Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Czym są dane osobowe wg RODO?

Cykl artykułów poświęconych Rozporządzeniu Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i ich swobodnym przepływem (RODO), zaczynamy od analizy podstawowego zagadnienia, jakim jest pojęcie danych osobowych.

RODO przynosi przełomowe zmiany, dodatkowe wymogi i wytyczne. Wprowadza również nowe definicje danych, co w sposób przejrzysty obrazuje poniższa grafika.

Według słownika języka polskiego, termin “dane” oznacza: “rzeczy, fakty, na których można oprzeć się w wywodach; informacje, wiadomości”.

Wyliczone są następujące zwroty – dane osobiste, personalne. Z kolei termin “osobowe” znaczy tyle co: “dotyczące osoby lub osób”. Mając na uwadze znaczenie terminologiczne, dane osobowe można by było określić jako informacje dotyczące osoby.

Aktualne standardy w rozumieniu pojęcia danych osobowych wyznacza Dyrektywa 95/46/WE. Według Dyrektywy termin ten oznacza wszelkie informacje dotyczące zidentyfikowanej lub dającej się zidentyfikować osoby fizycznej.

Pojęcie danych osobowych jest jedną z osi, wokół której zbudowane jest prawo ochrony danych osobowych. Postęp gospodarczy, rozwój nowych technologii – zwłaszcza informatyczny, spotęgował zagrożenia strefy prywatności człowieka, jaką stanowią jego dane osobowe. Wraz z rozwojem i upowszechnianiem się roli technologii informatycznych zmieniał się również zakres pojęcia danych osobowych.

Warto zatem przyjrzeć się legalnej definicji pojęcia danych osobowych oraz nowym kategoriom danych wyodrębnionym w ogólnym rozporządzeniu o ochronie danych.

W tabeli poniżej, pojęcie danych osobowych zostało przedstawione z perspektywy dwóch aktów prawnych – UODO czyli obecnie obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz RODO czyli rozporządzeniu Parlamentu Europejskiego i Rady UE z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Dane osobowe – porównanie

UODO RODO
art. 6 ust. 1 – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; art. 4 ust. 1 – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

 

Osoba zidentyfikowana – porównanie

UODO RODO
brak definicji brak definicji

Uzupełnienie

Pojęcie osoby zidentyfikowanej nie zostało zdefiniowane wprost w przepisach prawa. Jednakże zgodnie z przyjętym stanowiskiem osobą zidentyfikowaną jest osoba, co do której nie trzeba przeprowadzać identyfikacji, ponieważ jej tożsamość jest już znana.

Informacja dotyczy osoby zidentyfikowanej, gdy administrator danych ma możliwość powiązania tej informacji z konkretną osobą, bez konieczności podejmowania innych działań.

Osoba możliwa do zidentyfikowania – porównanie

UODO RODO
art. 6 ust. 2 – osobą możliwą do zidentyfikowania jest osoba, której tożsamości można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na: numer identyfikacyjny, kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, kulturowe lub społeczne;

art. 4 ust. 1  możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak:

– imię i nazwisko,

– numer identyfikacyjny,

– dane o lokalizacji,

– identyfikator internetowy

– jeden bądź kilka szczególnych czynników określających: fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

motyw 30 preambuły – osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawieniem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i identyfikowania tych osób.

 

Określenie tożsamości osoby – porównanie

UODO RODO
art. 6 ust. 3  informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań; motyw 26 preambuły – (…) Aby stwierdzić, czy dana osoba jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić czy, dany sposób identyfikacji może być z uzasadnionym prawdopodobieństwem wykorzystany do identyfikacji danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebny do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny;

Dane osobowe w RODO – podsumowanie

Pojęcie danych osobowych zostało utworzone w RODO, wzorem Dyrektywy 95/46/WE Parlamentu europejskiego i Rady z 24 października 1995 r. oraz ustawy o ochronie danych osobowych z 29 sierpnia 1997 r., w oparciu o trzy elementy:

  1. informacja,
  2. dotycząca osoby fizycznej,
  3. zidentyfikowanej lub możliwej do zidentyfikowania.

