Tag: pseudonimizacja

5.3 Zabezpieczenia praw i wolności

Cele archiwalne w interesie publicznym w rozporządzeniu ogólnym o ochronie danych

Ustawa o narodowym zasobie archiwalnym i archiwach przewidywała w swym dotychczasowym brzmieniu ograniczenia prawa do korzystania z informacyjnych zasobów, określane jako przesłanki odmowy dostępu do materiałów archiwalnych[1]. Szczególne miejsce zajmują wyspecjalizowane karencje dostępowe, odniesione do wybranych rodzajów dokumentacji, typowo zawierającej dane osobowe. W podobny sposób ustawa wyróżnia też ochronę danych osobowych i dóbr osobistych.

Ze względu na przepisy rozporządzenia niezbędne stały się dodatkowe zabezpieczenia praw i wolności osób, których dotyczą dane zawarte w materiałach archiwalnych, zwłaszcza w trakcie ich udostępniania – w postaci anonimizacji danych osobowych, a w systemach informatycznych i teleinformatycznych – ich pseudonimizacji[2].

Ustawa różni się w tym miejscu od europejskiej regulacji, a sprawił to brak przecinka po zwrocie „w trakcie ich udostępniania”. Anonimizacja i pseudonimizacja powiązane zostały z jedną tylko formą przetwarzania danych – udostępnianiem materiałów archiwalnych – podczas gdy w rozporządzeniu mowa jest o usunięciu (ewentualnie zakodowaniu danych) w źródłowych dokumentach. Nie skutkuje to, oczywiście, ograniczeniem obowiązywania przepisów rozporządzenia. Należy rozumieć natomiast, że ustawodawca krajowy odniósł się do szczególnej sytuacji, gdy zarchiwizowane dane są przechowywane w postaci umożliwiającej identyfikację osób, lecz ich udostępnianie podlega czasowym restrykcjom. Będzie mogło ulec rozszerzeniu, gdy w przyszłości wygaśnie ochrona danych.

Na wypadek kolizji pozytywnych i negatywnych uprawnień informacyjnych – w sytuacjach, gdy anonimizacja albo pseudonimizacja danych miałyby zniweczyć gwarancje korzystania z informacji lub gdyby ich dokonanie było nadmiernie uciążliwe – alternatywnie przewiduje się umowne zobowiązywanie użytkowników zasobu archiwalnego do nierozpowszechniania danych jednostkowych, z którymi zapoznali się w archiwum.

Jest to praktycznym zastosowaniem zastrzeżenia, zawartego w motywach rozporządzenia, że ochrona danych osobowych nie odznacza się bezwzględną nadrzędnością w stosunku do innych prawnie chronionych wartości, w tym m.in. wolności badań naukowych[3]. Z tego względu nie można nawet całkiem wykluczyć warunkowego udostępniania materiałów archiwalnych zawierających niezabezpieczone dane osobowe, jeśli jest to uzasadnione celami udostępnienia, a wynikowe opracowania byłyby zanonimizowane.

Umowa, która pozwala na wgląd w chronione dane określonej osobie, a zarazem wyklucza dalszy z nich użytek, ma zastosowanie, gdy tenże zainteresowany jest w stanie ochronie danych przeciwstawić nadrzędny w stosunku do niej, przysługujący mu informacyjny przywilej. Widoczny jest związek tego rozwiązania z negatywną przesłanką z art. 16b ust. 1 pkt 2 lit. b (ochroną danych osobowych) oraz z przesłankami wyjątku z art. 16b ust. 3 pkt 1 unza (posiadanie przez użytkownika szczególnych uprawnień lub realizowanie przezeń celów korzystających ze szczególnej ochrony prawnej). Przewaga przywileju nad względami ochrony danych usprawiedliwia ujawnienie danych konkretnemu odbiorcy, ale samej ochrony nie uchyla. Nie jest więc akceptowalne, by dane, w postaci umożliwiającej identyfikację osób, poznali następnie inni.

Granicę stanowi bowiem niedozwolone – na mocy rozporządzenia – naruszenie istoty prawa do ochrony danych osobowych. Choć literalnie zakaz dokonywania takiego naruszenia powiązany został ze szczególnymi kategoriami danych osobowych (tzw. danymi wrażliwymi), to bez wątpienia w ogóle nie wolno pozbawiać osób, których dane dotyczą, należnych im gwarancji informacyjnej autonomii, a przez to narażać je na negatywne następstwa, np. w postaci społecznej stygmatyzacji albo poddania wrogiemu wpływowi. Ochronne gwarancje mogłyby doznać nieodwracalnego uszczerbku z powodu samego upowszechnienia danych, które identyfikują osobę fizyczną.

