Przeczytaj

Dane osobowe

Dane osobowedane osoboweDane osobowe to informacje, na podstawie których można bezpośrednio lub pośrednio zidentyfikować konkretną osobę fizyczną. Nie należą do nich informacje bardzo ogólne, ale jeśli po połączeniu z innymi danymi pozwalają one ustalić, kim jest dana osoba, również możemy nazwać je danymi osobowymi.

Aby stwierdzić, czy dany zestaw informacji może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

bg‑cyan

Oferowane wynagrodzenie w ogłoszeniu o pracę nie stanowi danych osobowych, ale jeżeli na danym stanowisku zostanie zatrudniona konkretna osoba, to wynagrodzenie będzie już jej danymi osobowymi.

Nick na portalu aukcyjnym nie stanowi danych osobowych, ponieważ nie pozwala na ustalenie, kto się nim posługuje. Sytuacja zmienia się jednak, gdy osoba ta zawrze umowę (po wygraniu licytacji). Licytujący otrzyma informacje z danymi tej osoby i wtedy również nick będzie daną osobową.

Ustawodawca wyróżnił dwie kategorie danych osobowych.

RScWWDhdrPvzo1
Mapa myśli. Lista elementów:
  • Nazwa kategorii: zwykłe dane
      • Elementy należące do kategorii zwykłe dane
    • Nazwa kategorii: adres IP
    • Nazwa kategorii: imię i nazwisko
    • Nazwa kategorii: adres zamieszkania
    • Nazwa kategorii: pesel
    • Nazwa kategorii: identyfikator plików cookie
    • Nazwa kategorii: adres e-mail
      • Koniec elementów należących do kategorii zwykłe dane

    • zwykłe dane{color=#0286F2}
      • adres IP{color=#4C6A94}
      • imię i nazwisko{color=#4C6A94}
      • adres zamieszkania{color=#4C6A94}
      • pesel{color=#4C6A94}
      • identyfikator[br]plików cookie{color=#4C6A94}
      • adres e-mail{color=#4C6A94}
Źródło: Englishsquare.pl sp. z o.o., licencja: CC BY-SA 3.0.
1
RMBFBB95BPBH71
Mapa myśli. Lista elementów:
  • Nazwa kategorii: dane wrażliwe
      • Elementy należące do kategorii dane wrażliwe
    • Nazwa kategorii: wizerunek twarzy
    • Nazwa kategorii: kształt linii papilarnych
    • Nazwa kategorii: kod DNA lub RNA
    • Nazwa kategorii: informacje o zdrowiu
    • Nazwa kategorii: przynależność partyjna, związkowa
    • Nazwa kategorii: poglądy polityczne
    • Nazwa kategorii: pochodzneie etniczne/rasowe
      • Koniec elementów należących do kategorii dane wrażliwe
Źródło: Englishsquare.pl sp. z o.o., licencja: CC BY-SA 3.0.

Zbieranie danych osobowych

Zbieranie danych osobowych to powszechna praktyka, która towarzyszy nam w wielu sytuacjach – zarówno online, jak i w codziennym życiu. Dane te mogą obejmować imię, nazwisko, adres e‑mail, numer telefonu, PESEL czy adres zamieszkania. Firmy, szkoły, urzędy czy sklepy internetowe gromadzą je w konkretnym celu – np. aby założyć konto klienta, zapisać ucznia do szkoły, wystawić fakturę czy wysyłać newsletter.

Przykłady:

  • Rejestracja w serwisie społecznościowym (np. Facebook) – podajesz imię, datę urodzenia, adres e‑mail.

  • Składanie zamówienia w sklepie internetowym – wymagane są dane kontaktowe i adres dostawy.

  • Wizyta u lekarza – dane osobowe są potrzebne do założenia karty pacjenta.

Ważne jest, by dane były zbierane zgodnie z przepisami prawa, za wiedzą i zgodą osoby, której dotyczą, oraz tylko w niezbędnym zakresie.

