W tym miesiącu „edukacyjny” odcinek newsletteru jest poświęcony kolejnemu istotnemu pojęciu, które zostało przez prawodawcę unijnego zdefiniowane w art. 4 RODO. Tym razem przybliżona zostanie definicja „zbioru danych”.
Pojęcie to odnosi się zarówno do zbiorów, w których dane przetwarzane są w sposób zautomatyzowany, jak też tych przetwarzanych metodami tradycyjnymi (czyli bez wykorzystania systemów informatycznych).
DEFINICJA „ZBIORU DANYCH”
Zgodnie z art. 4 pkt. 6 RODO „zbiór danych” oznacza „uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie”.
W powyższej definicji można wyróżnić trzy istotne elementy, które występując jednocześnie przesądzają o istnieniu „zbioru danych”. Są to: zestaw danych; uporządkowanie (struktura) zestawu; dostępność danych według określonych kryteriów. Jeżeli zabraknie choćby jednego z powyższych elementów nie będzie można uznać istnienia „zbioru danych” w rozumieniu omawianego przepisu. Co oznacza, że w takim przypadku nie będzie obowiązku stosowania przepisów RODO (o czym była mowa w Komunikacie IOD-y).
ZESTAW DANYCH
Pierwszym z istotnych elementów pojęcia „zbiór danych” jest zestaw danych. Oznacza on sumę elementów tworzących pewną całość. Dane osobowe, które gromadzone są w zbiorze danych mogą być wyrażone w dowolny sposób, np. słowem, dźwiękiem, obrazem. Należy jednak zwrócić uwagę, że ustawodawca, definiując pojęcie „zbioru danych” posłużył się liczbą mnogą na określenie elementów wchodzących w jego skład. W związku z tym pojedyncze informacje umożliwiające identyfikację poszczególnych osób nie stanowią jeszcze „zbioru danych”.
Należy jednak pamiętać, że (zgodnie ze stanowiskiem dr P. Litwińskiego powołującego się na poglądy innych przedstawicieli doktryny) „ze zbiorem danych osobowych możemy mieć do czynienia już wówczas, gdy w zbiorze tym znajdują się dane jednej osoby” (P. Litwiński [w:] Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, 2021).
STRUKTURA ZESTAWU
Drugim istotnym elementem „zbioru danych” jest jego odpowiednia struktura. W polskiej wersji RODO mowa jest o „uporządkowanym zestawie”, jednak jak podaje się w doktrynie „wydaje się, że mamy tu do czynienia z niezbyt precyzyjnym tłumaczeniem określenia zawartego w rozporządzeniu (…), które należy tłumaczyć jako >>zestaw posiadający strukturę<<, przy czym struktura zbioru może być rozumiana jako jednorodna budowa poszczególnych elementów zestawu (kategorii danych osobowych)” (P. Fajgielski [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022).
Aspekt nadania struktury uzyskamy np. dzięki posortowaniu alfabetycznemu lub chronologicznemu. Natomiast przeciwieństwem zbioru posiadającego strukturę jest np. artykuł prasowy, w którego tekście pojawiają się dane osobowe, jednak nie są one zorganizowane w sposób jednorodny i nie można stwierdzić, że są uporządkowane.
DOSTĘPNOŚĆ
Trzecim elementem „zbioru danych” jest dostępność informacji w nich zawartych. Przez „dostępność” należy rozumieć „możliwość dotarcia, dostania się do czegoś” [M. Szymczak [w:] Słownik języka polskiego, t. I”. Istota dostępności polega na możliwie szybkim odszukaniu informacji według określonych kryteriów.
Prawodawca unijny nie precyzuje charakteru kryteriów, według których zgromadzone informacje są możliwe do wyszukania. Należy jednak stwierdzić, że kryteria powinny umożliwiać w miarę szybki i bezpośredni dostęp do danych.
CECHY „ZBIORU DANYCH”
Wskazane przez prawodawcę unijnego cechy „zbioru danych”, czyli scentralizowanie, zdecentralizowanie, rozproszenie funkcjonalne, rozproszenie geograficzne należy odnosić do sposobu prowadzenia zbioru (przetwarzania) danych. Wyżej wskazane cechy mogą dotyczyć zarówno zbiorów zdigitalizowanych, jak i tych prowadzonych w sposób tradycyjny. Zatem niezależnie od sposobu przetwarzania nie przesądza on, czy mamy do czynienia ze zbiorem.
DAWNE OBOWIĄZKI ZWIĄZANE ZE „ZBIOREM DANYCH”
Uregulowanie w przepisach RODO pojęcia „zbioru danych” nie było nowością, ponieważ miało ono swój odpowiednik w przepisach dyrektywy 95/46/WE oraz w Ustawie o ochronie danych osobowych z 1997 r. Co ciekawe, na gruncie poprzedniej regulacji prawodawca nakładał na administratorów obowiązek zgłaszania zbiorów danych do organu nadzorczego. Jeśli ADO powołał Administratora Bezpieczeństwa Informacji (ABI) był zwolniony z tego obowiązku, ponieważ jednym z zadań ABI było prowadzenie rejestru zbiorów.