Cele archiwalne w interesie publicznym w rozporządzeniu ogólnym o ochronie danych
Przetwarzanie danych osobowych do celów archiwizacji, celów badań naukowych lub historycznych albo celów statystycznych jest dopuszczalne pod warunkiem, że ich administrator ustali, iż zakładanych celów nie osiągnąłby w razie odosobowienia danych[1]. Trzeba wykazać, czy uprawnionych potrzeb nie sposób zrealizować bez przetwarzania spersonalizowanych komponentów informacji, a ściślej – bez odkrywania jednostkowych tożsamości. Tego rodzaju dowód powinien być odniesiony do skali czasu, którą zamyka naturalne wygaśnięcie ochrony danych, a przynajmniej – rozsądne prawdopodobieństwo jej wygaśnięcia, skorelowane z typowym trwaniem ludzkiego życia[2]. Znaczenie indywidualnych tożsamości dla celów archiwizacji i dla badawczych zastosowań nie jest bowiem oczywiste. W porządku zdarzeń ta ocena powinna być pierwsza.
Nie ulega wątpliwości, że rozporządzenie rekomenduje anonimizację zapisów informacji, jeśli miałyby być wykorzystane do wyróżnionych celów, w tym archiwizacyjnych[3]. Gdyby dalsze przetwarzanie danych okazało się jednak nieodzowne, zastosowanie miałby obowiązek wdrożenia przez administratorów środków technicznych i organizacyjnych w celu ochrony praw i wolności osób, których te dane dotyczą[4]. Mowa o równoważeniu ryzyka powodowanego wyjściem poza pierwotną użyteczność danych i poza przewidziany dla jej realizacji okres. Wdrożenie wskazanych środków nie zostało powiązane ze szczególnymi wyjątkami od pryncypiów ochrony danych, ale z uprzywilejowanymi celami w ogólności. Środki te miałyby „ograniczyć przetwarzanie danych osobowych w myśl zasad proporcjonalności i konieczności”, a także zapewnić „w szczególności poszanowanie zasady minimalizacji danych”[5]. Niezależnie od tak sformułowanych wymagań, specyficznie przypisanych do wyróżnionych celów, środki techniczne i organizacyjne w każdym przypadku przetwarzania danych osobowych powinny urzeczywistniać standard „integralności i poufności”.
W rozporządzeniu „integralność i poufność” stanowią etykietę zasady zapewniania bezpieczeństwa danych. Szczególnie istotna jest pod tym względem ochrona przed nieuprawnionym lub bezprawnym przetwarzaniem[6]. Dla lepszego zrozumienia enigmatycznego rozróżnienia tych zabronionych czynów, sięgnąć można do kontekstów uchylonej dyrektywy 95/46/WE, obejmujących dokonane bez upoważnienia ujawnienie danych albo dostęp do nich, a także bezprawne zniszczenie danych. Wydaje się, że zbliżone znaczenie ma też przepis rozporządzenia, zwłaszcza że dalej wylicza on czynniki ryzyka dla integralności danych w postaci ich „przypadkowej utraty, zniszczenia lub uszkodzenia”. Zamierzone, a z drugiej strony nierozmyślne naruszenia bezpieczeństwa, jedne i drugie z możliwym udziałem administratorów i odbiorców danych, podmiotów przetwarzających, a także innych aktorów, którzy mogą nawet nie wejrzeć w informację, ale sprowadzają ryzyko dla jej integralności (jak np. terroryści).
Zasadę minimalizacji danych rozporządzenie w ogólności wyraziło natomiast poprzez sformułowanie zwięzłego postulatu, by dane osobowe były „adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane”[7]. Wymagana jest relewantność środków i celów w ramach konkretnych przedsięwzięć, a nie mają znaczenia cechy administratora danych, walor jego działania ani waga spodziewanych wyników.
Minimalizacja danych stanowi oczekiwane następstwo stosowania się do standardu „proporcjonalności i konieczności”. Wywodzi się on z fundamentalnej zasady rozporządzenia, że dane osobowe wolno przetwarzać pod warunkiem, że w inny rozsądny sposób nie można by osiągnąć uprawnionych celów[8]. W tym rozumieniu posługiwanie się informacjami identyfikującymi ludzi byłoby dopuszczalne pod warunkiem wykazania, że jest prowadzone w granicach usprawiedliwionej potrzeby i w tym zakresie niezbędne.
