Strona główna Aktualności RODO 2018: Dane osobowe oraz ich przetwarzanie (1)

RODO 2018: Dane osobowe oraz ich przetwarzanie (1)

1957
PODZIEL SIĘ
RODO dane osobowe Lexagit.pl porady prawne online

Rozpoczynamy cykl artykułów przybliżających nowe regulacje prawne w zakresie ochrony danych osobowych. Pierwsza część artykułu zawiera odpowiedź na pytania:

  1. Kogo obowiązują wchodzące przepisy RODO?
  2. Czym są „dane osobowe” i jaki jest ich podział ?

W dniu 25 maja 2018 r. weszło w życie Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). Jest to akt prawny regulujący system ochrony danych osobowych na terytorium Unii Europejskiej.[1] „RODO rozprawia się również ze spamem i niechcianymi zapytaniami ofertowymi, składanymi na przykład przez telemarketerów”.  [2]

Drugim aktem prawnym, który uzupełnia niniejsze rozporządzenie unijne jest  Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018. 1000) podpisana przez Prezydenta RP Andrzeja Dudę w dniu 22 maja br. Wchodzi ona w życie również  w dniu 25 maja 2018 r.

Kogo obowiązują przepisy RODO

Rozporządzenie RODO obowiązuje każdy podmiot, który w krajach należących do Unii Europejskiej (UE)  gromadzi  i przetwarza [3] (wykorzystuje) dane osobowe osób fizycznych  np. klientów, pracowników (np. imię i nazwisko, adres, e-mail itp.). Przykładowo będzie to spółka cywilna lub spółka z o.o. , każda firma, a także urząd, szkoła, ośrodek pomocy społecznej,oddział w Unii Europejskiej przedsiębiorcy mającego siedzibę poza Unią. Nie ma znaczenia narodowość osób, których dane osobowe są przetwarzane. Nie ma znaczenia to, gdzie są przetwarzane dane osobowe (gdzie znajdują się serwery)”. [4]

RODO nie obejmuje osób prywatnych, to znaczy, „że osoba fizyczna prowadząca działalność gospodarczą musi stosować RODO do danych osobowych swoich klientów, czy pracowników, ale nie stosuje RODO do danych przetwarzanych w celach czysto prywatnych, np. do danych adresatów wysyłanych corocznie kartek świątecznych”. [5]  

 Czym są „dane osobowe”

Zgodnie z art. 4 pkt 1 RODO „dane osobow” są to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Ustalenie jej tożsamości  jest możliwe  bezpośrednio lub pośrednio. Identyfikatorem będzie :

  • imię i nazwisko,
  • numer identyfikacyjny (np. PESEL),
  • dane o lokalizacji ( np. adres zamieszkania),
  • identyfikator internetowy ( np. identyfikatory plików cookie, IP komputera),
  • „jeden bądź kilka szczególnych czynników określających: fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.

Dane osobowe może stanowić także nr księgi wieczystej nieruchomości, lub  adres poczty elektronicznej (e-mail) , który zawiera m.in. jej  imię i nazwisko i nazwę firmy. Nie są danymi osobowymi numery rejestracyjne samochodów, ponieważ  przypisane są do konkretnego  samochodu.

W motywie 26 rozporządzenia RODO czytamy: 1) aby stwierdzić, czy dana osoba jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.

2) aby stwierdzić czy, dany sposób identyfikacji może być z uzasadnionym prawdopodobieństwem wykorzystany do identyfikacji danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebny do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny”.

Przykłady:

Osobą zidentyfikowaną  będzie:  klient sklepu internetowego, który podał swoje dane niezbędne do wysłania zamówionego towaru, klient sieci komórkowej, który dokonał zakupu telefonu na abonament,  przyszły pracownik starająca się o zatrudnienie w danej firmie.  

Osobą możliwą do zidentyfikowania będzie użytkownik telefonu stacjonarnego lub komórkowego (nr telefonu), przedsiębiorca zarejestrowany w CEIDG (nr ewidencyjny), użytkownik telewizji kablowej (nr klienta), nadawca listu poleconego (nr nadania), użytkownik komputera (stały lub przypisany na dłużej adres IP komputera).

Podział danych osobowych

Dane osobowe dzielą się na: dane osobowe „zwykłe” i dane „szczególne” .

W świetle art. 9 motyw 51 RODO  do szczególnych kategorii danych osobowych „powinny zaliczać się dane osobowe ujawniające pochodzenie rasowe lub etniczne (-)”.

W RODO  zostały zdefiniowane dwa nowe rodzaje danych osobowych. Są to „dane genetyczne” i  „dane biometryczne”.  

Z art. 4 pkt 13 RODO „dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej”.

Natomiast w myśl art. 4 pkt 14 RODO „dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne”.

Przykłady danych biometrycznych:

  • wzór podpisu użytkownika rachunku bankowego przechowywany przez właściwy bank,
  • podpisywanie odbioru paczki na ekranie monitora kuriera,
  • znaki szczególne np. blizna na lewym policzku,
  • zdjęcie twarzy np. w dowodzie osobistym lub w paszporcie,
  • linie papilarne.

Przeczytaj także:

Odciski linii papilarnych a dostęp do strzeżonego osiedla – https://lexagit.pl/odciski-linii-papilarnych-a-dostep-strzezonego-osiedla/

Ważne!

Przepisom RODO nie podlegają dane osób zmarłych.

Objaśnienie:

[1] Ogólne Rozporządzenie o Ochronie  Danych Osobowych 2016/679 (RODO)   to  Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119, s. 1). Jest znane także  jako GDPR- General Data Protection Regulation.

[2] Jak przygotować firmę na wejście w życie RODO https://rodoporadnik.pl/wp-content/uploads/e-book-Advatech-v2.pdf  str. 6 (dostęp 24 maja 2018 r.)

[3] Przetwarzanie danych osobowych to każda czynność związana z ich użyciem,  np. zapisywanie, kopiowanie pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie.

[4] Litwiński P. Przewodnik po RODO dla MŚPhttp://www.mpit.gov.pl/strony/aktualnosci/przewodnik-po-rodo-dla-msp/ , str. 8 (dostęp w dniu  24 maja 2018 r.)

[5] Tamże,  str.  7

Źródło: Interaktywny tekst GDPR https://gdpr.pl/interaktywny-tekst-gdpr

Stan prawny na 25 maja 2018 r.

Wanda Książek – współpracownik Portalu

Zapraszamy do kontaktu z Kancelarią, jeśli artykuł ten Państwa zainteresował lub potrzebują Państwo więcej informacji.