Zbieranie danych osobowych musi spełniać konkretne warunki, które są określone m.in. przez RODORODORODO obowiązujące w całej Unii Europejskiej. Oto najważniejsze zasady:

  1. Zgoda osoby, której dane dotyczą
    Dane można zbierać tylko wtedy, gdy osoba wyrazi na to dobrowolną, konkretną, świadomą i jednoznaczną zgodę (np. zaznaczenie checkboxa, podpis).

  2. Określony cel zbierania danych
    Dane muszą być zbierane w konkretnym i jasno określonym celu (np. zapis na newsletter, realizacja zamówienia). Nie można używać ich później do innych celów bez nowej zgody.

  3. Minimalizacja danych
    Zbierane powinny być tylko te dane, które są niezbędne do osiągnięcia danego celu – nie wolno zbierać „na zapas”.

  4. Przejrzystość
    Osoba, której dane są zbierane, musi być jasno poinformowana, m.in.:

  • kto jest administratorem danych,

  • w jakim celu dane są zbierane,

  • jak długo będą przechowywane,

  • komu mogą być udostępniane,

  • jakie prawa jej przysługują.

  1. Bezpieczeństwo danych
    Zbierający dane musi je odpowiednio chronić – przed dostępem osób nieupoważnionych, utratą czy wyciekiem.

  2. Możliwość wycofania zgody
    Osoba musi mieć możliwość w każdej chwili wycofać zgodę i zażądać usunięcia swoich danych („prawo do bycia zapomnianym”).

bg‑cyan

Przykładem sytuacji nie spełniającej kryterium minimalizacji danych jest podawanie na biletach okresowych numeru PESEL. Imię, nazwisko oraz wizerunek są wystarczające do weryfikacji tożsamości danej osoby.

Administrator danych osobowych (ADO)

Do obowiązków administratora danych osobowychadministrator danych osobowychadministratora danych osobowych należy:

  • zapewnienie bezpieczeństwa danych osobowych (szyfrowanie danych, pseudonimizacjapseudonimizacjapseudonimizacja danych);

  • spełnienie obowiązku informacyjnego osób, wobec których dane będą zbierane i przetwarzane;

  • powołanie Inspektora Ochrony Danych (IOD), jeśli takiego powołania wymagają przepisy prawa;

  • informowanie właściwych organów nadzoru o nieprawidłowościach lub naruszeniach bezpieczeństwa danych;

  • prowadzenie rejestru czynności przetwarzania danych.

Inspektor ochrony danych (IOD)

Powołanie inspektora ochrony danych jest konieczne, gdy:

  • przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości (np. Narodowy Bank Polski, instytuty badawcze);

  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania na dużą skalę, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą (np. sektor usług finansowych, sektor usług transportu lotniczego);

  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych (np. prywatne centra medyczne, podmioty przetwarzające dane o skazaniach).

Dane osobowe w sieci

Obecnie niemal wszystkie przedsiębiorstwa działające w sieci posługują się narzędziami, które służą do śledzenia – i co więcej – profilowania użytkowników. Robią to za pomocą plików cookie, dzięki którym jest możliwe śledzenie ruchu na stronie oraz poznawanie preferencji użytkowników odwiedzających daną stronę. Narzędziem, po które firmy sięgają najczęściej, jest Google Analytics.

Google Analytics nie zbiera co prawda bezpośrednich danych o osobie, a jedynie dane techniczne, jednak przy dużej liczbie takich danych możliwe jest ujawnienie informacji, za pomocą których można zidentyfikować daną osobę. Dlatego w takim przypadku konieczne jest uzyskanie zgody użytkownika.