Nie sposób jednak odrzucić ekstremalnej ewentualności, gdy uprzywilejowane cele użytkownika archiwalnego zasobu przemawiałyby za dalszym przetwarzaniem chronionych danych (w tym zwłaszcza ich upublicznieniem), a więc za odstąpieniem od ich ochrony w imię innych wartości. Zasada proporcjonalnego równoważenia wzajemnie kolizyjnych uprawnień uległaby zredukowaniu do wyboru jednego z nich, o czym w rozporządzeniu wprost nie ma mowy. Umowy wyłączające dalsze przetwarzanie danych osobowych miałyby w tej sytuacji co najwyżej marginalne, a zwykle żadne zastosowanie. Kluczem do tego kontrowersyjnego odstępstwa mógłby stać się interes publiczny, który wyróżnia cele archiwizacji, mający znaczenie dla praw podstawowych. Nie jakikolwiek, ale przeważający nad prawami podstawowymi osoby, której dotyczą dane.

Zastosowanie umów byłoby problematyczne w razie wystąpienia przesłanki z art. 16b ust. 3 pkt 2 (użytkownik jest uprawniony do dostępu do danych). Bycie uprawnionym ustawodawca odróżnił od posiadania szczególnych uprawnień albo realizacji uprzywilejowanych celów; ujął je jako względnie stałą cechę osobową użytkownika. Tak silna przesłanka oznacza na ogół, że wyróżnionej przez nią osobie wolno dysponować danymi – co nie podlegałoby umownemu ograniczeniu. Mogą wystąpić jednak wyjątki – ze względu potrzebę jednoczesnej ochrony danych innych osób.

Tego rodzaju umowy z przeciwnych przyczyn nie miałyby podstaw, gdyby o dostęp ubiegały się osoby, których informacyjne uprawnienia są na zwykłym poziomie, niewzmocnione specjalnymi przywilejami. Brak wówczas powodu, by na ich rzecz choćby częściowo uchylać ochronę danych, poprzez ujawnienie ich nawet jednemu użytkownikowi archiwalnego zasobu.

Stosowanie ustawowych zabezpieczeń nie jest jednak wymagane w razie przetwarzania danych, w tym ich udostępniania, na podstawie zgody osoby, której one dotyczą albo w razie dobrowolnego i świadomego upublicznienia danych przez taką osobę.

Administratorzy danych, realizujący cele archiwizacji, obowiązani są również wdrażać wewnętrzne procedury, które miałyby na celu uniemożliwienie wglądu w dane nieupoważnionym pracownikom. Stosowane w tym celu zabezpieczenia powinny polegać co najmniej na dopuszczeniu do przetwarzania chronionych danych osobowych jedynie pracowników posiadających pisemne upoważnienie wydane przez administratora, a także na pisemnym zobligowaniu tych pracowników do zachowania przetwarzanych danych w poufności.

Powyższe zabezpieczenia należało w ustawie rozszerzyć na dokumentację niestanowiącą materiałów archiwalnych, gdyż również ona podlega przechowywaniu – z zasady przejściowo – przez jednostki państwowej sieci archiwalnej[4]. Takie uzupełnienie było zgodne z literą i duchem rozporządzenia, które dotyczy postępowania z informacją niezależnie od trwania jej przydatności. W przypadku owych źródeł danych o czasowym tylko okresie przechowywania ochronę praw i wolności opatrzono jednak w unza symptomatycznym zastrzeżeniem – „o ile nie sprzeciwia się to celom postępowania z tą dokumentacją”. Niekiedy bywa ona bowiem uwikłana, mimo archiwizacji, w niewygasłe interesy, a wobec tego mogłoby nie być celowe ani dopuszczalne np. ograniczanie dalszego użytku z zawartych w niej danych, a tym bardziej ich anonimizacja. Wobec tego, zabezpieczenia, pojmowane w sensie informacyjnych restrykcji, należało przez ostrożność skorelować z pozytywnymi prawami do informacji.

[1] Art. 16b unza.
[2] Art. 12 pkt 4 ustawy sektorowej dodający w unza art. 22c ust. 1 i 2.
[3] Mot. 4 R.2016/679.
[4] Art. 12 pkt 4 ustawy sektorowej dodający w unza art. 22c ust. 3.



