Miesięcznik informatyków i menedżerów IT sektora publicznego

Tomasz Cygan

Cele przetwarzania danych

Rozporządzenie ogólne o ochronie danych wywołało w krajach członkowskich rewolucję w obszarze ochrony danych osobowych. W Polsce jego stosowanie będzie wymagało m.in. zmiany przepisów w zakresie zabezpieczenia danych przetwarzanych w konkretnych celach.

Jak stanowi art. 89 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (DzUrz L 119 z 4.05.2016, s. 1; rodo), przetwarzanie danych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych podlega odpowiednim zabezpieczeniom dla praw i wolności osoby, której dane dotyczą. Warto pokrótce wyjaśnić, jak zgodnie z rodo należy rozumieć wskazane cele.

Ważny cel przetwarzania

Cele związane z badaniami naukowymi zgodnie z motywem 157 rodo należy rozumieć jako:

  • nową, wartościową wiedzę np. o częstych chorobach, takich jak choroba układu krążenia, rak czy depresja;

  • możliwość uściślenia wyników badań naukowych poprzez ich prowadzenie na większej próbie;

  • wiedzę o długoterminowych współzależnościach wielu czynników społecznych, np. bezrobocia czy edukacji z innymi czynnikami bytowymi;

  • opracowywanie i realizowanie polityki opartej na wiedzy;

  • podnoszenie jakości życia wielu osób;

  • zwiększanie skuteczności usług społecznych.

Cele archiwalne powinny zaś dostarczać konkretnych informacji o postawie politycznej w dawnych systemach państw totalitarnych, o przypadkach ludobójstwa, zbrodniach przeciwko ludzkości (zwłaszcza holokauście) i zbrodniach wojennych. Zgodnie jednak z motywem 158 rodo rozporządzenie to nie obejmuje danych osób zmarłych.

Cele badań naukowych wskazano w motywie 159 rodo. Zgodnie z tym zapisem przetwarzanie danych osobowych do celów badań naukowych należy interpretować szeroko, obejmując tym pojęciem np. rozwój technologiczny i demonstrację, badania podstawowe, badania stosowane oraz badania finansowane ze środków prywatnych. Wyrażenie „do celów badań naukowych” powinno obejmować także badania prowadzone w interesie publicznym w dziedzinie zdrowia publicznego.

Zgodnie z motywem 160 rodo cele historyczne dotyczą z kolei badań historycznych i badań do celów genealogicznych; należy jednak pamiętać, że – podobnie jak zaznaczono przy opisywaniu celów archiwalnych – zapisów rodo nie należy stosować do danych osób zmarłych. Cele statystyczne oznaczają każdą operację zbierania i przetwarzania danych osobowych niezbędnych do badań statystycznych lub do opracowywania wyników statystycznych. Z tym że wyniki statystyczne mogą następnie służyć do dalszych celów, m.in. do badań naukowych. Wyrażenie „cel statystyczny” sugeruje, że wynikiem przetwarzania danych do celów statystycznych nie są dane osobowe, lecz dane zbiorcze, i że wynik lub dane osobowe nie służą za podstawę środków ani decyzji dotyczących konkretnych osób fizycznych. Kwestie te wyjaśniono w motywie 162 rodo.

Zasada minimalizacji danych

Stosowanie odpowiednich zabezpieczeń w przypadku przetwarzania danych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych albo do celów statystycznych sprowadza się do wdrożenia środków technicznych i organizacyjnych, które zapewniają poszanowanie zasady minimalizacji danych. Środki te mogą obejmować pseudonimizację danych, o ile pozwala ona realizować cele archiwalne w interesie publicznym, cele badań naukowych lub historycznych albo cele statystyczne. Jeżeli tylko to możliwe, cele te należy wypełniać w drodze dalszego przetwarzania danych, które nie pozwalają albo przestały pozwalać na zidentyfikowanie konkretnej osoby. W motywie 156 rodo wprost bowiem zapisano, że:
Dalsze przetwarzanie danych osobowych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych można prowadzić, jeżeli administrator ocenił, czy celów tych nie można osiągnąć przetwarzaniem danych osobowych, które albo od początku, albo już dłużej nie pozwalają identyfikować osób, których dane dotyczą, pod warunkiem że istnieją odpowiednie zabezpieczenia (takie jak pseudonimizacja danych osobowych).

[...]

Autor jest adwokatem. Ma doświadczenie jako konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych oraz tajemnic związanych z prowadzeniem działalności gospodarczej. Współautor bloga poświęconego ochronie danych osobowych, audytor wewnętrzny normy ISO/IEC 27001:2014-12

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej