No sio
Piątek, 2024-03-29, 7:32 AM
Witaj Gość | RSS
 
Główna RejestracjaWejdź
Menu witryny
Nasza sonda
Czy "klikasz" w "nowym sio"?
Suma odpowiedzi: 121
Statystyki

Ogółem online: 1
Gości: 1
Użytkowników: 0
Główna » 2017 » Październik » 28 » Konieczność dokonania weryfikacji przetwarzanych danych pod kątem ich adekwatności
6:48 PM
Konieczność dokonania weryfikacji przetwarzanych danych pod kątem ich adekwatności

Nowy „nowy SIO” nie tylko pozostaje w stanie rozkładu w jakim pozostawał, ale stan ten po przyjęciu przez Sejm rządowej ustawy o finansowaniu zadań oświatowych jest przedłużany. Istotą i najbardziej charakterystycznym znakiem przedłużania jest art. 147 przyjętej ustawy: „Do podziału części oświatowej subwencji ogólnej na 2018 r. przyjmuje się dane zgromadzone w systemie informacji oświatowej, o którym mowa w art. 105 ustawy zmienianej w art. 83, w brzmieniu nadanym niniejszą ustawą”. Bez konieczności po raz kolejny wnikania tu w naturę tego przepisu… - rzecz sprowadza się do tego, że o finansowaniu zadań oświatowych w dalszym ciągu będą decydować dane gromadzone w „starym SIO”, czego charakterystycznym znakiem w konsekwencji wyżej wskazanego, będzie marcowy (2018) „tradycyjny” komunikat CIE(MEN) o „dwutorowości” istnienia i funkcjonowania systemu informacji oświatowej. Istotą rozkładu jest to, że w dalszym ciągu bezrefleksyjnie, niefrasobliwie i nieodpowiedzialnie będzie się czynić opresyjną presję na konieczność gromadzenia zdumiewająco ogromnych zasobów danych osobowych (choć przy każdej kolejnej zmianie ustawy o SIO zasobu za każdym razem mniejszego?!) poprzez ciągle i równie (od już niemal pięciu lat) ułomną aplikację.

Nadchodzące RODO (Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych) zmusza do dokonania weryfikacji przetwarzanych danych osobowych pod kątem ich adekwatności. Oznacza to – pisząc tu najprościej – konieczność sprawdzenia, czy są one rzeczywiście niezbędne ze względu na cel, jakiemu służą, a więc sprawdzenie, czy zakres przetwarzanych danych osobowych jest rzeczywiście niezbędny i możliwie ograniczony ze względu na cel, w jakim to przetwarzanie się odbywa.

MEN(CIE) nie raczy dokonać tej oceny i pewnie zrobi wiele aby dokonania takiej oceny uniknąć. To ja tu koniecznie krótko i wystarczająco wyraźnie takiej oceny dokonam – nie ma w tym żadnej ni filozofii, ni trudu.

Adekwatność przetwarzanych danych osobowych nie jest pojęciem nowym ani w prawie europejskim, ani w polskim. Na gruncie krajowym adekwatność jest związana z konstytucyjną zasadą prawa do prywatności, a odnosi się do niej m.in. art. 51 Konstytucji, który jako zasadę ustanawia zakaz pozyskiwania przez podmioty publiczne danych obywateli, z wyłączeniem przypadków określonych ustawą – a w przypadkach określonych ustawą w możliwie ograniczonym zakresie.

W jeszcze obowiązującej ustawie o ochronie danych osobowych z 29 sierpnia 1997 r. do adekwatności odnosi się art. 26 ust. 1 pkt 3, zgodnie z którym administrator jest zobowiązany zapewnić, aby przetwarzane dane były adekwatne w stosunku do celów, w jakich są przetwarzane. Cele przetwarzania danych osobowych poprzez SIO są treścią art. 1 ustawy o SIO. A cele te były, są, ale i dalej będą wypełniane poprzez gromadzenie danych  w „starym SIO” (w „starym SIO” nie są gromadzone dane osobowe). I w zasadzie analizę adekwatności przetwarzania danych osobowych poprzez dziś nowy „nowy SIO” można tym oczywistym akcentem zakończyć. Ale pociągnę wątek nieco dalej.

Pojęcie adekwatności jest wystarczająco i koniecznie dobrze opisane w orzecznictwie, rozstrzygnięciach i obecnie chyba nie budzi większych wątpliwości także wśród komentatorów (widać, że słusznie używam słowa „chyba”, bo chyba po stronie MEN/CIE jest jakoś inaczej). Warto zwrócić uwagę na to, że główny inspektor ochrony danych osobowych interpretuje zasadę adekwatności w odniesieniu do danych osobowych jako gromadzenie takich danych, które są niezbędne i wystarczające do realizacji celu przetwarzania, czyli dane powinny być niezbędne i wystarczające, a nie przydatne.

Przetwarzanie danych osobowy poprzez nowy „nowy SIO” istotnie nie jest ani niezbędne, ani wystarczające, ale pozostaje „przydatnym” – a skrajnym na to dowodem pozostają w szczególności wskazywane wyżej najnowsze zmiany w ustawie o SIO.

