Ochrona danych osobowych – konsekwencja czy jej brak w działaniach instytucji UE i Polski.
Dariusz Kilian2021-09-17T17:33:52+02:00Czy władze oraz administratorzy danych osobowych konsekwentnie je chronią czy koniunkturalnie podchodzą do danych w zależności od sytuacji w kraju i na świecie? (Wyimaginowane zagrożenie państwa, świata i zdrowia?).
1.Ustawa ochronie danych osobowych-pomoc czy problem ?
Mimo, że ochrona danych osobowych (DO) w Polsce i w Europie ma stosunkowo długą historię (przypominam, że ustawa o ochronie danych osobowych obowiązywała w Polsce od 1997 r.) – to nadal stanowi problem nie tylko dla administratorów danych ale nawet dla samych ustawodawców, twórców procedur i organów nadzorczych.
Bardzo dobrze jest to widoczne zwłaszcza od czasu, kiedy świat zwariował z powodu Covid-19. Analizując działania ww. organów można dojść do wniosku, że decyzje przez nie wydawane są co najmniej kontrowersyjne i mało konsekwentne. Postaram się to wykazać na konkretnych przykładach.
Unia Europejska od lat wprowadzała rozwiązania prawne zmierzające do ochrony danych obywateli, co miało ich chronić przed nielegalnym przetwarzaniem danych osobowych, kupczeniem danymi osobowymi i nielegalnym wykorzystaniem ze szkodą dla osoby, której dane dotyczą.
Najbardziej znanym w Polsce aktem prawnym Unii Europejskiej i Rady Europy jest „Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – zwane powszechnie RODO. Od tego skrótu (Rozporządzenie o Ochronie Danych Osobowych) wzięła się potoczna nazwa wszystkich czynności obejmujących ochronę danych osobowych w Polsce.
Trzeba pamiętać, że dane obywateli chronione są nie tylko przez Rozporządzenie 2016/679, ale też szereg innych rozporządzeń, ustaw i wytycznych autorstwa polskiego i europejskiego. Należą do nich m.in. ustawa o ochronie danych osobowych, DODO (zbiór przepisów dotyczących przetwarzania danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości) oraz wiele przepisów sektorowych i szczególnych rozwiązań, o których napiszę dalej.
- Przetwarzanie danych osobowych w dobie COVID-u
Na stronie Instytutu Bezpieczeństwa i Rozwoju Międzynarodowego oraz swoim firmowym profilu na FB (Instruktor-Dariusz Kilian) – przedstawiałem i komentowałem decyzje rządu RP i Urzędu Ochrony Danych Osobowych (UODO) w zakresie przetwarzania DO w związku z Covid-19 m.in. w korelacji z działalnością restauracji, hoteli itp.
23.06.2021 r. UODO w związku z wprowadzeniem przez rząd dodatkowego limitu 25 % możliwości wykorzystania pokoi w hotelach dla osób zaszczepionych – opublikował na swojej stronie internetowej interpretację, w której stwierdza: … „informacje o zaszczepieniu są danymi dotyczącymi zdrowia, to stanowią szczególną kategorię danych osobowych, o której mowa w art. 9 ust. 1 RODO”.[i] Publikacja takiego stanowiska UODO – że informacja o przyjęciu szczepionki stanowi informację o stanie zdrowia stała w sprzeczności z tym, co ja napisałem na ten temat około miesiąca wcześniej. Uważam, że informacja o przyjęciu szczepionki nie jest informacją o stanie zdrowia, ponieważ nie mówi nic o tym czy chorowaliśmy wcześniej na Covid-19, czy chorujemy obecnie, ani o tym, czy będziemy chorzy w przyszłości. Moje stanowisko zdają się potwierdzać coraz częstsze doniesienia o słabej ochronie szczepionki przed zachorowaniem (patrz Izrael i inne kraje).
Reasumując UODO wskazał jedyna podstawę przetwarzania danych o szczepieniu – dobrowolna zgoda osoby, której dane dotyczą.
