Biblioteka będzie musiała podejść do ochrony danych inaczej, niż dom kultury czy muzeum. Każda instytucja kultury ma swoją specyfikę, która będzie musiała być uwzględniona przy wdrażaniu nowych wymogów ochrony danych osobowych.
Czytaj: 10 rzeczy, które musisz wiedzieć o RODO>>
Czy instytucje kultury będą podlegały RODO?
Oczywiście. Teatry, muzea, biblioteki czy domy kultury w codziennej działalności wykonują operacje na danych osobowych lub ich zestawach. To aktualizuje obowiązek przestrzegania zasad przetwarzania wynikających z RODO. Co więcej, wiele wskazuje, iż instytucje kultury w rozumieniu ustawy o organizowaniu i prowadzeniu działalności kulturalnej na gruncie RODO mogą być traktowane jako tzw. „podmioty publiczne”. Pojęcie to nie zostało, co prawda zdefiniowane w tekście rozporządzenia, wydaje się jednak, iż należy je utożsamiać z podmiotami wykonującymi zadania na rzecz społeczeństwa, w tym z zakresu tworzenia, upowszechniania i ochrony kultury.
Jakie to ma znaczenie?
To może oznaczać, iż RODO wobec instytucji kultury wymaga spełnienia podwyższonych standardów przetwarzania danych, m.in. wyznaczenia Inspektora Ochrony Danych Osobowych. Wymóg taki miałby zastosowanie niezależnie od wielkości organizacji, rodzaju, czy zakresu przetwarzanych danych osobowych. Biorąc pod uwagę rolę jaką RODO przypisuje funkcji Inspektora Ochrony Danych Osobowych, należy oczekiwać, iż może to być poważne obciążenie budżetu instytucji.
Jaki jest zakres przetwarzania danych osobowych w instytucjach kultury?
Różny. Zależy on nie tylko od rodzaju działalności prowadzonej przez daną instytucję, ale także od sposobu jej prowadzenia. Na przykład, o muzeach rzadko myślimy, jako o administratorach danych osobowych odwiedzających je osób. Jeżeli jednak w muzeum zainstalowano monitoring wizyjny, o jakości pozwalającej na ustalenie tożsamości zwiedzających, należy się zastanowić czy taka instytucja nie przetwarza ich wizerunku. Będąc informacją o „możliwej do zidentyfikowania osobie fizycznej”, może być on traktowany jako jedna z danych osobowych. Jeżeli dodamy do tego elektroniczne systemy służące do naliczania zniżek na bilety wstępu, które zazwyczaj opierają się na informacjach dotyczących tożsamości uprawnionych, zakres przetwarzania jeszcze bardziej się zwiększa. Podobnym przykładem mogą być teatry, opery czy filharmonie. Coraz częściej umożliwiają one zakup biletów lub rezerwację online, a także, jeśli nie przystąpienie do programu lojalnościowego to przynajmniej zapisanie się na newsletter. Działania te wymagają najczęściej przetwarzania danych w zakresie: imienia, nazwiska, adresu zamieszkania, e-mail lub telefonu. Osobną kwestią jest ochrona danych osobowych artystów występujących we wspomnianych instytucjach. Dla wielu osób mogą być one bardzo interesującymi informacjami, o wartości tym wyższej im bardziej rozpoznawalnych osób dotyczą.
Czytaj: Kancelarie też muszą zadbać o ochronę danych osobowych>>
A co z bibliotekami i domami kultury?
Wspomniane instytucje przetwarzają dane dotyczące zrzeszonych w nich czytelników lub uczestników organizowanych przez nie cyklicznie wydarzeń, szkoleń czy warsztatów. Coraz częściej wykorzystują narzędzia komunikacji elektronicznej do kontaktu z zainteresowanymi ich ofertą. Co jednak ważniejsze, można się zastanawiać czy informacje dotyczące wypożyczanych lektur bądź wydarzeń, w których uczestniczyła dana osoba, nie są nośnikami danych wrażliwych, np. w zakresie poglądów politycznych, przekonań religijnych lub światopoglądowych. Przetwarzanie takich danych wymaga zaś wdrożenia dodatkowych środków, chociażby prowadzenia rejestru czynności przetwarzania danych osobowych, jak również uzyskania specjalnej podstawy do takich czynności.
Czyli na przykład biblioteka nie tylko będzie musiała podejść do ochrony danych inaczej niż dom kultury czy muzeum, ale może także mieć inne obowiązki niż sąsiednia placówka tego samego rodzaju?
