Dział prawny
16.09.2016

Ochrona danych osobowych - pojęcia podstawowe


Ochrona danych osobowych

Co to są dane osobowe? Na czym polega ich przetwarzanie? Kiedy zgłasza się dane do GIODO? Jakie dane można przetwarzać? W tym artykule przywołamy pojęcia podstawowe z zakresu ochrony danych osobowych, a w kolejnych postaramy się tę tematykę jeszcze bardziej przybliżyć.
Category: Ogólne
Posted by: Dzial Prawny

Mimo, że Ustawa o ochronie danych osobowych została wprowadzona do polskiego porządku prawnego blisko 19 lat temu (29 sierpnia 1997 r., tekst jednolity Dz. U. z 2002 r., Nr 101, poz. 926 ze zm.), problematyka ochrony danych wciąż nastręcza wielu trudności w praktycznym stosowaniu i budzi kontrowersje.

Dzieje się tak m. in. z powodu zapożyczenia na jej potrzeby pojęć o znaczeniu odbiegającym od potocznego rozumienia, często mało precyzyjnych sformułowań przepisów (głownie z uwagi na konieczność stosowania i wdrożenia także prawa wspólnotowego). W konsekwencji przedsiębiorcy, będący jednocześnie administratorami danych osobowych, często nie są świadomi ciążących na nich obowiązków związanych z przetwarzaniem i rejestracją danych. Do tego wystarczy dołożyć dość restrykcyjne interpretacje przepisów ustawy przez właściwe w tym zakresie organy i o pomyłkę nie trudno.

 

Jak zatem prowadzić firmę, bez obaw o to, czy działamy zgodnie z literą prawa?

 

CZYM SĄ DANE OSOBOWE?

(…) W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

 

Prowadząc biznes przetwarza się różne dane osobowe, głównie dane osobowe pracowników, klientów, kontrahentów itp. Bardzo często przedsiębiorcy, a także ich pracownicy nie mają pewności, czy określone dane są danymi osobowymi w rozumieniu ustawy. Co więcej te same dane (np. nr PESEL, czy imię i nazwisko), w jednych okolicznościach są osobowe, a w innych już nie. Jak widać powyżej ustawa nie zawiera katalogu danych, czy informacji, które należy uznawać za dane osobowe. Określenie „wszelkie” oznacza, iż w zasadzie każda informacja może stanowić dane osobowe, w zależności od konkretnych okoliczności i konkretnej sytuacji.

 

(…)Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

 

Dodatkowe kryterium, które może być pomocne przy ustalania, czy określone dane to dane osobowe stanowi kryterium „nadmierności” kosztów, czasu i działań przy ustalaniu tożsamości danej osoby posiadając określone dane jej dotyczące.

 

(…) Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

 

Podsumowując, dane osobowe to dane, które bez nadmiernych kosztów, nakładu czasu i działań pozwalają ustalić tożsamość określonej osoby. Warto zauważyć, że w większości przypadków do ustalenia tożsamości osoby niezbędne będzie posiadanie co najmniej kilku informacji o osobie, które łącznie dopiero pozwolą na ustalenie kim jest osoba (wyjątkiem jest wizerunek). Przykładem informacji, które nie zawsze będą danymi osobowymi według powyższych kryteriów są:

 

Ø  Imię i nazwisko,

Ø  Adres i kod pocztowy,

Ø  Położenie geograficzne obiektów (geolokalizacja),

Ø  Numer dokumentu,

Ø  Numer PESEL,

Ø  Nr REGON,

Ø  Nr NIP,

Ø  Numer telefonu,

Ø  Numer licencji na wykonywanie zawodu,

Ø  Adres e-mail,

Ø  Nr komunikatorów,

Ø  Numer IP komputera,

Ø  Login,

Ø  Nik,

Ø  Nr rejestracyjny samochodu,

Ø  VIN,

Ø  Nr rachunku bankowego,

Ø  Wizerunek.

 

CZYM JEST PRZETWARZANIE DANYCH OSOBOWYCH?

Przetwarzanie danych osobowych to, zgodnie z Ustawą, jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Jak widać wykaz tych operacji w ustawie jest przykładowy, a katalog nie wyczerpujący. Mogą to być dowolne działania, pod warunkiem, że wykonywane są na danych osobowych.

 

KTO JEST ADMINISTRATOREM DANYCH OSOBOWYCH?

Administratorem danych osobowych jest podmiot, który przetwarza dane osobowe w ramach działalności zarobkowej, zawodowej lub dla realizacji celów statutowych, a ponadto decyduje o celach i środkach przetwarzania tych danych. Oznacza to, że administratorem danych osobowych w myśl ustawy są na przykład pracodawcy w odniesieniu do swoich pracowników oraz kandydatów do  pracy, zaś przedsiębiorcy w odniesieniu do swoich klientów, będących osobami fizycznymi.

 

WAŻNE: Podmioty świadczące w imieniu administratora usługi np. kadrowo-płacowe czy informatyczne nie są administratorami danych osobowych, a ich przetwarzanie zostało im jedynie powierzone.

 

CZYM JEST ZBIÓR DANYCH OSOBOWYCH?

(…) każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

 

Innymi słowy, zbiór danych osobowych, to pewna ilość informacji, które mają swoją określoną strukturę oraz kryteria dostępu, czyli np. możliwość wyszukiwania według klucza i nie przestają być zbiorem, nawet jeśli znajdują się w różnych miejscach (działy firmy, teczki, segregatory, różne systemy informatyczne, programy), czy też są funkcjonalnie podzielone.

 

KIEDY ZBIÓR DANYCH OSOBOWYCH NALEŻY ZAREJESTROWAĆ DO GIODO?

Zasadą jest, że każdy zbiór danych osobowych należy zarejestrować, chyba, że zachodzi wyjątek opisany w art. 43 ust. Ustawy o ochronie danych osobowych.

 

WAŻNE! W każdym przypadku, w którym nie ma obowiązku rejestracji zbioru, nadal istnieje po stronie przedsiębiorcy obowiązek ochrony danych osobowych zawartych w zbiorze.

 

Najistotniejsze z punktu widzenia  każdego przedsiębiorcy przypadki zwolnienia z obowiązku rejestracji danych osobowych dotyczą danych:

 

a)  przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się;

 

Zbiory danych pracowników oraz osób będących kandydatami do pracy, jak również byłych pracowników podlegają zwolnieniu z obowiązku rejestracji. Obejmuje ono zarówno zatrudnienie na podstawie umowy o pracę, jak i na podstawie innych umów cywilnoprawnych (umowa zlecenie, umowa o dzieło, umowa agencyjna, praktykanci).

 

b) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;

 

Zakres danych, jaki może być gromadzony w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, obejmuje imię i nazwisko, adres i nr NIP. Jeżeli w tym celu gromadzone są jeszcze inne dane (np. adres e-mail, telefon) wówczas pojawia się obowiązek rejestracji.

 

c) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;

 

Zwolnienie nie dotyczy jednak podmiotów świadczących pomoc prawną, które nie są wpisani na listę jednego z wyżej wymienionych wolnych zawodów.

 

d)   powszechnie dostępnych;

 

Dane osobowe powszechnie dostępne są zwolnione z obowiązku rejestracji. Należy odróżnić dwa różne przypadki dotyczące rodzaju danych powszechnych. Zwolnieniu z obowiązku rejestracji podlegają tylko te dane osobowe, które w momencie zbierania były powszechnie dostępne. Natomiast dane, które po zebraniu będą upubliczniane (np. na podstawie zgody osoby, której dotyczą), podlegają jako zbiór rejestracji.

 

Dane o przedsiębiorcach to dane powszechnie dostępne. Dane o przedsiębiorcach nie będących osobami fizycznymi w ogóle nie podlegają ustawie o ochronie danych osobowych.

Podlegają jej natomiast przedsiębiorcy, będący osobami fizycznymi.

Niemniej jednak dane ich dotyczące są powszechnie dostępne (w systemie CEIDG), zatem nie podlegają rejestracji.

 

Pamiętaj jednak, że jeżeli takie dane (powszechnie dostępne) zostaną połączone z innymi dodatkowymi informacjami, to może powstać obowiązek rejestracji. 

Zapraszamy, zapoznaj się z serwisem przez tydzień, za darmo.


Dominika Stasiłowicz - Dział Prawny   
Dominika Stasiłowicz
radca prawny

Dział Prawny - Wszelkie prawa zastrzeżone.
Innowacyjna Gospodarka - Narodowa Strategia Spójności

DOTACJE NA INNOWACJE – INWESTUJEMY W WASZĄ PRZYSZŁOŚĆ

Projekt współfinansowany ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Innowacyjna Gospodarka.

Unia Europejska - Europejski Fundusz Rozwoju Regionalnego