma szczególne znaczenie, bo dane zwykle nie są „opcjonalne” - służą realizacji zadania, rozpatrzeniu sprawy albo wykonaniu obowiązku ustawowego. Taki punkt widzenia od razu prowadzi do pytania, kiedy wolno w ogóle oprzeć się na danych i bezpiecznie ich użyć.
Kiedy ta czynność jest legalna w świetle RODO
W praktyce wszystko zaczyna się od podstawy prawnej. RODO wskazuje sześć wariantów i nie ma tu miejsca na zgadywanie. Z mojego doświadczenia wynika, że najwięcej problemów rodzi nie brak dokumentów, ale zła podstawa wybrana na starcie. Zwłaszcza zgoda bywa nadużywana, choć nie zawsze pasuje do sytuacji.
| Podstawa | Kiedy ma sens | Na co uważać |
|---|---|---|
| Zgoda | Newsletter, marketing, publikacja wizerunku, dobrowolne formularze | Musi być dobrowolna, konkretna i odwoływalna; nie nadaje się tam, gdzie i tak musisz działać na mocy prawa |
| Umowa | Zakup, abonament, rezerwacja, realizacja usługi | Obejmuje tylko dane potrzebne do wykonania umowy lub działań przed jej zawarciem |
| Obowiązek prawny | Kadry, księgowość, archiwizacja, rejestry ustawowe | Nie można jej rozszerzać ponad to, co wynika z przepisu |
| Żywotne interesy | Nagły wypadek, ratowanie zdrowia lub życia | To podstawa awaryjna, nie codzienna |
| Zadanie publiczne | Urząd, szkoła publiczna, instytucja realizująca ustawowe kompetencje | Wymaga wyraźnego umocowania w prawie, a nie ogólnego hasła „interes publiczny” |
| Prawnie uzasadniony interes | Bezpieczeństwo systemów, dochodzenie roszczeń, wybrane działania marketingowe | Trzeba zrobić test równowagi: czy interes administratora nie przegrywa z prawami osoby |
Najczęstszy błąd, jaki widzę, to traktowanie zgody jak uniwersalnej furtki. Jeśli przepis, umowa albo zadanie publiczne już uzasadnia użycie danych, zgoda bywa zbędna, a czasem wręcz myląca, bo można ją później wycofać. Właśnie dlatego pierwsze pytanie nie powinno brzmieć „czy mamy checkbox”, tylko „czy ta podstawa naprawdę pasuje do celu”.
Kto odpowiada za dane, a kto działa tylko na zlecenie
Jeśli mylę te role, cała reszta przestaje się spinać. Administrator ustala cele i sposoby pracy z danymi, podmiot przetwarzający wykonuje polecenia administratora, a współadministratorzy wspólnie decydują o najważniejszych elementach procesu. W tle pojawia się jeszcze inspektor ochrony danych, który doradza i monitoruje, ale nie przejmuje odpowiedzialności za decyzje biznesowe czy urzędowe.
| Rola | Co robi | Najważniejszy obowiązek |
|---|---|---|
| Administrator | Decyduje, po co i jak używa danych | Zapewnia zgodność, bezpieczeństwo i możliwość wykazania przestrzegania przepisów |
| Podmiot przetwarzający | Działa na zlecenie administratora, np. hosting, kadry, call center, system CRM | Przetwarza dane tylko zgodnie z poleceniami i umową |
| Współadministrator | Wspólnie z innym podmiotem ustala cele lub sposoby pracy z danymi | Ustala przejrzysty podział odpowiedzialności wobec osób, których dane dotyczą |
| Inspektor ochrony danych | Monitoruje, doradza i wspiera | Ma być niezależny, a nie „od wszystkiego” |
W praktyce ta różnica decyduje o tym, kto podpisuje umowę, kto wydaje polecenia i kto odpowiada przed organem nadzorczym. Jeśli korzystasz z zewnętrznej księgowości, dostawcy chmury albo firmy obsługującej kontakt z mieszkańcami czy klientami, nie wolno zakładać, że samo nazwanie ich „partnerem” cokolwiek załatwia. Liczy się realny model współpracy, nie etykieta w prezentacji sprzedażowej.
Jakie informacje trzeba przekazać osobie, której dane dotyczą
Obowiązek informacyjny jest jednym z tych elementów, które pozornie wyglądają na formalność, a potem rozstrzygają połowę sporów. RODO wymaga, żeby człowiek wiedział, kto zbiera jego dane, po co to robi, na jakiej podstawie, komu je przekazuje i jak długo je przechowuje. Jeśli dane pochodzą z innego źródła niż od samej osoby, trzeba też wyjaśnić, skąd je pozyskano, chyba że konkretny przepis zwalnia z tego obowiązku.
- tożsamość administratora i dane kontaktowe
- cel przetwarzania oraz podstawa prawna
- odbiorcy danych albo ich kategorie
- okres przechowywania lub kryteria jego ustalania
- prawa osoby: dostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw i przenoszenie
- prawo skargi do organu nadzorczego
- informacja o zgodzie, jeśli właśnie na niej opierasz cały proces, wraz z możliwością jej wycofania
Na żądania dotyczące dostępu, sprostowania czy usunięcia odpowiada się co do zasady w ciągu miesiąca. W sprawach skomplikowanych termin można przedłużyć o kolejne dwa miesiące, ale nie da się tego zrobić po cichu - trzeba poinformować o przedłużeniu i wyjaśnić powód. Dobrze napisana klauzula informacyjna nie musi być długa; często lepiej działa wersja warstwowa, czyli krótki skrót na start i rozwinięcie dostępne niżej.