Jak można wywnioskować z treści cytowanych w tabeli artykułów, zasadniczy sposób oraz koncepcja definiowania danych nie uległy zmianie na gruncie ogólnego rozporządzenia o ochronie danych.

Mimo, że RODO w przytoczonym motywie 26 preambuły nie powtarza podejścia znanego z art. 6 ust. 3 UODO tj. informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań, to skutek zastosowania normy jest zbliżony.

W związku z tym, dokonując oceny, czy informacja stanowi dane osobowe, należy uwzględnić koszt i czas niezbędny do dokonania identyfikacji osoby oraz dostępną technologię.

Istnieje prawdopodobieństwo, że dana informacja dla pewnego podmiotu będzie miała charakter danych osobowych, natomiast dla innego nie, ponieważ identyfikacja osoby wymagałaby od tego drugiego podmiotu poniesienia zbyt wysokich kosztów lub poświęcenia na to zbyt dużej ilości czasu.

Pseudonimizacja jest pojęciem, które nie występuje ani w Dyrektywnie 95/46/WE, ani w UODO. Termin ten zdefiniowany zostało natomiast w RODO, co obrazuje poniższa tabela.

Pseudonimizacja – porównanie

UODO RODO
brak definicji

art. 4 ust. 5 – oznacza przetworzenie danych osobowych, w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

motyw 28 preambuły – pseudonimizacja danych osobowych może ograniczyć ryzyko dla osób, których dane dotyczą, oraz pomóc administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych.

motyw 29 preambuły – aby zachęcić do stosowania pseudonimizacji podczas przetwarzania danych osobowych, należy umożliwić stosowanie u tego samego administratora środków pseudonimizacyjnych niewykluczających ogólnej analizy, o ile administrator ten zastosował środki techniczne i organizacyjne niezbędne do tego, by niniejsze rozporządzenie zostało wdrożone w zakresie danego przetwarzania i by dodatkowe informacje pozwalające przypisać dane osobowe konkretnej osobie, której dane dotyczą, były przechowywane osobno. Administrator przetwarzający dane osobowe powinien wskazać osoby uprawnione.

Anonimizacja – porównanie

UODO RODO
brak definicji

brak definicji

motyw 26 preambuły – zasady ochrony danych osobowych nie powinny mieć zastosowania do informacji anonimowych, czyli do informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować.

Uzupełnienie

Anonimizacja danych osobowych nie została zdefiniowana zarówno na gruncie dyrektywy 95/46/WE, ustawy o ochronie danych osobowych, jak i ogólnego rozporządzenia o ochronie danych osobowych. W związku z tym można założyć, że aktualne pozostaje stanowisko, zgodnie z którym anonimizacja danych osobowych oznacza pozbawienie informacji cech danych osobowych, a zatem możliwości identyfikacji na ich podstawie osoby fizycznej.

Pseudonimizacja jest z założenia działaniem odwracalnym, które polega na utajnieniu tożsamości, np. poprzez zaszyfrowanie danych przy pomocy określonego klucza. Zakłada możliwość reidentyfikacji danych osobowych, dlatego właśnie dane spseudonimizowane uważane są za dane osobowe na gruncie RODO.

Co ważne, stosowanie pseudonimizacji jest w wielu przepisach RODO traktowane jako spełnienie wymogu stosowania odpowiednich środków technicznych i organizacyjnych – art. 25 ust. 1 RODO “(…) administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja (…)”.

Administrator danych, który zdecyduje się na ochronę danych poprzez ich pseudonimizację, musi pamiętać, że dane spseudonimizowane oraz informacje pozwalające na identyfikację tj. szyfry, kody, dodatkowe informacje muszą być przechowywane osobno z zachowaniem odpowiednich środków ochrony.

Zagadnieniu pseudonimizacji poświęcimy jeszcze więcej miejsca na łamach naszego cyklu.

