Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Czym są dane osobowe wg RODO?

Cykl artykułów poświęconych Rozporządzeniu Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i ich swobodnym przepływem (RODO), zaczynamy od analizy podstawowego zagadnienia, jakim jest pojęcie danych osobowych.

RODO przynosi przełomowe zmiany, dodatkowe wymogi i wytyczne. Wprowadza również nowe definicje danych, co w sposób przejrzysty obrazuje poniższa grafika.

Według słownika języka polskiego, termin “dane” oznacza: “rzeczy, fakty, na których można oprzeć się w wywodach; informacje, wiadomości”.

Wyliczone są następujące zwroty – dane osobiste, personalne. Z kolei termin “osobowe” znaczy tyle co: “dotyczące osoby lub osób”. Mając na uwadze znaczenie terminologiczne, dane osobowe można by było określić jako informacje dotyczące osoby.

Aktualne standardy w rozumieniu pojęcia danych osobowych wyznacza Dyrektywa 95/46/WE. Według Dyrektywy termin ten oznacza wszelkie informacje dotyczące zidentyfikowanej lub dającej się zidentyfikować osoby fizycznej.

Pojęcie danych osobowych jest jedną z osi, wokół której zbudowane jest prawo ochrony danych osobowych. Postęp gospodarczy, rozwój nowych technologii – zwłaszcza informatyczny, spotęgował zagrożenia strefy prywatności człowieka, jaką stanowią jego dane osobowe. Wraz z rozwojem i upowszechnianiem się roli technologii informatycznych zmieniał się również zakres pojęcia danych osobowych.

Warto zatem przyjrzeć się legalnej definicji pojęcia danych osobowych oraz nowym kategoriom danych wyodrębnionym w ogólnym rozporządzeniu o ochronie danych.

W tabeli poniżej, pojęcie danych osobowych zostało przedstawione z perspektywy dwóch aktów prawnych – UODO czyli obecnie obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz RODO czyli rozporządzeniu Parlamentu Europejskiego i Rady UE z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Przygotuj swoich pracowników do RODO

Skorzystaj z naszych innowacyjnych, interaktywnych e-szkoleń. Przekonaj się, że e-learningi nie muszą być nudnymi, brzydkimi blokami tekstu, których pracownik nie zapamięta. Brzmi interesująco? Zapraszamy do naszego e-sklepu 😉 Kup e-szkolenia

Dane osobowe – porównanie

UODO RODO
art. 6 ust. 1 – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; art. 4 ust. 1 – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

 

Osoba zidentyfikowana – porównanie

UODO RODO
brak definicji brak definicji

Uzupełnienie

Pojęcie osoby zidentyfikowanej nie zostało zdefiniowane wprost w przepisach prawa. Jednakże zgodnie z przyjętym stanowiskiem osobą zidentyfikowaną jest osoba, co do której nie trzeba przeprowadzać identyfikacji, ponieważ jej tożsamość jest już znana.

Informacja dotyczy osoby zidentyfikowanej, gdy administrator danych ma możliwość powiązania tej informacji z konkretną osobą, bez konieczności podejmowania innych działań.

Osoba możliwa do zidentyfikowania – porównanie

UODO RODO
art. 6 ust. 2 – osobą możliwą do zidentyfikowania jest osoba, której tożsamości można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na: numer identyfikacyjny, kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, kulturowe lub społeczne;

art. 4 ust. 1  możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak:

– imię i nazwisko,

– numer identyfikacyjny,

– dane o lokalizacji,

– identyfikator internetowy

– jeden bądź kilka szczególnych czynników określających: fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

motyw 30 preambuły – osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawieniem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i identyfikowania tych osób.

 

Określenie tożsamości osoby – porównanie

UODO RODO
art. 6 ust. 3  informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań; motyw 26 preambuły – (…) Aby stwierdzić, czy dana osoba jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić czy, dany sposób identyfikacji może być z uzasadnionym prawdopodobieństwem wykorzystany do identyfikacji danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebny do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny;

Dane osobowe w RODO – podsumowanie

Pojęcie danych osobowych zostało utworzone w RODO, wzorem Dyrektywy 95/46/WE Parlamentu europejskiego i Rady z 24 października 1995 r. oraz ustawy o ochronie danych osobowych z 29 sierpnia 1997 r., w oparciu o trzy elementy:

  1. informacja,
  2. dotycząca osoby fizycznej,
  3. zidentyfikowanej lub możliwej do zidentyfikowania.

Jak można wywnioskować z treści cytowanych w tabeli artykułów, zasadniczy sposób oraz koncepcja definiowania danych nie uległy zmianie na gruncie ogólnego rozporządzenia o ochronie danych.

Mimo, że RODO w przytoczonym motywie 26 preambuły nie powtarza podejścia znanego z art. 6 ust. 3 UODO tj. informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań, to skutek zastosowania normy jest zbliżony.

W związku z tym, dokonując oceny, czy informacja stanowi dane osobowe, należy uwzględnić koszt i czas niezbędny do dokonania identyfikacji osoby oraz dostępną technologię.

Istnieje prawdopodobieństwo, że dana informacja dla pewnego podmiotu będzie miała charakter danych osobowych, natomiast dla innego nie, ponieważ identyfikacja osoby wymagałaby od tego drugiego podmiotu poniesienia zbyt wysokich kosztów lub poświęcenia na to zbyt dużej ilości czasu.

Pseudonimizacja jest pojęciem, które nie występuje ani w Dyrektywnie 95/46/WE, ani w UODO. Termin ten zdefiniowany zostało natomiast w RODO, co obrazuje poniższa tabela.

Pseudonimizacja – porównanie

UODO RODO
brak definicji

art. 4 ust. 5 – oznacza przetworzenie danych osobowych, w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

motyw 28 preambuły – pseudonimizacja danych osobowych może ograniczyć ryzyko dla osób, których dane dotyczą, oraz pomóc administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych.

motyw 29 preambuły – aby zachęcić do stosowania pseudonimizacji podczas przetwarzania danych osobowych, należy umożliwić stosowanie u tego samego administratora środków pseudonimizacyjnych niewykluczających ogólnej analizy, o ile administrator ten zastosował środki techniczne i organizacyjne niezbędne do tego, by niniejsze rozporządzenie zostało wdrożone w zakresie danego przetwarzania i by dodatkowe informacje pozwalające przypisać dane osobowe konkretnej osobie, której dane dotyczą, były przechowywane osobno. Administrator przetwarzający dane osobowe powinien wskazać osoby uprawnione.

Anonimizacja – porównanie

UODO RODO
brak definicji

brak definicji

motyw 26 preambuły – zasady ochrony danych osobowych nie powinny mieć zastosowania do informacji anonimowych, czyli do informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować.

Uzupełnienie

Anonimizacja danych osobowych nie została zdefiniowana zarówno na gruncie dyrektywy 95/46/WE, ustawy o ochronie danych osobowych, jak i ogólnego rozporządzenia o ochronie danych osobowych. W związku z tym można założyć, że aktualne pozostaje stanowisko, zgodnie z którym anonimizacja danych osobowych oznacza pozbawienie informacji cech danych osobowych, a zatem możliwości identyfikacji na ich podstawie osoby fizycznej.

Pseudonimizacja jest z założenia działaniem odwracalnym, które polega na utajnieniu tożsamości, np. poprzez zaszyfrowanie danych przy pomocy określonego klucza. Zakłada możliwość reidentyfikacji danych osobowych, dlatego właśnie dane spseudonimizowane uważane są za dane osobowe na gruncie RODO.

Prowadzisz MŚP lub nadzorujesz prace niewielkiego urzędu państwowego? Zapraszamy do zapoznania się z pakietem RODO Optymalnie.

Sprawdź

Co ważne, stosowanie pseudonimizacji jest w wielu przepisach RODO traktowane jako spełnienie wymogu stosowania odpowiednich środków technicznych i organizacyjnych – art. 25 ust. 1 RODO “(…) administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja (…)”.

Administrator danych, który zdecyduje się na ochronę danych poprzez ich pseudonimizację, musi pamiętać, że dane spseudonimizowane oraz informacje pozwalające na identyfikację tj. szyfry, kody, dodatkowe informacje muszą być przechowywane osobno z zachowaniem odpowiednich środków ochrony.

Zagadnieniu pseudonimizacji poświęcimy jeszcze więcej miejsca na łamach naszego cyklu.

