Slajd nr 1 Slajd nr 1
Tło strzałki Strzałka
Header na wersje mobilna
Header na wersje tabletową Header na wersje laptopową
przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Prawny
  3. Ochrona danych
  4. Które informacje stanowią dane osobowe w świetle RODO?

Które informacje stanowią dane osobowe w świetle RODO?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Prowadzenie działalności gospodarczej nieodzownie wiąże się z gromadzeniem informacji dotyczących klientów oraz kontrahentów. Niektóre z tych informacji stanowią dane osobowe,  wówczas przedsiębiorca ma obowiązek zapewnić im stosowną ochronę. Wymaga tego nie tylko profesjonalizm, lecz także przepisy prawa nadające przedsiębiorcy rolę administratora danych osobowych. Co kryje się pod pojęciem „dane osobowe”? Wyjaśniamy poniżej.

Dane osobowe – definicja ustawowa

Ustawowa definicja pojęcia „dane osobowe” została zawarta w art. 6 ust. 1 ustawy  z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883 ze zm.; dalej: u.o.d.o.), zgodnie z którym za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 

Ust. 2 przywołanego przepisu stanowi, iż osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Natomiast informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ust. 3 u.o.d.o).

25 maja 2018 roku weszła w życie nowa ustawa o ochronie danych osobowych, zastępująca dotychczasowe regulacje, jednakże przepis ten, wyjątkowo, zachował moc, w związku z czym definicja legalna omawianego pojęcia nie zmieniła się.

Ustawodawca formułując legalną definicję danych osobowych, posłużył się klauzulą generalną, zawierającą zwrot niedookreślony, przez co katalog informacji będących danymi osobowymi ma charakter otwarty. Zakwalifikowanie danej informacji do zbioru danych osobowych wymaga indywidualnej oceny, czy w określonych okolicznościach przy użyciu konkretnych środków umożliwia ona  zidentyfikowanie osoby fizycznej.

Najczęściej pojedyncze informacje, które są bardzo ogólne (np. wysokość wynagrodzenia) nie są danymi osobowymi. Stają się one nimi wówczas, gdy zostaną zestawione łącznie i pozwalają na dokładne określenie, której osoby dotyczą. Np. informacja o wysokości wynagrodzenia zestawiona z danymi adresowymi i imieniem.

Jednak zdarza się, że nawet pojedyncza informacja może stanowić dane osobowe. Tak jest w przypadku numeru PESEL, który zgodnie z art. 15 ust. 2 ustawy z dnia 24 września 2010 r. o ewidencji ludności (Dz. U. z 2015 r. poz. 388) jest 11-cyfrowym symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną, w którym sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), kolejne cztery – liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną służącą do elektronicznej kontroli poprawności nadanego numeru ewidencyjnego.

Dane osobowe według RODO

25 maja 2018 r. również weszło w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. rozporządzenie RODO).

Zgodnie z art. 4 rozporządzenia RODO dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”).

Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak:

  • imię i nazwisko,

  • numer identyfikacyjny,

  • dane o lokalizacji,

  • identyfikator internetowy lub

  • jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

W preambule rozporządzenia RODO wskazano, że „Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych”.

W rozporządzeniu RODO określono dwie kategorie danych osobowych: tzw. dane osobowe zwykłe oraz dane osobowe zaliczające się do szczególnych kategorii danych (dawniej tzw. dane wrażliwe), do których zalicza się dane ujawniające:

  • pochodzenie rasowe lub etniczne,

  • poglądy polityczne, przekonania religijne lub światopoglądowe,

  • przynależność do związków zawodowych,

  • dane genetyczne,

  • dane biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej,

  • dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

Dane osobowe, które nie należą do żadnej z wyżej wymienionych kategorii, to dane zwykłe.

Czy dane osobowe dotyczą również osób prawnych?

Nie, dane osobowe dotyczą wyłącznie osób fizycznych.

Czy adres poczty elektronicznej jest daną osobową?