Ogólne rozporządzenie o ochronie danych osobowych, podobnie jak Dyrektywa 95/46/WE oraz ustawa o ochronie danych osobowych, wyodrębnia pewne kategorie danych, których przetwarzanie co do zasady jest zakazane, a dopuszczalne wyłącznie po spełnieniu dodatkowych warunków. Wyjątki od zakazu – szczególne podstawy dopuszczalności zostały wskazane w art. 9 ust. 2 RODO. W polskiej doktrynie, informacje te określa się mianem danych wrażliwych, natomiast Dyrektywa 95/46/WE i RODO posługują się pojęciem “szczególnych kategorii danych osobowych”.

Dane wrażliwe vs szczególne kategorie danych – porównanie

UODO RODO
art. 27 ust. 1 art. 9 ust 1
– pochodzenie rasowe lub etniczne – pochodzenie rasowe lub etniczne
– poglądy polityczne – poglądy polityczne
– przekonania religijne lub filozoficzne – przekonania religijne lub światopoglądowe
– przynależność wyznaniowa, partyjna lub związkowa – przynależność do związków zawodowych
– życie seksualne – dane dotyczące seksualności lub orientacji seksualnej
– wyroki, orzeczenia o ukaraniu i mandatach karnych oraz inne wydane w postępowaniu sądowym lub administracyjnym BRAK
– nałogi BRAK
BRAK – dane biometryczne

art. 4 pkt 14 – oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;

– stan zdrowia

– dane dotyczące zdrowia

art. 4 pkt 15 – oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie zdrowia.

motyw 35 preambuły – do danych osobowych dotyczących zdrowia należy zaliczyć wszelkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE; numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.

– kod genetyczny

– dane genetyczne

art. 4 pkt 13 – oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;

motyw 34 preambuły – dane genetyczne należy zdefiniować jako dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, uzyskane z analizy próbki biologicznej dane osoby fizycznej, w szczególności z analizy chromosomów, DNA lub RNA lub z analizy innych elementów umożliwiających pozyskanie równoważnych informacji.

Dane wrażliwe vs. szczególne kategorie danych – podsumowanie

Dane genetyczne stanowią na gruncie RODO jedną ze szczególnych kategorii danych osobowych. Ta kategoria informacji już dzisiaj, zgodnie z przepisami UODO, uznana została za dane wrażliwe.

Co ważne, przepisy ustawy nie definiują jednak pojęcia danych genetycznych. RODO wypełnia tę lukę wprowadzając zarówno definicję danych genetycznych, jak i danych biometrycznych.

Zdefiniowanie pojęcia danych genetycznych na gruncie RODO, w sytuacji, w której  obecnie (w przepisach UODO) ta kategoria danych zalicza się do szczególnych kategorii danych osobowych, nie będzie miało istotnego wpływu na zasady przetwarzania tych danych. Zupełnie inaczej będzie z pojęciem danych biometrycznych.

Przede wszystkim dlatego, że na gruncie RODO pojawia się definicja tego pojęcia. Dodatkowo, zalicza się je do szczególnej kategorii danych osobowych. Przetwarzanie danych biometrycznych, tak jak pozostałych danych osobowych zaliczanych do szczególnej kategorii danych, dopuszczalne jest w drodze wyjątku od zakazu, po spełnieniu szczególnych warunków opisanych w art. 9 ust. 2 RODO.

Dane biometryczne zakwalifikowano zatem do odpowiednika aktualnie istniejącej w przepisach UODO kategorii danych wrażliwych. Odegra to istotną rolę ze względu na istniejące już rozwiązania technologiczne oparte na danych biometrycznych, w szczególności służące do identyfikacji osób fizycznych (np. czytniki linii papilarnych).

Zgodnie z art. 9 ust. 4 RODO państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia.