Przyjąłem stanowisko UODO jako szczególną troskę o ochronę danych osobowych w Polsce, mimo, że postawiło (po raz kolejny) w trudnej sytuacji przedsiębiorców z branży gastronomicznej i hotelarskiej.
Moja wcześniejsza propozycja dotycząca legalności przetwarzania danych o szczepieniu obejmowała dwie podstawy, a mianowicie zgodę osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) i uzasadniony interes prawny (art. 6 ust. 1 lit. f RODO), oczywiście po przeprowadzeniu testu równowagi (ważenie praw i zagrożeń oraz interesów administratora i osoby, której dane dotyczą).
W tym przypadku organ nadzorczy (UODO) wykazał duża troskę o dane osobowe obywateli (choć takiej determinacji nie zauważyłem np. przy nielegalnym przekazaniu danych z bazy PESEL wyborców Poczcie Polskiej przed niedoszłymi wyborami „kopertowymi”).
Na drugim biegunie troski o dane osobowe zdaje się być sama Unia Europejska i Rada Europy – oczywiście tylko w niektórych zagadnieniach.
Wprowadzono tzw. „certyfikaty szczepionkowe” lub „Zielone Cyfrowe Certyfikaty” które mają stanowić swego rodzaju przepustkę przy podróżach zagranicznych dla osób, które poddały się szczepieniu. Dokumenty takie wprowadziły m.in.: Bułgaria, Czechy, Dania, Niemcy, Grecja, Chorwacja i Polska. [ii]
Innym zagadnieniem jest ochrona wizerunku.
„Parlament Europejski 12 marca 2019 r. przyjął zalecenia dla państw członkowskich Unii Europejskiej, w których wskazał, że proponowane przez Radę Europy zmiany są w pełni zgodne z unijnymi regulacjami dotyczącymi ochrony danych osobowych. Podkreślono, że wychodzą one naprzeciw wyzwaniom, jakie ochrona danych napotyka w „erze cyfrowej” w związku z szybkim rozwojem technik informatycznych. W wymiarze praktycznym zmieniona konwencja ułatwi m.in.: bezpieczną wymianę danych osobowych między państwami, które do niej przystąpią. ”. [iii]
O co chodzi w tym stanowisku – o wprowadzanie elektronicznych automatycznych systemów rozpoznawania twarzy i innych danych biometrycznych przez instytucje państwowe i podmioty prywatne.
3.Ochrona wizerunku
Wprawdzie w tzw. Konwencji 108+ (przepis wprowadzony do polskiego porządku prawnego[iv]) dużo mówi się o prawach człowieka w tym dotyczących ochrony danych osobowych, ale dotychczasowe doświadczenia wskazują, że ochrona danych jest mało skuteczna przed atakami hakerów, a stosowane zgodnie z wymogami RODO zabezpieczenia organizacyjne i techniczne są zawodne i nieskuteczne.
Dla jasności – jako były funkcjonariusz organów ścigania i służb specjalnych rozumiem konieczność naruszania w sytuacjach szczególnych – związanych z bezpieczeństwem państwa i społeczeństwa praw indywidualnych (oczywiście zgodnie z prawem). Niemniej jednak jako specjalista w zakresie ochrony danych osobowych jestem też za ograniczeniem przetwarzania zwłaszcza danych na temat zdrowia i danych biometrycznych w sposób nadmierny, dowolny czy wręcz bezprawny.
Zatem pytanie tytułowe pozostaje wciąż aktualne.
Czy władze oraz administratorzy danych osobowych konsekwentnie je chronią czy koniunkturalnie podchodzą do danych w zależności od sytuacji w kraju i na świecie?. (Wyimaginowane zagrożenie państwa, świata i zdrowia?).
Mam nadzieję na intensywną dyskusję na ten temat.
[i] https://uodo.gov.pl/pl/138/2088
[ii] https://www.euractiv.pl/section/instytucje-ue/news/paszport-szczepionkowy-polska-unia-europejska-wakacje-2021-urlop-turystyka-wyjazd-zagraniczny-komisja-europejska/
[iii] https://uodo.gov.pl/pl/433/992
[iv] https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20030030025/O/D20030025.pdf
Dodaj komentarz