Ogólne rozporządzenie o ochronie danych osobowych, podobnie jak Dyrektywa 95/46/WE oraz ustawa o ochronie danych osobowych, wyodrębnia pewne kategorie danych, których przetwarzanie co do zasady jest zakazane, a dopuszczalne wyłącznie po spełnieniu dodatkowych warunków. Wyjątki od zakazu – szczególne podstawy dopuszczalności zostały wskazane w art. 9 ust. 2 RODO. W polskiej doktrynie, informacje te określa się mianem danych wrażliwych, natomiast Dyrektywa 95/46/WE i RODO posługują się pojęciem “szczególnych kategorii danych osobowych”.

Dane wrażliwe vs szczególne kategorie danych – porównanie

UODO RODO
art. 27 ust. 1 art. 9 ust 1
– pochodzenie rasowe lub etniczne – pochodzenie rasowe lub etniczne
– poglądy polityczne – poglądy polityczne
– przekonania religijne lub filozoficzne – przekonania religijne lub światopoglądowe
– przynależność wyznaniowa, partyjna lub związkowa – przynależność do związków zawodowych
– życie seksualne – dane dotyczące seksualności lub orientacji seksualnej
– wyroki, orzeczenia o ukaraniu i mandatach karnych oraz inne wydane w postępowaniu sądowym lub administracyjnym BRAK
– nałogi BRAK
BRAK – dane biometryczne

art. 4 pkt 14 – oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;

– stan zdrowia

– dane dotyczące zdrowia

art. 4 pkt 15 – oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie zdrowia.

motyw 35 preambuły – do danych osobowych dotyczących zdrowia należy zaliczyć wszelkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE; numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.

– kod genetyczny

– dane genetyczne

art. 4 pkt 13 – oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;

motyw 34 preambuły – dane genetyczne należy zdefiniować jako dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, uzyskane z analizy próbki biologicznej dane osoby fizycznej, w szczególności z analizy chromosomów, DNA lub RNA lub z analizy innych elementów umożliwiających pozyskanie równoważnych informacji.

Dane wrażliwe vs. szczególne kategorie danych – podsumowanie

Dane genetyczne stanowią na gruncie RODO jedną ze szczególnych kategorii danych osobowych. Ta kategoria informacji już dzisiaj, zgodnie z przepisami UODO, uznana została za dane wrażliwe.

Co ważne, przepisy ustawy nie definiują jednak pojęcia danych genetycznych. RODO wypełnia tę lukę wprowadzając zarówno definicję danych genetycznych, jak i danych biometrycznych.

Zdefiniowanie pojęcia danych genetycznych na gruncie RODO, w sytuacji, w której  obecnie (w przepisach UODO) ta kategoria danych zalicza się do szczególnych kategorii danych osobowych, nie będzie miało istotnego wpływu na zasady przetwarzania tych danych. Zupełnie inaczej będzie z pojęciem danych biometrycznych.

Przede wszystkim dlatego, że na gruncie RODO pojawia się definicja tego pojęcia. Dodatkowo, zalicza się je do szczególnej kategorii danych osobowych. Przetwarzanie danych biometrycznych, tak jak pozostałych danych osobowych zaliczanych do szczególnej kategorii danych, dopuszczalne jest w drodze wyjątku od zakazu, po spełnieniu szczególnych warunków opisanych w art. 9 ust. 2 RODO.

Dane biometryczne zakwalifikowano zatem do odpowiednika aktualnie istniejącej w przepisach UODO kategorii danych wrażliwych. Odegra to istotną rolę ze względu na istniejące już rozwiązania technologiczne oparte na danych biometrycznych, w szczególności służące do identyfikacji osób fizycznych (np. czytniki linii papilarnych).

Zgodnie z art. 9 ust. 4 RODO państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia.

Przetwarzanie szczególnych kategorii danych osobowych - najważniejsze zmiany:

  • wprowadzenie nowego pojęcia „szczególnych kategorii danych osobowych” zamiast dotychczas funkcjonującego w polskiej literaturze pojęcia „danych wrażliwych”;
  • zniesienie wymogu zgody na piśmie (jako jednej z przesłanek przetwarzania tych danych);
  • dodanie do tej kategorii danych biometrycznych, np. układ linii papilarnych, owal twarzy, obraz siatkówki oka;
  • obowiązkowe powołanie Inspektora Ochrony Danych, przy przetwarzaniu na dużą skalę;
  • obowiązek przeprowadzenia tzw. oceny skutków dla ochrony danych (m. in. w przypadku przetwarzania na dużą skalę danych szczególnej kategorii);

Dane wrażliwe    Szczególne kategorie danych

Porównując zakres szczególnych kategorii danych z  obecnym wykazem danych wrażliwych zawartym w art. 27 UODO należy zauważyć, że niektóre kategorie danych osobowych uznane obecnie za dane wrażliwe nie należą do szczególnych kategorii danych osobowych na gruncie RODO.

Artykuł 27 UODO do danych wrażliwych zalicza informacje o :

  • przekonaniach filozoficznych,
  • przynależności wyznaniowej ,
  • przynależności partyjnej,
  • skazaniach,
  • orzeczeniach o ukaraniu i mandatach karnych,
  • innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym
  • nałogach

Na gruncie RODO wyżej wymienione informacje nie stanowią szczególnych kategorii danych osobowych.

Co ciekawe, na gruncie RODO do szczególnych kategorii danych osobowych, zostały zaliczone dane ujawniające przekonania światopoglądowe. Pojęcie to nie ma swojego odpowiednika w UODO.

Przyjmuje się, że przekonania światopoglądowe to zespół sądów, przekonań, opinii na temat otaczającego nas świata, dotykających różnych dziedzin kultury. Idąc tym tropem, za dane ujawniające przekonania światopoglądowe moglibyśmy uznać np. stosunek do działań wojennych, polityki migracyjnej,  ale również opinię o weganizmie.

Prawdopodobnie dopiero praktyka i orzecznictwo pokaże nam, jak właściwie interpretować tę kategorię danych.

Wyroki skazujące i naruszenia prawa – porównanie

UODO RODO
art. 27 ust. 1

Dane wrażliwe

art.  10 – przetwarzanie danych osobowych dotyczących  wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust.  1 [Zgodność przetwarzania z prawem] wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych.

Na gruncie RODO informacje dotyczące wyroków skazujących i naruszeń prawa nie stanowią szczególnej kategorii danych. Dane te będą podlegały ogólnym regułom przetwarzania, o których mowa w art. 6 ust. 1 RODO [Zgodność przetwarzania z prawem]. 

Mimo, że podstawę przetwarzania tych danych stanowi art. 6 ust. 1 RODO, to będzie ono dopuszczalne wyłącznie po spełnieniu jednego z warunków przewidzianych w art. 10 RODO (tabela powyżej).

Tym samym, przetwarzanie danych dotyczących wyroków skazujących oraz naruszeń prawa będzie dopuszczalne wyłącznie pod nadzorem władz publicznych lub jeżeli prawo UE lub państwa członkowskiego przewidzi taką możliwość.

Co istotne, RODO obejmuje specjalnymi warunkami przetwarzania wyłącznie dane odnoszące się do “wyroków skazujących i naruszeń prawa” – oznacza to, że dane dotyczące “innych (niż dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych) orzeczeń wydanych w postępowaniu sądowym i administracyjnym” nie zostały objęte, jak ma to miejsce obecnie na podstawie przepisów art. 27 UODO, specjalnymi warunkami przetwarzania. Specjalne warunki przetwarzania nie będą zatem obejmowały danych osobowych dotyczących np. decyzji administracyjnych, które dzisiaj uznawane są za dane wrażliwe.

 Relacje między opisywanymi terminami dobrze oddaje poniższa infografika:

Warto wiedzieć, że zgodnie z art. 37 ust. 1 lit. c) RODO w sytuacji, gdy działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę danych dotyczących wyroków skazujących i naruszeń prawa konieczne będzie wyznaczenie Inspektora Ochrony Danych, czyli obecnego ABI.

 Podsumowanie

Pojęcie danych osobowych zbudowane jest w RODO wzorem dotychczas obowiązujących regulacji. Kluczowy sposób definiowania tego pojęcia na gruncie RODO również nie ulega zmianie.

Nie oznacza to jednak, że RODO klonuje znane od lat z Dyrektywy 95/46/WE i UODO definicje danych osobowych. Wyodrębnione zostały bowiem nowe kategorie danych oraz sprecyzowane te obecnie istniejące. Dlatego też, wejście w życie RODO, mimo, że nie wiąże się z rewolucyjnymi zmianami w definiowaniu pojęcia danych osobowych, to wymaga bardziej wnikliwej analizy.