Tak, ponieważ każda instytucja ma swoją specyfikę, a wdrażane środki powinny być do niej dostosowane. To indywidualne podejście jest bardzo mocno akcentowane w RODO. W stosunku do instytucji kultury czynnikami, które w największym stopniu różnicują indywidualne obowiązki administratorów prowadzących zbliżoną działalność są: istnienie monitoringu wizyjnego, przekazywanie danych osobowych podmiotom trzecim, powierzanie przetwarzania danych osobowych, aktywności z wykorzystaniem danych osobowych, podejmowane w środowisku internetowym oraz przetwarzanie danych szczególnych (wrażliwych).
Czy pana zdaniem zakres ochrony danych osobowych wprowadzony już w instytucjach kultury jest zadowalający?
Instytucje kultury zazwyczaj mają wdrożone środki, które obecnie są na zadowalającym poziomie, po 24 maja 2018 r. mogą się one jednak okazać niewystarczające. Zakres zmian wprowadzanych przez RODO jest tak duży, że funkcjonujące w instytucjach kultury systemy przetwarzania danych, muszą zostać poddane głębokiej analizie. Zarządzający instytucjami kultury mogą nie mieć świadomości jak wiele czynności będzie teraz od nich wymagane.
Co stanowić będzie największe wyzwanie przy wdrażaniu środków bezpieczeństwa wymaganych przez RODO?
Przede wszystkim zrozumienie nowego podejścia do regulowania kwestii związanych z przetwarzaniem danych osobowych. W przeciwieństwie do obowiązujących przepisów, RODO nie wskazuje konkretnych działań, które należy podejmować, aby nie naruszać prawa. Skupia się natomiast na wskazaniu celów, które trzeba osiągnąć, pozostawiając administratorom danych osobowych samodzielność w doborze środków ich realizacji. Osoby przyzwyczajone do realizacji konkretnych, mierzalnych, wytycznych mogą mieć spory problem z akceptacją takiego podejścia, co z kolei przełoży się na prawidłową realizację wynikających z RODO obowiązków.
Wyzwaniem może okazać się znalezienie odpowiednich środków w budżecie instytucji. Fakt, iż RODO stosowane będzie mniej więcej od połowy 2018 r. mógł uśpić czujność wielu dyrektorów na etapie opracowywania budżetu. Tradycyjnie istotne zmiany w prawie znajdują bowiem zastosowanie od początku kolejnego roku.
Jeżeli zaś chodzi o samą realizację zmian?
Wydaje mi się, iż najwięcej pracy wymagać będzie sfera związana z „wejściem” danych do instytucji a następnie kontaktami z osobami, których dane są przetwarzane. Instytucja musi ustalić czy dane przetwarza na mocy zgody uprawnionego czy też na innych podstawach. W przypadku instytucji kultury, jako potencjalne podstawy warto rozważyć: niezbędność przetwarzania w celu wykonania zadania realizowanego w interesie publicznym oraz niezbędność przetwarzania do wykonania umowy lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Należy także zapewnić osobom, których dane są przetwarzane, informacje wymagane przez RODO a także realizację przyznanych im uprawnień, w tym prawa do modyfikowania, usuwania lub ograniczenia przetwarzania danych osobowych.
Jakie kroki powinien do 25 mają podjąć dyrektor instytucji kultury związku z RODO?
Po pierwsze przeprowadzić audyt przetwarzania danych, aby dowiedzieć się jakie dane posiada; w jaki sposób je uzyskał i na jakiej podstawie; jakie operacje dotyczące danych wykonuje i w jakim celu; wreszcie czy i jaka dokumentacja przetwarzania danych została wydana i obowiązuje w instytucji. Moje doświadczenie wskazuje, iż największą wiedzę w tym zakresie uzyskać można w działach zajmujących się kadrami finansami oraz szeroko pojętą promocją.
Drugi krok to ocena na podstawie RODO, jakie obowiązki obciążają daną Instytucję, uwzględniając: charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób, których dane dotyczą. W szczególności zaś określenie, jaka dokumentacja powinna zostać wdrożona, a także ustalenie czy należy powoływać IODO oraz których pracowników i w jakim zakresie należy przeszkolić.
Ostatnia część to wdrożenie odpowiednich środków technicznych i organizacyjnych związanych z przetwarzaniem danych osobowych.
Czytaj: Dr Lubasz: RODO to nowa filozofia ochrony danych osobowych>>