Prawo do prywatności – tak potocznie bywają nazywane prawa jednostek wynikające z przepisów dotyczących ochrony danych osobowych. Jednak prawo do prywatności ma szerszy zakres niż ochrona danych osobowych. Prywatność, jakkolwiek trudno ją precyzyjnie zdefiniować, obejmuje autonomię jednostki, wolność od ingerencji innych podmiotów, szczególnie podmiotów publicznych, w sferę rodzinną, domową, korespondencji, honoru, czci oraz dobrego imienia. Ochrona danych osobowych, sprowadza się natomiast do zagwarantowania osobie, której dane dotyczą, kontroli nad tym, co się z tymi danymi dzieje – stanowi ochronę przed arbitralnością podmiotów, które tymi danymi z różnych źródeł (w tym – od samej tej osoby) mogą dysponować. Dlatego gdy mówimy o ochronie danych osobowych, mamy do czynienia z pewnym wycinkiem prawa do prywatności i należy mieć to na względzie.

Podobnych nieporozumień związanych z ochroną danych osobowych jest więcej. Wbrew obiegowym opiniom, dane można przetwarzać nie tylko na podstawie zgody osoby, której dane dotyczą czy w związku z zawieraną umową. Ochrona danych osobowych nie jest dobrem bezwzględnym, a prawo do bycia zapomnianym nie jest bezwarunkowe. Zgłoszenie sprzeciwu wobec przetwarzania danych osobowych nie zawsze doprowadzi do wstrzymania przetwarzania danych osobowych. Zastanówmy się zatem co jest kluczem w ochronie danych osobowych.

Wpływ rewolucji technologicznej

Mocny akcent stawiany obecnie na ochronę danych osobowych wynika w dużej mierze z rewolucji technologicznej i związanym z nią przetwarzaniem danych osobowych na nieznaną dotychczas skalę. Dane stały się również towarem – są przedmiotem handlu. Rozwiązania technologiczne, choć służą upraszczaniu życia, same w sobie stanowią skomplikowane sieci powiązań między urządzeniami, programami oraz podmiotami, które tymi zasobami zarządzają. Przepływy danych nie są oczywiste, trudno bowiem przewidzieć co się z danymi naprawdę dzieje – potrzebne są rzetelne informacje, stąd między innymi obowiązek stosowania klauzul informacyjnych.

Ochrona danych osobowych w szczególnych sytuacjach

Ochrona danych osobowych nie stanowi jednak prawa najwyższego – musi czasem ustąpić przed innymi wartościami, co szczególnie dostrzegamy dzisiaj, kiedy walka z pandemią dla swej skuteczności wymaga w pewnym zakresie przetwarzania danych osobowych – i to danych osobowych szczególnej kategorii. Nie oznacza to, że w obliczu innych zagrożeń, potrzeba ochrony danych osobowych przestaje mieć znaczenie czy też przestaje istnieć. Czasem, gdy przetwarzanie danych odbywa się w celu i na podstawie zgodnej z przepisami, mimo kontrowersji wokół stosowanych w tym celu narzędzi czy metod, wystarczy zapanować nad ewentualnymi zagrożeniami i ryzykami, które mogłyby zdestabilizować tenże proces przetwarzania danych. W takiej sytuacji, nawet bardzo nowatorskie rozwiązania, mają szansę zaistnieć.

Narzędziami, które służą do ujarzmienia zagrożeń i ryzyka to m.in. analiza ryzyka oraz ocena skutków przetwarzania dla ochrony danych osobowych. Analiza ryzyka stanowi uporządkowany proces, który ma prowadzić od identyfikacji zagrożeń dla procesu przetwarzania danych osobowych oraz zidentyfikowania czynników, które mogą stanowić wyłomy w przyjętych rozwiązaniach dotyczących przetwarzania danych. Na tej podstawie, szacowaniu podlega ryzyko wystąpienia naruszenia ochrony danych osobowych. Gdy ryzyko zostanie w ten sposób określone, można przystąpić do jego minimalizowania – poprzez wprowadzenie modyfikacji w samym sposobie przetwarzania danych, stosowanych zabezpieczeniach czy narzędziach.

Drugim interesującym środkiem w kontekście zarządzania ryzykiem jest ocena skutków dla ochrony danych, zwane również DPIA. Ocenę skutków przeprowadza się w sytuacji, gdy rodzaj przetwarzania danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Wysokie ryzyko naruszenia wypływa z analizy ryzyka. W ramach samego DPIA ocenia się skutki planowanych operacji przetwarzania dla ochrony danych osobowych. Istotne jest, do czego ma prowadzić ocena skutków – w jej wyniku należy określić środki, jakie będą zastosowane w celu zaradzenia potencjalnemu ryzyku.

Co się dzieje w przypadku, gdy dojdzie jednak do naruszenia ochrony danych osobowych? W takiej sytuacji, osobie, której dane dotyczą, przysługuje szeroki wachlarz uprawnień. Można je skategoryzować w trzech grupach, mianowicie:

Żądania kierowane bezpośrednio do administratora danych:

  1. dostępu do danych osobowych,
  2. sprostowania danych,
  3. usunięcia danych („prawo do bycia zapomnianym”),
  4. ograniczenia przetwarzania danych,
  5. przeniesienia danych,
  6. cofnięcie udzielonej zgody.

Kolejną grupę uprawnień stanowią te, z którymi należy zgłosić się do organu nadzorczego (czyli w Polsce – Prezesa Urzędu Ochrony Danych Osobowych):

  1. skarga do organu nadzorczego – gdy podmiot danych uważa, że przetwarzanie narusza jego prawa.

Ostatnia kategoria dotyczy praw dochodzonych na drodze cywilnoprawnej (polubownej lub sądowej):

  1. dochodzenie odszkodowania za poniesioną szkodę materialną lub niematerialną w wyniku naruszenia przepisów o przetwarzaniu danych osobowych,
  2. inne roszczenia cywilne nieuregulowane wprost w RODO.

Podsumowanie

Administrator danych może, a nawet powinien przygotować się na zgłoszenie różnych żądań przez osoby, których dane dotyczą. Najlepiej zrealizować to poprzez przygotowanie procedur realizacji praw podmiotów danych – powinny one określać, kto w ramach organizacji powinien reagować na zgłoszone żądania oraz sposób w jaki to robić. Dzięki takim „planom awaryjnym” administrator ma szanse rzetelnie wywiązać się ze swoich obowiązków w określonych prawnie ramach czasowych. Ale przede wszystkim – pozwoli to na utrzymanie dobrych relacji z podmiotami danych, którzy zauważą, że przetwarzanie ich danych dokonywane jest z uwagą i troską o bezpieczeństwo. Prawidłowe zrealizowanie praw osoby, której dane dotyczą, pomoże ograniczyć ryzyko złożenia przez nią skargi u Prezesa UODO i prowadzonego w jej następstwie postępowania administracyjnego. Co oczywiste, przetwarzanie zgodne z prawem stanowi także najlepszą obronę przed roszczeniami o charakterze cywilnym, które w takim przypadku po prostu nie powstaną.