Działania, które warto podjąć już dziś, to weryfikacja danych osobowych w oparciu o nowy podział. Przede wszystkim zalecane jest to podmiotom, które w związku z prowadzoną działalnością przetwarzają szczególne kategorie danych.

Uff, pierwsze kroki po przepisach RODO za nami, ale czeka nas jeszcze długa podróż! Kolejny artykuł poświęcony tematyce RODO już wkrótce na naszym blogu. Zapraszamy!

Stopień zmian30%

Moment do rozpoczęcia wdrażania zmian - przed 25.05.2018

Lista rzeczy do zrobienia


zidentyfikuj dane w oparciu o nowy podział: dane zwykłe, szczególne kategorie danych, dane objęte specjalnymi warunkami przetwarzania


upewnij się, że istnieją uzasadnione powody gromadzenia określonej kategorii danych w twojej organizacji

Przepisy prawa użyte w artykule

art. 4 ust. 5

art. 4 ust. 1

art. 4 pkt 13

art. 4 pkt 14

art. 4 pkt 15

art. 6 ust. 1

„pseudonimizacja” oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

“dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

„dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;

„dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;

„dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;

1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

art. 9 ust. 2

art. 9 ust. 1

art. 9 ust. 4

art. 10

art. 25 ust. 1

art. 37 ust. 1 lit. c)

Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
/gdlr_tab]

Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:
a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;

Państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia.

Przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych.

1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, ktart. 25 ust. 1
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania –wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

motyw 26

motyw 28

motyw 29

motyw 30

motyw 34

motyw 35

Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.

Pseudonimizacja danych osobowych może ograniczyć ryzyko dla osób, których dane dotyczą, oraz pomóc administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych. Tym samym bezpośrednie wprowadzenie pojęcia „pseudonimizacja” w niniejszym rozporządzeniu nie służy wykluczeniu innych środków ochrony danych.

Aby zachęcić do stosowania pseudonimizacji podczas przetwarzania danych osobowych, należy umożliwić stosowanie u tego samego administratora środków pseudonimizacyjnych niewykluczających ogólnej analizy, o ile administrator ten zastosował środki techniczne i organizacyjne niezbędne do tego, by niniejsze rozporządzenie zostało wdrożone w zakresie danego przetwarzania i by dodatkowe informacje pozwalające przypisać dane osobowe konkretnej osobie, której dane dotyczą, były przechowywane osobno. Administrator przetwarzający dane osobowe powinien wskazać osoby uprawnione.

Osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.

Dane genetyczne należy zdefiniować jako dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, uzyskane z analizy próbki biologicznej danej osoby fizycznej, w szczególności z analizy chromosomów, kwasu dezoksyrybonukleinowego (DNA) lub kwasu rybonukleinowego (RNA) lub z analizy innych elementów umożliwiających pozyskanie równoważnych informacji.

Do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE ( 1 ); numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.

 

Źródła:

 

 

Powiązane artykuły

Obowiązek informacyjny w RODO cz. 3
Obowiązek informacyjny w RODO cz. 2
Obowiązek informacyjny w RODO

71 Odpowiedzi

  1. Nina

    czy dokonując kontroli danych w firmie w protokole pokontrolnym (niespelniajacym warunków sprawozdania z uwagi na brak abi) dane biometryczne powinny zostać w jakiś sposób wyodrębnione jako nowa kategoria danych? chodzi o rejestr wejść do serwerowni gdzie mamy odcisk palca

    1. Kancelaria Lex Artist

      Według obecnego stanu prawnego (do 25 maja 2018 roku), odcisk palca nie stanowi tzw. danej wrażliwej (z art. 27 uodo). Wystarczy więc skonfrontować konieczność zbierania tej danej z zasadą adekwatności. Zakładając, że chodzi o wejścia do serwerowni gdzie znajdują się duże ilości bezcennych danych, adekwatność powinna się tutaj bronić.

      Zakładamy, że odciski palca są zbierane od pracowników organizacji – czyli w tym przypadku powinny być one wskazane przy opisie zakresu danych osobowych w zbiorze “pracownicy”.
      Pozostanie jeszcze dobranie przesłanki legalności – czyli w tym przypadku albo zgoda pracownika, albo (trochę bardziej ryzykowne ale do wybronienia) prawnie usprawiedliwiony cel.

      Po wejściu w życie RODO – będzie to już tzw. szczególna kategoria danych, podlegająca pod trochę zmodyfikowane przesłanki legalności. Będziemy o tym pisali w kolejnych artykułach z cyklu RODO Ready. Już wkrótce.

  2. Robert

    Bardzo merytoryczny i przystępnie napisany artykuł. Zabrakło mi tylko jednej rzeczy żeby mieć pełen obraz sytuacji. Rozumiem, że to na 100% dotyczy firm, których klientami są osoby fizyczne (konsumenci). A jak jest z firmami działającymi w modelu B2B?

    Czytając wprost powyższą definicję wychodzi, że dane pracowników kontrahentów (imię, nazwisko, służbowy e-mail i nr telefonu itd.) też są danymi osobowymi. Jeśli więc firma handluje tylko z przedsiębiorcami, to baza w jej systemie CRM też podlega pod te wszystkie przepisy. Zgadza się?

    1. Kancelaria Lex Artist

      Bardzo nam miło! 🙂

      Definicja danych osobowych według RODO, działa podobnie jak dzisiaj. Obejmuje więc wszelkie dane osobowe, również dane osobowe pracowników naszych kontrahentów (B2B).
      Zdecydowana większość systemów CRM, zawiera dzisiaj dane osobowe. I będzie je również zawierała po wejściu w życie RODO.

      1. Robert

        Witam serdecznie,

        Mam prośbę o konsultację.

        Generalnie pod rządami aktualnej jeszcze ustawy o ochronie danych osobowych w związku z ustawą o swobodzie działalności gospodarczej dane zawarte w CEiDG nie podlegają ochronie na podstawie UODO, z wyjątkiem przede wszystkim zapisów o zabezpieczeniu przetwarzania tych danych i nie trzeba pozyskiwać zgody na przetwarzanie danych.

        Pojawia się pytanie czy to wyłączenie będzie miało także zastosowanie pod rządami nowego Rozporządzenia /RODO/ , które zacznie obowiązywać od maja 2018 r.

        Pozdrawiam,

        1. Kancelaria Lex Artist

          Witamy serdecznie,

          wyłączenie spod ochrony UODO danych, które są jawne w CEIDG wynika ze zmian przepisów ustawy o swobodzie działalności gospodarczej, które weszły w życie z dniem 19 maja 2016 r. Zatem w obecnej chwili aby zmienić obowiązujący stan rzeczy konieczna byłaby zmiana tego aktu prawnego (nie UODO). Zapraszamy do lektury artykułu na naszym blogu https://blog-daneosobowe.pl/dane-osobowe-ceidg-nowelizacja-ustawy-o-swobodzie-dzialalnosci-gospodarczej/ Pozdrawiamy

  3. Krystyna

    W takim razie, służbowe dane osobowe ( często dostępne na stronach BIP czy innych ) to też dane osobowe w rozumieniu przepisów RODO?

    1. Kancelaria Lex Artist

      Tak – zdecydowanie są to dane osobowe według obecnie funkcjonujących przepisów i według przepisów RODO.
      Oczywiście należy pamiętać o tym, że mamy w Polsce dwie ważne i konkurujące ze sobą konstytucyjne wartości: prywatność oraz prawo do informacji (jawności życia publicznego).
      Obowiązuje i Ustawa o ochronie danych osobowych i ustawa o dostępie do informacji publicznej.
      Ujmując te kwestie na bardzo ogólnym poziomie – ustawa o dostępie do informacji publicznej nakazuje informowanie na stronach BIP np. o tym kto jaką pełni funkcję w urzędzie. W wielu przypadkach również o tym ile taka osoba zarabia.
      Z kolei ustawa o ochronie danych osobowych ma zagwarantować, żeby prywatność urzędników nie została zbyt mocno ograniczona. Na przykład poprzez publikowanie na stronach BIP ich numerów PESEL, adresów zamieszkania etc.
      To taka odwieczna walka prawa do informacji, z prawem do prywatności 🙂
      Kiedy ta walka się toczy i mamy pewną równowagę, to możemy czuć się bezpiecznie. Kiedy okazuje się, że urzędnicy nie mają w ogóle prawa do prywatności albo że obywatele nie mają prawa niczego się dowiedzieć o ich pracy – wtedy sytuacja nie jest korzystna.

  4. RobertS

    Kancelario, a trochę z innej beczki:) Czy obowiązek informacyjny zgodny z RODO należy realizować w stosunku do starych klientów również?

    1. Kancelaria Lex Artist

      Dobre pytanie!
      Mówiąc wprost, nie mamy na nie jeszcze jednoznacznej odpowiedzi.
      Ale uwzględnimy Pana praktyczne pytanie w kolejnej części cyklu, przy analizie kwestii obowiązków informacyjnych 🙂

  5. JoannaS

    Dzień dobry,

    Państwa blog jest bardzo pomocny, rozwiewa wiele wątpliwości. Jesteśmy przedsiębiorstwem produkcyjnym. Naszym głównym zbiorem danych osobowych są ,,Pracownicy”, który jest przetwarzany w wielu bazach danych. Część pracowników przedsiębiorstwa należy do związków zawodowych. Zgodnie z art. 9 pkt 1 rozporządzenia informacje o przynależność do związków zawodowych są danymi wrażliwymi. Moje pytania do Państwa: 1) Czy musimy wyodrębnić zbiór danych np. ,,Przynależność do związków zawodowych” i w szczególny sposób go zabezpieczyć? Czy w związku z tym, że te dane należą do zbioru ,,Pracownicy”, to nie ma potrzeby ich wyodrębniać w szczególny sposób i wystarczą procedury zabezpieczające, które przewidujemy dla tego zbioru? 2)Czy księga korespondencji i księga ewidencjonująca wejścia i wyjścia osób trzecich na teren zakładu, a funkcjonujące tylko w wersji papierowej muszą być zgłaszane do GIODO? Z tego co mi wiadomo nie, ale byłabym wdzięczna za potwierdzenie tej informacji?

    1. Kancelaria Lex Artist

      Dzień dobry,
      Bardzo nas cieszy Pani opinia-motywuje do dalszej pracy nad blogiem :-).
      1) Wyodrębnienie zbioru jest uzależnione przede wszystkim od Państwa potrzeb – Ustawa o ochronie danych osobowych nie precyzuje tej kwestii, pozostawia decyzję Administratorowi Danych. Jeśli do związku należy dużo osób, bądź też jest to organizacja o dużym znaczeniu w przedsiębiorstwie, można rozważyć stworzenie oddzielnego zbioru.
      2) Jeśli księga korespondencji i księga ewidencjonująca wejścia i wyjścia osób trzecich na teren zakładu funkcjonuje tylko w wersji papierowej nie ma potrzeby zgłoszenia do GIODO – art. 43, ust.1 pkt. 12

  6. Olga

    Witam,
    Firma w której pracuję zajmuje się sprzedażą towaru zarówno dla klientów indywidualnych jak i firm. Czy od klientów firmowych, które są ogólnodostępne (nazwa, adres, NIP itd.) musimy uzyskać zgody na przetwarzanie danych osobowych? Jak wygląda kwestia z adresami mailowymi i nr kontaktowymi osób, którym jako przedstawicielom firmy ofertujemy swoje produkty?

    Pozdrawiam,
    Olga

  7. Przemysław

    Witam,

    Jak wygląda sytuacja, gdy firma (JDG) jest podwykonawcą i korzysta tylko z narzędzi udostępnionych przez firmę zlecającą?
    Przykład:
    Usługi doradcze bądź szkoleniowe dla bazy klientów kontrahenta przy wykorzystaniu sprzętu kontrahenta: komputer, telefon etc.
    Podsumowując dane (imie, nazwisko, email, nr tel, nazwa firmy) gromadzone są na urządzeniach należących do kontrahenta (tam też jest stosowny CRM), a umowa zabrania przechowywania danych poza środkami należącymi do kontrahenta.

    1. Kancelaria Lex Artist

      Witamy,
      W opisanej sytuacji posiadamy zbyt mało informacji. Istotne jest to aby świadczenie usługi przez kontrahenta obywało się zgodnie z podpisaną w tym zakresie umową. Należy pamiętać również o zapisach dotyczących powierzenia przetwarzania danych osobowych. pozdrawiamy

  8. Heniek

    Dzień dobry, a ja mam pytanie o ponowne udostępnianie danych, które są już publiczne w internecie. Konkretnie chodzi mi o usługę, która wyszukuje adresy e-mail opublikowane już na jakiejś stronie www (wpisuję w wyszukiwarkę domenę, a wyskakuje mi lista adresów e-mail, które na tej stronie www istnieją lub istniały wcześniej). Czy przepisy sprzeciwiają się takiemu narzędziu? Załóżmy, że nie dochodzi do przetwarzania na żadne inne cele niż tylko odczytanie informacji. Czyli moje narzędzie jest tylko ułatwieniem do odnalezienia informacji na konkretnych stronach www (użytkownik musi sam wpisać domenę. Nie ma możliwości żadnego przeszukiwania domen ani nazwisk).

    1. Kancelaria Lex Artist

      Dzień dobry. W takiej sytuacji mamy do czynienia z przetwarzaniem danych osobowych. Adres e-mail również zaliczany jest do tej kategorii. Mimo, że został wcześniej udostępniony w innym miejscu, nie upoważnia to do dalszego jego przetwarzania przez inny podmiot. Do takiego przetwarzania potrzebne jest zaistnienie jednej z przesłanek przetwarzania danych osobowych np. zgody.pozdrawiamy

  9. Klaudia

    Witam,
    mam pytanie odnośnie danych osobowych we wspólnotach mieszkaniowych. Czy w związku z wejściem nowych przepisów zarządca nieruchomości powinien wprowadzić dodatkową ochronę danych osobowych.

    1. Kancelaria Lex Artist

      Dzień dobry. Tak, w związku z wejściem w życie przepisów RODO (które m. in. dotknie również wspólnoty mieszkaniowe) zarządca nieruchomości powinien wprowadzić dodatkową ochronę danych osobowych. Aby odpowiedzieć jednak konkretniej, potrzebne byłyby szersze informacje na temat danej wspólnoty mieszkaniowej: jakiego rodzaju dane przetwarza i jak obecnie wygląda poziom ochrony danych osobowych w organizacji. Pozdrawiamy!

  10. Adrian

    Dzień dobry, ja mam następujące pytania

    – czy wg RODO samo imię + nazwisko stanowi już dane osobowe? Np. taka lista obecności na szkoleniu, na której znajdują się wydrukowane imiona i nazwiska uczestników już stanowią dane osobowe? Jeśli nie, to kiedy samo imię i nazwisko są już danymi osobowymi?

    – czy samorządowe jednostki organizacyjne MUSZĄ powołać IDO (przetwarzając szczególne kategorie danych, np. dane o uzależnieniach, stanie zdrowia)

    – moja dyrekcja cały czas zwleka w powołaniem IDO myśląc, że zatrudni się jakąś kancelarie, która w kilka dni wszystko zrobi… jaki czas potrzebny jest na wdrożenie RODO zakładając, że wdrożenie musi objąć weryfikację i poprawienie całej dokumentacji (klauzule na umowach, polityki bezpieczeństwa itp).

    Pozdrawiam serdecznie,

    1. Kancelaria Lex Artist

      Dzień dobry, tak więc po kolei:
      1) W opisywanym przez Pana przypadku listy obecności na szkoleniu, naszym zdaniem, imię i nazwisko będą stanowiły dane osobowe. Odpowiedź na to, kiedy imię i nazwisko (same) są danymi osobowymi wg RODO brzmi – to zależy. 🙂 Generalnie zawsze wtedy, jeśli po samym imieniu i nazwisku (uwzględniając kontekst ich pojawienia się), można bezpośrednio lub pośrednio (nie ponosząc wysokich kosztów) zidentyfikować osobę fizyczną. Jeśli więc jest to np. imię i nazwisko pracownika firmy X, który brał udział w szkoleniu, to taką osobę bez większych kłopotów można zidentyfikować.

      2) Tak, obowiązek ten wynika z art. 37 ust. 1 ppkt a) oraz c) RODO.

      3) Na ostatnie pytanie ciężko odpowiedzieć. Wszystko zależy od tego, jak wygląda u Państwa w tej chwili poziom ochrony danych osobowych oraz jak szeroka jest Państwa działalność (a co za tym idzie – jak dużo danych Państwo przetwarzają). Może to być jednak kilka miesięcy.

