Rozpoczynamy cykl artykułów przybliżających nowe regulacje prawne w zakresie ochrony danych osobowych. Pierwsza część artykułu zawiera odpowiedź na pytania:
- Kogo obowiązują wchodzące przepisy RODO?
- Czym są „dane osobowe” i jaki jest ich podział ?
W dniu 25 maja 2018 r. weszło w życie Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). Jest to akt prawny regulujący system ochrony danych osobowych na terytorium Unii Europejskiej.[1] „RODO rozprawia się również ze spamem i niechcianymi zapytaniami ofertowymi, składanymi na przykład przez telemarketerów”. [2]
Drugim aktem prawnym, który uzupełnia niniejsze rozporządzenie unijne jest Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018. 1000) podpisana przez Prezydenta RP Andrzeja Dudę w dniu 22 maja br. Wchodzi ona w życie również w dniu 25 maja 2018 r.
Kogo obowiązują przepisy RODO
Rozporządzenie RODO obowiązuje każdy podmiot, który w krajach należących do Unii Europejskiej (UE) gromadzi i przetwarza [3] (wykorzystuje) dane osobowe osób fizycznych np. klientów, pracowników (np. imię i nazwisko, adres, e-mail itp.). Przykładowo będzie to spółka cywilna lub spółka z o.o. , każda firma, a także urząd, szkoła, ośrodek pomocy społecznej, „oddział w Unii Europejskiej przedsiębiorcy mającego siedzibę poza Unią. Nie ma znaczenia narodowość osób, których dane osobowe są przetwarzane. Nie ma znaczenia to, gdzie są przetwarzane dane osobowe (gdzie znajdują się serwery)”. [4]
RODO nie obejmuje osób prywatnych, to znaczy, „że osoba fizyczna prowadząca działalność gospodarczą musi stosować RODO do danych osobowych swoich klientów, czy pracowników, ale nie stosuje RODO do danych przetwarzanych w celach czysto prywatnych, np. do danych adresatów wysyłanych corocznie kartek świątecznych”. [5]
Czym są „dane osobowe”
Zgodnie z art. 4 pkt 1 RODO „dane osobow” są to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Ustalenie jej tożsamości jest możliwe bezpośrednio lub pośrednio. Identyfikatorem będzie :
- imię i nazwisko,
- numer identyfikacyjny (np. PESEL),
- dane o lokalizacji ( np. adres zamieszkania),
- identyfikator internetowy ( np. identyfikatory plików cookie, IP komputera),
- „jeden bądź kilka szczególnych czynników określających: fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.
Dane osobowe może stanowić także nr księgi wieczystej nieruchomości, lub adres poczty elektronicznej (e-mail) , który zawiera m.in. jej imię i nazwisko i nazwę firmy. Nie są danymi osobowymi numery rejestracyjne samochodów, ponieważ przypisane są do konkretnego samochodu.
W motywie 26 rozporządzenia RODO czytamy: 1) aby stwierdzić, czy dana osoba jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.
2) aby stwierdzić czy, dany sposób identyfikacji może być z uzasadnionym prawdopodobieństwem wykorzystany do identyfikacji danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebny do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny”.
Przykłady:
Osobą zidentyfikowaną będzie: klient sklepu internetowego, który podał swoje dane niezbędne do wysłania zamówionego towaru, klient sieci komórkowej, który dokonał zakupu telefonu na abonament, przyszły pracownik starająca się o zatrudnienie w danej firmie.
Osobą możliwą do zidentyfikowania będzie użytkownik telefonu stacjonarnego lub komórkowego (nr telefonu), przedsiębiorca zarejestrowany w CEIDG (nr ewidencyjny), użytkownik telewizji kablowej (nr klienta), nadawca listu poleconego (nr nadania), użytkownik komputera (stały lub przypisany na dłużej adres IP komputera).
Podział danych osobowych
Dane osobowe dzielą się na: dane osobowe „zwykłe” i dane „szczególne” .
W świetle art. 9 motyw 51 RODO do szczególnych kategorii danych osobowych „powinny zaliczać się dane osobowe ujawniające pochodzenie rasowe lub etniczne (-)”.
W RODO zostały zdefiniowane dwa nowe rodzaje danych osobowych. Są to „dane genetyczne” i „dane biometryczne”.
Z art. 4 pkt 13 RODO „dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej”.
Natomiast w myśl art. 4 pkt 14 RODO „dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne”.
Przykłady danych biometrycznych:
- wzór podpisu użytkownika rachunku bankowego przechowywany przez właściwy bank,
- podpisywanie odbioru paczki na ekranie monitora kuriera,
- znaki szczególne np. blizna na lewym policzku,
- zdjęcie twarzy np. w dowodzie osobistym lub w paszporcie,
- linie papilarne.
Przeczytaj także:
Odciski linii papilarnych a dostęp do strzeżonego osiedla – https://lexagit.pl/odciski-linii-papilarnych-a-dostep-strzezonego-osiedla/
Ważne!
Przepisom RODO nie podlegają dane osób zmarłych.
Objaśnienie:
[1] Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO) to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119, s. 1). Jest znane także jako GDPR- General Data Protection Regulation.
[2] Jak przygotować firmę na wejście w życie RODO – https://rodoporadnik.pl/wp-content/uploads/e-book-Advatech-v2.pdf str. 6 (dostęp 24 maja 2018 r.)
[3] Przetwarzanie danych osobowych to każda czynność związana z ich użyciem, np. zapisywanie, kopiowanie pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie.
[4] Litwiński P. Przewodnik po RODO dla MŚP – http://www.mpit.gov.pl/strony/aktualnosci/przewodnik-po-rodo-dla-msp/ , str. 8 (dostęp w dniu 24 maja 2018 r.)
[5] Tamże, str. 7
Źródło: Interaktywny tekst GDPR – https://gdpr.pl/interaktywny-tekst-gdpr
Stan prawny na 25 maja 2018 r.
Wanda Książek – współpracownik Portalu
Zapraszamy do kontaktu z Kancelarią, jeśli artykuł ten Państwa zainteresował lub potrzebują Państwo więcej informacji.