Przeczytaj
Dane osobowe
Dane osoboweDane osobowe to informacje, na podstawie których możemy (bezpośrednio lub pośrednio) zidentyfikować konkretną osobę fizyczną. Nie zawsze łatwo jest sprecyzować, co należy do tej kategorii. Informacje bardzo ogólne zazwyczaj nie są uznawane za dane osobowe, wyjątkiem jest jednak sytuacja, w której po połączeniu z innymi danymi pozwalają ustalić czyjąś tożsamość. Podsumowując, te same informacje w zależności od kontekstu mogą być uznane za dane osobowe lub nie.
Co (i kiedy) uznajemy za dane osobowe?
Wynagrodzenie
Kwota oferowanego wynagrodzenia podana w ogłoszeniu o pracę nie stanowi danych osobowych. Natomiast jeżeli na danym stanowisku zostanie zatrudniona konkretna osoba, to ta sama informacja stanie się danymi osobowymi.
Nick internetowy
Nick na portalu aukcyjnym nie stanowi danych osobowych, ponieważ nie pozwala na ustalenie, kto się nim posługuje. Sytuacja zmienia się jednak, gdy osoba wygra licytację i tym samym zawrze umowę. Licytujący otrzyma informacje z danymi kupującego i wtedy również nick będzie uznawany za daną osobową.
Ustawodawca wyróżnił dwie kategorie danych osobowych:
Zbieranie danych osobowych
W procesie przetwarzania danych osobowychprzetwarzania danych osobowych jedną z najistotniejszych czynności jest ich zbieranie. Przed przystąpieniem do gromadzenia danych mamy obowiązek odpowiednio się do tego przygotować. Ustawodawca w art. 13 i 14 RODORODO nakłada na nas szczególne wymagania.
Przykłady zbiorów danychzbiorów danych: zbiór kandydatów do pracy, zbiór kontrahentów, zbiór reklamacji, zbiór klientów, zbiór kadrowo‑płacowy.
Wśród zasad, które obowiązują przy gromadzeniu danych osobowych, znajduje się ograniczenie celu – dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach. Nie możemy później przetwarzać informacji w sposób niezgodny z tymi celami. Przy czym warto wiedzieć, że dalsze przetwarzanie danych do celów statystycznych lub archiwalnych w interesie publicznym, a także w ramach badań naukowych lub historycznych nie jest uznawane za niezgodne z pierwotnymi celami.
Zbierając dane osobowe, koniecznie trzeba również pamiętać o minimalizacji danych. Oznacza to, że gromadzone dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.
Kryterium adekwatności zostaje naruszone w sytuacji, w której na bilecie okresowym widnieje numer PESEL, ponieważ imię, nazwisko oraz wizerunek osoby są wystarczające do jej weryfikacji.
Wymóg wpisywania numeru rejestracyjnego przy uiszczaniu opłaty parkingowej w parkomacie również nie spełnia kryterium adekwatności.
Administrator danych osobowych (ADO)
W momencie, w którym ktoś przekazuje nam swoje dane osobowe, automatycznie stajemy się ich administratoremadministratorem. W takiej sytuacji do naszych obowiązków należy:
zapewnienie bezpieczeństwa danych osobowych (szyfrowanie, pseudonimizacjapseudonimizacja);
spełnienie obowiązku informacyjnego wobec osób, których dane będą zbierane i przetwarzane;
powołanie inspektora ochrony danych (IOD zamiast ABI), jeśli wymagają tego przepisy prawa;
informowanie właściwych organów nadzoru o nieprawidłowościach lub naruszeniach bezpieczeństwa danych;
prowadzenie rejestru czynności przetwarzania danych.
Inspektor ochrony danych (IOD)
Powołanie inspektora ochrony danych jest konieczne, gdy:
za przetwarzanie danych odpowiedzialne są organy lub podmioty publiczne, np. Narodowy Bank Polski, instytuty badawcze; nie dotyczy to jednak sądów, jeśli przetwarzają informacje w ramach sprawowania przez nie wymiaru sprawiedliwości;
główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania danych na dużą skalę, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których informacje dotyczą; zasada ta obejmuje np. przedstawicieli sektorów takich jak usługi finansowe lub transport lotniczy;
główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, mieszczą się tu między innymi prywatne centra medyczne, podmioty przetwarzające dane o skazaniach.
Słownik
osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w przepisach prawa
dane osobowe dotyczące cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiające lub potwierdzające jednoznaczną identyfikację tej osoby, w tym wizerunek twarzy lub dane daktyloskopijne
dane osobowe dotyczące stanu zdrowia fizycznego lub psychicznego osoby fizycznej, w tym dane o korzystaniu z usług opieki zdrowotnej, które ujawniłyby informacje o stanie jej zdrowia
dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu, uzyskane przeważnie na podstawie analizy jej próbki biologicznej
wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej
wykonywanie różnego rodzaju operacji na danych osobowych, takich jak: przeglądanie, zbieranie, przechowywanie, przesyłanie, udostępnianie, zmienianie czy usuwanie
przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać osobie, której dane dotyczą, bez użycia dodatkowych informacji
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie