Spółdzielnia socjalna jako administrator danych osobowych jest uprawnionym podmio-tem do ich ochrony. Organizacja ta nie tylko decyduje o celach i środkach przetwarzania danych osobowych, ale również ponosi największą odpowiedzialność. Zgodnie z treścią definicji RODO, za dane osobowe uważa się wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Informacjami w rozumieniu art. 4 pkt. 1 RODO będą zarówno znaki językowe w formie słownej, jak i pisemnej, obrazy, nagra-nia, wizerunek, dane biometryczne, cechy źrenicy, linie papilarne, cechy twarzy, geometria ręki i ogólnie wszelkie komunikaty zapisane i pozyskane w jakikolwiek sposób i każde inne dane – o ile tylko zawierają odpowiednią treść, teoretycznie możliwą do odczytania (Kaź-mierczak, Litwiński; 2017). Dane osobowe obejmują również internetowe identyfikatory ta-kie jak: adresy IP, pliki coota-kie, cyfrowe pobieranie odcisków palców oraz dane o lokalizacji, które mogą identyfikować osoby (Goddard, 2017). Administratorzy danych muszą zwracać uwagę na dane objęte szczególnymi zasadami ochrony, które przedstawia schemat nr 1. Schemat 1. Dane objęte szczególnymi zasadami ochrony
Dane objęte szczególnym i zasadami ochrony dane dotyczące pochodzenia rasowego lub etnicznego dane dotyczące poglądów politycznych dane dotyczące przekonań religijnych lub światopoglądowych dane dotyczące przynależnośc i do związków zawodowych dane
genetyczne biometryczne dane dane dotyczące zdrowia dane dotyczące seksualności lub orientacji seksualnej
Źródło: opracowanie własne zgodnie z treścią art. 9 RODO.
Przesłanką przetwarzania takich danych w przypadku spółdzielni socjalnych będzie udzielenie przez uprawnionego wyraźnej, jednoznacznej, dobrowolnej i świadomej
42
Małgorzata Błażejowska
zgody w formie pisemnej. W świetle art. 4 ust. 2 RODO przetwarzanie oznacza „opera-cję lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub mody-fikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”. Spółdzielnie socjalne są zobligowane do prze-twarzania danych według obowiązujących zasad, które obrazuje schemat nr 2. Schemat 2. Zasady ochrony danych osobowych
Zasady ochrony danych osobowych przetwarzania zgodnego z prawem, rzetelnego i przejrzystego ograniczenia celu zbierania i przetwarzania danych minimalizacji danych ograniczenia celu przetwarzania danych prawidłowości przetwarzania danych integralności i poufności przetwarzania rozliczalności przetwarzania
Źródło: opracowanie własne zgodnie z treścią: Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, Dz. U. 2018 poz. 1000, art. 5 ust. 1 i 2.
Należy zwrócić uwagę, że wiele publikacji odnosi się do sześciu zasad ochrony da-nych. Artykuł 5 ust.1 wymienia sześć zasad, natomiast w ustępie 2 tego artykułu zamiesz-czona jest siódma, która odnosi się do rozliczalności – prawdopodobnie najważniejszej zasady ochrony danych w RODO, która nie występowała w poprzedniej Dyrektywie Ochrony Danych 95/46/EC [Kolah 2018, s. 6]. Zgodnie z Opinią Grupy Roboczej [Opinia 3/2010] rozliczalność wyraża sposób wykonywania odpowiedzialności i umożliwienie stosownej weryfikacji. Dostateczne zaufanie można rozwinąć jedynie, gdy wykaże się, że odpowiedzialność skutecznie funkcjonuje w praktyce. Minimalizacja oznacza obo-wiązek pozyskiwania i wykorzystywania tylko takiej ilości danych, która jest niezbędna do przeprowadzenia danej czynności np. w procesie rekrutacji można żądać tylko in-formacji koniecznych do jej dokonania. Spółdzielnia nie ma prawa żądać np. kserokopii
43
Dostosowanie funkcjonowania spółdzielni socjalnych do RODO
dowodu osobistego, gdyż znajdują się tam dane nadmiarowe np. wizerunek, numer do-wodu, PESEL. Dane osobowe można przetwarzać nie dłużej niż to niezbędne do celów, w których te dane są przetwarzane. W szczególności chodzi tu o dane umożliwiające (np. w przypadku wycieku) identyfikację osoby, której dotyczą. Na przykład granicą przechowywania archiwalnych danych o transakcjach z klientami powinien być moment przedawnienia roszczeń lub wygaśnięcia obowiązków prawnych (wynikających z prawa skarbowego, bankowego itp.). Granicą dla przetwarzania aktualnych danych o zakupach klientów w celach marketingowych (uzasadniony interes administratora) jest moment, w którym te dane tracą aktualność lub cel marketingowy zostaje zrealizowany [Szymie-lewicz 2017, s. 30]. W art. 6 ust.1 RODO ustawodawca wymienił enumeratywne podstawy przetwarzania danych osobowych. W przypadku spółdzielni socjalnych przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z warunków wymienionych w tabeli nr 1.
