Cykl artykułów poświęconych Rozporządzeniu Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i ich swobodnym przepływem (RODO), zaczynamy od omówienia kluczowego pojęcia – dane osobowe wg RODO.

RODO przynosi przełomowe zmiany, dodatkowe wymogi i wytyczne. Wprowadza również nowe definicje danych, co w sposób przejrzysty obrazuje poniższa grafika.

dane osobowe a rodo - nowe definicje

Według słownika języka polskiego, termin „dane” oznacza: „rzeczy, fakty, na których można oprzeć się w wywodach; informacje, wiadomości”.

Wyliczone są następujące zwroty – dane osobiste, personalne. Z kolei termin „osobowe” znaczy tyle co: „dotyczące osoby lub osób”. Mając na uwadze znaczenie terminologiczne, dane osobowe można by było określić jako informacje dotyczące osoby.

Aktualne standardy w rozumieniu pojęcia danych osobowych wyznacza Dyrektywa 95/46/WE. Według Dyrektywy termin ten oznacza wszelkie informacje dotyczące zidentyfikowanej lub dającej się zidentyfikować osoby fizycznej.

Pojęcie danych osobowych jest jedną z osi, wokół której zbudowane jest prawo ochrony danych osobowych. Postęp gospodarczy, rozwój nowych technologii – zwłaszcza informatyczny, spotęgował zagrożenia strefy prywatności człowieka, jaką stanowią jego dane osobowe. Wraz z rozwojem i upowszechnianiem się roli technologii informatycznych zmieniał się również zakres pojęcia danych osobowych.

Warto zatem przyjrzeć się legalnej definicji pojęcia danych osobowych oraz nowym kategoriom danych wyodrębnionym w ogólnym rozporządzeniu o ochronie danych.

W tabeli poniżej, pojęcie danych osobowych zostało przedstawione z perspektywy dwóch aktów prawnych – UODO czyli obecnie obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz RODO czyli rozporządzeniu Parlamentu Europejskiego i Rady UE z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

e-learning RODO

Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.

Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?

Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

Dane osobowe – porównanie

UODORODO
art. 6 ust. 1 – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;art. 4 ust. 1 – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

 

Osoba zidentyfikowana – porównanie

UODORODO
brak definicjibrak definicji

Uzupełnienie

Pojęcie osoby zidentyfikowanej nie zostało zdefiniowane wprost w przepisach prawa. Jednakże zgodnie z przyjętym stanowiskiem osobą zidentyfikowaną jest osoba, co do której nie trzeba przeprowadzać identyfikacji, ponieważ jej tożsamość jest już znana.

Informacja dotyczy osoby zidentyfikowanej, gdy administrator danych ma możliwość powiązania tej informacji z konkretną osobą, bez konieczności podejmowania innych działań.

Osoba możliwa do zidentyfikowania – porównanie

UODORODO
art. 6 ust. 2 – osobą możliwą do zidentyfikowania jest osoba, której tożsamości można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na: numer identyfikacyjny, kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, kulturowe lub społeczne;

art. 4 ust. 1  możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak:

– imię i nazwisko,

– numer identyfikacyjny,

– dane o lokalizacji,

– identyfikator internetowy

– jeden bądź kilka szczególnych czynników określających: fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

motyw 30 preambuły – osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawieniem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i identyfikowania tych osób.

 

Określenie tożsamości osoby – porównanie

UODORODO
art. 6 ust. 3  informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań;motyw 26 preambuły – (…) Aby stwierdzić, czy dana osoba jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić czy, dany sposób identyfikacji może być z uzasadnionym prawdopodobieństwem wykorzystany do identyfikacji danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebny do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny;

Dane osobowe w RODO – podsumowanie

Pojęcie danych osobowych zostało utworzone w RODO, wzorem Dyrektywy 95/46/WE Parlamentu europejskiego i Rady z 24 października 1995 r. oraz ustawy o ochronie danych osobowych z 29 sierpnia 1997 r., w oparciu o trzy elementy:

  1. informacja,
  2. dotycząca osoby fizycznej,
  3. zidentyfikowanej lub możliwej do zidentyfikowania.

Jak można wywnioskować z treści cytowanych w tabeli artykułów, zasadniczy sposób oraz koncepcja definiowania danych nie uległy zmianie na gruncie ogólnego rozporządzenia o ochronie danych.

Mimo, że RODO w przytoczonym motywie 26 preambuły nie powtarza podejścia znanego z art. 6 ust. 3 UODO tj. informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań, to skutek zastosowania normy jest zbliżony.

W związku z tym, dokonując oceny, czy informacja stanowi dane osobowe, należy uwzględnić koszt i czas niezbędny do dokonania identyfikacji osoby oraz dostępną technologię.

Istnieje prawdopodobieństwo, że dana informacja dla pewnego podmiotu będzie miała charakter danych osobowych, natomiast dla innego nie, ponieważ identyfikacja osoby wymagałaby od tego drugiego podmiotu poniesienia zbyt wysokich kosztów lub poświęcenia na to zbyt dużej ilości czasu.

Pseudonimizacja jest pojęciem, które nie występuje ani w Dyrektywnie 95/46/WE, ani w UODO. Termin ten zdefiniowany zostało natomiast w RODO, co obrazuje poniższa tabela.

klauzule informacyjne

Klauzule informacyjne oraz klauzule zgód

Pracuj na sprawdzonych wzorach i wytycznych, których autorami są eksperci Lex Artist sp. z o.o. – lidera na rynku ochrony danych osobowych w Polsce.

Skorzystaj z naszych sprawdzonych wzorów klauzul informacyjnych i klauzuli zgody.

Sprawdź

Pseudonimizacja – porównanie

UODORODO
brak definicji

art. 4 ust. 5 – oznacza przetworzenie danych osobowych, w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

motyw 28 preambuły – pseudonimizacja danych osobowych może ograniczyć ryzyko dla osób, których dane dotyczą, oraz pomóc administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych.

motyw 29 preambuły – aby zachęcić do stosowania pseudonimizacji podczas przetwarzania danych osobowych, należy umożliwić stosowanie u tego samego administratora środków pseudonimizacyjnych niewykluczających ogólnej analizy, o ile administrator ten zastosował środki techniczne i organizacyjne niezbędne do tego, by niniejsze rozporządzenie zostało wdrożone w zakresie danego przetwarzania i by dodatkowe informacje pozwalające przypisać dane osobowe konkretnej osobie, której dane dotyczą, były przechowywane osobno. Administrator przetwarzający dane osobowe powinien wskazać osoby uprawnione.

Anonimizacja – porównanie

UODORODO
brak definicji

brak definicji

motyw 26 preambuły – zasady ochrony danych osobowych nie powinny mieć zastosowania do informacji anonimowych, czyli do informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować.

Uzupełnienie

Anonimizacja danych osobowych nie została zdefiniowana zarówno na gruncie dyrektywy 95/46/WE, ustawy o ochronie danych osobowych, jak i ogólnego rozporządzenia o ochronie danych osobowych. W związku z tym można założyć, że aktualne pozostaje stanowisko, zgodnie z którym anonimizacja danych osobowych oznacza pozbawienie informacji cech danych osobowych, a zatem możliwości identyfikacji na ich podstawie osoby fizycznej.

Pseudonimizacja jest z założenia działaniem odwracalnym, które polega na utajnieniu tożsamości, np. poprzez zaszyfrowanie danych przy pomocy określonego klucza. Zakłada możliwość reidentyfikacji danych osobowych, dlatego właśnie dane spseudonimizowane uważane są za dane osobowe na gruncie RODO.

 Poniżej rozwiązanie dla tych który chcą samodzielnie wdrożyć RODO w swojej organizacji:

Co ważne, stosowanie pseudonimizacji jest w wielu przepisach RODO traktowane jako spełnienie wymogu stosowania odpowiednich środków technicznych i organizacyjnych – art. 25 ust. 1 RODO „(…) administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja (…)”.

Administrator danych, który zdecyduje się na ochronę danych poprzez ich pseudonimizację, musi pamiętać, że dane spseudonimizowane oraz informacje pozwalające na identyfikację tj. szyfry, kody, dodatkowe informacje muszą być przechowywane osobno z zachowaniem odpowiednich środków ochrony.

Zagadnieniu pseudonimizacji poświęcimy jeszcze więcej miejsca na łamach naszego cyklu.

Ogólne rozporządzenie o ochronie danych osobowych, podobnie jak Dyrektywa 95/46/WE oraz ustawa o ochronie danych osobowych, wyodrębnia pewne kategorie danych, których przetwarzanie co do zasady jest zakazane, a dopuszczalne wyłącznie po spełnieniu dodatkowych warunków. Wyjątki od zakazu – szczególne podstawy dopuszczalności zostały wskazane w art. 9 ust. 2 RODO. W polskiej doktrynie, informacje te określa się mianem danych wrażliwych, natomiast Dyrektywa 95/46/WE i RODO posługują się pojęciem „szczególnych kategorii danych osobowych”.

Dane wrażliwe vs szczególne kategorie danych – porównanie

UODORODO
art. 27 ust. 1art. 9 ust 1
– pochodzenie rasowe lub etniczne– pochodzenie rasowe lub etniczne
– poglądy polityczne– poglądy polityczne
– przekonania religijne lub filozoficzne– przekonania religijne lub światopoglądowe
– przynależność wyznaniowa, partyjna lub związkowa– przynależność do związków zawodowych
– życie seksualne– dane dotyczące seksualności lub orientacji seksualnej
– wyroki, orzeczenia o ukaraniu i mandatach karnych oraz inne wydane w postępowaniu sądowym lub administracyjnymBRAK
– nałogiBRAK
BRAK– dane biometryczne

art. 4 pkt 14 – oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;

– stan zdrowia

– dane dotyczące zdrowia

art. 4 pkt 15 – oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie zdrowia.

motyw 35 preambuły – do danych osobowych dotyczących zdrowia należy zaliczyć wszelkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE; numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.

– kod genetyczny

– dane genetyczne

art. 4 pkt 13 – oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;

motyw 34 preambuły – dane genetyczne należy zdefiniować jako dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, uzyskane z analizy próbki biologicznej dane osoby fizycznej, w szczególności z analizy chromosomów, DNA lub RNA lub z analizy innych elementów umożliwiających pozyskanie równoważnych informacji.

Dane wrażliwe vs. szczególne kategorie danych – podsumowanie

Dane genetyczne stanowią na gruncie RODO jedną ze szczególnych kategorii danych osobowych. Ta kategoria informacji już dzisiaj, zgodnie z przepisami UODO, uznana została za dane wrażliwe.

Co ważne, przepisy ustawy nie definiują jednak pojęcia danych genetycznych. RODO wypełnia tę lukę wprowadzając zarówno definicję danych genetycznych, jak i danych biometrycznych.

Zdefiniowanie pojęcia danych genetycznych na gruncie RODO, w sytuacji, w której  obecnie (w przepisach UODO) ta kategoria danych zalicza się do szczególnych kategorii danych osobowych, nie będzie miało istotnego wpływu na zasady przetwarzania tych danych. Zupełnie inaczej będzie z pojęciem danych biometrycznych.

Przede wszystkim dlatego, że na gruncie RODO pojawia się definicja tego pojęcia. Dodatkowo, zalicza się je do szczególnej kategorii danych osobowych. Przetwarzanie danych biometrycznych, tak jak pozostałych danych osobowych zaliczanych do szczególnej kategorii danych, dopuszczalne jest w drodze wyjątku od zakazu, po spełnieniu szczególnych warunków opisanych w art. 9 ust. 2 RODO.

Dane biometryczne zakwalifikowano zatem do odpowiednika aktualnie istniejącej w przepisach UODO kategorii danych wrażliwych. Odegra to istotną rolę ze względu na istniejące już rozwiązania technologiczne oparte na danych biometrycznych, w szczególności służące do identyfikacji osób fizycznych (np. czytniki linii papilarnych).

Zgodnie z art. 9 ust. 4 RODO państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia.

