Pandemia COVID-19 wymusiła liczne ograniczenia w organizacji imprez kulturalnych. Powstaje pytanie, czy instytucja kultury może gromadzić numery telefonów klientów w związku z zakupem biletów np. na seans filmowy w kinie.
RODO precyzyjnie wyjaśnia, kiedy pewne informacje o osobie fizycznej mogą być uznane za „dane osobowe”. Zgodnie z definicją RODO zawartą w art. 4 pkt 1 rozporządzenia „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Przy czym możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden czynnik bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Aby stwierdzić, czy dana osoba jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. W tym zakresie uwzględnia się wszelkie obiektywne czynniki, zarówno takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny (motyw 26 RODO).
Tym samym bez dostępu instytucji kultury do jakiejkolwiek bazy czy informacji, z której wynikałyby dane osobowe osób, które udostępniają telefony, nie mamy do czynienia z danymi osobowymi. Nieco inaczej będzie się przedstawiać sytuacja, gdyby instytucja
kultury miała dostęp do bazy danych. Wskutek połączenia imienia i nazwiska (ewentualnie także adresu) i numeru telefonu informacja o numerze telefonu pozwalałaby na identyfikację tożsamości danej osoby.
RODO przewiduje możliwość przetwarzania takich danych osobowych, również bez zgody osób zainteresowanych (tj. osób, których dane osobowe są przetwarzane). Gdyby uznać, że numer telefonu – w konkretnym przypadku − stanowi dane osobowe, podstawą do przetwarzania takich danych może być:
· art. 6 ust. 1 lit. c RODO − wypełnienie obowiązku prawnego ciążącego na administratorze (jeżeli istnieją wytyczne inspekcji sanitarnej nakazujące gromadzenie takich informacji),
· art. 6 ust. 1 lit. d RODO – konieczność ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
W obydwu przypadkach należy zadbać o właściwy poziom zabezpieczenia takich danych osobowych.
1. Nie każde informacje stanowią dane osobowe − same numery telefonu, be dodatkowej identyfikacji nie stanowią takich danych. Jeśli jednak można je powiązać z tożsamością danej osoby (np. imię i nazwisko oraz telefon), wówczas mamy do czynienia z danymi osobowymi i ochroną przewidzianą w RODO.
2. Instytucja kultury może zbierać dane w postaci numerów telefonów w związku z pandemią.
3. W tym zakresie nie powinno się uzyskiwać zgody na przetwarzanie tych danych osobowych.
· Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 4, art. 6.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
