Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: RODO) zawiera między innymi przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.
O tym czym są dane osobowe i co należy rozumieć przez ich przetwarzanie przeczytasz w niniejszym artykule.
Zobacz również nasz materiał video na temat danych osobowych:
Zgodnie z przepisem art. 4 pkt 1 RODO dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (“osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Tym samym z powyższej regulacji wprost wynika, że dane osobowe dotyczą wszelkich informacji dotyczących zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Warto również mieć na uwadze, że osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób [por. motyw 30 RODO].
Kolejnymi istotnymi zagadnieniami wynikającymi z RODO są:
Jeśli chodzi o dane osobowe wrażliwe, to do tych danych, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności. Do takich danych osobowych powinny zaliczać się dane osobowe ujawniające pochodzenie rasowe lub etniczne, przy czym użycie w niniejszym rozporządzeniu terminu “pochodzenie rasowe” nie oznacza, że Unia akceptuje teorie sugerujące istnienie osobnych ras ludzkich.
Dalej wskazać należy, że przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją “danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. Takich danych osobowych nie należy przetwarzać, chyba że niniejsze rozporządzenie dopuszcza ich przetwarzanie w szczególnych przypadkach, przy czym należy uwzględnić, że prawo państw członkowskich może obejmować przepisy szczegółowe o ochronie danych dostosowujące zastosowanie przepisów niniejszego rozporządzenia tak, by można było wypełnić obowiązki prawne lub wykonać zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
Co więcej, warto wskazać, że wyróżnia się dwie kategorie danych osobowych, tj.:
-imię,
-nazwisko,
-adres zamieszkania,
-data i miejsce urodzenia,
-numer telefonu,
-wykonywany zawód,
-wizerunek,
-adres e-mail;
-pochodzenie rasowe lub etniczne,
-poglądy polityczne, przekonania religijne lub światopoglądowe,
-przynależność do związków zawodowych,
-dane genetyczne,
-dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej,
-dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby,
-dane dotyczące wyroków skazujących i czynów zabronionych.
Przykładowymi danymi osobowymi będą dane takie jak:
– numer KRS, adres e-mail, czy dane anonimowe nie stanowią danych osobowych.
A jeśli chcesz wiedzieć czy można zapłacić danymi osobowymi, to zajrzyj do tego artykułu.
Przepis art. 4 ust. 2 RODO stanowi, że przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
Z kolei przepis art. 6 RODO reguluje kwestie związaną z przetwarzaniem danych osobowych zgodnie z prawem. Tym samym przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
– jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
Warto również zauważyć, że z pewnymi wyjątkami, zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
Wyjątkiem od powyższego będzie przykładowo:
Jak wynika z przepisu art. 28 ust 1. RODO, administrator danych osobowych może powierzyć przetwarzanie danych innemu (wybranemu) podmiotowi.
W szczególności przepis ten stanowi, iż Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
Z powyższej regulacji wynika, że powierzenie przetwarzania jest zlecane przez administratora wybranemu profesjonalnemu podmiotowi w zakresie dokonania określonych czynności przetwarzania. Działania te są podejmowane przez podmiot przetwarzający w imieniu i na rzecz administratora.
W przepisie art. 4 ust. 7 RODO wskazano m.in., że administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Zgodnie z definicją legalną zawartą w art. 4 pkt 8 RODO, przetwarzającym może być osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Chcesz wiedzieć czym jest umowa powierzenia przetwarzania danych osobowych oraz jakie elementy powinna zawierać ? Jeśli tak, to przejdź tutaj.
Zidentyfikowanie lub możliwość zidentyfikowania oznacza, że można konkretną osobę, której dane dotyczą, wytypować od za pomocą konkretnych wszelkich informacji (jej indywidualnych danych). Bowiem jak wskazano w motywie 26 RODO: „aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby […], w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej”.
Jeśli chcesz wiedzieć czy istnieje możliwość sprostowania i usunięcia danych osobowych, to przejdź do tego artykułu.
Zastanawiasz się kiedy druk jest traktowany jako towar a kiedy jako usługa? W dzisiejszym artykule…
Rada Ministrów przyjęła w dniu 19 marca 2024 roku projekt ustawy o zmianie ustawy o…
Wielu przedsiębiorców zaangażowało się w działalność charytatywną i wsparcie dla Ukrainy. Jesteś jednym z nich?…
Firmy stają przed wyzwaniem zarządzania ogromną ilością treści publikowanych w internecie. Od postów w mediach…
Przepisy prawa przewidują możliwość obniżenia podatku dochodowego od osób fizycznych lub od osób prawnych poprzez…
Zepsuty telewizor, pralka czy smartphone? Takie sytuacje w życiu codziennym mogą przytrafić się każdemu z…