Czy udostępniając dokumentację konserwatorską wnioskodawcy należy zanonimizować dane osobowe

REKLAMA

03.08.2022

Pytanie

Jesteśmy instytucją kultury, która na wniosek wnioskodawcy/innej instytucji (za zgodą dyrektora) udostępnia dokumentację archiwalną w celu wykonania kwerendy. W udostępnianej dokumentacji archeologicznej znajdują się takie dane, jak: nazwa kierownika badań, adres inwestora, imiona i nazwiska osób uczestniczących w badaniach archeologicznych. Takie dokumenty są także digitalizowane w systemie informatycznym do którego ma dostęp każda osoba logująca się jako gość lub pracownik naszej instytucji (dokumenty takie są skanowane i wprowadzane jako pdf do systemu. Można je pobrać z systemu). Czy udostępniając taką dokumentację archeologiczną/konserwatorską wnioskodawcy należy zanonimizować dane osób znajdujące się w danym opracowaniu? Czy dane wprowadzane do systemu informatycznego mogą być ogólnodostępne dla osób posiadających dostęp do programu/logujących się jako gość?

Odpowiedź

Udostępnianie publiczne danych jest jednym z przejawów ich przetwarzania. Aby zaś móc przetwarzać dane, trzeba mieć do tego wyraźną podstawę prawną z art. 6 (w przypadku zwykłych danych) lub art. 9 (w przypadku wrażliwych danych) RODO.

Zgodnie z motywem 26 RODO rozporządzenie to nie dotyczy przetwarzania anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych. Jeśli chodzi o same dane osobowe to na przykład dane osobowe wrażliwe mogą być na mocy art. 9 ust. 2 lit. j RODO przetwarzane w zakresie, w jakim jest to niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego. Ma to być proporcjonalne do wyznaczonego celu, nie naruszać istoty prawa do ochrony danych i przewidywać odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

W przypadku wszystkich danych motyw 156 RODO przypomina nam, że takie korzystanie z danych do celów naukowych lub historycznych powinno podlegać odpowiednim zabezpieczeniom praw i wolności osoby, której dane dotyczą. Zabezpieczenia te powinny polegać na wdrożeniu środków technicznych i organizacyjnych zapewniających w szczególności poszanowanie zasady minimalizacji danych. Dalsze przetwarzanie danych osobowych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych można prowadzić, jeżeli administrator ocenił, czy celów tych nie można osiągnąć przetwarzaniem danych osobowych, które albo od początku albo już dłużej nie pozwalają identyfikować osób, których dane dotyczą, pod warunkiem że istnieją odpowiednie zabezpieczenia (takie jak pseudonimizacja danych osobowych).

Czyli w pierwszym rzędzie pseudonimizujemy dane a jak nie można ich speudonimizować bez utraty ich wartości dla nauki to wówczas muszą one być odpowiednio zabezpieczone.

Ograniczenie dostępu do systemu informatycznego poprzez logowanie się przez osoby posiadające konto jest na pewno jednym z takich środków bezpieczeństwa, które należy rozważyć.

Podstawa prawna

Ustawa z 10 maja 2018 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2019 r. poz. 1781).
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).