Przetwarzanie szczególnych kategorii danych osobowych - najważniejsze zmiany:

  • wprowadzenie nowego pojęcia „szczególnych kategorii danych osobowych” zamiast dotychczas funkcjonującego w polskiej literaturze pojęcia „danych wrażliwych”;
  • zniesienie wymogu zgody na piśmie (jako jednej z przesłanek przetwarzania tych danych);
  • dodanie do tej kategorii danych biometrycznych, np. układ linii papilarnych, owal twarzy, obraz siatkówki oka;
  • obowiązkowe powołanie Inspektora Ochrony Danych, przy przetwarzaniu na dużą skalę;
  • obowiązek przeprowadzenia tzw. oceny skutków dla ochrony danych (m. in. w przypadku przetwarzania na dużą skalę danych szczególnej kategorii);

Dane wrażliwe  ≠  Szczególne kategorie danych

Porównując zakres szczególnych kategorii danych z  obecnym wykazem danych wrażliwych zawartym w art. 27 UODO należy zauważyć, że niektóre kategorie danych osobowych uznane obecnie za dane wrażliwe nie należą do szczególnych kategorii danych osobowych na gruncie RODO.

Artykuł 27 UODO do danych wrażliwych zalicza informacje o :

  • przekonaniach filozoficznych,
  • przynależności wyznaniowej ,
  • przynależności partyjnej,
  • skazaniach,
  • orzeczeniach o ukaraniu i mandatach karnych,
  • innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym
  • nałogach

Na gruncie RODO wyżej wymienione informacje nie stanowią szczególnych kategorii danych osobowych.

Co ciekawe, na gruncie RODO do szczególnych kategorii danych osobowych, zostały zaliczone dane ujawniające przekonania światopoglądowe. Pojęcie to nie ma swojego odpowiednika w UODO.

Przyjmuje się, że przekonania światopoglądowe to zespół sądów, przekonań, opinii na temat otaczającego nas świata, dotykających różnych dziedzin kultury. Idąc tym tropem, za dane ujawniające przekonania światopoglądowe moglibyśmy uznać np. stosunek do działań wojennych, polityki migracyjnej,  ale również opinię o weganizmie.

Prawdopodobnie dopiero praktyka i orzecznictwo pokaże nam, jak właściwie interpretować tę kategorię danych.

Pokaż pracownikom jak bezpiecznie przetwarzać dane osobowe – skorzystaj z naszego bezpłatnego RODO-szkolenia w formie video…

… albo audio

Wyroki skazujące i naruszenia prawa – porównanie

UODORODO
art. 27 ust. 1

Dane wrażliwe

art.  10 – przetwarzanie danych osobowych dotyczących  wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust.  1 [Zgodność przetwarzania z prawem] wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych.

Na gruncie RODO informacje dotyczące wyroków skazujących i naruszeń prawa nie stanowią szczególnej kategorii danych. Dane te będą podlegały ogólnym regułom przetwarzania, o których mowa w art. 6 ust. 1 RODO [Zgodność przetwarzania z prawem]. 

Mimo, że podstawę przetwarzania tych danych stanowi art. 6 ust. 1 RODO, to będzie ono dopuszczalne wyłącznie po spełnieniu jednego z warunków przewidzianych w art. 10 RODO (tabela powyżej).

Tym samym, przetwarzanie danych dotyczących wyroków skazujących oraz naruszeń prawa będzie dopuszczalne wyłącznie pod nadzorem władz publicznych lub jeżeli prawo UE lub państwa członkowskiego przewidzi taką możliwość.

Co istotne, RODO obejmuje specjalnymi warunkami przetwarzania wyłącznie dane odnoszące się do „wyroków skazujących i naruszeń prawa” – oznacza to, że dane dotyczące „innych (niż dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych) orzeczeń wydanych w postępowaniu sądowym i administracyjnym” nie zostały objęte, jak ma to miejsce obecnie na podstawie przepisów art. 27 UODO, specjalnymi warunkami przetwarzania. Specjalne warunki przetwarzania nie będą zatem obejmowały danych osobowych dotyczących np. decyzji administracyjnych, które dzisiaj uznawane są za dane wrażliwe.

 Relacje między opisywanymi terminami dobrze oddaje poniższa infografika:

dane osobowe a szczególne kategorie danych

Warto wiedzieć, że zgodnie z art. 37 ust. 1 lit. c) RODO w sytuacji, gdy działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę danych dotyczących wyroków skazujących i naruszeń prawa konieczne będzie wyznaczenie Inspektora Ochrony Danych, czyli obecnego ABI.

 Podsumowanie

Pojęcie danych osobowych zbudowane jest w RODO wzorem dotychczas obowiązujących regulacji. Kluczowy sposób definiowania tego pojęcia na gruncie RODO również nie ulega zmianie.

Nie oznacza to jednak, że RODO klonuje znane od lat z Dyrektywy 95/46/WE i UODO definicje danych osobowych. Wyodrębnione zostały bowiem nowe kategorie danych oraz sprecyzowane te obecnie istniejące. Dlatego też, wejście w życie RODO, mimo, że nie wiąże się z rewolucyjnymi zmianami w definiowaniu pojęcia danych osobowych, to wymaga bardziej wnikliwej analizy.

Działania, które warto podjąć już dziś, to weryfikacja danych osobowych w oparciu o nowy podział. Przede wszystkim zalecane jest to podmiotom, które w związku z prowadzoną działalnością przetwarzają szczególne kategorie danych.

Uff, pierwsze kroki po przepisach RODO za nami, ale czeka nas jeszcze długa podróż! Kolejny artykuł poświęcony tematyce RODO już wkrótce na naszym blogu. Zapraszamy!

e-learning RODO

Profesjonalne wsparcie

Mamy nadzieję, że poradnik był dla Ciebie pomocny. Jeśli nie masz czasu na wdrażanie RODO albo chcesz zweryfikować opracowane procedury, zapraszamy do skorzystania z naszej pomocy.

Zobacz, w jaki sposób możemy Ci pomóc:

Sprawdź

Stopień zmian30%

Lista rzeczy do zrobienia


zidentyfikuj dane w oparciu o nowy podział: dane zwykłe, szczególne kategorie danych, dane objęte specjalnymi warunkami przetwarzania


upewnij się, że istnieją uzasadnione powody gromadzenia określonej kategorii danych w twojej organizacji

Przepisy prawa użyte w artykule

art. 4 ust. 5

art. 4 ust. 1

art. 4 pkt 13

art. 4 pkt 14

art. 4 pkt 15

art. 6 ust. 1

„pseudonimizacja” oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

„dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;

„dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;

„dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;

1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

art. 9 ust. 2

art. 9 ust. 1

art. 9 ust. 4

art. 10

art. 25 ust. 1

art. 37 ust. 1 lit. c)

Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
/gdlr_tab]

Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:
a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;

Państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia.

Przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych.

1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, ktart. 25 ust. 1
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania –wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

motyw 26

motyw 28

motyw 29

motyw 30

motyw 34

motyw 35

Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.

Pseudonimizacja danych osobowych może ograniczyć ryzyko dla osób, których dane dotyczą, oraz pomóc administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych. Tym samym bezpośrednie wprowadzenie pojęcia „pseudonimizacja” w niniejszym rozporządzeniu nie służy wykluczeniu innych środków ochrony danych.

Aby zachęcić do stosowania pseudonimizacji podczas przetwarzania danych osobowych, należy umożliwić stosowanie u tego samego administratora środków pseudonimizacyjnych niewykluczających ogólnej analizy, o ile administrator ten zastosował środki techniczne i organizacyjne niezbędne do tego, by niniejsze rozporządzenie zostało wdrożone w zakresie danego przetwarzania i by dodatkowe informacje pozwalające przypisać dane osobowe konkretnej osobie, której dane dotyczą, były przechowywane osobno. Administrator przetwarzający dane osobowe powinien wskazać osoby uprawnione.

Osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.

Dane genetyczne należy zdefiniować jako dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, uzyskane z analizy próbki biologicznej danej osoby fizycznej, w szczególności z analizy chromosomów, kwasu dezoksyrybonukleinowego (DNA) lub kwasu rybonukleinowego (RNA) lub z analizy innych elementów umożliwiających pozyskanie równoważnych informacji.

Do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE ( 1 ); numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.

 

Źródła:

 

 

Powiązane artykuły

Czy testowanie pracowników pod kątem COVID-19 i weryfikacja szczepień są zgodne z RODO?
rodo faq
Czy PESEL to dane wrażliwe? #RODOFAQ
rodo faq
Dane przedsiębiorcy a RODO – czy prawo mnie chroni? #RODOFAQ

146 Odpowiedzi

  1. Nina

    czy dokonując kontroli danych w firmie w protokole pokontrolnym (niespelniajacym warunków sprawozdania z uwagi na brak abi) dane biometryczne powinny zostać w jakiś sposób wyodrębnione jako nowa kategoria danych? chodzi o rejestr wejść do serwerowni gdzie mamy odcisk palca

    1. Kancelaria Lex Artist

      Według obecnego stanu prawnego (do 25 maja 2018 roku), odcisk palca nie stanowi tzw. danej wrażliwej (z art. 27 uodo). Wystarczy więc skonfrontować konieczność zbierania tej danej z zasadą adekwatności. Zakładając, że chodzi o wejścia do serwerowni gdzie znajdują się duże ilości bezcennych danych, adekwatność powinna się tutaj bronić.

      Zakładamy, że odciski palca są zbierane od pracowników organizacji – czyli w tym przypadku powinny być one wskazane przy opisie zakresu danych osobowych w zbiorze „pracownicy”.
      Pozostanie jeszcze dobranie przesłanki legalności – czyli w tym przypadku albo zgoda pracownika, albo (trochę bardziej ryzykowne ale do wybronienia) prawnie usprawiedliwiony cel.

      Po wejściu w życie RODO – będzie to już tzw. szczególna kategoria danych, podlegająca pod trochę zmodyfikowane przesłanki legalności. Będziemy o tym pisali w kolejnych artykułach z cyklu RODO Ready. Już wkrótce.

  2. Robert

    Bardzo merytoryczny i przystępnie napisany artykuł. Zabrakło mi tylko jednej rzeczy żeby mieć pełen obraz sytuacji. Rozumiem, że to na 100% dotyczy firm, których klientami są osoby fizyczne (konsumenci). A jak jest z firmami działającymi w modelu B2B?

    Czytając wprost powyższą definicję wychodzi, że dane pracowników kontrahentów (imię, nazwisko, służbowy e-mail i nr telefonu itd.) też są danymi osobowymi. Jeśli więc firma handluje tylko z przedsiębiorcami, to baza w jej systemie CRM też podlega pod te wszystkie przepisy. Zgadza się?

    1. Kancelaria Lex Artist

      Bardzo nam miło! 🙂

      Definicja danych osobowych według RODO, działa podobnie jak dzisiaj. Obejmuje więc wszelkie dane osobowe, również dane osobowe pracowników naszych kontrahentów (B2B).
      Zdecydowana większość systemów CRM, zawiera dzisiaj dane osobowe. I będzie je również zawierała po wejściu w życie RODO.

      1. Robert

        Witam serdecznie,

        Mam prośbę o konsultację.

        Generalnie pod rządami aktualnej jeszcze ustawy o ochronie danych osobowych w związku z ustawą o swobodzie działalności gospodarczej dane zawarte w CEiDG nie podlegają ochronie na podstawie UODO, z wyjątkiem przede wszystkim zapisów o zabezpieczeniu przetwarzania tych danych i nie trzeba pozyskiwać zgody na przetwarzanie danych.

        Pojawia się pytanie czy to wyłączenie będzie miało także zastosowanie pod rządami nowego Rozporządzenia /RODO/ , które zacznie obowiązywać od maja 2018 r.

        Pozdrawiam,

        1. Kancelaria Lex Artist

          Witamy serdecznie,

          wyłączenie spod ochrony UODO danych, które są jawne w CEIDG wynika ze zmian przepisów ustawy o swobodzie działalności gospodarczej, które weszły w życie z dniem 19 maja 2016 r. Zatem w obecnej chwili aby zmienić obowiązujący stan rzeczy konieczna byłaby zmiana tego aktu prawnego (nie UODO). Zapraszamy do lektury artykułu na naszym blogu https://blog-daneosobowe.pl/dane-osobowe-ceidg-nowelizacja-ustawy-o-swobodzie-dzialalnosci-gospodarczej/ Pozdrawiamy

  3. Krystyna

    W takim razie, służbowe dane osobowe ( często dostępne na stronach BIP czy innych ) to też dane osobowe w rozumieniu przepisów RODO?