Przetwarzanie szczególnych kategorii danych osobowych - najważniejsze zmiany:

  • wprowadzenie nowego pojęcia „szczególnych kategorii danych osobowych” zamiast dotychczas funkcjonującego w polskiej literaturze pojęcia „danych wrażliwych”;
  • zniesienie wymogu zgody na piśmie (jako jednej z przesłanek przetwarzania tych danych);
  • dodanie do tej kategorii danych biometrycznych, np. układ linii papilarnych, owal twarzy, obraz siatkówki oka;
  • obowiązkowe powołanie Inspektora Ochrony Danych, przy przetwarzaniu na dużą skalę;
  • obowiązek przeprowadzenia tzw. oceny skutków dla ochrony danych (m. in. w przypadku przetwarzania na dużą skalę danych szczególnej kategorii);

Dane wrażliwe    Szczególne kategorie danych

Porównując zakres szczególnych kategorii danych z  obecnym wykazem danych wrażliwych zawartym w art. 27 UODO należy zauważyć, że niektóre kategorie danych osobowych uznane obecnie za dane wrażliwe nie należą do szczególnych kategorii danych osobowych na gruncie RODO.

Artykuł 27 UODO do danych wrażliwych zalicza informacje o :

  • przekonaniach filozoficznych,
  • przynależności wyznaniowej ,
  • przynależności partyjnej,
  • skazaniach,
  • orzeczeniach o ukaraniu i mandatach karnych,
  • innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym
  • nałogach

Na gruncie RODO wyżej wymienione informacje nie stanowią szczególnych kategorii danych osobowych.

Co ciekawe, na gruncie RODO do szczególnych kategorii danych osobowych, zostały zaliczone dane ujawniające przekonania światopoglądowe. Pojęcie to nie ma swojego odpowiednika w UODO.

Przyjmuje się, że przekonania światopoglądowe to zespół sądów, przekonań, opinii na temat otaczającego nas świata, dotykających różnych dziedzin kultury. Idąc tym tropem, za dane ujawniające przekonania światopoglądowe moglibyśmy uznać np. stosunek do działań wojennych, polityki migracyjnej,  ale również opinię o weganizmie.

Prawdopodobnie dopiero praktyka i orzecznictwo pokaże nam, jak właściwie interpretować tę kategorię danych.

Wyroki skazujące i naruszenia prawa – porównanie

UODO RODO
art. 27 ust. 1

Dane wrażliwe

art.  10 – przetwarzanie danych osobowych dotyczących  wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust.  1 [Zgodność przetwarzania z prawem] wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych.

Na gruncie RODO informacje dotyczące wyroków skazujących i naruszeń prawa nie stanowią szczególnej kategorii danych. Dane te będą podlegały ogólnym regułom przetwarzania, o których mowa w art. 6 ust. 1 RODO [Zgodność przetwarzania z prawem]. 

Mimo, że podstawę przetwarzania tych danych stanowi art. 6 ust. 1 RODO, to będzie ono dopuszczalne wyłącznie po spełnieniu jednego z warunków przewidzianych w art. 10 RODO (tabela powyżej).

Tym samym, przetwarzanie danych dotyczących wyroków skazujących oraz naruszeń prawa będzie dopuszczalne wyłącznie pod nadzorem władz publicznych lub jeżeli prawo UE lub państwa członkowskiego przewidzi taką możliwość.

Co istotne, RODO obejmuje specjalnymi warunkami przetwarzania wyłącznie dane odnoszące się do “wyroków skazujących i naruszeń prawa” – oznacza to, że dane dotyczące “innych (niż dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych) orzeczeń wydanych w postępowaniu sądowym i administracyjnym” nie zostały objęte, jak ma to miejsce obecnie na podstawie przepisów art. 27 UODO, specjalnymi warunkami przetwarzania. Specjalne warunki przetwarzania nie będą zatem obejmowały danych osobowych dotyczących np. decyzji administracyjnych, które dzisiaj uznawane są za dane wrażliwe.

 Relacje między opisywanymi terminami dobrze oddaje poniższa infografika:

Warto wiedzieć, że zgodnie z art. 37 ust. 1 lit. c) RODO w sytuacji, gdy działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę danych dotyczących wyroków skazujących i naruszeń prawa konieczne będzie wyznaczenie Inspektora Ochrony Danych, czyli obecnego ABI.