Naruszenia zasady minimalizacji danych mogą być wielorakie – ze względu na zbyteczność gromadzenia i używania określonych informacji do osiągnięcia zakładanego czy też deklarowanego rezultatu albo przetwarzanie danych, które są wprawdzie adekwatne do celu, ale występują w ilości większej niż to konieczne. Szczególnym uchybieniem przeciw minimalizacji danych wydaje się ich przechowywanie ponad wyznaczony dla nich okres. Nienależyte byłoby również przetwarzanie danych adekwatnych, w nienadmiernej nawet ilości i nie dłużej niż zostało dla nich ustalone, z tym jednak, że cel byłby osiągalny również bez identyfikowania osób fizycznych.
Do celów archiwizacji i pozostałych wraz z nimi wymienianych, wymogi minimalizacji stosują się swoiście. Zgromadzone dane powinny w całości spełniać przyjęte kryteria kwalifikacyjne, a w tym – posiadać zakładaną informacyjną wartość. Ponadto, nie wystarczyłoby stwierdzenie, że określone wiadomości są konieczne dla realizacji tych celów, lecz pozostawałby dodatkowo do przeprowadzenia dowód niezbędności zawartych w nich danych osobowych.
Tak ujmowaną
dyspozycję trzeba niemniej odczytywać zapewne w powiązaniu z klauzulą „rozsądnie prawdopodobnego sposobu”
identyfikacji osób, skonfrontowaną z motywem nadmiernego utrudnienia bądź uniemożliwienia
osiągania celów archiwizacji. Nie wydaje się, by zalecała albo nakazywała wybór
dowolnie uciążliwych środków, które byłyby alternatywne względem przetwarzania danych osobowych. Nieracjonalność
nakładów – sił, kosztów, czasu – które trzeba by ponieść w
celu wykorzystania danych ze skutkiem w postaci naruszenia prawa do ich ochrony,
wypada przyjmować jako akceptowalny argument
na rzecz warunkowego dopuszczenia do gromadzenia identyfikujących informacji.
Nawet gdy ich administrator mógłby w ostateczności obyć się bez nich, lecz z drugiej strony, gdyby ich usunięcie wydatnie
utrudniało realizowanie przezeń celów archiwizacji. Natomiast łatwość
naruszenia może okazać się zbieżna z łatwością zapobiegania mu, włącznie z
identyfikacją i prewencyjnym pozbyciem się danych, które są pozbawione przymiotu niezbędności do uprzywilejowanych celów. Tego
rodzaju rozstrzygnięcia powinny, w każdym razie, podlegać standardom
rzetelności przetwarzania.
Obok minimalizacji rozporządzenie wymienia środek ochronny w postaci pseudonimizacji danych, z zastrzeżeniem, by nie stanowiła przeszkody w realizacji
celów przetwarzania. Ma ona zastosowanie w
środowisku cyfrowym, a i to nie bez trudności. Polega na kodowaniu danych według zdefiniowanego klucza, przechowywanego przez administratorów
danych odrębnie w stosunku do informacyjnych zasobów[9]. Określoność
i zachowanie klucza są nieodzowne, gdyż wymaga się od pseudonimizacji, aby była odwracalna. Z tego względu poddane
jej spersonalizowane informacje nadal uważa się za mające zdolność
identyfikowania, nieanonimowe.
[1] Art. 89 ust. 1, mot. 156 R.2016/679.
[2] EAG. Guidance, s. 5-6 (pkt 5).
[3] Sakowska-Baryła, Ogólne rozporządzenie – komentarz do art. 89 [3] R.2016/679, s. 624-625. Omawiane tu zalecenie zostało przedstawione jako wyraz prymatu praw podmiotu danych.
[4] Art. 5 ust. 1 lit. e R.2016/679.
[5] Tamże, mot. 156; por. art. 89 ust. 1.
[6] Tamże, art. 5 ust. 1 lit. f; w polskiej wersji rozporządzenia 2016/679: „niedozwolonym lub niezgodnym z prawem” – co nie jest dostatecznie jasne ani wierne innym wersjom językowym, m.in. angielskiemu „unauthorised or unlawful”.
[7] Tamże, art. 5 ust. 1 lit c.
[8] Tamże, art. 6 ust. 1 lit. c, e.
[9] Por. Gawroński, Ochrona danych, s. 329-330.
dariuszgrot 