    1. Kancelaria Lex Artist

      Tak – zdecydowanie są to dane osobowe według obecnie funkcjonujących przepisów i według przepisów RODO.
      Oczywiście należy pamiętać o tym, że mamy w Polsce dwie ważne i konkurujące ze sobą konstytucyjne wartości: prywatność oraz prawo do informacji (jawności życia publicznego).
      Obowiązuje i Ustawa o ochronie danych osobowych i ustawa o dostępie do informacji publicznej.
      Ujmując te kwestie na bardzo ogólnym poziomie – ustawa o dostępie do informacji publicznej nakazuje informowanie na stronach BIP np. o tym kto jaką pełni funkcję w urzędzie. W wielu przypadkach również o tym ile taka osoba zarabia.
      Z kolei ustawa o ochronie danych osobowych ma zagwarantować, żeby prywatność urzędników nie została zbyt mocno ograniczona. Na przykład poprzez publikowanie na stronach BIP ich numerów PESEL, adresów zamieszkania etc.
      To taka odwieczna walka prawa do informacji, z prawem do prywatności 🙂
      Kiedy ta walka się toczy i mamy pewną równowagę, to możemy czuć się bezpiecznie. Kiedy okazuje się, że urzędnicy nie mają w ogóle prawa do prywatności albo że obywatele nie mają prawa niczego się dowiedzieć o ich pracy – wtedy sytuacja nie jest korzystna.

  4. RobertS

    Kancelario, a trochę z innej beczki:) Czy obowiązek informacyjny zgodny z RODO należy realizować w stosunku do starych klientów również?

    1. Kancelaria Lex Artist

      Dobre pytanie!
      Mówiąc wprost, nie mamy na nie jeszcze jednoznacznej odpowiedzi.
      Ale uwzględnimy Pana praktyczne pytanie w kolejnej części cyklu, przy analizie kwestii obowiązków informacyjnych 🙂

  5. JoannaS

    Dzień dobry,

    Państwa blog jest bardzo pomocny, rozwiewa wiele wątpliwości. Jesteśmy przedsiębiorstwem produkcyjnym. Naszym głównym zbiorem danych osobowych są ,,Pracownicy”, który jest przetwarzany w wielu bazach danych. Część pracowników przedsiębiorstwa należy do związków zawodowych. Zgodnie z art. 9 pkt 1 rozporządzenia informacje o przynależność do związków zawodowych są danymi wrażliwymi. Moje pytania do Państwa: 1) Czy musimy wyodrębnić zbiór danych np. ,,Przynależność do związków zawodowych” i w szczególny sposób go zabezpieczyć? Czy w związku z tym, że te dane należą do zbioru ,,Pracownicy”, to nie ma potrzeby ich wyodrębniać w szczególny sposób i wystarczą procedury zabezpieczające, które przewidujemy dla tego zbioru? 2)Czy księga korespondencji i księga ewidencjonująca wejścia i wyjścia osób trzecich na teren zakładu, a funkcjonujące tylko w wersji papierowej muszą być zgłaszane do GIODO? Z tego co mi wiadomo nie, ale byłabym wdzięczna za potwierdzenie tej informacji?

    1. Kancelaria Lex Artist

      Dzień dobry,
      Bardzo nas cieszy Pani opinia-motywuje do dalszej pracy nad blogiem :-).
      1) Wyodrębnienie zbioru jest uzależnione przede wszystkim od Państwa potrzeb – Ustawa o ochronie danych osobowych nie precyzuje tej kwestii, pozostawia decyzję Administratorowi Danych. Jeśli do związku należy dużo osób, bądź też jest to organizacja o dużym znaczeniu w przedsiębiorstwie, można rozważyć stworzenie oddzielnego zbioru.
      2) Jeśli księga korespondencji i księga ewidencjonująca wejścia i wyjścia osób trzecich na teren zakładu funkcjonuje tylko w wersji papierowej nie ma potrzeby zgłoszenia do GIODO – art. 43, ust.1 pkt. 12

  6. Olga

    Witam,
    Firma w której pracuję zajmuje się sprzedażą towaru zarówno dla klientów indywidualnych jak i firm. Czy od klientów firmowych, które są ogólnodostępne (nazwa, adres, NIP itd.) musimy uzyskać zgody na przetwarzanie danych osobowych? Jak wygląda kwestia z adresami mailowymi i nr kontaktowymi osób, którym jako przedstawicielom firmy ofertujemy swoje produkty?

    Pozdrawiam,
    Olga

  7. Przemysław

    Witam,

    Jak wygląda sytuacja, gdy firma (JDG) jest podwykonawcą i korzysta tylko z narzędzi udostępnionych przez firmę zlecającą?
    Przykład:
    Usługi doradcze bądź szkoleniowe dla bazy klientów kontrahenta przy wykorzystaniu sprzętu kontrahenta: komputer, telefon etc.
    Podsumowując dane (imie, nazwisko, email, nr tel, nazwa firmy) gromadzone są na urządzeniach należących do kontrahenta (tam też jest stosowny CRM), a umowa zabrania przechowywania danych poza środkami należącymi do kontrahenta.

    1. Kancelaria Lex Artist

      Witamy,
      W opisanej sytuacji posiadamy zbyt mało informacji. Istotne jest to aby świadczenie usługi przez kontrahenta obywało się zgodnie z podpisaną w tym zakresie umową. Należy pamiętać również o zapisach dotyczących powierzenia przetwarzania danych osobowych. pozdrawiamy

  8. Heniek

    Dzień dobry, a ja mam pytanie o ponowne udostępnianie danych, które są już publiczne w internecie. Konkretnie chodzi mi o usługę, która wyszukuje adresy e-mail opublikowane już na jakiejś stronie www (wpisuję w wyszukiwarkę domenę, a wyskakuje mi lista adresów e-mail, które na tej stronie www istnieją lub istniały wcześniej). Czy przepisy sprzeciwiają się takiemu narzędziu? Załóżmy, że nie dochodzi do przetwarzania na żadne inne cele niż tylko odczytanie informacji. Czyli moje narzędzie jest tylko ułatwieniem do odnalezienia informacji na konkretnych stronach www (użytkownik musi sam wpisać domenę. Nie ma możliwości żadnego przeszukiwania domen ani nazwisk).

    1. Kancelaria Lex Artist

      Dzień dobry. W takiej sytuacji mamy do czynienia z przetwarzaniem danych osobowych. Adres e-mail również zaliczany jest do tej kategorii. Mimo, że został wcześniej udostępniony w innym miejscu, nie upoważnia to do dalszego jego przetwarzania przez inny podmiot. Do takiego przetwarzania potrzebne jest zaistnienie jednej z przesłanek przetwarzania danych osobowych np. zgody.pozdrawiamy

  9. Klaudia

    Witam,
    mam pytanie odnośnie danych osobowych we wspólnotach mieszkaniowych. Czy w związku z wejściem nowych przepisów zarządca nieruchomości powinien wprowadzić dodatkową ochronę danych osobowych.

    1. Kancelaria Lex Artist

      Dzień dobry. Tak, w związku z wejściem w życie przepisów RODO (które m. in. dotknie również wspólnoty mieszkaniowe) zarządca nieruchomości powinien wprowadzić dodatkową ochronę danych osobowych. Aby odpowiedzieć jednak konkretniej, potrzebne byłyby szersze informacje na temat danej wspólnoty mieszkaniowej: jakiego rodzaju dane przetwarza i jak obecnie wygląda poziom ochrony danych osobowych w organizacji. Pozdrawiamy!

  10. Adrian

    Dzień dobry, ja mam następujące pytania

    – czy wg RODO samo imię + nazwisko stanowi już dane osobowe? Np. taka lista obecności na szkoleniu, na której znajdują się wydrukowane imiona i nazwiska uczestników już stanowią dane osobowe? Jeśli nie, to kiedy samo imię i nazwisko są już danymi osobowymi?

    – czy samorządowe jednostki organizacyjne MUSZĄ powołać IDO (przetwarzając szczególne kategorie danych, np. dane o uzależnieniach, stanie zdrowia)

    – moja dyrekcja cały czas zwleka w powołaniem IDO myśląc, że zatrudni się jakąś kancelarie, która w kilka dni wszystko zrobi… jaki czas potrzebny jest na wdrożenie RODO zakładając, że wdrożenie musi objąć weryfikację i poprawienie całej dokumentacji (klauzule na umowach, polityki bezpieczeństwa itp).

    Pozdrawiam serdecznie,

    1. Kancelaria Lex Artist

      Dzień dobry, tak więc po kolei:
      1) W opisywanym przez Pana przypadku listy obecności na szkoleniu, naszym zdaniem, imię i nazwisko będą stanowiły dane osobowe. Odpowiedź na to, kiedy imię i nazwisko (same) są danymi osobowymi wg RODO brzmi – to zależy. 🙂 Generalnie zawsze wtedy, jeśli po samym imieniu i nazwisku (uwzględniając kontekst ich pojawienia się), można bezpośrednio lub pośrednio (nie ponosząc wysokich kosztów) zidentyfikować osobę fizyczną. Jeśli więc jest to np. imię i nazwisko pracownika firmy X, który brał udział w szkoleniu, to taką osobę bez większych kłopotów można zidentyfikować.

      2) Tak, obowiązek ten wynika z art. 37 ust. 1 ppkt a) oraz c) RODO.

      3) Na ostatnie pytanie ciężko odpowiedzieć. Wszystko zależy od tego, jak wygląda u Państwa w tej chwili poziom ochrony danych osobowych oraz jak szeroka jest Państwa działalność (a co za tym idzie – jak dużo danych Państwo przetwarzają). Może to być jednak kilka miesięcy.

      Pozdrawiamy!

  11. Jarek

    Dzień dobry,

    Bardzo pomocny blog. Świetna robota!
    Moje pytanie dotyczy definicji danych osobowych.
    1. Czy personalia przedstawiciela jakiegoś organu państwowego np. na protokole kontrolnym stanowią w myśl RODO dane osobowe?
    2. Personalia osób podpisujące np. układ zbiorowy pracy (który co do zasady jest ogólnodostępny , stanowią dane osobowe?

    1. Kancelaria Lex Artist

      Dzień dobry:

      1) art. 86 RODO mówi na ten temat bardzo ogólnie, przyjmuje się jednak, że kwestię trzeba rozpatrywać w połączeniu z Ustawą o dostępie do informacji publicznej. Personalia przedstawiciela organu państwowego zawsze są danymi osobowymi, jednak niektórzy z nich (przede wszystkim funkcjonariusze publiczni) korzystają z ograniczonej ochrony swoich danych osobowych. Przy czym z ograniczonej ochrony korzystają przede wszystkim osoby, które mają kompetencje do wydawania decyzji administracyjnych lub do dysponowania majątkiem publicznym.
      2) Jak najbardziej tak.

      Pozdrawiamy!

  12. Kamila

    Dzień dobry,
    Po przeczytaniu Państwa bloga zaczynam wreszcie rozumieć o co chodzi 😉 Bardzo przejrzyście i czytelnie.
    Nigdzie jednak nie widziałam informacji co w przypadku gdy firma wypożycza klientowi swoje urządzenie
    (automat w Centrum Handlowym wypożyczający sprzęt). Klient może zapłacić kartą bądź gotówką, jednak gdy płaci gotówką jest proszony o przesunięcie Dowodu w czytniku. Automat odczytuje imię i nazwisko, nr dowodu. Dane te są w systemie tylko w czasie wypożyczenia sprzętu. Po oddaniu sprzętu są usuwane automatycznie. Czasem więc klient wypożycza sprzęt na 20 min czasem na 3 h.
    Co w takim przypadku?
    Jeśli trzeba zgłaszać zbiór to jak to zrobić skoro codziennie są nowi klienci ale każdego dnia ich dane są automatycznie usuwane z systemu? Czyli zbioru faktycznie nie ma. W takim wypadku jakie formalności należałoby wykonać?

    1. Kancelaria Lex Artist

      Witamy i cieszymy się, że rozjaśniamy nieco mroki prawa ochrony danych osobowych. 🙂 W sytuacji, którą Pani opisuje, mimo automatycznego usuwania danych osobowych po zakończeniu wypożyczenia (co należy pochwalić), mamy do czynienia (nawet jeśli przez 20 minut) z przetwarzaniem danych w zbiorze. Z technicznego punktu widzenia, jeśli zgłosiliby Państwo zbiór „Klienci”, to przed wejściem w życie RODO (tj. 25 maja 2018 r.) najprawdopodobniej nie zostałby zarejestrowany – średni czas rejestracji zbioru w GIODO wynosi nawet rok. Co do samego zbioru – to nie jest tak, że muszą znaleźć się w nim konkretne imiona i nazwiska Klientów. Zbiór obejmuje kategorie osób, których dane są przetwarzane. Niestety nie da się opisać wszystkich możliwych przypadków – życie jest dużo bogatsze niż prawo. 😉 Pozdrawiamy!