 Podsumowanie

Pojęcie danych osobowych zbudowane jest w RODO wzorem dotychczas obowiązujących regulacji. Kluczowy sposób definiowania tego pojęcia na gruncie RODO również nie ulega zmianie.

Nie oznacza to jednak, że RODO klonuje znane od lat z Dyrektywy 95/46/WE i UODO definicje danych osobowych. Wyodrębnione zostały bowiem nowe kategorie danych oraz sprecyzowane te obecnie istniejące. Dlatego też, wejście w życie RODO, mimo, że nie wiąże się z rewolucyjnymi zmianami w definiowaniu pojęcia danych osobowych, to wymaga bardziej wnikliwej analizy.

Działania, które warto podjąć już dziś, to weryfikacja danych osobowych w oparciu o nowy podział. Przede wszystkim zalecane jest to podmiotom, które w związku z prowadzoną działalnością przetwarzają szczególne kategorie danych.

Uff, pierwsze kroki po przepisach RODO za nami, ale czeka nas jeszcze długa podróż! Kolejny artykuł poświęcony tematyce RODO już wkrótce na naszym blogu. Zapraszamy!

Stopień zmian30%

Moment do rozpoczęcia wdrażania zmian - przed 25.05.2018

Lista rzeczy do zrobienia


zidentyfikuj dane w oparciu o nowy podział: dane zwykłe, szczególne kategorie danych, dane objęte specjalnymi warunkami przetwarzania


upewnij się, że istnieją uzasadnione powody gromadzenia określonej kategorii danych w twojej organizacji

Przepisy prawa użyte w artykule

art. 4 ust. 5

art. 4 ust. 1

art. 4 pkt 13

art. 4 pkt 14

art. 4 pkt 15

art. 6 ust. 1

„pseudonimizacja” oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

“dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

„dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;

„dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;

„dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;

1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

art. 9 ust. 2

art. 9 ust. 1

art. 9 ust. 4

art. 10

art. 25 ust. 1

art. 37 ust. 1 lit. c)

Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
/gdlr_tab]

Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:
a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;

Państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia.

Przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych.

1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, ktart. 25 ust. 1
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania –wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

motyw 26

motyw 28

motyw 29

motyw 30

motyw 34

motyw 35

Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.

Pseudonimizacja danych osobowych może ograniczyć ryzyko dla osób, których dane dotyczą, oraz pomóc administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych. Tym samym bezpośrednie wprowadzenie pojęcia „pseudonimizacja” w niniejszym rozporządzeniu nie służy wykluczeniu innych środków ochrony danych.

Aby zachęcić do stosowania pseudonimizacji podczas przetwarzania danych osobowych, należy umożliwić stosowanie u tego samego administratora środków pseudonimizacyjnych niewykluczających ogólnej analizy, o ile administrator ten zastosował środki techniczne i organizacyjne niezbędne do tego, by niniejsze rozporządzenie zostało wdrożone w zakresie danego przetwarzania i by dodatkowe informacje pozwalające przypisać dane osobowe konkretnej osobie, której dane dotyczą, były przechowywane osobno. Administrator przetwarzający dane osobowe powinien wskazać osoby uprawnione.

Osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.

Dane genetyczne należy zdefiniować jako dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, uzyskane z analizy próbki biologicznej danej osoby fizycznej, w szczególności z analizy chromosomów, kwasu dezoksyrybonukleinowego (DNA) lub kwasu rybonukleinowego (RNA) lub z analizy innych elementów umożliwiających pozyskanie równoważnych informacji.

Do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE ( 1 ); numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.

