Podawanie danych osobowych jubilatów w biuletynie samorządowym gminy a RODO

FUNKCJONOWANIE SAMORZĄDU - SAS 1 / 2021

PYTANIE

W naszym biuletynie samorządowym zwyczajowo podajemy imiona i nazwiska oraz wiek jubilatów. Ostatnio pojawił się problem, po raz pierwszy od 25 lat, że podawanie wieku osoby jest naruszeniem ustawy o ochronie danych osobowych. Informuję, że dane te są pobierane z naszej bazy „Mieszkańcy” bez uzyskiwania zgód mieszkańców, których te dane dotyczą. Czy podawanie danych osobowych jubilatów w biuletynie samorządowym jest niezgodne z RODO?

ODPOWIEDŹ

Upubliczniając dane osobowe jubilatów: ich imię, nazwisko i wiek, dochodzi do niezgodnego z prawem przetwarzania danych osobowych.

W przytoczonym przez pytającego przypadku zastosowanie ma Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO), które weszło w życie 25 maja 2018 r.
Upoważnienia do przetwarzania danych osobowych udzielone pracownikom na podstawie ustawy z 1997 r. należy zmienić, powołując się na obowiązujące przepisy.
Zgodnie z art. 4 ust. 1 RODO „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej,
Do takich danych zaliczają się np.: imię i nazwisko, numer identyfikacyjny, np. PESEL, NIP lub numer dowodu osobistego, adres zamieszkania, adres mailowy, data urodzin, ale także płeć, kolor oczu, waga, wzrost, dane biometryczne i genetyczne, dane o stanie zdrowia, dane dotyczące poglądów, przekonań religijnych, adres IP. Informacje te nie muszą wprost identyfikować konkretnej osoby. Wystarczy, że istnieje możliwość powiązania różnych danych, co prowadzi do ustalenia danej osoby. Jeśli poprzez określone dane można zidentyfikować osobę, to są to dane chronione w świetle przepisów RODO.
Niewątpliwie z taką sytuacją mamy do czynienia w opisanej przez pytającego sytuacji, bowiem w biuletynie podane jest imię i nazwisko jubilata oraz jego wiek. Są to dane chronione, ponieważ podając je można łatwo zidentyfikować daną osobę.
Artykuł 4 ust. 2 RODO definiuje „przetwarzanie” jako operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Z przetwarzaniem danych mamy do czynienia w opisanej sytuacji, a zgodnie z art. 5 ust. 1 dane osobowe muszą być:

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
  • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
  • adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
  • prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
  • przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

Odnosząc się do przedstawionej przez pytającego sytuacji, niestety dochodzi do przetwarzania danych niezgodnie z prawem, ponadto zbieranie danych nie odbywa się w prawnie uzasadnionych celach.

Zgodnie z art. 6 ust. 1 RODO przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków:

  • osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
  • przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Upubliczniając dane osobowe jubilatów: ich imię, nazwisko i wiek, dochodzi do niezgodnego z prawem przetwarzania danych osobowych. Nie jest bowiem spełniony co najmniej jeden z warunków zawartych w art. 6 ust. 1 RODO. Jak wskazuje pytający dane jubilatów są pobierane z istniejącej w gminie bazy danych i zainteresowani mieszkańcy w żaden sposób nie wyrazili zgody na powyższe działania. Uzyskanie takich zgód jest konieczne, by moc publikować powyższe dane.

Aneta Podgajna

PODSTAWA PRAWNA
– Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. UE. L2016.119.1)

SPIS TREŚCI

Wydawca: SKIBNIEWSKI MEDIA, Warszawa