Tabela 1. Podstawy prawne przetwarzania danych osobowych wraz z przykładami Podstawy prawne przetwarzania danych
osobowych Przykładowe sytuacje dla spółdzielni socjalnych
osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych
w określonym celu klient lub użytkownik strony internetowej przetwarzanie jest niezbędne do wykonania
umowy, której stroną jest osoba, której dane
dotyczą umowa sprzedaży, o świadczenie usług przetwarzanie jest niezbędne do wypełnienia
obowiązku prawnego ciążącego na administratorze
kodeks pracy, umowa o świadczenie usług drogą elektroniczną
przetwarzanie jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą
podpisanie kroplówek imieniem i nazwiskiem przez administratora wykonującego usługi opiekuńcze lub medyczne
przetwarzanie jest niezbędne do wykonania
zadania realizowanego w interesie publicznym monitoring wizyjny przetwarzanie jest niezbędne do celów
wynikających z prawnie uzasadnionych interesów
realizowanych przez administratora marketing bezpośredni
Żródło: opracowanie własne zgodnie z treścią: Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, Dz. U. 2018 poz. 1000, art. 6 ust. 1.
Wdrażanie w życie nowych przepisów związane jest z uwzględnianiem przez admini-stratora ochrony danych w fazie projektowania (privacy by design) oraz stosowania zasady domyślnej ochrony danych (privacy by default). Wymaga to od organizacji zwiększonych nakładów organizacyjnych, kadrowych i kapitałowych. Na spółdzielniach socjalnych nie spoczywa obowiązek ustawowy powołania Inspektora Ochrony Danych. Jednakże, te
44
Małgorzata Błażejowska
podmioty, które prowadzą działalność na szerszą skalę i przetwarzają duże ilości danych wrażliwych (np. o stanie zdrowia w przypadku spółdzielni świadczących usługi opiekuńcze) mogą powołać fakultatywnie osobę na to stanowisko albo spośród członków spółdzielni, jak i z zewnątrz. Zadania inspektora można podzielić na następujące kategorie: działania edukacyjne, doradcze, nadzór nad zgodnością z przepisami, współpraca z organem nad-zorczym oraz punkt kontaktowy dla podmiotów danych [Piech 2016]. Wdrożenie przepi-sów RODO wymaga również sprecyzowania wewnątrz organizacyjnych zasad realizowa-nia praw osób, których dane dotyczą, na co będą się składać między innymi: procedury informowania podmiotów danych o przysługujących im prawach, reagowania na wnioski tych osób, dokumentowanie udzielonych informacji, treści prowadzonych ustaleń czy ko-respondencji itp. Administrator będzie musiał wykazać, że działa zgodnie z RODO także w zakresie realizacji praw osób, których dane dotyczą. Respektowanie tych uprawnień staje się bowiem kwestią pierwszoplanową przy stosowaniu tego rozporządzenia [Sakowska-Ba-ryła 2018]. Należą do nich m.in. prawo do bycia poinformowanym o przetwarzaniu danych przy zbieraniu danych od osoby, której dane dotyczą; prawo dostępu do danych; prawo do sprostowania danych; prawo do usunięcia danych („prawo do bycia zapomnianym”); prawo do ograniczenia przetwarzania; prawo do przenoszenia danych oraz prawo do sprzeciwu.