4.5 Ochrona praw i wolności

Cele archiwalne w interesie publicznym w rozporządzeniu ogólnym o ochronie danych

Przetwarzanie danych osobowych do celów archiwizacji, celów badań naukowych lub historycznych albo celów statystycznych jest dopuszczalne pod warunkiem, że ich administrator ustali, iż zakładanych celów nie osiągnąłby w razie odosobowienia danych[1]. Trzeba wykazać, czy uprawnionych potrzeb nie sposób zrealizować bez przetwarzania spersonalizowanych komponentów informacji, a ściślej – bez odkrywania jednostkowych tożsamości. Tego rodzaju dowód powinien być odniesiony do skali czasu, którą zamyka naturalne wygaśnięcie ochrony danych, a przynajmniej – rozsądne prawdopodobieństwo jej wygaśnięcia, skorelowane z typowym trwaniem ludzkiego życia[2]. Znaczenie indywidualnych tożsamości dla celów archiwizacji i dla badawczych zastosowań nie jest bowiem oczywiste. W porządku zdarzeń ta ocena powinna być pierwsza.

Nie ulega wątpliwości, że rozporządzenie rekomenduje anonimizację zapisów informacji, jeśli miałyby być wykorzystane do wyróżnionych celów, w tym archiwizacyjnych[3]. Gdyby dalsze przetwarzanie danych okazało się jednak nieodzowne, zastosowanie miałby obowiązek wdrożenia przez administratorów środków technicznych i organizacyjnych w celu ochrony praw i wolności osób, których te dane dotyczą[4]. Mowa o równoważeniu ryzyka powodowanego wyjściem poza pierwotną użyteczność danych i poza przewidziany dla jej realizacji okres. Wdrożenie wskazanych środków nie zostało powiązane ze szczególnymi wyjątkami od pryncypiów ochrony danych, ale z uprzywilejowanymi celami w ogólności. Środki te miałyby „ograniczyć przetwarzanie danych osobowych w myśl zasad proporcjonalności i konieczności”, a także zapewnić „w szczególności poszanowanie zasady minimalizacji danych”[5]. Niezależnie od tak sformułowanych wymagań, specyficznie przypisanych do wyróżnionych celów, środki techniczne i organizacyjne w każdym przypadku przetwarzania danych osobowych powinny urzeczywistniać standard „integralności i poufności”.

W rozporządzeniu „integralność i poufność” stanowią etykietę zasady zapewniania bezpieczeństwa danych. Szczególnie istotna jest pod tym względem ochrona przed nieuprawnionym lub bezprawnym przetwarzaniem[6]. Dla lepszego zrozumienia enigmatycznego rozróżnienia tych zabronionych czynów, sięgnąć można do kontekstów uchylonej dyrektywy 95/46/WE, obejmujących dokonane bez upoważnienia ujawnienie danych albo dostęp do nich, a także bezprawne zniszczenie danych. Wydaje się, że zbliżone znaczenie ma też przepis rozporządzenia, zwłaszcza że dalej wylicza on czynniki ryzyka dla integralności danych w postaci ich „przypadkowej utraty, zniszczenia lub uszkodzenia”. Zamierzone, a z drugiej strony nierozmyślne naruszenia bezpieczeństwa, jedne i drugie z możliwym udziałem administratorów i odbiorców danych, podmiotów przetwarzających, a także innych aktorów, którzy mogą nawet nie wejrzeć w informację, ale sprowadzają ryzyko dla jej integralności (jak np. terroryści).

Zasadę minimalizacji danych rozporządzenie w ogólności wyraziło natomiast poprzez sformułowanie zwięzłego postulatu, by dane osobowe były „adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane”[7]. Wymagana jest relewantność środków i celów w ramach konkretnych przedsięwzięć, a nie mają znaczenia cechy administratora danych, walor jego działania ani waga spodziewanych wyników.

Minimalizacja danych stanowi oczekiwane następstwo stosowania się do standardu „proporcjonalności i konieczności”. Wywodzi się on z fundamentalnej zasady rozporządzenia, że dane osobowe wolno przetwarzać pod warunkiem, że w inny rozsądny sposób nie można by osiągnąć uprawnionych celów[8]. W tym rozumieniu posługiwanie się informacjami identyfikującymi ludzi byłoby dopuszczalne pod warunkiem wykazania, że jest prowadzone w granicach usprawiedliwionej potrzeby i w tym zakresie niezbędne.