  13. Anna

    Witam,

    codziennie na mój służbowy adres mailowy wpływają maile z zapytaniem o pracę (CV), oferty współpracy od osób fizycznych itp. czy w związku z tym staję się administratorem danych? Nigdy nie odpowiadam na te maile, usuwam je tylko z skrzynki pocztowej. Czy powinnam podjąć dodatkowe czynności? Dziękuje za odpowiedź

    1. Kancelaria Lex Artist

      Dzień dobry. Kwestia, czy jest Pani administratorem danych osobowych zależy od tego, czy funkcjonuje Pani jako pracownik/współpracownik w jakiejś organizacji (wówczas to ta organizacja jest administratorem danych), czy też prowadzi Pani np. jednoosobową działalność gospodarczą (wtedy jest Pani administratorem danych). Jeżeli jest Pani administratorem danych, to należy dopełnić obowiązku informacyjnego z art. 24 ust. 1 UODO. Jeżeli natomiast jest Pani pracownikiem/współpracownikiem w jakiejś organizacji, to warto byłoby zastanowić się, dlaczego maile z CV i oferty współpracy wpływają na Pani skrzynkę, a nie np. na jakiś ogólny adres e-mail przeznaczony do rekrutacji. Pozdrawiamy!

  14. Anna

    Witam,

    dziękuję za powyższą odpowiedź, uszczegółowię powyższe. Prowadzę jednoosobową działalność gospodarczą. Mojego służbowego adresu mailowego nie ma na stronie firmowej. Na stronie mam zapis „W trosce o zapewnienie najwyższego standardu bezpieczeństwa wszelkie przesłane do nas dokumenty zawierające dane osobowe, a nie związane bezpośrednio z realizowanymi przez nas zleceniami będą podlegać natychmiastowemu usunięciu i/lub zniszczeniu bez informowania nadawcy o tym fakcie”. zastanawiam się czy powyższy zapis jest wystarczający, nie usuwam danych z serwera tylko i wyłącznie ze skrzynki pocztowej.

    1. Kancelaria Lex Artist

      Powinna Pani spełnić obowiązek informacyjny z art. 24 ust. 1 ustawy o ochronie danych osobowych, tym bardziej, jeśli nie usuwa Pani danych z serwera. Pozdrawiamy!

  15. Dziękuję za ten artykuł, będę pewnie jeszcze do niego wracała 🙂 Mam pytanie odnośnie przetwarzania danych osobowych w hotelach. Przyjmując rezerwację telefoniczną, a następnie wysyłając potwierdzenie rezerwacji na maila musimy w potwierdzeniu rezerwacji zawrzeć informację o przetwarzaniu danych? Drugą kwestią sporną jest ilość danych jakie hotel może pobrać. Co możemy pobrać od gościa oprócz imienia, nazwiska, adresu zamieszkania? Możemy pobrać pesel lub nr. dow. tożsamości? Dane te pobierane są ze względu na ewentualne roszczenia hotelu wobec gościa (gość narobił szkód).

    1. Kancelaria Lex Artist

      Dzień dobry, dziękujemy za miłe słowa. 🙂 Po pierwsze – tak, są Państwo zobowiązani na gruncie RODO spełniać obowiązek informacyjny, z tym że powinien być on spełniony już przy wypełnianiu formularza rezerwacji. Co do ilości danych – radzimy nie pobierać zbyt szerokiego ich zakresu (w tym nr PESEL lub nr dowodu tożsamości), w razie szkód zastosowanie znajdzie art. 126 Kodeksu postępowania cywilnego, który mówi, jaki zakres danych mogą zawierać pisma procesowe (imię, nazwisko + adres zamieszkania przy pierwszym piśmie w sprawie). Pozdrawiamy!

      1. Bardzo dziękuję za odpowiedź! Niestety wprowadzone są nowe dowody tożsamości, gdzie nie ma podanego adresu zamieszkania. W karcie meldunkowej gość sam wpisuje adres zamieszkania, co za tym idzie jeżeli skłamie i narobi szkód w hotelu, to mamy jedynie imię i nazwisko. Mając samo imię i nazwisko osoba ta praktycznie staje się niemożliwa do zidentyfikowania – dlatego szukam jeszcze dodatkowych, zgodnych z prawem, danych, które mogę uzyskać od gościa. Czy numeru pesel nie możemy pobierać nawet jeżeli gość wyraził zgodę na przetwarzanie danych osobowych?

        1. Kancelaria Lex Artist

          Na gruncie RODO, pobierając PESEL gościa (nawet mimo jego zgody), można narazić się na zarzut naruszenia zasady minimalizacji danych zawartej w art. 5 ust. 1 lit. c RODO. Takie działanie może zatem stwarzać ryzyko prawne naruszenia przepisów RODO. Pozdrawiamy!

  16. Sebastian

    Witam, Powiem szczerze, że pomimo, że artykuł wiele wyjaśnia (szacunek za rzetelność i przystępność tekstu) ja nie wiem co mam zrobić w mojej firmie.
    Prowadzę jednoosobową działalność gospodarczą, współpracuję tylko z firmami B2B (jedyny dokument jaki wystawiam to f-vat), moje pytanie jest 2 częściowe:
    1) czy dane firm w programie do wystawiania faktur (program online zewnętrznej firmy) jest zbiorem, za który odpowiadam
    2) czy mail np z zapytaniem ofertowym, czy zamówieniem w którym jest imię nazwisko, często stanowisko, tel, mail, nazwa firmy itd – to są dane osobowe, za które odpowiadam (nie drukuję tych mail, nie ściągam ich na komputer – są na serwerze zewnętrznej firmy – dostawcy usług).

    1. Kancelaria Lex Artist

      Witamy i dziękujemy za miłą recenzję! 🙂 Zatem po kolei:

      1) tak, są to dane Pana Klientów, a zatem Pan (jako osoba prowadząca firmę) jest ich administratorem, w przypadku outsourcingu usług IT, który Pan opisuje, koniecznym jest zawarcie umowy powierzenia z firmą będącą dostawcą aplikacji.

      2) Tak, są to dane osobowe i jeśli przechowywane są na serwerach firmy zewnętrznej – również należy zawrzeć z tą firmą umowę powierzenia.

      Pozdrawiamy!

      1. Andrzej

        1) to są dane firm: nazwa firmy, adres, krs, nip – bez imion i nazwisk – czy w takiej sytuacji mam zawierać umowę powierzenia?
        2) jesli dostaje tego typu maile jako niechciany spam bo moj adres mailowy zostal udostepniony w CEIDG i usuwam je od razu do kosza to czy nadal mam zwierac umowe powierzenia z dostawca uslugi poczty email, np onet lub google?

        Co, jeśli korzystam z uslug poczty email google lub microsfot oraz przechwuje pliki z danymi klientow u nich w chmurze? Tez potrzebna umowa o powierzenie?

  17. Paweł

    Dzień dobry,

    mam pytanie dotyczące obowiązku informacyjnego, w przypadku prowadzenia rejestru wniosków o udostępnienie informacji publicznej. Jako jednostka podlegająca ustawie o dostępie do informacji publicznej, rejestrujemy kto wystąpił do nas z takim wnioskiem. Wnioski wpływają praktycznie zawsze drogą mailową. Na tej podstawie dysponujemy imieniem, nazwiskiem i oczywiście adresem mail. Czy z chwilą otrzymania takiego wniosku, powinniśmy spełnić obowiązek informacyjny wobec osoby wnioskującej ? Z góry dziękuję za odpowiedź.

    1. Kancelaria Lex Artist

      Dzień dobry. Należy spełnić obowiązek informacyjny, jednak nie ma według nas potrzeby odpowiadania na każdego maila. Wystarczy na stronie internetowej, na której podany jest adres e-mail instytucji, zamieścić klauzulę informacyjną. Pozdrawiamy!

  18. Magda

    Wielkie podziękowania za ogrom pracy, którą Państwo wkładacie w rozjaśnianie mroków RODO. Niestety im dłużej zastanawiam się nad pewnym problemem tym większy mętlik mam w głowie – otrzymujemy od klienta konkretne dane w celu realizacji usług (imię, nazwisko, numer telefonu, najczęściej jest to numer prywatny, mogą to być pracownicy lub osoby prywatnie związane z klientem) – jest to lista z wykazem danych do kontaktu w określonych sytuacjach.
    Czy w związku z tym, że usługa świadczona jest dla klienta to on jest administratorem danych, a my tylko przetwarzającym?Czy też my jesteśmy administratorem, bo te dane są niezbędne w celu prawidłowej realizacji usługi?
    I czy klient powinien formalnie powiadomić osoby, których dane nam przekazuje, że to zrobił, czy raczej powinny one wyrazić na to zgodę, jeżeli nie wynika to np. z ich obowiązków służbowych, a przekazany numer telefonu jest ich prywatnym? Czy powinniśmy gromadzić w związku z tym oświadczenie klienta, że przekazanie danych nie narusza praw tych osób?

    1. Kancelaria Lex Artist

      Dzień dobry i dziękujemy na początek za miłą opinię! 🙂 Sprawa wygląda tak, jeżeli Państwa klientem jest jakaś firma, dla której świadczycie usługi na zasadzie outsourcingu, to mamy do czynienia z relacją powierzenia przetwarzania danych osobowych. Wówczas istnieje konieczność zawarcia umowy powierzenia. Państwo występują jako podmiot przetwarzający (procesor), natomiast Państwa klient jest administratorem danych osobowych. Klient powinien, jako administrator danych osobowych, spełnić obowiązek informacyjny lub pozyskać zgodę osoby na przetwarzanie jej danych (tutaj już sytuacja zależy od tego, w jakim celu administrator pozyskuje dane). W klauzuli informacyjnej, zgodnie z RODO, należy również zamieścić o podmiotach przetwarzających (a przynajmniej o ich kategoriach np. podmioty świadczące usługi IT), ponieważ zgodnie z RODO, podmioty przetwarzające (procesorowie) są również odbiorcami danych. Pozdrawiamy!

  19. Paweł

    Dzień dobry. Czy jeśli program/aplikacja lokalna(baza danych w miejscu) nie przetwarza danych osobowych spełnia inne zadania ale każdy użytkownik/pracownika ma założone konto(imię, nazwisko, rodzaj uprawnień) czy wówczas też mamy do czynienia z przetwarzaniem, gromadzeniem danych osobowych? Jeśli tak to czy dobrze to rozumiem, że każda aplikacja jeśli tylko mam możliwość logowania, a wiadomo do loginu należy zawsze przypisać użytkownika(imię, nazwisko) będzie aplikacją przetwarzającą dane osobowe?

  20. Natalia

    Dzień Dobry,

    nie wiem, gdzie moje pytanie zadać, gdyż nie znalazłam takiego wpisu na interesujący mnie temat.

    Chciałam się zapytać, jakie dane osobowe można pozyskać odnośnie sędziów sadów powszechnych z ministerstwa, bądź z poszczególnych sądów?

    Wiem, ze sędziowie kiedyś (nie wiem czy tez w chwili obecnej) wypełniali kwestionariusze osobowe, w których jest opisana ich droga zawodowa.
    Czy takie kwestionariusze można uzyskać na podstawie dostępu do info. publicznej?
    Czytałam, ze jest jakiś wyrok NSA (niestety nie znam szczegółów), w którym sad orzekł, ze można uzyskać min. informacje dotyczące daty urodzin sędziów, ilości dzieci, info. dotyczące kariery zawodowej.

    Czy spotkali się Państwo kiedyś z takim zagadnieniem?

    Informacje odnośnie osób pełniących władze wykonawcza, ustawodawcza są powszechnie dostępne. Natomiast odnośnie władzy sadowniczej już nie, dlaczego?