Dane osobowe są to nie tylko takie informacje, które pozwalają bezpośrednio na określenie tożsamości konkretnej osoby, lecz także takie, które przy pewnym nakładzie kosztów, czasu lub działań będą wystarczające do jej zidentyfikowania.

Biorąc pod uwagę powyższe, należy stwierdzić, iż co do zasady adres poczty elektronicznej nie stanowi danej osobowej w rozumieniu art. 6 ust. 1 u.o.d.o. Natomiast  jeżeli w jego treści będą zawarte takie informacje, które pozwalają bez nadmiernych kosztów, czasu lub działań na ustalenie na ich podstawie tożsamości danej osoby, można będzie uznać go za daną osobową.

Przykład 1.

Adres e-mail: jan.kowalski@o2.pl nie stanowi danych osobowych.

Adres e-mail: jan.kowalski@nazwafirmy.com może stanowić dane osobowe.

Czy adres IP komputera jest daną osobową?

Grupa Robocza ds. Ochrony Danych powołana przez Parlament Europejski i Radę Europejską  przyjęła, iż adres IP komputera należy uznać za dane dotyczące osoby możliwej do zidentyfikowania, stwierdzając, że: "dostawcy usług internetowych oraz menedżerowie lokalnych sieci mogą, stosując rozsądne środki, zidentyfikować użytkowników internetu, którym przypisali adresy IP, ponieważ systematycznie zapisują w plikach daty, czas trwania oraz dynamiczny adres IP (czyli ulegający zmianie po każdym zalogowaniu) przypisany danej osobie. To samo odnosi się do dostawców usług internetowych, którzy prowadzą rejestr (logbook) na serwerze HTTP. Nie ma wątpliwości, że w takich przypadkach można mówić o danych osobowych, w rozumieniu art. 2 Dyrektywy".

Co powinien zrobić przedsiębiorca, jeżeli okazało się, że gromadzone przez niego informacje są danymi osobowymi?

Przede wszystkim należy podkreślić, że przedsiębiorca, który w toku prowadzenia działalności gospodarczej wykorzystuje dane osobowe – z mocy prawa staje się ich administratorem.

W pierwszej kolejności przedsiębiorca powinien określić, jakiego rodzaju dane osobowe przetwarza (czy są to dane zwykłe czy szczególne kategorie danych).

Następnie należy się upewnić, czy gromadzenie określonej kategorii danych w firmie jest uzasadnione, a jeżeli ich dalsze przetwarzanie jest konieczne, należy wypełnić obowiązki administratora danych osobowych.

Zgodnie z art. 36 ustawy  z dnia 29 sierpnia 1997 r. o ochronie danych osobowych do zadań administratora danych osobowych należy:

  • stosowanie środków technicznych i organizacyjnych zapewniających  ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem;

  • prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środków zapewniających ochronę danych osobowych.

Polecamy:

Najważniejsze zmiany w wynagrodzeniach i Kodeksie pracy od 2023 r.!

Jak Kodeks cywilny reguluje prawo do prywatności a...
6 najczęściej zadawanych pytań o RODO i zwięzłe od...
Podobne
Kwiecień 2024
19
Piątek
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT 7K
  • VAT UE (elektroniczna)
  • PIT 28
  • PIT 36
  • PIT 36L
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
  2. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
  3. Wymeldowanie z pobytu stałego - jak wymeldować siebie lub inną osobę?
  4. Profil zaufany a podpis elektroniczny. Czym się różnią?
  5. 7 zasad, które warto znać, jak zaliczyć wpłatę otrzymaną od kontrahenta
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Ochrona danych

Dostęp do danych i ich wykorzystywania - nowe rozporządzenie UE

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Ochrona danych osobowych 2018-2024 - wyzwania w cyfrowej rzeczywistości
XVIII Kongres ICV POLSKA (Controlling Intelligence Adventure 2024)
Open Source Day już 18 kwietnia w Warszawie!
Świat nieruchomości na wysokich obcasach: Jubileuszowe Forum Inwestorek 2024
SEO Vibes Poland - największa konferencja WhitePress z międzynarodowymi ekspertami Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów