Wróć do informacji o e-podręczniku Wydrukuj Pobierz materiał do PDF Zaloguj się, aby dodać do ulubionych Zaloguj się, aby skopiować i edytować materiał Zaloguj się, aby udostępnić materiał Zaloguj się, aby dodać całą stronę do teczki
Oceń projekt

Przeczytaj

Dane osobowe

Dane osobowedane osoboweDane osobowe to informacje, na podstawie których można bezpośrednio lub pośrednio zidentyfikować konkretną osobę fizyczną. Nie należą do nich informacje bardzo ogólne, ale jeśli po połączeniu z innymi danymi pozwalają one ustalić, kim jest dana osoba, również możemy nazwać je danymi osobowymi.

bg‑cyan

Oferowane wynagrodzenie w ogłoszeniu o pracę nie stanowi danych osobowych, ale jeżeli na danym stanowisku zostanie zatrudniona konkretna osoba, to wynagrodzenie będzie już jej danymi osobowymi.

Nick na portalu aukcyjnym nie stanowi danych osobowych, ponieważ nie pozwala na ustalenie, kto się nim posługuje. Sytuacja zmienia się jednak, gdy osoba ta zawrze umowę (po wygraniu licytacji). Licytujący otrzyma informacje z danymi tej osoby i wtedy również nick będzie daną osobową.

Ustawodawca wyróżnił dwie kategorie danych osobowych.

RScWWDhdrPvzo1
Mapa myśli. Lista elementów:
  • Nazwa kategorii: zwykłe dane
      • Elementy należące do kategorii zwykłe dane
    • Nazwa kategorii: adres IP
    • Nazwa kategorii: imię i nazwisko
    • Nazwa kategorii: adres zamieszkania
    • Nazwa kategorii: pesel
    • Nazwa kategorii: identyfikator plików cookie
    • Nazwa kategorii: adres e-mail
      • Koniec elementów należących do kategorii zwykłe dane

    • zwykłe dane{color=#0286F2}
      • adres IP{color=#4C6A94}
      • imię i nazwisko{color=#4C6A94}
      • adres zamieszkania{color=#4C6A94}
      • pesel{color=#4C6A94}
      • identyfikator[br]plików cookie{color=#4C6A94}
      • adres e-mail{color=#4C6A94}
Źródło: Englishsquare.pl sp. z o.o., licencja: CC BY-SA 3.0.
ROoQ9VZtSuSXH1
Mapa myśli. Lista elementów:
  • Nazwa kategorii: dane wrażliwe
      • Elementy należące do kategorii dane wrażliwe
    • Nazwa kategorii: wizerunek twarzy
    • Nazwa kategorii: kształt linii papilarnych
    • Nazwa kategorii: kod DNA lub RNA
    • Nazwa kategorii: informacje o zdrowiu
    • Nazwa kategorii: przynależność partyjna, związkowa
    • Nazwa kategorii: poglądy polityczne
    • Nazwa kategorii: pochodzneie etniczne/rasowe
      • Koniec elementów należących do kategorii dane wrażliwe

    • dane wrażliwe{color=#4C6A94}
      • wizerunek twarzy{color=#0286F2}
      • kształt linii papilarnych {color=#0286F2}
      • kod DNA lub RNA{color=#0286F2}
      • informacje o zdrowiu{color=#0286F2}
      • przynależność[br]partyjna, związkowa{color=#0286F2}
      • poglądy polityczne{color=#0286F2}
      • pochodzneie[br]etniczne/rasowe{color=#0286F2}
Źródło: Englishsquare.pl sp. z o.o., licencja: CC BY-SA 3.0.

Zbieranie danych osobowych

R1406O0RV88lv
Ilustracja przedstawia schemat bazy danych. Przedstawione są tabelki oraz połączenia między nimi: od tabeli centralnej poprowadzone są połączenia, przy tabeli oznaczenie 2 kresek pionowych (czytane jako "jeden") do kolejnej tabeli zakończone oznaczeniem 3 rozwidlonych linii, za którymi pojawia się pionowa linia (czytane jako "wiele"). W ten sposób odczytuje się takie połączenie "jeden do wielu".
Przykładem zbierania danych jest np. kupno bazy danych.
Źródło: mcmurryjulie, domena publiczna.

Zbieranie danych osobowych to jedna z najistotniejszych czynności w całym procesie przetwarzania danych. W momencie ich zebrania automatycznie stajemy się ich administratorem. Aby jednak w ogóle można było przystąpić do zbierania danych, należy się do tego odpowiednio przygotować. Ustawodawca w art. 13 i 14 RODORODORODO nakłada na nas szczególne wymagania.

Zbierając dane osobowe, musimy:

  1. określić, jakie dane są nam potrzebne oraz czy ich zbieranie i przetwarzanie rzeczywiście jest konieczne;

  2. ustalić, czy dane osobowe będą przekazywane do państwa trzeciego;

  3. ustalić podstawę prawną, która będzie upoważniać nas do zbierania danych;

  4. wdrożyć odpowiednie zabezpieczenia danych;

  5. uporządkować zestawy danych wg ściśle określonych przez siebie kryteriów.

bg‑cyan

Przykłady zbiorów danychzbiór danychzbiorów danych: zbiór kandydatów do pracy, zbiór kontrahentów, zbiór reklamacji, zbiór klientów, zbiór kadrowo‑płacowy.

Dane osobowe muszą być:

  1. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami („ograniczenie celu”);

  2. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”).

bg‑cyan

Przykładowe sytuacje, które nie spełniają kryterium adekwatności:

  • podawanie na biletach okresowych numeru PESEL, ponieważ imię, nazwisko oraz wizerunek są wystarczające do weryfikacji danej osoby;

  • wymóg wpisywania numeru rejestracyjnego w parkomatach (posiadających klawiaturę) przy uiszczaniu opłaty parkingowej.

Administrator danych osobowych (ADO)

Do obowiązków administratora danych osobowychadministrator danych osobowychadministratora danych osobowych należy:

  • zapewnienie bezpieczeństwa danych osobowych (szyfrowanie danych, pseudonimizacjapseudonimizacjapseudonimizacja danych);

  • spełnienie obowiązku informacyjnego osób, wobec których dane będą zbierane i przetwarzane;

  • powołanie Inspektora Ochrony Danych (IOD zamiast ABI), jeśli takiego powołania wymagają przepisy prawa;

  • informowanie właściwych organów nadzoru o nieprawidłowościach lub naruszeniach bezpieczeństwa danych;

  • prowadzenie rejestru czynności przetwarzania danych.

Inspektor ochrony danych (IOD)

Powołanie inspektora ochrony danych jest konieczne, gdy:

  • przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości (np. Narodowy Bank Polski, instytuty badawcze);

  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania na dużą skalę, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą (np. sektor usług finansowych, sektor usług transportu lotniczego);

  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych (np. prywatne centra medyczne, podmioty przetwarzające dane o skazaniach).

Dane osobowe w sieci

Obecnie niemal wszystkie przedsiębiorstwa działające w sieci posługują się narzędziami, które służą do śledzenia – i co więcej – profilowania użytkowników. Robią to za pomocą plików cookie, dzięki którym jest możliwe śledzenie ruchu na stronie oraz poznawanie preferencji użytkowników odwiedzających daną stronę. Narzędziem, po które firmy sięgają najczęściej, jest Google Analytics.

Google Analytics nie zbiera co prawda bezpośrednich danych o osobie, a jedynie dane techniczne, jednak przy dużej liczbie takich danych możliwe jest ujawnienie informacji, za pomocą których można zidentyfikować daną osobę. Dlatego w takim przypadku konieczne jest uzyskanie zgody użytkownika.

Dane osobowe w mediach społecznościowych

Obecnie portale społecznościowe nie zbierają wyłącznie podstawowych informacji o swoich użytkownikach, takich jak: imię i nazwisko, lokalizacja, zainteresowania czy adres e‑mail. Coraz większego znaczenia nabierają algorytmy, za pomocą których analizuje się treści, które użytkownik udostępnia w internecie. Algorytmy te dzięki wielkiej próbie statystycznej poznają człowieka, a administrator uzyskuje mnóstwo informacji na temat danej osoby. Media społecznościowe są zatem cennym źródłem informacji o każdym z nas, a co za tym idzie – dobrym miejscem dla różnego rodzaju działań marketingowych.

Facebook profiluje swoich użytkowników, dzięki czemu może dopasować informacje sponsorowane do konkretnej osoby. Jest to tzw. personifikacja reklamy. Pojęcie „administratora danych” obejmuje także administratora fanpage’a, który jest prowadzony np. na Facebooku.

Wyrok Trybunału Sprawiedliwości z dnia 5 czerwca 2018 r. C-210/16 Administrator fanpage’a na portalu społecznościowym jako współadministrator przetwarzanych za jego pośrednictwem danych osobowych.

(…)  1. Artykuł 2 lit. d) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych należy interpretować w ten sposób, że pojęcie 'administratora danych' w rozumieniu tego przepisu obejmuje administratora fanpage'a prowadzonego na portalu społecznościowym.

Tymczasem wprawdzie sam fakt korzystania z portalu społecznościowego, takiego jak Facebook, nie sprawia, że użytkownik Facebooka staje się współodpowiedzialny za przetwarzanie danych osobowych dokonywane przez ów portal, należy jednak zaznaczyć, że administrator fanpage'a prowadzonego na Facebooku, tworząc taką stronę, daje Facebookowi możliwość zapisania plików cookies na komputerze lub na każdym innym urządzeniu osoby odwiedzającej jego fanpage'a bez względu na to, czy osoba ta posiada konto na Facebooku czy też nie. W tych okolicznościach należy uznać, że administrator fanpage'a prowadzonego na Facebooku, taki jak Wirtschaftsakademie, uczestniczy, podejmując działania polegające na ustaleniu parametrów zależnych w szczególności od jego użytkowników docelowych, jak również od celów w zakresie zarządzania lub promocji jego działalności, w określeniu celów i sposobów przetwarzania danych osobowych osób odwiedzających jego fanpage. Z tego względu w niniejszym przypadku należy uznać, że ów administrator fanpage'a ponosi na poziomie Unii wspólną odpowiedzialność z Facebook Ireland za przetwarzanie danych w rozumieniu art. 2 lit. d) dyrektywy 95/46. Okoliczność, iż administrator fanpage'a korzysta z platformy oferowanej przez Facebook i z usług na niej dostępnych, nie zwalnia go bowiem z jego obowiązków w dziedzinie ochrony danych osobowych. W tych okolicznościach uwzględnienie wspólnej odpowiedzialności operatora portalu społecznościowego i administratora fanpage'a prowadzonego na tym portalu w związku z przetwarzaniem danych osobowych osób odwiedzających ów fanpage przyczynia się do zapewnienia bardziej kompleksowej ochrony praw przysługujących osobom, które odwiedzają fanpage, zgodnie z wymogami dyrektywy 95/46.

wyrok Źródło: Wyrok Trybunału Sprawiedliwości z dnia 5 czerwca 2018 r. C-210/16 Administrator fanpage’a na portalu społecznościowym jako współadministrator przetwarzanych za jego pośrednictwem danych osobowych., dostępny w internecie: sip.lex.pl [dostęp 22.03.2021].

Słownik

RODO
RODO

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

administrator danych osobowych
administrator danych osobowych

osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, jeżeli cele i sposoby takiego przetwarzania są określone w przepisach prawa

dane osobowe
dane osobowe

wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź też kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej

pseudonimizacja
pseudonimizacja

przetworzenie danych osobowych w taki sposób, by nie można ich było przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji

zbiór danych
zbiór danych

uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie

Wprowadzenie
Infografika