Spis treści
Podstawa prawna: art. 4 pkt 1 RODO.
Czym jest RODO?
RODO, czyli Rozporządzenie Ogólne o Ochronie Danych (ang. General Data Protection Regulation – GDPR), to dokument prawny obowiązujący w całej Unii Europejskiej od 25 maja 2018 roku. Reguluje on zasady przetwarzania danych osobowych, zapewniając jednolite standardy ochrony danych w różnych krajach Unii.
Jakie prawa wprowadziło RODO?
Prawo do informacji i dostępu do danych: osoba, której dane są przetwarzane, ma prawo otrzymać informacje o tym, jakie dane są przetwarzane, przez kogo, w jakim celu, na jakiej podstawie prawnej oraz do kogo mogą być przekazane.
Prawo do poprawienia danych: jeżeli dane są nieprawidłowe lub nieaktualne, osoba ma prawo żądać ich poprawienia.
Prawo do usunięcia danych (“prawo do bycia zapomnianym”): w określonych sytuacjach, osoba ma prawo żądać usunięcia swoich danych.
Prawo do ograniczenia przetwarzania: osoba ma prawo żądać ograniczenia przetwarzania swoich danych, na przykład gdy kwestionuje ich prawidłowość.
Prawo do przenoszenia danych: osoba ma prawo otrzymać swoje dane w formacie umożliwiającym przeniesienie ich do innego administratora.
Prawo do sprzeciwu: osoba ma prawo sprzeciwić się przetwarzaniu jej danych.
Dane osobowe - definicja: RODO
Definicja pojęcia dane osobowe występuje w art. 4 pkt 1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej RODO, zgodnie z którym dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą). Termin „możliwa do zidentyfikowania osoba fizyczna” należy rozumieć jako osobę, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego, jak:
- imię i nazwisko,
- numer indentyfikacyjny,
- dane o lokalizacji,
- identyfikator internetowy,
- jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Pojęcie osoby fizycznej, mimo iż nie jest w RODO zdefiniowane, należy intepretować w opozycji do definicji osoby prawnej. Pojęcie zakresu ochrony danych osobowych związane jest z podmiotowością prawną osoby fizycznej, która to sygnuje początek i koniec okresu trwania tej ochrony. Do interpretacji początku i końca trwania podmiotowości prawnej osoby fizycznej kluczowy jest art. 8 k.c., który określa początek jako narodziny i koniec jako śmierć osoby fizycznej. Ochronie nie będą podlegać więc dane osoby prawnej, dane dziecka poczętego –nasciturusa do momentu jego urodzenia oraz dane osób zmarłych. Definicja danych osobowych ujęta w art. 4 pkt 1 RODO składa się z poszczególnych fragmentów, takich jak: informacje, informacje dotyczące osoby fizycznej oraz zidentyfikowanie, bądź możliwość zidentyfikowania tejże osoby fizycznej. Termin informacja należy rozumieć jako wszelką informację, bez względu na jej sposób przekazania czy rozpowszechnienia, utrwalenie, prawdziwość czy obiektywny charakter. Nieistotny jest także typ takiej informacji, rozumiany jako obraz bądź dźwięk oraz forma, która może być pisemna, ustna, lub elektroniczna. Na podstawie opinii Grupy Roboczej można zauważyć, iż interpretacja pojęcia dane osobowe przebiega w sposób szeroki.
Zakres pojęcia danych osobowych.
Motyw 26 RODO wskazuje, iż zakres informacji obejmuje dane o cechach pośrednio i bezpośrednio identyfikujących osobę fizyczną. Podkreśla też, iż zasady ochrony danych powinny obejmować wszelkie informacje pozwalające zidentyfikować lub umożliwiające zidentyfikowanie osób fizycznych. Mowa tu nie tylko o danych takich jak imię i nazwisko, data urodzenia czy adres zamieszkania, do danych osobowych również należą informacje takie jak: waga, płeć, kolor oczu, dane biometryczne, jak również informacje dotyczące poglądów politycznych, przekonań religijnych czy danych o orientacji seksualnej, bądź seksualności danej osoby fizycznej. Aby ustalić, czy daną osobę fizyczną można zidentyfikować powinno się uwzględnić wszystkie rozsądnie prawdopodobne sposoby, z których to administrator lub inna osoba mógłby potencjalnie skorzystać w celu pośredniej lub bezpośredniej identyfikacji danej osoby fizycznej. Badając prawdopodobieństwo zidentyfikowania danej osoby fizycznej należy ustalić wszelkie obiektywne czynniki, takie jak koszt, czas oraz dostępna technologia w momencie przetwarzania. Definicje danych osobowych również możemy znaleźć w polskim prawodawstwie, mowa tu o art. 6 ust. 1 ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz.U. 1997 nr 133 poz. 883) – dalej u.o.d.o., zgodnie z którym dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. W art. 6 ust. 2 u.o.d.o określono, że osoba możliwa do zidentyfikowania to osoba, której tożsamość możemy określić na podstawie danych informacji w sposób bezpośredni lub pośredni. Ustawodawca potwierdza motyw 26 RODO w art. 6 ust. 3 u.o.d.o., który stanowi, iż informacji nie uważa się za umożliwiającą identyfikację danej osoby, jeżeli ta identyfikacja wymagałaby nadmiernych działań, kosztów lub czasu. Mimo iż ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych straciła moc prawną wraz z wejściem w życie nowej u.o.d.o. z dnia 10 maja 2018 r., to rozdział 14 u.o.d.o. z dnia 10 maja 2018 r. w przepisach końcowych w art. 175 stanowi, iż ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych traci moc, z wyjątkiem art. 1, art. 2, art. 3 ust. 1, art. 4–7, art. 14–22, art. 23–28, art. 31 oraz rozdziałów 4, 5 i 7, które zachowują moc w odniesieniu do przetwarzania danych osobowych.