      Pozdrawiamy!

  11. Jarek

    Dzień dobry,

    Bardzo pomocny blog. Świetna robota!
    Moje pytanie dotyczy definicji danych osobowych.
    1. Czy personalia przedstawiciela jakiegoś organu państwowego np. na protokole kontrolnym stanowią w myśl RODO dane osobowe?
    2. Personalia osób podpisujące np. układ zbiorowy pracy (który co do zasady jest ogólnodostępny , stanowią dane osobowe?

    1. Kancelaria Lex Artist

      Dzień dobry:

      1) art. 86 RODO mówi na ten temat bardzo ogólnie, przyjmuje się jednak, że kwestię trzeba rozpatrywać w połączeniu z Ustawą o dostępie do informacji publicznej. Personalia przedstawiciela organu państwowego zawsze są danymi osobowymi, jednak niektórzy z nich (przede wszystkim funkcjonariusze publiczni) korzystają z ograniczonej ochrony swoich danych osobowych. Przy czym z ograniczonej ochrony korzystają przede wszystkim osoby, które mają kompetencje do wydawania decyzji administracyjnych lub do dysponowania majątkiem publicznym.
      2) Jak najbardziej tak.

      Pozdrawiamy!

  12. Kamila

    Dzień dobry,
    Po przeczytaniu Państwa bloga zaczynam wreszcie rozumieć o co chodzi 😉 Bardzo przejrzyście i czytelnie.
    Nigdzie jednak nie widziałam informacji co w przypadku gdy firma wypożycza klientowi swoje urządzenie
    (automat w Centrum Handlowym wypożyczający sprzęt). Klient może zapłacić kartą bądź gotówką, jednak gdy płaci gotówką jest proszony o przesunięcie Dowodu w czytniku. Automat odczytuje imię i nazwisko, nr dowodu. Dane te są w systemie tylko w czasie wypożyczenia sprzętu. Po oddaniu sprzętu są usuwane automatycznie. Czasem więc klient wypożycza sprzęt na 20 min czasem na 3 h.
    Co w takim przypadku?
    Jeśli trzeba zgłaszać zbiór to jak to zrobić skoro codziennie są nowi klienci ale każdego dnia ich dane są automatycznie usuwane z systemu? Czyli zbioru faktycznie nie ma. W takim wypadku jakie formalności należałoby wykonać?

    1. Kancelaria Lex Artist

      Witamy i cieszymy się, że rozjaśniamy nieco mroki prawa ochrony danych osobowych. 🙂 W sytuacji, którą Pani opisuje, mimo automatycznego usuwania danych osobowych po zakończeniu wypożyczenia (co należy pochwalić), mamy do czynienia (nawet jeśli przez 20 minut) z przetwarzaniem danych w zbiorze. Z technicznego punktu widzenia, jeśli zgłosiliby Państwo zbiór “Klienci”, to przed wejściem w życie RODO (tj. 25 maja 2018 r.) najprawdopodobniej nie zostałby zarejestrowany – średni czas rejestracji zbioru w GIODO wynosi nawet rok. Co do samego zbioru – to nie jest tak, że muszą znaleźć się w nim konkretne imiona i nazwiska Klientów. Zbiór obejmuje kategorie osób, których dane są przetwarzane. Niestety nie da się opisać wszystkich możliwych przypadków – życie jest dużo bogatsze niż prawo. 😉 Pozdrawiamy!

  13. Anna

    Witam,

    codziennie na mój służbowy adres mailowy wpływają maile z zapytaniem o pracę (CV), oferty współpracy od osób fizycznych itp. czy w związku z tym staję się administratorem danych? Nigdy nie odpowiadam na te maile, usuwam je tylko z skrzynki pocztowej. Czy powinnam podjąć dodatkowe czynności? Dziękuje za odpowiedź

    1. Kancelaria Lex Artist

      Dzień dobry. Kwestia, czy jest Pani administratorem danych osobowych zależy od tego, czy funkcjonuje Pani jako pracownik/współpracownik w jakiejś organizacji (wówczas to ta organizacja jest administratorem danych), czy też prowadzi Pani np. jednoosobową działalność gospodarczą (wtedy jest Pani administratorem danych). Jeżeli jest Pani administratorem danych, to należy dopełnić obowiązku informacyjnego z art. 24 ust. 1 UODO. Jeżeli natomiast jest Pani pracownikiem/współpracownikiem w jakiejś organizacji, to warto byłoby zastanowić się, dlaczego maile z CV i oferty współpracy wpływają na Pani skrzynkę, a nie np. na jakiś ogólny adres e-mail przeznaczony do rekrutacji. Pozdrawiamy!

  14. Anna

    Witam,

    dziękuję za powyższą odpowiedź, uszczegółowię powyższe. Prowadzę jednoosobową działalność gospodarczą. Mojego służbowego adresu mailowego nie ma na stronie firmowej. Na stronie mam zapis “W trosce o zapewnienie najwyższego standardu bezpieczeństwa wszelkie przesłane do nas dokumenty zawierające dane osobowe, a nie związane bezpośrednio z realizowanymi przez nas zleceniami będą podlegać natychmiastowemu usunięciu i/lub zniszczeniu bez informowania nadawcy o tym fakcie”. zastanawiam się czy powyższy zapis jest wystarczający, nie usuwam danych z serwera tylko i wyłącznie ze skrzynki pocztowej.

    1. Kancelaria Lex Artist

      Powinna Pani spełnić obowiązek informacyjny z art. 24 ust. 1 ustawy o ochronie danych osobowych, tym bardziej, jeśli nie usuwa Pani danych z serwera. Pozdrawiamy!

  15. Dziękuję za ten artykuł, będę pewnie jeszcze do niego wracała 🙂 Mam pytanie odnośnie przetwarzania danych osobowych w hotelach. Przyjmując rezerwację telefoniczną, a następnie wysyłając potwierdzenie rezerwacji na maila musimy w potwierdzeniu rezerwacji zawrzeć informację o przetwarzaniu danych? Drugą kwestią sporną jest ilość danych jakie hotel może pobrać. Co możemy pobrać od gościa oprócz imienia, nazwiska, adresu zamieszkania? Możemy pobrać pesel lub nr. dow. tożsamości? Dane te pobierane są ze względu na ewentualne roszczenia hotelu wobec gościa (gość narobił szkód).

    1. Kancelaria Lex Artist

      Dzień dobry, dziękujemy za miłe słowa. 🙂 Po pierwsze – tak, są Państwo zobowiązani na gruncie RODO spełniać obowiązek informacyjny, z tym że powinien być on spełniony już przy wypełnianiu formularza rezerwacji. Co do ilości danych – radzimy nie pobierać zbyt szerokiego ich zakresu (w tym nr PESEL lub nr dowodu tożsamości), w razie szkód zastosowanie znajdzie art. 126 Kodeksu postępowania cywilnego, który mówi, jaki zakres danych mogą zawierać pisma procesowe (imię, nazwisko + adres zamieszkania przy pierwszym piśmie w sprawie). Pozdrawiamy!

      1. Bardzo dziękuję za odpowiedź! Niestety wprowadzone są nowe dowody tożsamości, gdzie nie ma podanego adresu zamieszkania. W karcie meldunkowej gość sam wpisuje adres zamieszkania, co za tym idzie jeżeli skłamie i narobi szkód w hotelu, to mamy jedynie imię i nazwisko. Mając samo imię i nazwisko osoba ta praktycznie staje się niemożliwa do zidentyfikowania – dlatego szukam jeszcze dodatkowych, zgodnych z prawem, danych, które mogę uzyskać od gościa. Czy numeru pesel nie możemy pobierać nawet jeżeli gość wyraził zgodę na przetwarzanie danych osobowych?

        1. Kancelaria Lex Artist

          Na gruncie RODO, pobierając PESEL gościa (nawet mimo jego zgody), można narazić się na zarzut naruszenia zasady minimalizacji danych zawartej w art. 5 ust. 1 lit. c RODO. Takie działanie może zatem stwarzać ryzyko prawne naruszenia przepisów RODO. Pozdrawiamy!