To właśnie w tej sekcji najłatwiej pokazać, że organizacja traktuje ludzi poważnie. Jeśli informacja jest zrozumiała, zwięzła i kompletna, spada liczba pytań, skarg i nieporozumień. To nie jest estetyka dla samej estetyki, tylko zwykła oszczędność czasu.
Jakie zabezpieczenia i dokumenty naprawdę mają znaczenie
RODO nie wymaga jednego magicznego narzędzia. Wymaga podejścia opartego na ryzyku. To znaczy: im bardziej wrażliwe dane, szerszy dostęp i większa skala, tym mocniejsze zabezpieczenia powinny wejść w grę. Ja zawsze zaczynam od pytania, co stanie się, jeśli ktoś niepowołany zobaczy, zmieni albo skopiuje dane.
- ogranicz dostęp tylko do osób, które naprawdę muszą go mieć
- stosuj pseudonimizację i szyfrowanie, jeśli to realnie zmniejsza ryzyko
- prowadź logi i upoważnienia, żeby dało się ustalić, kto robił co i kiedy
- ustal terminy usuwania albo anonimizacji danych po zakończeniu sprawy
- miej umowy powierzenia z zewnętrznymi dostawcami, którzy działają na twoje polecenie
- zrób ocenę skutków dla ochrony danych, gdy nowy proces może generować wysokie ryzyko
Warto też pamiętać o rejestrze czynności przetwarzania. Nie każdy podmiot zatrudniający mniej niż 250 osób musi prowadzić pełny rejestr, ale wyjątek nie działa, gdy przetwarzanie nie jest sporadyczne, wiąże się z ryzykiem albo obejmuje dane o zdrowiu, poglądach czy inne wrażliwe informacje. To szczegół, który w praktyce bardzo często przesądza o zgodności całego procesu.
Z mojego doświadczenia wynika, że dokumenty same w sobie nie bronią nikogo. Dopiero gdy odpowiadają realnym procesom, mają wartość dowodową. Kopiowanie cudzej polityki prywatności albo wewnętrznej procedury bez dopasowania do własnego działania zwykle kończy się tym, że papier jest, a zgodności nie ma.
Co zrobić przy naruszeniu i jakie błędy najczęściej bolą najbardziej
Jeśli dochodzi do wycieku, błędnej wysyłki, utraty laptopa albo nieuprawnionego dostępu, liczy się czas. Administrator zgłasza naruszenie organowi nadzorczemu bez zbędnej zwłoki, zwykle nie później niż w 72 godziny od stwierdzenia incydentu. Gdy ryzyko dla osób jest wysokie, trzeba też zawiadomić samych zainteresowanych. Podmiot przetwarzający ma obowiązek niezwłocznie poinformować administratora.
- Zbieranie zgód „na wszelki wypadek” - to najprostsza droga do chaosu, bo zgoda zaczyna pełnić funkcję, której nie miała.
- Brak umów powierzenia - jeśli dostawca działa na twoje polecenie, samo ustne ustalenie nie wystarczy.
- Trzymanie danych bez terminu - „może się przyda” nie jest podstawą do wiecznego archiwum.
- Wysyłka plików do wielu osób bez kontroli - zwykła pomyłka adresowa potrafi uruchomić duży problem.
- Ignorowanie żądań osób - brak odpowiedzi bywa tak samo kosztowny jak zła odpowiedź.
Za poważniejsze naruszenia grożą kary do 20 mln euro albo do 4% całkowitego rocznego światowego obrotu, a za część innych naruszeń do 10 mln euro albo 2% obrotu. W praktyce organ patrzy też na wagę naruszenia, czas jego trwania, wcześniejsze uchybienia i gotowość do współpracy. To ważne, bo dobrze udokumentowane zabezpieczenia często robią większą różnicę niż nerwowe tłumaczenia po fakcie.
Najbardziej kosztowny błąd to zwykle nie spektakularny atak, tylko brak podstawowych procedur: kto reaguje, kto ocenia ryzyko, kto wysyła zgłoszenie i kto pilnuje komunikacji do osoby, której dane dotyczą. Właśnie tu widać, czy organizacja ma realny system, czy tylko zestaw deklaracji.
Co sprawdziłbym przed uruchomieniem nowego procesu
- Czy mam konkretny cel i podstawę prawną, która naprawdę pasuje do tego celu?
- Czy zbieram tylko takie dane, które są niezbędne, a nie wygodne „na zapas”?
- Czy osoba dostaje jasną informację o tym, co się z jej danymi dzieje?
- Czy wiem, kto ma dostęp i na jakiej umowie działa każdy zewnętrzny dostawca?
- Czy mam określony czas przechowywania i prostą procedurę usuwania albo anonimizacji?
- Czy zespół wie, co robić przy incydencie, zanim ten incydent rzeczywiście się wydarzy?
W urzędzie, biurze poselskim, redakcji, fundacji czy firmie te same zasady działają podobnie: najpierw trzeba uporządkować cel, podstawę i zakres danych, dopiero potem myśleć o rozbudowanych narzędziach. Jeśli na któreś z tych pytań odpowiadasz „nie wiem”, to nie jest jeszcze moment na start. W praktyce największe ryzyko powstaje nie wtedy, gdy organizacja robi coś skomplikowanego, ale wtedy, gdy traktuje dane jak zwykły plik w folderze. Dlatego dobrze ustawione podstawy, krótkie procedury i realna kontrola dostępu są ważniejsze niż rozbudowane dokumenty, których nikt nie czyta.