Dane osobowe w mediach społecznościowych

Obecnie portale społecznościowe nie zbierają wyłącznie podstawowych informacji o swoich użytkownikach, takich jak: imię i nazwisko, lokalizacja, zainteresowania czy adres e‑mail. Coraz większego znaczenia nabierają algorytmy, za pomocą których analizuje się treści, które użytkownik udostępnia w internecie. Algorytmy te dzięki wielkiej próbie statystycznej poznają człowieka, a administrator uzyskuje mnóstwo informacji na temat danej osoby. Media społecznościowe są zatem cennym źródłem informacji o każdym z nas, a co za tym idzie – dobrym miejscem dla różnego rodzaju działań marketingowych.

Facebook profiluje swoich użytkowników, dzięki czemu może dopasować informacje sponsorowane do konkretnej osoby. Jest to tzw. personifikacja reklamy. Pojęcie „administratora danych” obejmuje także administratora fanpage’a, który jest prowadzony np. na Facebooku.

Wyrok Trybunału Sprawiedliwości z dnia 5 czerwca 2018 r. C-210/16 Administrator fanpage’a na portalu społecznościowym jako współadministrator przetwarzanych za jego pośrednictwem danych osobowych.

(…)  1. Artykuł 2 lit. d) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych należy interpretować w ten sposób, że pojęcie 'administratora danych' w rozumieniu tego przepisu obejmuje administratora fanpage'a prowadzonego na portalu społecznościowym.

Tymczasem wprawdzie sam fakt korzystania z portalu społecznościowego, takiego jak Facebook, nie sprawia, że użytkownik Facebooka staje się współodpowiedzialny za przetwarzanie danych osobowych dokonywane przez ów portal, należy jednak zaznaczyć, że administrator fanpage'a prowadzonego na Facebooku, tworząc taką stronę, daje Facebookowi możliwość zapisania plików cookies na komputerze lub na każdym innym urządzeniu osoby odwiedzającej jego fanpage'a bez względu na to, czy osoba ta posiada konto na Facebooku czy też nie. W tych okolicznościach należy uznać, że administrator fanpage'a prowadzonego na Facebooku, taki jak Wirtschaftsakademie, uczestniczy, podejmując działania polegające na ustaleniu parametrów zależnych w szczególności od jego użytkowników docelowych, jak również od celów w zakresie zarządzania lub promocji jego działalności, w określeniu celów i sposobów przetwarzania danych osobowych osób odwiedzających jego fanpage. Z tego względu w niniejszym przypadku należy uznać, że ów administrator fanpage'a ponosi na poziomie Unii wspólną odpowiedzialność z Facebook Ireland za przetwarzanie danych w rozumieniu art. 2 lit. d) dyrektywy 95/46. Okoliczność, iż administrator fanpage'a korzysta z platformy oferowanej przez Facebook i z usług na niej dostępnych, nie zwalnia go bowiem z jego obowiązków w dziedzinie ochrony danych osobowych. W tych okolicznościach uwzględnienie wspólnej odpowiedzialności operatora portalu społecznościowego i administratora fanpage'a prowadzonego na tym portalu w związku z przetwarzaniem danych osobowych osób odwiedzających ów fanpage przyczynia się do zapewnienia bardziej kompleksowej ochrony praw przysługujących osobom, które odwiedzają fanpage, zgodnie z wymogami dyrektywy 95/46.

wyrok Źródło: Wyrok Trybunału Sprawiedliwości z dnia 5 czerwca 2018 r. C-210/16 Administrator fanpage’a na portalu społecznościowym jako współadministrator przetwarzanych za jego pośrednictwem danych osobowych., dostępny w internecie: sip.lex.pl [dostęp 22.03.2021].

Słownik

RODO
RODO

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

administrator danych osobowych
administrator danych osobowych

osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, jeżeli cele i sposoby takiego przetwarzania są określone w przepisach prawa

dane osobowe
dane osobowe

wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź też kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej

pseudonimizacja
pseudonimizacja

przetworzenie danych osobowych w taki sposób, by nie można ich było przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji

zbiór danych
zbiór danych

uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie

Wprowadzenie
Infografika