  16. Sebastian

    Witam, Powiem szczerze, że pomimo, że artykuł wiele wyjaśnia (szacunek za rzetelność i przystępność tekstu) ja nie wiem co mam zrobić w mojej firmie.
    Prowadzę jednoosobową działalność gospodarczą, współpracuję tylko z firmami B2B (jedyny dokument jaki wystawiam to f-vat), moje pytanie jest 2 częściowe:
    1) czy dane firm w programie do wystawiania faktur (program online zewnętrznej firmy) jest zbiorem, za który odpowiadam
    2) czy mail np z zapytaniem ofertowym, czy zamówieniem w którym jest imię nazwisko, często stanowisko, tel, mail, nazwa firmy itd – to są dane osobowe, za które odpowiadam (nie drukuję tych mail, nie ściągam ich na komputer – są na serwerze zewnętrznej firmy – dostawcy usług).

    1. Kancelaria Lex Artist

      Witamy i dziękujemy za miłą recenzję! 🙂 Zatem po kolei:

      1) tak, są to dane Pana Klientów, a zatem Pan (jako osoba prowadząca firmę) jest ich administratorem, w przypadku outsourcingu usług IT, który Pan opisuje, koniecznym jest zawarcie umowy powierzenia z firmą będącą dostawcą aplikacji.

      2) Tak, są to dane osobowe i jeśli przechowywane są na serwerach firmy zewnętrznej – również należy zawrzeć z tą firmą umowę powierzenia.

      Pozdrawiamy!

  17. Paweł

    Dzień dobry,

    mam pytanie dotyczące obowiązku informacyjnego, w przypadku prowadzenia rejestru wniosków o udostępnienie informacji publicznej. Jako jednostka podlegająca ustawie o dostępie do informacji publicznej, rejestrujemy kto wystąpił do nas z takim wnioskiem. Wnioski wpływają praktycznie zawsze drogą mailową. Na tej podstawie dysponujemy imieniem, nazwiskiem i oczywiście adresem mail. Czy z chwilą otrzymania takiego wniosku, powinniśmy spełnić obowiązek informacyjny wobec osoby wnioskującej ? Z góry dziękuję za odpowiedź.

    1. Kancelaria Lex Artist

      Dzień dobry. Należy spełnić obowiązek informacyjny, jednak nie ma według nas potrzeby odpowiadania na każdego maila. Wystarczy na stronie internetowej, na której podany jest adres e-mail instytucji, zamieścić klauzulę informacyjną. Pozdrawiamy!

  18. Magda

    Wielkie podziękowania za ogrom pracy, którą Państwo wkładacie w rozjaśnianie mroków RODO. Niestety im dłużej zastanawiam się nad pewnym problemem tym większy mętlik mam w głowie – otrzymujemy od klienta konkretne dane w celu realizacji usług (imię, nazwisko, numer telefonu, najczęściej jest to numer prywatny, mogą to być pracownicy lub osoby prywatnie związane z klientem) – jest to lista z wykazem danych do kontaktu w określonych sytuacjach.
    Czy w związku z tym, że usługa świadczona jest dla klienta to on jest administratorem danych, a my tylko przetwarzającym?Czy też my jesteśmy administratorem, bo te dane są niezbędne w celu prawidłowej realizacji usługi?
    I czy klient powinien formalnie powiadomić osoby, których dane nam przekazuje, że to zrobił, czy raczej powinny one wyrazić na to zgodę, jeżeli nie wynika to np. z ich obowiązków służbowych, a przekazany numer telefonu jest ich prywatnym? Czy powinniśmy gromadzić w związku z tym oświadczenie klienta, że przekazanie danych nie narusza praw tych osób?

    1. Kancelaria Lex Artist

      Dzień dobry i dziękujemy na początek za miłą opinię! 🙂 Sprawa wygląda tak, jeżeli Państwa klientem jest jakaś firma, dla której świadczycie usługi na zasadzie outsourcingu, to mamy do czynienia z relacją powierzenia przetwarzania danych osobowych. Wówczas istnieje konieczność zawarcia umowy powierzenia. Państwo występują jako podmiot przetwarzający (procesor), natomiast Państwa klient jest administratorem danych osobowych. Klient powinien, jako administrator danych osobowych, spełnić obowiązek informacyjny lub pozyskać zgodę osoby na przetwarzanie jej danych (tutaj już sytuacja zależy od tego, w jakim celu administrator pozyskuje dane). W klauzuli informacyjnej, zgodnie z RODO, należy również zamieścić o podmiotach przetwarzających (a przynajmniej o ich kategoriach np. podmioty świadczące usługi IT), ponieważ zgodnie z RODO, podmioty przetwarzające (procesorowie) są również odbiorcami danych. Pozdrawiamy!

  19. Paweł

    Dzień dobry. Czy jeśli program/aplikacja lokalna(baza danych w miejscu) nie przetwarza danych osobowych spełnia inne zadania ale każdy użytkownik/pracownika ma założone konto(imię, nazwisko, rodzaj uprawnień) czy wówczas też mamy do czynienia z przetwarzaniem, gromadzeniem danych osobowych? Jeśli tak to czy dobrze to rozumiem, że każda aplikacja jeśli tylko mam możliwość logowania, a wiadomo do loginu należy zawsze przypisać użytkownika(imię, nazwisko) będzie aplikacją przetwarzającą dane osobowe?

    1. Kancelaria Lex Artist

      Dzień dobry. Tak, również w tym przypadku mamy do czynienia z przetwarzaniem danych osobowych. Pozdrawiamy!

  20. Natalia

    Dzień Dobry,

    nie wiem, gdzie moje pytanie zadać, gdyż nie znalazłam takiego wpisu na interesujący mnie temat.

    Chciałam się zapytać, jakie dane osobowe można pozyskać odnośnie sędziów sadów powszechnych z ministerstwa, bądź z poszczególnych sądów?

    Wiem, ze sędziowie kiedyś (nie wiem czy tez w chwili obecnej) wypełniali kwestionariusze osobowe, w których jest opisana ich droga zawodowa.
    Czy takie kwestionariusze można uzyskać na podstawie dostępu do info. publicznej?
    Czytałam, ze jest jakiś wyrok NSA (niestety nie znam szczegółów), w którym sad orzekł, ze można uzyskać min. informacje dotyczące daty urodzin sędziów, ilości dzieci, info. dotyczące kariery zawodowej.

    Czy spotkali się Państwo kiedyś z takim zagadnieniem?

    Informacje odnośnie osób pełniących władze wykonawcza, ustawodawcza są powszechnie dostępne. Natomiast odnośnie władzy sadowniczej już nie, dlaczego?

    1. Kancelaria Lex Artist

      Dzień dobry. Obiło nam się o uszy to zagadnienie i stanowisko orzecznictwa nie opowiada się jednoznacznie za ujawnianiem informacji dotyczących sędziów. Co do sędziów, to są dwie drogi pozyskania o nich informacji – oświadczenia majątkowe, które zgodnie z Prawem o ustroju sądów powszechnych są publikowane w Biuletynie Informacji Publicznej (tam jednak, zgodnie z przepisami, publikuje się jedynie imię i nazwisko sędziego, jeżeli chodzi o dane osobowe), druga opcja to dostęp do informacji publicznej i w tym zakresie NSA wypowiedział się 5 stycznia 2017 r. (sygnatury: I OSK 590/15, I OSK 3169/15, I OSK 2437/15), w których stwierdził m. in., że: data urodzenia sędziego jest informacją publiczną, z kolei co do adresu zamieszkania NSA wskazał, że zależy to od indywidualnego przypadku, cytując “Ujawnienie informacji publicznej jednak nie może w każdym wypadku mieć pierwszeństwa przed ochroną prywatności. Trzeba indywidualizować przypadki, rozpatrywać odrębnie dla każdego sędziego” oraz “Jeśli np. adres znajduje się w dużym mieście, to trudno zlokalizować miejsce zamieszkania sędziego, jeżeli natomiast sędzia mieszka w małej wiosce, to wkroczenie w jego prywatność nie jest rudne. I dlatego w tych ostatnich wypadkach, można odmówić podania adresu”. Pozdrawiamy!

  21. Jarosław

    Dziękuję za świetne opracowanie i przekazanie informacji na temat RODO. Mam jednak kilka wątpliwości:
    1. Wg RODO istnieje obowiązek informacyjny wobec osób, które wyraziły zgodę na przetwarzanie danych osobowych przed wejściem życie dyrektywy, chyba że osoba została poinformowana zgodnie z wytycznymi dyrektywy. RODO wprowadza nowe obowiązki informacyjne, więc praktycznie nikt nie jest odpowiednio poinformowany. Czy w takim razie firma musi poinformować wszystkich swoich klientów (osoby fizyczne) z ostatnich 5 lat (obowiązek przechowywania faktur) oraz pracowników (obowiązek przechowywania dokumentów przez 50 lat)?
    2. Czy funkcjonowanie papierowej księgi wejść/wyjść lub pobrań/zwrotów kluczy będzie miało uzasadnienie w świetle RODO – czy nie będzie to ujawnienie danych osobowych?
    3. Czy w przypadku księgi wejść/wyjść (która dotyczy nie tylko pracowników) w formie papierowej czy też elektronicznej, ciąży na firmie obowiązek informacyjny wobec osoby wpisującej się do księgi?
    4. Czy karty pracy – np. kierowców lub stanowiskowe (jedno stanowisko pracy obsługuje kilku pracowników i odnotowują ten fakt wraz z godzinami pracy na wspólnym formularzu dot. danego stanowiska) mają być traktowane jako dane osobowe wg RODO?

    1. Kancelaria Lex Artist

      Dzień dobry. Rozumiemy Pana wątpliwości – też je czasem mamy w stosunku do RODO. 🙂 Postaramy się jednak odpowiedzieć:

      1) Niestety tak powinno się zrobić,
      2) Będzie miało uzasadnienie, ponieważ podstawą prawną będzie prawnie uzasadniony interes administratora danych. Proszę pamiętać jednak o tym, aby nie zbierać danych w zbyt dużym zakresie – tylko takie dane, które są niezbędne do tego procesu (zazwyczaj imię, nazwisko i organizacja),
      3) Tak,
      4) Jak najbardziej tak.
      Pozdrawiamy!

      1. Piotr

        Ad. 1 Czy RODO nie nakłada w tym przypadku zbyt wygórowanych wymagań w stosunku do podmiotów przetwarzających dane? Nie wyobrażam sobie bowiem możliwości skutecznego poinformowania pracownika, który nie pracuje w firmie od 20 lat. Czy w tym przypadku nie nadinterpretujemy przepisów dyrektywy, będąc nauczonymi podejściem kontrolerów?

        Ad. 2 W tym przypadku został podniesiony ciekawy temat ujawnienia danych – w gruncie rzeczy z księgą wejść/wyjść w firmach czy obecności na różnego rodzaju szkoleniach zapoznają się osoby postronne.

        Ad. 4 Wygląda więc na to, że odnosząc się literalnie do definicji danych osobowych w RODO, zbiorem danych osobowych będą jakiekolwiek dokumenty wytworzone w firmie, które zostały w jakikolwiek sposób oznaczone imieniem i nazwiskiem pracownika – każda umowa (podpisy osób umocowanych do zawierania umów), każda faktura sprzedaży (dane osoby wystawiającej fakturę), każda faktura zakupu (dekrety kosztowe), każdy dokument magazynowy (podpis osoby generującej dokument, wydającej czy przyjmującej towar) i końca nie widać.

        1. Kancelaria Lex Artist

          Dziękujemy za merytoryczną dyskusję, postaramy się odnieść do poszczególnych punktów:

          1) Zdajemy sobie sprawę, że tak szeroko zakrojony obowiązek informacyjny może być uciążliwy, jednak spoglądając w przepisy rozporządzenia, taki obowiązek musiałby być spełniony. Warto jednak poczekać na interpretacje lub wytyczne naszego rodzimego organu nadzoru, który być może podejdzie do sprawy bardziej “po ludzku”.

          2) Rzeczywiście, istnieje takie ryzyko. Jednak należy zwrócić, w zakresie księgi wejść/wyjść, uwagę na dwie rzeczy – taka księga może być dziś prowadzona w wersji elektronicznej (niekoniecznie są w niej wymagane podpisy gości w budynku), drugi aspekt jest taki, iż osoba na recepcji/ochroniarz może w sposób fizyczny uniemożliwić podgląd przez gości imion i nazwisk innych osób np. zakrywając je kartką papieru.

          3) Tak należałoby przyjąć – jednak uspokajamy, nie jest w pełni tak, że końca nie widać. 🙂 Przede wszystkim RODO zmienia podejście do “zarządzania” danymi osobowymi. Od 25 maja 2018 r. nie będziemy stosowali podejścia opartego na zbiorach (można go ująć jako statyczne) do podejścia opartego na procesach (dynamicznego). To oznacza, że nie będzie potrzeby wyodrębniania dużej ilości zbiorów (zresztą, prawidłowo wyodrębnione zbiory na gruncie UODO, też nie są ogromną liczbą), lecz będzie obowiązek wyodrębniania procesów przetwarzania danych osobowych.

          Pozdrawiamy!

  22. Maciej

    Witam,

    Wielkie dzieki za bardzo merytoryczny wpis. Pytanie:

    Firma telekomunikacyjna obsługująca już istniejących klientów B2B (tylko B2B, nie osoby fizyczne) może kontaktować się ze swoimi klientami (B2B, którzy już posiadają usługi mojej firmy) czy musi najpierw uzyskać zgodę ?

    Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry i dziękujemy od razu za miłe słowa! 😀 Odpowiadają na pytanie – to zależy w jakim celu jest kontakt i jak wygląda dotychczasowa współpraca oraz czym są klienci B2B. Jeśli klientami są osoby fizyczne prowadzące działalność gospodarczą, a relacja wygląda następująco: mają Państwo jakąś współpracę w jakimś zakresie (np. na podstawie umowy), a chce Pan również telefonować w ramach działań marketingowych, to będzie konieczne uzyskanie zgody z ustawy Prawo telekomunikacyjne. Pozdrawiamy!

  23. Maciej

    Bardzo dziękuję za odpowiedz. Jeszcze tylko dopytam – czy jeśli klient w oświadczeniu woli wyraził zgodę na kontakt telefoniczny, to wtedy możemy do niego zadzwonić w sprawie przedstawienia oferty (oczywiście mam na myśli klienta, który już posiada nasze usługi) ?

  24. Lidia

    Szanowna Kancelario
    Chciałam dopytać o kwestię tajemnicy zawodowej w kontekście przetwarzania danych szczególnej kategorii. Czy jeżeli lekarz ją złamie czy przetwarzaniu czy grozi mu odpowiedzialność bezpośrednia i jak ona będzie się kształtować.
    Serdecznie dziękuje za pomoc

    1. Kancelaria Lex Artist

      Dzień dobry! Odpowiedzialność za naruszenie tajemnicy zawodowej jest poddana odrębnemu reżimowi prawnemu od odpowiedzialności za naruszenie przepisów o ochronie danych osobowych. Jedna jednak nie wyklucza drugiej. Jeżeli chodzi o złamanie przepisów ustawy o ochronie danych osobowych, to przede wszystkim będzie wchodziła w grę odpowiedzialność karna z art. 51 ustawy, a także ewentualne roszczenia o naruszenie dóbr osobistych z art. 23 Kodeksu cywilnego. Pozdrawiamy!

  25. Mateusz

    Szanowni Państwo!

    Definicja danych osobowych według RODO: art. 4 ust. 1 – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

    Przykład:
    Fotograf na ogólnodostępnej imprezie w klubie wykonuje zdjęcia uczestnikom (najczęściej zdjęcie pozowane). Następnie zdjęcia zamieszcza na stronie internetowej klubu.
    Czy takie zdjęcie na stronie internetowej klubu, beż żadnych innych danych (opisów, imion itp.), jest daną osobową?
    Czy samo zdjęcie spełnia przesłankę, że ta osoba jest już zidentyfikowana? Kim jest osoba zidentyfikowana? Czy to zidentyfikowania potrzebne jest coś więcej w tym konkretnym przypadku np. zdjęcie podpisane imieniem i nazwiskiem tej osoby?

    Pytanie zasadnicze więc brzmi: Czy samo zdjęcie osoby spełnia przesłankę, że ta osoba jest już zidentyfikowana? Nie posiadającym przy tym żadnych innych danych tej osoby?

    1. Kancelaria Lex Artist

      Dzień dobry. To, czy pewien zestaw danych, stanowi dane osobowe w rozumieniu RODO, zależy przede wszystkim od kontekstu, w jakim dane są przedstawione. Na gruncie RODO przyjmuje się, dane osobowe to dane dotyczące osoby zidentyfikowanej lub możliwej do zidentyfikowania tj. takiej, którą po konkretnym zestawie danych jesteśmy w stanie zidentyfikować bez nadmiernego wysiłku i kosztów. W opisywanym przez Pana przypadku osoba fotografowana jest możliwa do zidentyfikowania chociażby tylko przez ludzi, którzy znają ją osobiście (wizerunek będzie stanowił zatem wystarczający zestaw danych, aby taką osobę zidentyfikować). Odpowiadając zatem krótko na Pana pytanie – tak, zdjęcie osoby będzie spełniało przesłankę, że taka osoba jest zidentyfikowana lub możliwa do zidentyfikowania. Pozdrawiamy!