    1. Kancelaria Lex Artist

      Dzień dobry. Obiło nam się o uszy to zagadnienie i stanowisko orzecznictwa nie opowiada się jednoznacznie za ujawnianiem informacji dotyczących sędziów. Co do sędziów, to są dwie drogi pozyskania o nich informacji – oświadczenia majątkowe, które zgodnie z Prawem o ustroju sądów powszechnych są publikowane w Biuletynie Informacji Publicznej (tam jednak, zgodnie z przepisami, publikuje się jedynie imię i nazwisko sędziego, jeżeli chodzi o dane osobowe), druga opcja to dostęp do informacji publicznej i w tym zakresie NSA wypowiedział się 5 stycznia 2017 r. (sygnatury: I OSK 590/15, I OSK 3169/15, I OSK 2437/15), w których stwierdził m. in., że: data urodzenia sędziego jest informacją publiczną, z kolei co do adresu zamieszkania NSA wskazał, że zależy to od indywidualnego przypadku, cytując „Ujawnienie informacji publicznej jednak nie może w każdym wypadku mieć pierwszeństwa przed ochroną prywatności. Trzeba indywidualizować przypadki, rozpatrywać odrębnie dla każdego sędziego” oraz „Jeśli np. adres znajduje się w dużym mieście, to trudno zlokalizować miejsce zamieszkania sędziego, jeżeli natomiast sędzia mieszka w małej wiosce, to wkroczenie w jego prywatność nie jest rudne. I dlatego w tych ostatnich wypadkach, można odmówić podania adresu”. Pozdrawiamy!

  21. Jarosław

    Dziękuję za świetne opracowanie i przekazanie informacji na temat RODO. Mam jednak kilka wątpliwości:
    1. Wg RODO istnieje obowiązek informacyjny wobec osób, które wyraziły zgodę na przetwarzanie danych osobowych przed wejściem życie dyrektywy, chyba że osoba została poinformowana zgodnie z wytycznymi dyrektywy. RODO wprowadza nowe obowiązki informacyjne, więc praktycznie nikt nie jest odpowiednio poinformowany. Czy w takim razie firma musi poinformować wszystkich swoich klientów (osoby fizyczne) z ostatnich 5 lat (obowiązek przechowywania faktur) oraz pracowników (obowiązek przechowywania dokumentów przez 50 lat)?
    2. Czy funkcjonowanie papierowej księgi wejść/wyjść lub pobrań/zwrotów kluczy będzie miało uzasadnienie w świetle RODO – czy nie będzie to ujawnienie danych osobowych?
    3. Czy w przypadku księgi wejść/wyjść (która dotyczy nie tylko pracowników) w formie papierowej czy też elektronicznej, ciąży na firmie obowiązek informacyjny wobec osoby wpisującej się do księgi?
    4. Czy karty pracy – np. kierowców lub stanowiskowe (jedno stanowisko pracy obsługuje kilku pracowników i odnotowują ten fakt wraz z godzinami pracy na wspólnym formularzu dot. danego stanowiska) mają być traktowane jako dane osobowe wg RODO?

    1. Kancelaria Lex Artist

      Dzień dobry. Rozumiemy Pana wątpliwości – też je czasem mamy w stosunku do RODO. 🙂 Postaramy się jednak odpowiedzieć:

      1) Niestety tak powinno się zrobić,
      2) Będzie miało uzasadnienie, ponieważ podstawą prawną będzie prawnie uzasadniony interes administratora danych. Proszę pamiętać jednak o tym, aby nie zbierać danych w zbyt dużym zakresie – tylko takie dane, które są niezbędne do tego procesu (zazwyczaj imię, nazwisko i organizacja),
      3) Tak,
      4) Jak najbardziej tak.
      Pozdrawiamy!

      1. Piotr

        Ad. 1 Czy RODO nie nakłada w tym przypadku zbyt wygórowanych wymagań w stosunku do podmiotów przetwarzających dane? Nie wyobrażam sobie bowiem możliwości skutecznego poinformowania pracownika, który nie pracuje w firmie od 20 lat. Czy w tym przypadku nie nadinterpretujemy przepisów dyrektywy, będąc nauczonymi podejściem kontrolerów?

        Ad. 2 W tym przypadku został podniesiony ciekawy temat ujawnienia danych – w gruncie rzeczy z księgą wejść/wyjść w firmach czy obecności na różnego rodzaju szkoleniach zapoznają się osoby postronne.

        Ad. 4 Wygląda więc na to, że odnosząc się literalnie do definicji danych osobowych w RODO, zbiorem danych osobowych będą jakiekolwiek dokumenty wytworzone w firmie, które zostały w jakikolwiek sposób oznaczone imieniem i nazwiskiem pracownika – każda umowa (podpisy osób umocowanych do zawierania umów), każda faktura sprzedaży (dane osoby wystawiającej fakturę), każda faktura zakupu (dekrety kosztowe), każdy dokument magazynowy (podpis osoby generującej dokument, wydającej czy przyjmującej towar) i końca nie widać.

        1. Kancelaria Lex Artist

          Dziękujemy za merytoryczną dyskusję, postaramy się odnieść do poszczególnych punktów:

          1) Zdajemy sobie sprawę, że tak szeroko zakrojony obowiązek informacyjny może być uciążliwy, jednak spoglądając w przepisy rozporządzenia, taki obowiązek musiałby być spełniony. Warto jednak poczekać na interpretacje lub wytyczne naszego rodzimego organu nadzoru, który być może podejdzie do sprawy bardziej „po ludzku”.

          2) Rzeczywiście, istnieje takie ryzyko. Jednak należy zwrócić, w zakresie księgi wejść/wyjść, uwagę na dwie rzeczy – taka księga może być dziś prowadzona w wersji elektronicznej (niekoniecznie są w niej wymagane podpisy gości w budynku), drugi aspekt jest taki, iż osoba na recepcji/ochroniarz może w sposób fizyczny uniemożliwić podgląd przez gości imion i nazwisk innych osób np. zakrywając je kartką papieru.

          3) Tak należałoby przyjąć – jednak uspokajamy, nie jest w pełni tak, że końca nie widać. 🙂 Przede wszystkim RODO zmienia podejście do „zarządzania” danymi osobowymi. Od 25 maja 2018 r. nie będziemy stosowali podejścia opartego na zbiorach (można go ująć jako statyczne) do podejścia opartego na procesach (dynamicznego). To oznacza, że nie będzie potrzeby wyodrębniania dużej ilości zbiorów (zresztą, prawidłowo wyodrębnione zbiory na gruncie UODO, też nie są ogromną liczbą), lecz będzie obowiązek wyodrębniania procesów przetwarzania danych osobowych.

          Pozdrawiamy!

      2. Marta

        Witam, podepnę się pod temat księgi wejść/wyjść. Każdy gość wchodzący na teren firmy musi podać swoje imię, nazwisko i cel wizyty. Czy tu na pewno ciąży na nas obowiązek informacyjny? Czy nie można tego podciągnąć pod prawnie usprawiedliwiony cel administratorów danych?

        1. Kancelaria Lex Artist

          Dzień dobry. Podstawa prawna przetwarzania, a obowiązek informacyjny, to dwie zupełnie inne sprawy. Niezależnie od posiadanej podstawy prawnej, należy spełnić obowiązek informacyjny. Pozdrawiamy!

  22. Maciej

    Witam,

    Wielkie dzieki za bardzo merytoryczny wpis. Pytanie:

    Firma telekomunikacyjna obsługująca już istniejących klientów B2B (tylko B2B, nie osoby fizyczne) może kontaktować się ze swoimi klientami (B2B, którzy już posiadają usługi mojej firmy) czy musi najpierw uzyskać zgodę ?

    Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry i dziękujemy od razu za miłe słowa! 😀 Odpowiadają na pytanie – to zależy w jakim celu jest kontakt i jak wygląda dotychczasowa współpraca oraz czym są klienci B2B. Jeśli klientami są osoby fizyczne prowadzące działalność gospodarczą, a relacja wygląda następująco: mają Państwo jakąś współpracę w jakimś zakresie (np. na podstawie umowy), a chce Pan również telefonować w ramach działań marketingowych, to będzie konieczne uzyskanie zgody z ustawy Prawo telekomunikacyjne. Pozdrawiamy!

  23. Maciej

    Bardzo dziękuję za odpowiedz. Jeszcze tylko dopytam – czy jeśli klient w oświadczeniu woli wyraził zgodę na kontakt telefoniczny, to wtedy możemy do niego zadzwonić w sprawie przedstawienia oferty (oczywiście mam na myśli klienta, który już posiada nasze usługi) ?

  24. Lidia

    Szanowna Kancelario
    Chciałam dopytać o kwestię tajemnicy zawodowej w kontekście przetwarzania danych szczególnej kategorii. Czy jeżeli lekarz ją złamie czy przetwarzaniu czy grozi mu odpowiedzialność bezpośrednia i jak ona będzie się kształtować.
    Serdecznie dziękuje za pomoc

    1. Kancelaria Lex Artist

      Dzień dobry! Odpowiedzialność za naruszenie tajemnicy zawodowej jest poddana odrębnemu reżimowi prawnemu od odpowiedzialności za naruszenie przepisów o ochronie danych osobowych. Jedna jednak nie wyklucza drugiej. Jeżeli chodzi o złamanie przepisów ustawy o ochronie danych osobowych, to przede wszystkim będzie wchodziła w grę odpowiedzialność karna z art. 51 ustawy, a także ewentualne roszczenia o naruszenie dóbr osobistych z art. 23 Kodeksu cywilnego. Pozdrawiamy!

  25. Mateusz

    Szanowni Państwo!

    Definicja danych osobowych według RODO: art. 4 ust. 1 – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

    Przykład:
    Fotograf na ogólnodostępnej imprezie w klubie wykonuje zdjęcia uczestnikom (najczęściej zdjęcie pozowane). Następnie zdjęcia zamieszcza na stronie internetowej klubu.
    Czy takie zdjęcie na stronie internetowej klubu, beż żadnych innych danych (opisów, imion itp.), jest daną osobową?
    Czy samo zdjęcie spełnia przesłankę, że ta osoba jest już zidentyfikowana? Kim jest osoba zidentyfikowana? Czy to zidentyfikowania potrzebne jest coś więcej w tym konkretnym przypadku np. zdjęcie podpisane imieniem i nazwiskiem tej osoby?

    Pytanie zasadnicze więc brzmi: Czy samo zdjęcie osoby spełnia przesłankę, że ta osoba jest już zidentyfikowana? Nie posiadającym przy tym żadnych innych danych tej osoby?

    1. Kancelaria Lex Artist

      Dzień dobry. To, czy pewien zestaw danych, stanowi dane osobowe w rozumieniu RODO, zależy przede wszystkim od kontekstu, w jakim dane są przedstawione. Na gruncie RODO przyjmuje się, dane osobowe to dane dotyczące osoby zidentyfikowanej lub możliwej do zidentyfikowania tj. takiej, którą po konkretnym zestawie danych jesteśmy w stanie zidentyfikować bez nadmiernego wysiłku i kosztów. W opisywanym przez Pana przypadku osoba fotografowana jest możliwa do zidentyfikowania chociażby tylko przez ludzi, którzy znają ją osobiście (wizerunek będzie stanowił zatem wystarczający zestaw danych, aby taką osobę zidentyfikować). Odpowiadając zatem krótko na Pana pytanie – tak, zdjęcie osoby będzie spełniało przesłankę, że taka osoba jest zidentyfikowana lub możliwa do zidentyfikowania. Pozdrawiamy!

  26. Paulina

    Witam, dziękuję za bardzo pomocny artykuł. Mam również pytanie. Pracuję w biurze podróży, w sytuacji kiedy klient dzwoni z prośbą o wysłanie ofert na maila (podaje swój adres mailowy ewentualnie imię nazwisko i numer telefonu – choć niekoniecznie – czasem jest to sam adres mailowy). W takiej sytuacji powinnam uzyskać od klienta zgodę na wysłanie ofert? czy nie muszę mieć takiej zgody a jedynie zgodę na przetwarzanie danych w momencie dokonywania rezerwacji?
    Klient osobiście nigdy u mnie nie był (może też być tak że fizycznie klient nigdy u mnie się nie pojawi ponieważ wszystkie sprawy możemy załatwić online).

    1. Kancelaria Lex Artist

      Dzień dobry. Jeżeli posiadają Państwo możliwość rejestrowania rozmów telefonicznych, to wówczas zgoda udzielona telefonicznie jest ważna i (co ważniejsze) nie będzie również kłopotów z ewentualnym wykazaniem, że taką zgodę Państwo uzyskali. Zgoda na wysyłkę informacji handlowej drogą elektroniczną (np. mailowo) powinna być udzielona. Pozdrawiamy!

  27. Mateusz

    Artykuł 28 RODO

    „Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora (…) ”

    Jakie istnieją przykładowe instrumenty prawne (inne niż umowa) , które mogą być zastosowane w naszym kraju?