Naruszenia zasady minimalizacji danych mogą być wielorakie – ze względu na zbyteczność gromadzenia i używania określonych informacji do osiągnięcia zakładanego czy też deklarowanego rezultatu albo przetwarzanie danych, które są wprawdzie adekwatne do celu, ale występują w ilości większej niż to konieczne. Szczególnym uchybieniem przeciw minimalizacji danych wydaje się ich przechowywanie ponad wyznaczony dla nich okres. Nienależyte byłoby również przetwarzanie danych adekwatnych, w nienadmiernej nawet  ilości i nie dłużej niż zostało dla nich ustalone, z tym jednak, że cel byłby osiągalny również bez identyfikowania osób fizycznych.

Do celów archiwizacji i pozostałych wraz z nimi wymienianych, wymogi minimalizacji stosują się swoiście. Zgromadzone dane powinny w całości spełniać przyjęte kryteria kwalifikacyjne, a w tym – posiadać zakładaną informacyjną wartość. Ponadto, nie wystarczyłoby stwierdzenie, że określone wiadomości są konieczne dla realizacji tych celów, lecz pozostawałby dodatkowo do przeprowadzenia dowód niezbędności zawartych w nich danych osobowych.

Tak ujmowaną dyspozycję trzeba niemniej odczytywać zapewne w powiązaniu z  klauzulą „rozsądnie prawdopodobnego sposobu” identyfikacji osób, skonfrontowaną z motywem nadmiernego utrudnienia bądź uniemożliwienia osiągania celów archiwizacji. Nie wydaje się, by zalecała albo nakazywała wybór dowolnie uciążliwych środków, które byłyby alternatywne względem przetwarzania danych osobowych. Nieracjonalność nakładów – sił,  kosztów, czasu – które trzeba by ponieść w celu wykorzystania danych ze skutkiem w postaci naruszenia prawa do ich ochrony, wypada przyjmować jako akceptowalny argument na rzecz warunkowego dopuszczenia do gromadzenia identyfikujących informacji. Nawet gdy ich administrator mógłby w ostateczności obyć się bez nich, lecz z drugiej strony, gdyby ich usunięcie wydatnie utrudniało realizowanie przezeń celów archiwizacji. Natomiast łatwość naruszenia może okazać się zbieżna z łatwością zapobiegania mu, włącznie z identyfikacją i prewencyjnym pozbyciem się danych, które są pozbawione przymiotu niezbędności do uprzywilejowanych celów. Tego rodzaju rozstrzygnięcia powinny, w każdym razie, podlegać standardom rzetelności przetwarzania. Obok minimalizacji rozporządzenie wymienia środek ochronny w postaci pseudonimizacji danych, z zastrzeżeniem, by nie stanowiła przeszkody w realizacji celów przetwarzania. Ma ona zastosowanie w środowisku cyfrowym, a i to nie bez trudności. Polega na kodowaniu danych według zdefiniowanego klucza, przechowywanego przez administratorów danych odrębnie w stosunku do informacyjnych zasobów[9]. Określoność i zachowanie klucza są nieodzowne, gdyż wymaga się od pseudonimizacji, aby była odwracalna. Z tego względu poddane jej spersonalizowane informacje nadal uważa się za mające zdolność identyfikowania, nieanonimowe.

[1] Art. 89 ust. 1, mot. 156 R.2016/679.
[2] EAG. Guidance, s. 5-6 (pkt 5).
[3] Sakowska-Baryła, Ogólne rozporządzenie – komentarz do art. 89 [3] R.2016/679, s. 624-625. Omawiane tu zalecenie zostało przedstawione jako wyraz prymatu praw podmiotu danych.
[4] Art. 5 ust. 1 lit. e R.2016/679.
[5] Tamże, mot. 156; por. art. 89 ust. 1.
[6] Tamże, art. 5 ust. 1 lit. f; w polskiej wersji rozporządzenia 2016/679: „niedozwolonym lub niezgodnym z prawem” – co nie jest dostatecznie jasne ani wierne innym wersjom językowym, m.in. angielskiemu „unauthorised or unlawful”.
[7] Tamże, art. 5 ust. 1 lit c.
[8] Tamże, art. 6 ust. 1 lit. c, e.
[9] Por. Gawroński, Ochrona danych, s. 329-330.