Na konieczność zbierania tylko danych niezbędnych do osiągnięcia zamierzonego celu, zamiast agregowania danych nadmiarowych, które mogą ułatwić lub sprzyjać osiągnięciu celu, wskazywał również Trybunał Konstytucyjny m.in. w wyroku z 20 listopada 2002 r (K 41/02) – co prawda w wyroku dotyczącym kontrowersyjnej innej kwestii, ale wyrok ten w odniesieniu do SIO zdecydowanie wart jest przywoływania.

Nie tylko wskazany wyżej wyrok TK… - swoją deklarowaną już od kilku lat pewność stwierdzeń w odniesieniu do SIO, które tu ponownie czynię, opieram o wiele innych wyroków i orzeczeń. Chyba już nastał dość zdecydowany czas na ich kompletne przywołanie. Zatem wskazuję i udostępniam ich zestawienie: "Zasady proporcjonalności w zakresie prawa publicznego"

Uważam, że trzeba mieć w duszy bardzo wiele złej woli, być przepełnionym bardzo złymi intencjami i inspiracjami i chyba trzeba być po prostu złym lub/i głupim po prostu człowiekiem aby po przestudiowaniu choćby tego tylko zestawienia dalej pozostawać w chęci czynienia presji na uprawianie „klikologii” danych osobowych poprzez nowy „nowy SIO”. Piszę z tak ogromna goryczą, bo to ja, jak się okazuje, jestem głupi, bo sądziłem w swej naiwności, że jakiś rodzaj opamiętania w trakcie procedowania ustawy o finansowaniu zadań oświatowych (tu w odniesieniu do SIO) to spłynie na procedujących? Co z tymi ludźmi jest nie tak?

Kwestia techniki przetwarzania i w konsekwencji utrwalania danych osobowych pozostaje bez znaczenia z punktu widzenia adekwatności danych, co potwierdził (co prawda w odniesieniu do innej niż SIO problematyki) Naczelny Sąd Administracyjny w wyroku z 19 grudnia 2001 r.. (sygn. akt II SA 2869/00) stwierdzając, że: „Gromadzenie danych osobowych (tu: przez wykonanie kopii dokumentu zawierającego te dane) jest kwestią techniczną, obojętną dla prawodawcy reglamentującego w ustawie o ochronie danych osobowych przetwarzanie tego rodzaju danych. Inaczej mówiąc, posługiwanie się taką czy inną techniką utrwalania danych (kopiowanie lub przepisywanie) nie przesądza samo przez się o legalności tego utrwalania (przetwarzania). Dla takich ocen istotne znaczenie mają przede wszystkim: podstawa prawna przetwarzania danych (art. 23 ustawy), rodzaj przetwarzanych danych (art. 27) oraz granice przetwarzania (art. 26 ust. l pkt 3)". Podobny pogląd NSA wyraził w wyroku z 7 listopada 2003 r. (sygn. akt II SA 1432/02) uznając, że „ustawa o ochronie danych osobowych nie zajmuje się określaniem techniki gromadzenia danych osobowych, lecz zakresem ich przetwarzania".

RODO odwołuje się do zasady adekwatności w motywie 39 preambuły, gdzie stanowi się, że „Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego i niezbędnego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu".

Oprócz konieczności zweryfikowania zakresu dotychczas przetwarzanych danych osobowych poprzez nowy „nowy SIO”, trzeba będzie również przygotować się pod kątem realizacji wymogu adekwatności według nowych zasad. Wyrażone w art. 25 RODO zasady „privacy by design i privacy by default”, konkretyzują zasadę adekwatności zarówno na poziomie technicznym jak i organizacyjnym.

Wdrożenie tych zasad może polegać w szczególności (to pierwsze, co przychodzi do głowy) na przykład na możliwie szybkim pseudonimizowaniu danych, czyli takim ich przetworzeniu, aby nie było możliwe ich przypisanie konkretnej osobie, bez użycia dodatkowych informacji, czy prowadzeniu na bieżąco analizy i zarządzania ryzykiem, szkoleń i audytów. Czy to w ogóle z perspektyw zwykłej szkoły jest możliwe i to nie tylko w odniesieniu do SIO?

Warto dodatkowo być i świadomym tego (tu nie mam pewności, jak owo interpretować względem szkół i przedszkoli zmuszanych w szczególności do nieadekwatnego przetwarzania danych osobowych), że naruszenie zasady adekwatności określonej w art. 5 ust. 1 c) RODO, może w skrajnym przypadku prowadzić do nałożenia na administratora sankcji przewidzianych w art. 83 ust. 5 RODO. Nie wiem oczywiście kto na kogo i w jakim tu kontekście miałby nakładać sankcje. Wiem, że administratorem danych osobowych „klikanych” w nowy „nowym SIO” jest kierujący podmiotem. I wiem, że w projekcie ustawy o jawności życia publicznego powołuje się do istnienia „sygnalistów”, czyli osobników, których „współpraca” z wymiarem sprawiedliwości, polegająca na zgłoszeniu informacji o możliwości popełnienia przestępstwa przez podmiot, z którym jest ów związany umową o pracę – będzie zaszczytem…


Krzysztof Sługocki, 28.10.2017

Wyświetleń: 677 | Dodał: art30a | Rating: 0.0/0
Liczba wszystkich komentarzy: 0
avatar
Formularz logowania
Wyszukiwanie
Kalendarz
«  Październik 2017  »
PnWtŚrCzwPtSobNie
      1
2345678
9101112131415
16171819202122
23242526272829
3031
Archiwum wpisów
Copyright eGocki.pl Krzysztof Sługocki © 2024
uCoz