    1. Kancelaria Lex Artist

      Takim przykładem może być chociażby porozumienie między organami administracji publicznej, zawierane na gruncie prawa administracyjnego. Pozdrawiamy!

  28. Dar3k

    Dzień dobry!
    Jak należy odpowiedzieć na zgłaszane żądanie udzielenia informacji o zakresie przetwarzanych danych osobowych w przypadku, gdy dostępny administratorowi zestaw danych w systemie to: imię, nazwisko i data urodzenia + nr zamówienia?
    Nie mając nr PESEL nie jestem w stanie jednoznacznie stwierdzić, czy odnajdując w bazie rekord z imieniem i nazwiskiem oraz zgodną z podawaną w zapytaniu datą urodzenia mam w ręku dane osoby, która pyta, nie mając dostępu do bazy PESEL, która mogłaby potwierdzić, że nie ma drugiej osoby tak samo się nazywającej i urodzonej w tym samym dniu. W szczególności, jak podejść do żądania usunięcia danych?

    1. Kancelaria Lex Artist

      Dzień dobry. To bardzo ciekawa kwestia. 🙂 Zgodnie z wykładnią art. 12 ust. 6 RODO, na administratora danych osobowych nałożony jest nakaz potwierdzenia tożsamości wnioskodawcy w sposób niebudzący wątpliwości. Dodatkową wskazówką interpretacyjną jest motyw 64 preambuły do RODO, który wskazuje, że ADO powinien skorzystać z wszelkich rozsądnych środków w celu zweryfikowania tożsamości żądającej dostępu osoby. W razie braku możliwości zweryfikowania osoby, która występuje z żądaniem, administrator danych ma nawet prawo odmówić spełnienia żądania. Pozdrawiamy!

  29. Gabriela

    Witam,

    1. czy na publikację zdjęć pracowników na stronie firmowej potrzebna jest ich zgoda?
    2. co w przypadku kiedy na swoim profilu na stronie firmy pracownicy mogą sami umieszczać swoje zdjęcia lub inne informacja o sobie?

    1. Kancelaria Lex Artist

      Dzień dobry. Przyjmujemy, że jeśli chodzi o strony internetowe kierowane „na zewnątrz” potrzebna jest zgoda na przetwarzanie danych osobowych od pracowników. Jeśli chodzi o wszelkie elektroniczne wewnętrzne formy komunikacji np. intranet, zgody nie potrzebujemy, a podstawą prawną przetwarzania wizerunku jest prawnie uzasadniony interes administratora danych (art. 6 ust. 1 lit. f RODO). Nie należy jednak zapominać (w obu konfiguracjach) o pozyskaniu zgody na rozpowszechnianie wizerunku przewidzianej w art. 81 ustawy o prawie autorskim i prawach pokrewnych. Pozdrawiamy!

  30. Gabriela

    Dziękuję! W tym drugim przypadku chodziło o to, że pracownicy sami tworzą swój profil (mogą tam umieścić zdjęcie) na stronie firmy, która kierowana jest na zewnątrz, tak więc rozumiem, że jeśli sami decydują jakie informacje zamieszczają, to nie musimy mieć od nich zgody?
    A co w sytuacji, w której w firmie osobą reprezentująca administratora danych, jest dyrektor do spraw administracyjnych, ale jest także główny dyrektor firmy i jeszcze jeden zastępca… czy tych 2 dyrektorów również powinno posiadać upoważnienia do przetwarzania danych? pozdrawiam

  31. Dzień dobry, Moje pytanie dotyczy organizacji i przeprowadzania przetargów na nieruchomości i ruchomości. Świadczymy usługi w zakresie organizacji i przeprowadzania przetargów na zlecenie naszych klientów, dotyczy osób fizycznych oraz prawnych – firmy itp. W kilku zdaniach opiszę sytuację:
    1. Zawieramy umowę cywilno-prawną zlecającą nam organizację i przeprowadzenie przetargu np. na nieruchomość. Zleceniodawca między innymi wyznacza cenę wywoławczą oraz przedkłada stosowne dokumenty, które są niezbędne do umieszczenia w ogłoszeniu przetargowym. W dokumentach typu wypis z rejestru gruntów, wypis z rejestru budynków, wszelkiego rodzaju wymagane zaświadczenia dot. zbycia nieruchomości, operat szacunkowy oraz nr KW. w księdze wieczystej i ww dokumentach są dane osobowe. Jako organizator zgodnie z umową zlecenia ogłaszamy przetarg zamieszczając w ogłoszeniu ww załączniki więc mam pytanie jak to się ma pod względem prawnym dotyczącym zarówno obecnych oraz nowych przepisów RODO?
    Nie mniej jednak należy dodać, że zainteresowany ogłoszeniem przetargowym chce zapoznać się ogólnie mówiąc z „metryką nieruchomości – dot. wymienionych załączników” przecież nikt nie weźmie inaczej (wpłacając wadium) udziału w przetargu – nie będzie licytował kupując kota w worku!
    2. Jakie rozwiązania stosować będą np komornicy?
    3. Czy wystarczy jak w umowie z naszym klientem zlecającym naszej firmie organizację i przeprowadzanie przetargów na jego nieruchomość zawrzemy odrębny paragraf, że wyraża zgodę na publiczne udostępnianie jego danych osobowych? Proszę o interpretację oraz poradę.
    4. Już ostatnie moje pytanie na zasadzie przykładu: zlecam ogłoszenie np w prasie podając w jego treści m.in. dane osobowe czy wydawcy gazety obowiązują przepisy RODO i inne związane z danymi osobowymi ?
    Pozdrawiam serdecznie

    1. Kancelaria Lex Artist

      Dzień dobry. Z opisanej relacji wynika, iż powinni Państwo z klientami, na rzecz których organizują Państwo przetarg, zawrzeć umowę powierzenia przetwarzania danych osobowych. Komornicy, prasa jak i inne podmioty „medialne” również będą obowiązane stosować RODO. Inne pytania wymagają znacznie szerszej analizy lub audytu, do skorzystania z których zapraszamy do naszego sklepu. 🙂 Pozdrawiamy!

  32. Marta

    Witam,
    Prowadzę jednoosobową działalność gospodarczą – escape room. Proszę o informację jak w regulaminie ugryźć temat zgody na publikację wizerunku – uczestnicy gry mają wykonywana pamiątkową fotografię, publikowaną potem na portalu facebook.

    1. Kancelaria Lex Artist

      Dzień dobry. Należy w tym wypadku pozyskać dwie zgody: na przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. a RODO oraz zgodę przewidzianą art. 81 ustawy o prawie autorskim i prawach pokrewnych. Pozdrawiamy!

  33. Mateusz

    Dzień Dobry. Świetny artykuł i bardzo pomocny.

    Mam jedno pytanie, które dość mocno mnie irytuję. Sprzedajemy akcesoria motoryzacyjne dla firm transportowych. Naszych klientów poszukujemy z ogólnodostępnych katalogów internetowych, internetowych książek telefonicznych czy ich własnych stron internetowych.
    Czy musimy pytać ich o zgodę o kontakt telefoniczny, bądź emailing reklamowy? Czy RODO w jakikolwiek sposób odnosi się do danych firm czy tylko do osób fizycznych?

    1. Kancelaria Lex Artist

      Dzień dobry. Dziękujemy za miłe słowa! 😉 Tak, taka zgoda jest wymagana, dodatkowo są to zgody, które funkcjonują w polskim porządku prawnym znacznie dłużej, niż RODO – są to zgody przewidziane ustawami: Prawo telekomunikacyjne (art. 172) oraz ustawą o świadczeniu usług drogą elektroniczną (art. 10). RODO odnosi się poniekąd do firm np. do osób fizycznych prowadzących działalność gospodarczą oraz wspólników spółek cywilnych. Pozdrawiamy!

  34. Agnieszka

    Dzień dobry, mam pytanie, odnośnie wchodzącej ustawy RODO. Firma, w której pracuję na stronie internetowej ma wstawione zdjęcia wraz z imieniem i nazwiskiem pracowników. Czy w wyniku wejścia w życie tej ustawy zdjęcia wraz z imionami, nazwiskami oraz nazwy poczty mailowej, w której zawarte są imiona nazwiska i imiona pracowników należałoby usunąć?

    1. Kancelaria Lex Artist

      Dzień dobry. Jeśli nie mają Państwo zgody na przetwarzanie danych osobowych w postaci wizerunku pracowników ORAZ zgody na rozpowszechnianie wizerunku z ustawy o prawie autorskim i prawach pokrewnych – zdjęcia należy usunąć. Pozostałe informacje można zostawić. Pozdrawiamy!

  35. Łukasz

    Dzień dobry.
    Szukam porady na temat danych osobowych podawanych w tzw rezerwacjach sprzętu np. u dystrybutora sprzętu.
    Nagminnie, chcąc zarezerwować konkretny sprzęt u np. dystrybutora, musimy podać mu dane użytkownika końcowego (nazwę firmy, adres, osobę kontaktową, tel, mail).
    Ja ma się to do pozyskania zgody na przetwarzanie danych w kontekście RODO?
    Z góry dziękuję za odp.

    1. Kancelaria Lex Artist

      Dzień dobry. Na takie działanie nie ma potrzeby uzyskiwania zgody na przetwarzanie danych osobowych. Pozdrawiamy!

  36. Danuta

    Witam,
    proszę o informację czy w związku z wejściem w życie RODO obowiązkowa jest pseudonimizacja jeśli chodzi o wystawianie faktur, żeby nie było na fakturze imienia i nazwiska osoby wystawiającej faktury? Jak podejść do tego tematu?
    pozdrawiam

    1. Kancelaria Lex Artist

      Nie ma konieczności stosowania pseudonimizacji podczas wystawiania faktury. W tej kwestii RODO nic nie zmienia.

  37. Rafał

    Dzień dobry!
    Organizuję wycieczki jednodniowe dla kuracjuszy w jednym z uzdrowisk. Zawierając umowę o świadczenie usług turystycznych proszę o podanie imienia i nazwiska (jest to niezbędny element umowy). W efekcie powstaje lista osób jadących na daną wycieczkę, która jest jednocześnie załącznikiem do polisy ubezpieczeniowej. czy w tym przypadku imiona i nazwiska (często powtarzające się) są danymi osobowymi?
    Pozdrawiam!

    1. Kancelaria Lex Artist

      Dzień dobry. To zależy od kontekstu przetwarzania, jednakże co do zasady imię i nazwisko są danymi osobowymi. Pozdrawiamy!

  38. Gabriela

    Dzień dobry,

    czy jeśli pracodawca ma obowiązek wynikający z ustawy jeśli chodzi o przeprowadzenie konkursu na stanowisko, to wtedy trzeba też od pracowników wymagać zgody na przetwarzanie danych podczas rekrutacji?

  39. Kinga

    Dzień dobry, prowadzę sklep stacjonarny, serwis i wypożyczalnię.
    Gdy Klient zamawia towar, którego nie mam na stanie zostawia nr telefonu i imię i nazwisko.
    W przypadku wypożyczalni i serwisu jest tak samo. Czy klient musi podpisać mi zgodę odnośnie RODO? Czy zgodę musi podpisać każdorazowo?

    1. Kancelaria Lex Artist

      Dzień dobry. W naszej ocenie nie ma potrzeby pozyskiwania zgody. Jeżeli zapytanie „wpada” odnośnie dostępności konkretnego produktu, to odpowiedź na takie zapytanie spełniać będzie przesłanki prawne: podjęcia działań, na żądanie osoby, której dane dotyczą, przed zawarciem umowy (art. 6 ust. 1 lit. b RODO) oraz prawnie uzasadnionego interesu administratora danych (art. 6 ust. 1 lit. f RODO). Pozdrawiamy!