 

Źródła:

 

 

Powiązane artykuły

Audyt RODO – czym jest w istocie?
Ochrona danych osobowych po…. chińsku
Pozostał rok na dostosowanie się do systemu RODO/GDPR

12 Odpowiedzi

  1. Nina

    czy dokonując kontroli danych w firmie w protokole pokontrolnym (niespelniajacym warunków sprawozdania z uwagi na brak abi) dane biometryczne powinny zostać w jakiś sposób wyodrębnione jako nowa kategoria danych? chodzi o rejestr wejść do serwerowni gdzie mamy odcisk palca

    1. Kancelaria Lex Artist

      Według obecnego stanu prawnego (do 25 maja 2018 roku), odcisk palca nie stanowi tzw. danej wrażliwej (z art. 27 uodo). Wystarczy więc skonfrontować konieczność zbierania tej danej z zasadą adekwatności. Zakładając, że chodzi o wejścia do serwerowni gdzie znajdują się duże ilości bezcennych danych, adekwatność powinna się tutaj bronić.

      Zakładamy, że odciski palca są zbierane od pracowników organizacji – czyli w tym przypadku powinny być one wskazane przy opisie zakresu danych osobowych w zbiorze “pracownicy”.
      Pozostanie jeszcze dobranie przesłanki legalności – czyli w tym przypadku albo zgoda pracownika, albo (trochę bardziej ryzykowne ale do wybronienia) prawnie usprawiedliwiony cel.

      Po wejściu w życie RODO – będzie to już tzw. szczególna kategoria danych, podlegająca pod trochę zmodyfikowane przesłanki legalności. Będziemy o tym pisali w kolejnych artykułach z cyklu RODO Ready. Już wkrótce.

  2. Robert

    Bardzo merytoryczny i przystępnie napisany artykuł. Zabrakło mi tylko jednej rzeczy żeby mieć pełen obraz sytuacji. Rozumiem, że to na 100% dotyczy firm, których klientami są osoby fizyczne (konsumenci). A jak jest z firmami działającymi w modelu B2B?

    Czytając wprost powyższą definicję wychodzi, że dane pracowników kontrahentów (imię, nazwisko, służbowy e-mail i nr telefonu itd.) też są danymi osobowymi. Jeśli więc firma handluje tylko z przedsiębiorcami, to baza w jej systemie CRM też podlega pod te wszystkie przepisy. Zgadza się?

    1. Kancelaria Lex Artist

      Bardzo nam miło! 🙂

      Definicja danych osobowych według RODO, działa podobnie jak dzisiaj. Obejmuje więc wszelkie dane osobowe, również dane osobowe pracowników naszych kontrahentów (B2B).
      Zdecydowana większość systemów CRM, zawiera dzisiaj dane osobowe. I będzie je również zawierała po wejściu w życie RODO.

      1. Robert

        Witam serdecznie,

        Mam prośbę o konsultację.

        Generalnie pod rządami aktualnej jeszcze ustawy o ochronie danych osobowych w związku z ustawą o swobodzie działalności gospodarczej dane zawarte w CEiDG nie podlegają ochronie na podstawie UODO, z wyjątkiem przede wszystkim zapisów o zabezpieczeniu przetwarzania tych danych i nie trzeba pozyskiwać zgody na przetwarzanie danych.

        Pojawia się pytanie czy to wyłączenie będzie miało także zastosowanie pod rządami nowego Rozporządzenia /RODO/ , które zacznie obowiązywać od maja 2018 r.

        Pozdrawiam,

        1. Kancelaria Lex Artist

          Witamy serdecznie,

          wyłączenie spod ochrony UODO danych, które są jawne w CEIDG wynika ze zmian przepisów ustawy o swobodzie działalności gospodarczej, które weszły w życie z dniem 19 maja 2016 r. Zatem w obecnej chwili aby zmienić obowiązujący stan rzeczy konieczna byłaby zmiana tego aktu prawnego (nie UODO). Zapraszamy do lektury artykułu na naszym blogu https://blog-daneosobowe.pl/dane-osobowe-ceidg-nowelizacja-ustawy-o-swobodzie-dzialalnosci-gospodarczej/ Pozdrawiamy

  3. Krystyna

    W takim razie, służbowe dane osobowe ( często dostępne na stronach BIP czy innych ) to też dane osobowe w rozumieniu przepisów RODO?