  26. Paulina

    Witam, dziękuję za bardzo pomocny artykuł. Mam również pytanie. Pracuję w biurze podróży, w sytuacji kiedy klient dzwoni z prośbą o wysłanie ofert na maila (podaje swój adres mailowy ewentualnie imię nazwisko i numer telefonu – choć niekoniecznie – czasem jest to sam adres mailowy). W takiej sytuacji powinnam uzyskać od klienta zgodę na wysłanie ofert? czy nie muszę mieć takiej zgody a jedynie zgodę na przetwarzanie danych w momencie dokonywania rezerwacji?
    Klient osobiście nigdy u mnie nie był (może też być tak że fizycznie klient nigdy u mnie się nie pojawi ponieważ wszystkie sprawy możemy załatwić online).

    1. Kancelaria Lex Artist

      Dzień dobry. Jeżeli posiadają Państwo możliwość rejestrowania rozmów telefonicznych, to wówczas zgoda udzielona telefonicznie jest ważna i (co ważniejsze) nie będzie również kłopotów z ewentualnym wykazaniem, że taką zgodę Państwo uzyskali. Zgoda na wysyłkę informacji handlowej drogą elektroniczną (np. mailowo) powinna być udzielona. Pozdrawiamy!

  27. Mateusz

    Artykuł 28 RODO

    “Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora (…) ”

    Jakie istnieją przykładowe instrumenty prawne (inne niż umowa) , które mogą być zastosowane w naszym kraju?

    1. Kancelaria Lex Artist

      Takim przykładem może być chociażby porozumienie między organami administracji publicznej, zawierane na gruncie prawa administracyjnego. Pozdrawiamy!

  28. Dar3k

    Dzień dobry!
    Jak należy odpowiedzieć na zgłaszane żądanie udzielenia informacji o zakresie przetwarzanych danych osobowych w przypadku, gdy dostępny administratorowi zestaw danych w systemie to: imię, nazwisko i data urodzenia + nr zamówienia?
    Nie mając nr PESEL nie jestem w stanie jednoznacznie stwierdzić, czy odnajdując w bazie rekord z imieniem i nazwiskiem oraz zgodną z podawaną w zapytaniu datą urodzenia mam w ręku dane osoby, która pyta, nie mając dostępu do bazy PESEL, która mogłaby potwierdzić, że nie ma drugiej osoby tak samo się nazywającej i urodzonej w tym samym dniu. W szczególności, jak podejść do żądania usunięcia danych?

    1. Kancelaria Lex Artist

      Dzień dobry. To bardzo ciekawa kwestia. 🙂 Zgodnie z wykładnią art. 12 ust. 6 RODO, na administratora danych osobowych nałożony jest nakaz potwierdzenia tożsamości wnioskodawcy w sposób niebudzący wątpliwości. Dodatkową wskazówką interpretacyjną jest motyw 64 preambuły do RODO, który wskazuje, że ADO powinien skorzystać z wszelkich rozsądnych środków w celu zweryfikowania tożsamości żądającej dostępu osoby. W razie braku możliwości zweryfikowania osoby, która występuje z żądaniem, administrator danych ma nawet prawo odmówić spełnienia żądania. Pozdrawiamy!

  29. Gabriela

    Witam,

    1. czy na publikację zdjęć pracowników na stronie firmowej potrzebna jest ich zgoda?
    2. co w przypadku kiedy na swoim profilu na stronie firmy pracownicy mogą sami umieszczać swoje zdjęcia lub inne informacja o sobie?

    1. Kancelaria Lex Artist

      Dzień dobry. Przyjmujemy, że jeśli chodzi o strony internetowe kierowane “na zewnątrz” potrzebna jest zgoda na przetwarzanie danych osobowych od pracowników. Jeśli chodzi o wszelkie elektroniczne wewnętrzne formy komunikacji np. intranet, zgody nie potrzebujemy, a podstawą prawną przetwarzania wizerunku jest prawnie uzasadniony interes administratora danych (art. 6 ust. 1 lit. f RODO). Nie należy jednak zapominać (w obu konfiguracjach) o pozyskaniu zgody na rozpowszechnianie wizerunku przewidzianej w art. 81 ustawy o prawie autorskim i prawach pokrewnych. Pozdrawiamy!

  30. Gabriela

    Dziękuję! W tym drugim przypadku chodziło o to, że pracownicy sami tworzą swój profil (mogą tam umieścić zdjęcie) na stronie firmy, która kierowana jest na zewnątrz, tak więc rozumiem, że jeśli sami decydują jakie informacje zamieszczają, to nie musimy mieć od nich zgody?
    A co w sytuacji, w której w firmie osobą reprezentująca administratora danych, jest dyrektor do spraw administracyjnych, ale jest także główny dyrektor firmy i jeszcze jeden zastępca… czy tych 2 dyrektorów również powinno posiadać upoważnienia do przetwarzania danych? pozdrawiam

  31. Dzień dobry, Moje pytanie dotyczy organizacji i przeprowadzania przetargów na nieruchomości i ruchomości. Świadczymy usługi w zakresie organizacji i przeprowadzania przetargów na zlecenie naszych klientów, dotyczy osób fizycznych oraz prawnych – firmy itp. W kilku zdaniach opiszę sytuację:
    1. Zawieramy umowę cywilno-prawną zlecającą nam organizację i przeprowadzenie przetargu np. na nieruchomość. Zleceniodawca między innymi wyznacza cenę wywoławczą oraz przedkłada stosowne dokumenty, które są niezbędne do umieszczenia w ogłoszeniu przetargowym. W dokumentach typu wypis z rejestru gruntów, wypis z rejestru budynków, wszelkiego rodzaju wymagane zaświadczenia dot. zbycia nieruchomości, operat szacunkowy oraz nr KW. w księdze wieczystej i ww dokumentach są dane osobowe. Jako organizator zgodnie z umową zlecenia ogłaszamy przetarg zamieszczając w ogłoszeniu ww załączniki więc mam pytanie jak to się ma pod względem prawnym dotyczącym zarówno obecnych oraz nowych przepisów RODO?
    Nie mniej jednak należy dodać, że zainteresowany ogłoszeniem przetargowym chce zapoznać się ogólnie mówiąc z “metryką nieruchomości – dot. wymienionych załączników” przecież nikt nie weźmie inaczej (wpłacając wadium) udziału w przetargu – nie będzie licytował kupując kota w worku!
    2. Jakie rozwiązania stosować będą np komornicy?
    3. Czy wystarczy jak w umowie z naszym klientem zlecającym naszej firmie organizację i przeprowadzanie przetargów na jego nieruchomość zawrzemy odrębny paragraf, że wyraża zgodę na publiczne udostępnianie jego danych osobowych? Proszę o interpretację oraz poradę.
    4. Już ostatnie moje pytanie na zasadzie przykładu: zlecam ogłoszenie np w prasie podając w jego treści m.in. dane osobowe czy wydawcy gazety obowiązują przepisy RODO i inne związane z danymi osobowymi ?
    Pozdrawiam serdecznie

    1. Kancelaria Lex Artist

      Dzień dobry. Z opisanej relacji wynika, iż powinni Państwo z klientami, na rzecz których organizują Państwo przetarg, zawrzeć umowę powierzenia przetwarzania danych osobowych. Komornicy, prasa jak i inne podmioty “medialne” również będą obowiązane stosować RODO. Inne pytania wymagają znacznie szerszej analizy lub audytu, do skorzystania z których zapraszamy do naszego sklepu. 🙂 Pozdrawiamy!

  32. Marta

    Witam,
    Prowadzę jednoosobową działalność gospodarczą – escape room. Proszę o informację jak w regulaminie ugryźć temat zgody na publikację wizerunku – uczestnicy gry mają wykonywana pamiątkową fotografię, publikowaną potem na portalu facebook.

    1. Kancelaria Lex Artist

      Dzień dobry. Należy w tym wypadku pozyskać dwie zgody: na przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. a RODO oraz zgodę przewidzianą art. 81 ustawy o prawie autorskim i prawach pokrewnych. Pozdrawiamy!

Zostaw odpowiedź