  40. Gabriela

    Dziękuję, źle sformułowałam pytanie – chodziło mi o to czy w przypadku kiedy przeprowadzenie konkursu na stanowisko jest ustawowym obowiązkiem pracodawcy to czy kandydaci składający CV muszą wyrazić zgodę na ich przetwarzanie danych osobowych? pozdrawiam

  41. Klaudia

    Mamy pytanie dotyczące RODO. Dostajemy od firm klauzule informacyjne dot. kto jest administratorem danych itp.. Czy mamy obowiązek również rozsyłania takich klauzul ? Nie mamy żadnej bazy klientów indywidualnych ( osób prywatnych). Współpracujemy tylko i wyłącznie z innymi przedsiębiorstwami, przetwarzane są jedynie dane firm, zgodnie z RODO chodzi o dane osób prywatnych. Mamy jeszcze wątpliwość np. co do e-maili, czyli np. wysyłamy zapytanie do firmy o jakieś art. budowlane dot. ich wyceny na potrzeby realizacji prowadzonej inwestycji, ale do konkretnego pracownika np. Jan Kowalski, na stronie podany jest jego numer i adres e-mail, czy musimy mieć jego zgodę żeby wysłać mu zapytanie ofertowe ? Czy w takim przypadku powinniśmy wysyłać najpierw zgodę o przetwarzanie danych osobowych ? Czy wystarczy przesłanie klauzul informacyjnych

    1. Kancelaria Lex Artist

      Nie ma obowiązku rozsyłania klauzul w stosunku do osób, których dane już Państwo przetwarzali przed 25 maja 2018 r. To dotyczy tylko osób, których dane Państwo zbierają w sposób pierwotny od 25 maja 2018 r. W opisanej sytuacji również nie potrzeba zgody. Pozdrawiamy!

  42. Kinga

    I jeszcze jedno, gdy proszę Klienta o podanie danych do faktury imiennej lub faktury VAT to Klient musi pisemnie wyrazić na to zgodę?

  43. Adam

    Witam, prowadzę firmę usługową, bardzo często występuje w charakterze podwykonawcy u większych firm.
    Czy wykonanie telefonu do firmy, w której mogę być potencjalnym podwykonawcą usług (partnerem dla tej firmy), z prośbą o możliwość wysłania oferty handlowej na ich adres email jest naruszeniem RODO?
    Nr telefonu do firmy pozyskałem z ich strony internetowej.
    Czy fakt że ta firma reklamuje się i podaje swój nr telefonu do publicznej wiadomości można uznać za jednoznaczną czynność potwierdzającą, że ta firma wyraża zgodę na kontakt z nimi w takim celu jak opisałem powyżej?

    1. Kancelaria Lex Artist

      Dzień dobry. Zamieszczenie nr telefonu w internecie, nawet do firmy nie jest wyraźnym działaniem potwierdzającym. O ile jeszcze wykonywanie przez Pana działalności marketingowej można byłoby uznać za zgodne z RODO (za podstawę prawną można uznać prawnie uzasadniony interes). Wątpliwości może budzić zgodność takich maili z ustawą o świadczeniu usług drogą elektroniczną. Pozdrawiamy!

      1. Adam

        Czyli firmy reklamowe z PKD 73.11.Z i 82.19.Z mogą w dalszym ciągu kontaktować się z firmami za pośrednictwem telefonu w celu np. reklamowym? Czy wówczas interesem prawnym legalizującym kontakt bez ówczesnej zgody, jest fakt, że działalność firm reklamowych polega właśnie na tym przysłowiowym „dzwonieniu” do klientów?

  44. Kamil

    Witam,
    naprawdę ciekawy blog!

    Prosiłbym o odpowiedź na pytania:

    1. Czy jednostki samorządu terytorialnego przekazujące sobie dane (np. z ewidencji gruntów w celu uzupełnienia swojej bazy na potrzeby podatkowe) zobligowane do takiego udostępniania na podstawie innych przepisów prawa powinny zawrzeć umowę powierzenia danych?

    2. Czy dane osobowe zbierane i przetwarzane na podstawie innych przepisów prawa (np. w urzędach) zawsze nie wymagają zgody a jedynie obowiązku informacyjnego?

    3. Czy dobrą praktyką byłoby (o ile jest to możliwe) zbieranie oświadczeń o zapoznaniu się i zrozumieniu klauzuli informacyjnej (np. od pracowników)?

    4. Czy wymagane byłoby zbieranie zgody od osób które składają wniosek (w przedsiębiorstwie) który może skutkować zawarciem bądź w sporadycznych przypadkach niezawarciem umowy (np. o dostawę wody) skoro do umowy zgoda nie jest wymagana? I czy tak samo będzie to w stosunku prowadzenia rekrutacji pracowników?

    5. Czy w z związku udzielaniem zamówień publicznych wymagane jest otrzymanie zgody i zapewnienie obowiązku informacyjnego w przypadku gdy w postępowaniu MOŻE uczestniczyć osoba fizyczna prowadząca działalność gospodarczą?

    6. Co trzeba zrobić gdy prowadzimy postępowanie (zamówienie publiczne) i otrzymujemy w załączeniu oferty dane osobowe inżynierów (np. dyplomy potwierdzające ich kwalifikacje) i naszym obowiązkiem jest udostępnienie innym stronom / oferentom? Czy trzeba mieć zgody od tych inżynierów i jaki ewentualnie powinien być ich zakres?

    7. W jakim stopniu i jakie oraz kogo dane osobowe można udostępniać w ramach wniosku o udostępnienie informacji publicznej? Zawsze wydawało mi się, że w sumie żadne.

    8. Co zrobić z wymogiem udostępniania rejestru umów w BIP w odniesieniu do firm z bazy CEIDG. Czy mogą zawierać dane osób fizycznych prowadzących działalność gospodarczą?

    Z góry dziękuję i pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry.

      1) Nie.
      2) Co do zasady tak.
      3) Oczywiście, ale nie ma takiego obowiązku. Ważne, aby klauzula zamieszczona była w miejscu, w którym każdy podmiot danych mógłby łatwo się z nią zapoznać.
      4) Nie wymogu zbierania zgody ani w jednej, ani w drugiej sytuacji.
      5) Zgoda nie jest wymagana, obowiązek informacyjny tak.
      6) Zgoda nie jest wymagana, jeżeli mają Państwo podstawę prawną do udostępnienia.
      7) Można, jednak wszystko zależy kim jest dana osoba – od tego zależy również zakres możliwych do udostępnienia danych. Ciekawym przypadkiem jest orzecznictwo w sprawie publicznego udostępniania adresu sędziów. To zagadnienie wymaga jednak znacznie szerszej analizy.
      8) Tak, chyba że przepis obliguje tylko do udostępnienia faktu zawarcia umowy – wówczas dane należałoby poddać pseudonimizacji.

      Pozdrawiamy i dziękujemy za miłą opinię! 🙂

  45. Roman

    Witam, proszę o pomoc w następującej sprawie : dostaję fakturę VAT od Jana Kowalskiego, w treści faktury jest, że wstawiała ją Krystyna Nowak (zakładam że jest to pracownik). Nie mama jej żadnych innych danych. Czy w tym przypadku muszę spełnić obowiązek informacyjny także wobec Krystyny Nowak ? Czy w tym przypadku jestem administratorem danych czy procesorem – podmiotem przetwarzającym dane ?

    1. Kancelaria Lex Artist

      Dzień dobry. To zależy, jeżeli współpracuje Pan na stałe z taką firmą np. świadczą oni dla Pana jakieś usługi i jesteście kontrahentami, to jest Pan administratorem danych tych osób. Jeżeli jest Pan osobą fizyczną, która np. zamówiła sobie produkt w sklepie internetowym i razem z produktem przyszła faktura, to nie jest Pan ani administratorem, ani podmiotem przetwarzającym. Pozdrawiamy!

  46. Witam … 🙂
    Czytam i wdzięczny jestem za artykuł i odpowiedzi bo temat jest trudny i w związku z tym też mam pytanie …
    Jesteśmy jednostką szkoleniową oraz świadczymy usługi bhp w szerokim tego słowa znaczeniu.
    1. Prawo/przepisy nakładają na nas obowiązek pozyskiwania danych np. imię nazwisko, data urodzenia, miejsce urodzenia w celu wydania zaświadczenia. Zaświadczenie wydawane jest na podstawie dzienników szkoleń, rejestru wydanych zaświadczeń. Przechowujemy to zgodnie z czasem ważności szkolenia. Jaka informacja powinna być skierowana do uczestników szkolenia/kursu?
    2. Podczas prowadzenia i dokumentowania (zgodnie z wymogami przepisów) dochodzenia powypadkowego pracowniczego/umowy cywilnoprawne pozyskuje się oprócz danych podstawowych również dane takie jak nr dowodu, PESEL itd. itp. Realizacja tej czynności prawnej jak dochodzenie powypadkowe tego wymaga.
    – Jaka forma zgody musi zaistnieć od osoby zainteresowanej by te dane przetwarzać?
    – Jak uzyskać zgodę osoby gdy osoba zgody udzielić nie może (jest np. nieprzytomna i hospitalizowana) a dochodzenie zespól powypadkowy musi zakończyć w obligatoryjnym terminie 14 dni?
    Dwa poruszone zagadnienia i jest to duży problem przy normalnej działalności. Proszę uwierzyć, że jest to szczyt góry lodowej w kontekście RODO 🙁
    Z góry dziękuję za odpowiedź 🙂

    1. Kancelaria Lex Artist

      Dzień dobry, dziękujemy na początek za miłe słowa. 🙂

      1) To zależy, jeśli usługi BHP świadczą Państwo na zasadzie outsourcingu dla różnych pracodawców, to Państwo występują w roli procesora, natomiast to na pracodawcach, którzy są w takich przypadkach administratorami danych swoich pracowników, ciąży spełnienie obowiązku informacyjnego wobec swoich pracowników. Państwa rolą może być np. poinformowanie swoich klientów o tym, ile Państwo przechowują dane.
      2) Zgoda w takim przypadku nie jest wymagana.

      Wierzymy. 🙂
      Pozdrawiamy!

  47. anna

    Firmy podwykonawcze pracujące na terenie naszego zakładu, przesłały listę ze swoimi pracownikami, czy możemy żądać od nich podania PESEL lub nr dowodu pracownika? Musimy jakoś zidentyfikować dane osoby w razie wypadku lub innych zdarzeń w trakcie pracy. Pracownicy tych firm się zmieniają a imiona i nazwiska mogą się powtarzać.

    1. Kancelaria Lex Artist

      Dzień dobry. Zasadnym jest żądanie np. numeru dowodu osobistego + możliwość okazania dokumentu do wglądu w razie przybycia takiej osoby. Pozdrawiamy!

  48. Paweł

    Witam,

    czy przy składaniu dokumentów aplikacyjnych na stanowisko potencjalny pracodawca może żądać ksera dowodu osobistego albo numeru i serii dowodu osobistego? Bo wydaje mi się, że nie… chociaż z drugiej strony jak zidentyfikować daną osobę?

    1. Kancelaria Lex Artist

      Dzień dobry. Katalog danych, jakie potencjalny pracodawca może żądań zawiera art. 22 (1) Kodeksu pracy. W projekcie, który ma znowelizować m. in. Kodeks pracy, jest wskazane, iż pozostałe dane (np. wizerunek ze zdjęcia w CV) można będzie przetwarzać za zgodą kandydata do pracy. Jednak skan, czy też numer dowodu tożsamości na etapie rekrutacji wydają się być nadużyciem RODO, naruszeniem zasady minimalizacji danych. Pozdrawiamy!

  49. anon

    Je..ne rodo, portale wyłudzają moje dane osobowe „aby móc je chronić”, sam chroniłem sowoje dane najlepiej! Pozwólcie mi samemu chronić moje dane osobowe nie podająć ich nikomu!!!! Jak zwykle porażka UE. Nadgorliwość gorsza od zaniechania!

  50. Kasia

    Dzień dobry!

    Bardzo proszę o pomoc w kwestii listy obecności. Czy stowarzyszenie organizując spotkanie informacyjne dla mieszkańców musi umieścić na liście obecności klauzule informacyjne? Lista obecności zawiera imię i nazwisko, sektor (publiczny, społeczny, gospodarczy) oraz nazwę gminy.
    Pozdrawiam

  51. Wojciech

    Dzień dobry,
    Co w sytuacji, gdy instytucja prowadząca np. rekrutację na dofinansowane z UE szkolenia rozesłała do wszystkich zakwalifikowanych uczestników wiadomość i nie ukryła listy mailingowej dając każdej z powiadomionych osób-a więc osobom trzecim-możliwość pozyskania adresów e-mail (wiele z nich zawiera przecież prawdziwe dane osobowe!). Czy dobrze rozumiem, że stanowi to poważne naruszenie przepisów o Ochronie Danych Osobowych, w tym RODO ? Co mogę zrobić w takiej sytuacji, jeżeli czuję, że naruszona została w ten sposób poufność moich danych osobowych?
    Z góry dziękuję za odpowiedź.
    Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Rzeczywiście wysłanie takiego maila bez zastosowania opcji kopii ukrytej stanowi naruszenie poufności danych osobowych. W tej sytuacji istnieje możliwość złożenia skargi na administratora danych do organu nadzorczego (Prezes Urzędu Ochrony Danych Osobowych) na stronie internetowej Urzędu: https://uodo.gov.pl/pl/83/155. Pozdrawiamy!