    1. Kancelaria Lex Artist

      Tak – zdecydowanie są to dane osobowe według obecnie funkcjonujących przepisów i według przepisów RODO.
      Oczywiście należy pamiętać o tym, że mamy w Polsce dwie ważne i konkurujące ze sobą konstytucyjne wartości: prywatność oraz prawo do informacji (jawności życia publicznego).
      Obowiązuje i Ustawa o ochronie danych osobowych i ustawa o dostępie do informacji publicznej.
      Ujmując te kwestie na bardzo ogólnym poziomie – ustawa o dostępie do informacji publicznej nakazuje informowanie na stronach BIP np. o tym kto jaką pełni funkcję w urzędzie. W wielu przypadkach również o tym ile taka osoba zarabia.
      Z kolei ustawa o ochronie danych osobowych ma zagwarantować, żeby prywatność urzędników nie została zbyt mocno ograniczona. Na przykład poprzez publikowanie na stronach BIP ich numerów PESEL, adresów zamieszkania etc.
      To taka odwieczna walka prawa do informacji, z prawem do prywatności 🙂
      Kiedy ta walka się toczy i mamy pewną równowagę, to możemy czuć się bezpiecznie. Kiedy okazuje się, że urzędnicy nie mają w ogóle prawa do prywatności albo że obywatele nie mają prawa niczego się dowiedzieć o ich pracy – wtedy sytuacja nie jest korzystna.

  4. RobertS

    Kancelario, a trochę z innej beczki:) Czy obowiązek informacyjny zgodny z RODO należy realizować w stosunku do starych klientów również?

    1. Kancelaria Lex Artist

      Dobre pytanie!
      Mówiąc wprost, nie mamy na nie jeszcze jednoznacznej odpowiedzi.
      Ale uwzględnimy Pana praktyczne pytanie w kolejnej części cyklu, przy analizie kwestii obowiązków informacyjnych 🙂

  5. JoannaS

    Dzień dobry,

    Państwa blog jest bardzo pomocny, rozwiewa wiele wątpliwości. Jesteśmy przedsiębiorstwem produkcyjnym. Naszym głównym zbiorem danych osobowych są ,,Pracownicy”, który jest przetwarzany w wielu bazach danych. Część pracowników przedsiębiorstwa należy do związków zawodowych. Zgodnie z art. 9 pkt 1 rozporządzenia informacje o przynależność do związków zawodowych są danymi wrażliwymi. Moje pytania do Państwa: 1) Czy musimy wyodrębnić zbiór danych np. ,,Przynależność do związków zawodowych” i w szczególny sposób go zabezpieczyć? Czy w związku z tym, że te dane należą do zbioru ,,Pracownicy”, to nie ma potrzeby ich wyodrębniać w szczególny sposób i wystarczą procedury zabezpieczające, które przewidujemy dla tego zbioru? 2)Czy księga korespondencji i księga ewidencjonująca wejścia i wyjścia osób trzecich na teren zakładu, a funkcjonujące tylko w wersji papierowej muszą być zgłaszane do GIODO? Z tego co mi wiadomo nie, ale byłabym wdzięczna za potwierdzenie tej informacji?

    1. Kancelaria Lex Artist

      Dzień dobry,
      Bardzo nas cieszy Pani opinia-motywuje do dalszej pracy nad blogiem :-).
      1) Wyodrębnienie zbioru jest uzależnione przede wszystkim od Państwa potrzeb – Ustawa o ochronie danych osobowych nie precyzuje tej kwestii, pozostawia decyzję Administratorowi Danych. Jeśli do związku należy dużo osób, bądź też jest to organizacja o dużym znaczeniu w przedsiębiorstwie, można rozważyć stworzenie oddzielnego zbioru.
      2) Jeśli księga korespondencji i księga ewidencjonująca wejścia i wyjścia osób trzecich na teren zakładu funkcjonuje tylko w wersji papierowej nie ma potrzeby zgłoszenia do GIODO – art. 43, ust.1 pkt. 12

Zostaw odpowiedź