Jak rozumieć pojęcie: otwartego katalogu danych osobowych?
Prawodawca formułując legalną definicję danych osobowych posłużył się klauzulą generalną, zawierającą niedookreślone zwroty, dlatego też katalog informacji będących danymi osobowymi ma charakter otwarty. Grupa Robocza w kwestii wytycznych w sprawie przejrzystości na podstawie rozporządzenia stanowi, iż informacja dotyczy danej osoby jeżeli:
- jest na temat danej osoby,
- jest lub może być wykorzystywana, biorąc pod uwagę wszystkie okoliczności danej sprawy, w celu oceny danej osoby, jej traktowania w określony sposób lub też wpływania na jej status lub zachowanie,
- jej użycie będzie prawdopodobnie mieć wpływ na jej prawa i interesy
Możliwość zidentyfikowania osoby fizycznej.
Możliwość zidentyfikowania osoby fizycznej to inaczej możliwość wyróżnienia danej osoby poprzez powiązanie jej z dostępnymi informacjami, stanowiącymi swoiste czynniki identyfikujące – wiążące się w sposób szczególny i bliski z konkretną osobą. Podsumowując, wystarczy sama potencjalna możliwość identyfikacji na ich podstawie danej osoby. Stanowisko to zostało potwierdzone w wyroku Trybunału Sprawiedliwości z dnia 19 października 2016 r. w sprawie Patrick Breyer przeciwko Republice Federalnej Niemiec, Trybunał Sprawiedliwości orzekł, iż posiadana informacja nie musi sama w sobie gwarantować identyfikacji osoby, której dane dotyczą, wystarczy bowiem, że daje ona taką możliwość po zestawieniu z innymi informacjami. Exempli gratia zestawiając ze sobą informacje tj. imię, nazwisko, adres e-mail i miejsce prowadzenia działalności możliwa jest identyfikacja konkretnego człowieka. Mając na względzie publicznoprawny cel ochrony danych osobowych, dane należy traktować jako dane osobowe, dopóki nie zostanie jednoznacznie stwierdzone, iż na ich podstawie nie można zidentyfikować konkretnej osoby.
Podsumowanie: jak należy rozmieć pojęcie danych osobowych.
Identyfikując informację, czy zawiera dane osobowe powinno się jednak położyć nacisk na subiektywny charakter danych osobowych. Należy podkreślić, iż identyfikując dane osobowe na podstawie przesłanek „osoby zidentyfikowanej” oraz „osoby możliwej do zidentyfikowania” należy w pierwszej kolejności uzależnić identyfikacje danych osobowych od podmiotu, który takiej identyfikacji dokonuje. Uzależnienie ustaleń czy dana informacja może być zakwalifikowana jako dana osobowa, powinno zależeć od uprawnień podmiotu oraz dostępu do informacji na podstawie których, podmiot ten dokona analizy pozyskanych informacji. Co za tym idzie, im podmiot ma szersze uprawnienia i dostęp do informacji, tym większa szansa, iż z perspektywy tego podmiotu dana informacja będzie stanowić dane osobową.
Sprawdź:
Sprawdź naszą ofertę!
Masz pytanie?
Napisz do nas
O nas
Uważamy, że odpowiednio wdrożone RODO, może posłużyć jako narzędzie wpływające korzystnie na rozwój, postrzeganie oraz reputację firmy. Naszym celem jest zapewnienie prawidłowego przetwarzania, obiegu, archiwizowania oraz dostępu do danych zgodnie z aktualnymi wymogami.