  52. Adam

    Dzień dobry,
    mam pytanie dotyczące podpisu jako danej osobowej. Czy dokumenty udostępniane w trybie ustawy o dostępie do informacji publicznej powinny być anonimizowane ?

    1. Kancelaria Lex Artist

      Dzień dobry. Tak naprawdę to zależy jakie dokumenty (co mówią przepisy ustaw szczególnych), natomiast co do zasady nie ma takiej potrzeby. Pozdrawiamy!

  53. Gabriela

    Dzień dobry, najlepszy blog o ochronie danych osobowych od 1410 roku 😀 piszę do Was nie bez powodu 🙁 bo z prośbą o udzielenie jakiejś wskazówki…. na infolinii UODO otrzymałam informację, że upoważnienia do przetwarzania danych osobowych powinny być wystawianie nie do zbiorów danych tylko do czynności…. napisane zostało, że przetwarzanie danych osobowych ma ma miejsce w związku z realizacją projektu badawczego i została podana nazwa projektu…. po kilku miesiącach pojawił się problem bo np. osoba upoważniona do przetwarzania danych osobowych w związku z konkretnym projektem np. dostała również inny projekt… jak zorganizować kwestię aktualizacji upoważnień? Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Na początek podziękowania za miłe słowa! 🙂 Odpowiadając na pytanie – naszym zdaniem najlepiej byłoby określić czynność przetwarzania na nieco wyższym poziomie ogólności tzn. nie upoważniać do przetwarzania danych w ramach konkretnego projektu (wymieniając go z nazwy) tylko nadać upoważnienie do czynności „Przetwarzanie danych w związku z realizowanymi projektami z zakresu [wskazać przedmiot projektu]”. Pozdrawiamy!

  54. Gabriela

    Dziękuję 🙂 a jeśli była przeprowadzama rekrutacja do projektu finansowanego z zewnętrznej instytucji ale realizowanego w naszej jednostce i wyłoniono w ramach tej rekrutacji (w ogłoszeniu była klauzula informacyjna) pracownika naszej instytucji, to jemu powinniśmy także przedstawić klauzulę informacyjną w związku z zatrudnieniem w projekcie?

  55. Magda

    Witam
    Chciałabym się dowiedzieć czy pracodawca może sam badać trzeźwość pracowników używając alkomatów?
    Znam stanowisko UODO jednak osobiście z nim się nie zgadzam. Czy jest inna możliwość rozwiązania problemu?

  56. Paulina

    Dzień dobry 🙂
    czy jak miałam umowę powierzenia przetwarzani danych osobowych zawartą przed wejście w życie RODO, to musze ją teraz np. aneksować, albo podpisać nową ?

  57. Basia

    Dzień dobry, czy zgodne z RODO jest rządanie firmy zajmującej się gospodaką śmieciową udostępnienia danych dotyczących konkretnych nieruchomości w zakresie ilości zużytej wody?

    1. Lex Artist

      Dzień dobry 🙂 kwestie dotyczące gospodarowania odpadami komunalnymi reguluje Ustawa z dnia 13 września 1996 r. o utrzymaniu czystości i porządku w gminach. Zakres danych, które mogą być zbierane o konkretnych nieruchomościach określa art.6m- w którym nie znajdujemy informacji w zakresie ilości zużytej wody. W celu wyjaśnienia sprawy sugerujemy zwrócić się do firmy żądającej podania danych podstawy prawnej. Pozdrawiamy!

  58. Rafał

    Dzień Dobry

    Art. 9 generalnie zabrania przetwarzania danych wrażliwych ustanawiając jednak pewne wyjątki. Mam problem jednak z interpretacją jednego z ustanowionych wyjątków a mianowicie:

    PRZEPIS PRAWNY:
    art. 9
    g )przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;

    Czy aby możliwe było przetwarzanie danych wrażliwych z powodów ważnego interesu publicznego w podstawie prawnej do takiego przetwarzania musi być w sposób wyraźny podkreślony, iż zezwala ona na przetwarzanie danych wrażliwych czy wystarczy że zezwala ona w ogólny sposób na przetwarzanie danych?

    Moja wątpliwość pojawiła się z uwagi na treść motywu 45 preambuły RODO:

    PRZEPIS PRAWNY:
    Jeżeli przetwarzanie odbywa się w celu wypełnienia obowiązku prawnego, któremu podlega administrator, lub jeżeli jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, podstawę przetwarzania powinno stanowić prawo Unii lub prawo państwa członkowskiego. Niniejsze rozporządzenie nie nakłada wymogu, aby dla każdego indywidualnego przetwarzania istniało szczegółowe uregulowanie prawne. Wystarczyć może to, że dane uregulowanie prawne stanowi podstawę różnych operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega administrator, lub że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej. Prawo Unii lub prawo państwa członkowskiego powinno określać także cel przetwarzania. Ponadto prawo to może doprecyzowywać ogólne warunki określone w niniejszym rozporządzeniu dotyczące zgodności przetwarzania z prawem, określać sposoby wskazywania administratora, rodzaj danych osobowych podlegających przetwarzaniu, osoby, których dane dotyczą, podmioty, którym można ujawniać dane osobowe, ograniczenia celu, okres przechowywania oraz inne środki zapewniające zgodność z prawem i rzetelność przetwarzania. Prawo Unii lub prawo państwa członkowskiego powinno określać także, czy administratorem wykonującym zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powinien być organ publiczny czy inna osoba fizyczna lub prawna podlegająca prawu publicznemu lub prawu prywatnemu, na przykład zrzeszenie zawodowe, jeżeli uzasadnia to interes publiczny, w tym cele zdrowotne, takie jak zdrowie publiczne, ochrona socjalna oraz zarządzanie usługami opieki zdrowotnej.

    1. Lex Artist

      Dzień dobry, w kwestii interpretacji treści art. 9 ust. 2 lit. g) przychylamy się do interpretacji z komentarza pod redakcją byłej pani prezes UODO. Co prawda przepis ten odsyła do ważnego interesu publicznego, ale ta przesłanka została w tym konkretnym przepisie ujęta nieco inaczej. W świetle powyższej regulacji przetwarzanie danych sensytywnych jest dopuszczalne jeśli jest niezbędne ze względów związanych z ważnym interesem publicznym na podstawie prawa Unii lub prawa państwa członkowskiego. Należy jednak zwrócić uwagę, że pojęcie interesu publicznego nie zostało w RODO zdefiniowane, co stwarza swobodne pole do interpretacji i przyjmowanie odmiennych rozwiązań w rożnych państwach członkowskich. Pozdrawiamy!

      1. Rafał

        Dziękuje za odpowiedź. Mam jednak wątpliwość co do pewnej kwestii.

        Czy aby możliwe było przetwarzanie danych wrażliwych z powodów ważnego interesu publicznego w podstawie prawnej do takiego przetwarzania musi być w sposób wyraźny podkreślony, iż zezwala ona na przetwarzanie danych wrażliwych czy wystarczy że zezwala ona w ogólny sposób na przetwarzanie danych tak jak w przypadku zwykłych danych?

        1. Lex Artist

          w naszej opinii w podstawie prawnej musi być w sposób wyraźny podkreślony, iż zezwala ona na przetwarzanie danych wrażliwych. Pozdrawiamy!

          1. Rafał

            Dziękuje serdecznie za zaangażowanie w temat.

            Rzeczywiście wydaje się że tak to powinno wyglądać.

            Na czym opieracie tą opinie? Jeśli można zapytać . Czy jest to takie swoiste wyczucie prawa czy może konkretne przepisy, komentarze, orzeczenia?

          2. Lex Artist

            w tej kwestii niestety trudno znaleźć konkretne przepisy, dostępne komentarze też ujmują problem ogólnie. To kolejna sprawa, która wymaga zdroworozsądkowego podejścia, opartego na wieloletnim doświadczeniu w ochronie danych osobowych:-) Pozdrawiamy!

  59. Agnieszka

    Dzień dobry,
    Organizacja pozarządowa zbiera informacje odnośnie faktu zwolnienia z aresztu od osób potrzebujących przebywających w placówce organizacji tj. mieszkania wpierane. Ustawy regulujące to ustawa o pomocy socjalnej i ustawa o działalności pożytku publicznego i wolontariacie. Czy na tej podstawie art. 6 ust. 1 lit. c bądź e możemy uzyskać te informacje czy należy pozyskać zgodę od tych osób? I podobnie odnośnie informacji o stanie zdrowia, które przekazują podopieczni do wglądu czy jest art.9 ust. 2 lit. g ponieważ realizujemy zadanie publiczne zlecone przez miasto?

    1. Lex Artist

      Dzień dobry 🙂 w naszej opinii niej jest konieczne zbieranie zgody- w tym przypadku mamy wykonanie zadań realizowanych w interesie publicznym. Pozdrawiamy!

  60. Jakub

    Czy wysłanie zapytania do urzędu, ministerstwa za pomocą adresu e mail który w polu „od” wyświetla się jako imię i fikcyjne nazwisko jest zabronione? Otrzymałem na maila oficjalną odpowiedź zaadresowaną pod to wymyślone nazwisko i teraz doszedłem do wniosku, iż użycie takiego maila w korespondencji tego typu bylo niepoważne. Zakładając tego maila musialem podać jakieś wymyślone nazwisko i dlatego w polu nadawcy musiało takie się wyświetlić..

    1. Lex Artist

      Dzień dobry 🙂 generalnie należy posługiwać się prawdziwymi danymi osobowymi. Kwestia niezgodności z prawem w tym przypadku to już odpowiedzialności z innych przepisów prawa i trudno tu zająć stanowisko na gruncie RODO. Pozdrawiamy!

  61. Rafał

    Witam. Czy w przypadku gdy administrotor bezprawnie udostępni dane osobowe wrażliwe organowi prowadzącemu postępowanie administracyjne (który może pozyskiwać takie dane) to czy w tym postępowaniu mogą zostać one wykorzystane?

  62. Bożena

    Witam jestem tu na blogu-daneosobowe.pl po raz pierwszy. Ciekawe pytania i rzeczowe odpowiedzi. Od niedawna rozpoczęłam przygodę z RODO. Może udzielicie mi Państwo jakiś wskazówek w następującej kwestii:
    Czy Podmiot Przetwarzający zbierając i przekazując dane dla/do ADO musi spełnić obowiązek informacyjny z art. 13 RODO wobec osób, od których odbiera dane, czy obowiązek ten spełnia tylko ADO?
    Jak rozumieć zapis w umowie powierzenia: Administrator oraz Podmiot Przetwarzający wzajemnie zobowiązani są do wykonania wobec osób, których dane dotyczą obowiązków informacyjnych z art. 14 RODO. Obowiązek informacyjny należy zrealizować w stosunku do osób kontaktujących się w ramach realizacji umowy. Obowiązek informacyjny ze strony Administratora stanowi załącznik nr 1, ze strony Podmiotu Przetwarzającego załącznik nr 2 do umowy. Czy w zapisie tym chodzi o spełnienie przez PP obowiązku informacyjnego wobec osób – pracowników ADO, z którymi będzie kontaktował się PP w związku z realizacją umowy. Jeśli tak to, czy w klauzuli informacyjnej PP powinien wskazać się jako ADO w stosunku do tych danych?

    1. Lex Artist

      Witamy 🙂 Pani interpretacja postanowień umowy powierzenia w naszej opinii jest prawidłowa- PP spełnia obowiązek informacyjny wobec pracowników ADO i wskazuje się jako ADO w klauzuli informacyjnej. Pozdrawiamy!

  63. Rafał

    Dziękuje. Ciekawy artykuł :).
    A czy w przypadku gdy podmiot „X” jest uprawniony ustawowo do przetwarzania „określonych” danych ale nie jest w ich posiadaniu to administrator będący posiadaczem tych danych jest zobowiązany do udostępnienia mu tych danych na podstawie przepisu sformułowanego w sposób: „Podmiot X ma prawo przetwarzać „określone” dane”?

    1. Lex Artist

      Dzień dobry:-) wszystko zależy od kontekstu sprawy. Istotne jest to aby prawo do żądania udostępnienia danych wynikało wprost z przepisu np. tak jak ma to miejsce przy udostępnianiu danych Policji.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO