Dane osobowe
Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej[1][2].
Dane osobowe w Polsce
W prawie polskim termin ten został zdefiniowany w ustawie o ochronie danych osobowych[3]. W rozumieniu ustawy za dane osobowe uważano wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania była osoba, której tożsamość można było określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważano za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Danymi osobowymi nie były zatem pojedyncze informacje o dużym stopniu ogólności, np. sama nazwa ulicy, numer domu, w którym mieszka wiele osób, czy wysokość wynagrodzenia. Informacja ta stanowiła dane osobowe wówczas, gdy została zestawiona z innymi, dodatkowymi informacjami, np. imieniem i nazwiskiem, czy numerem PESEL, które w konsekwencji można odnieść do konkretnej osoby. Danymi osobowymi nie były również informacje o osobach zmarłych[4].
Nad kontrolą i ochroną prawną czuwał Generalny Inspektor Ochrony Danych Osobowych[5].
25 maja 2018 r. weszło w życie unijne Rozporządzenie o Ochronie Danych Osobowych (RODO), które zastąpiło polską ustawę o ochronie danych osobowych[1]. 10 maja 2018 r. Sejm RP VIII kadencji uchwalił nową ustawę o ochronie danych osobowych, która zastąpiła ustawę o ochronie danych osobowych z 1997 r. i zapewnia stosowanie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz ustanawia nowy organ właściwy w sprawie ochrony danych osobowych – Prezesa Urzędu Ochrony Danych Osobowych w miejsce Generalnego Inspektora Ochrony Danych Osobowych[6].
Przykłady danych osobowych[4]
- Przykładem pojedynczej informacji stanowiącej dane osobowe jest numer PESEL. Zgodnie z obowiązującym do 1 marca 2015 roku art. 31a ust. 1 ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych[7], jest to 11-cyfrowy, stały symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, w którym sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), cztery kolejne – liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną służącą do komputerowej kontroli poprawności nadanego numeru ewidencyjnego. PESEL, występujący nawet bez innych informacji o osobie, stanowi dane osobowe, a jego przetwarzanie podlega wszelkim rygorom przewidzianym w ustawie o danych osobowych.
- Innym przykładem informacji stanowiącej dane osobowe może być adres poczty elektronicznej, jednak tylko wtedy, gdy na podstawie jego treści, bez nadmiernych kosztów, czasu, czy działań można określić tożsamość jego właściciela. Dzieje się tak w momencie, gdy elementem treści adresu jest np. imię i nazwisko jego właściciela.
Dane szczególnie chronione
Według art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych[3] zabraniano przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Są to dane zwane danymi wrażliwymi.
Przetwarzanie tych danych było jednak dopuszczalne w kilku przypadkach, m.in. jeżeli[3].
- osoba, której dotyczą, wyrazi na to pisemną zgodę;
- przetwarzanie takich danych było niezbędne do ochrony żywotnych interesów osoby, której dotyczą;
- było to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych;
- przetwarzanie dotyczyło danych, które były niezbędne do dochodzenia praw przed sądem;
- przetwarzanie było niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób;
- przetwarzanie było prowadzone w celu ochrony zdrowia;
- przetwarzanie dotyczyło danych, które zostały podane do wiadomości publicznej przez osobę, której dotyczyły.
Generalny Inspektor Ochrony Danych Osobowych (GIODO)
Generalny Inspektor Ochrony Danych Osobowych (GIODO) kontrolował zgodność przetwarzania danych z przepisami ustawy, wydawał decyzje administracyjne i rozpatrywał skargi w sprawach wykonania przepisów o ochronie danych osobowych, prowadził rejestr zbiorów danych, opiniował akty prawne dotyczące ochrony danych osobowych, inicjował i podejmował przedsięwzięcia w zakresie doskonalenia ochrony danych osobowych, uczestniczył w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych[5].
Od 22 kwietnia 2015 roku Generalnym Inspektorem Ochrony Danych Osobowych była Edyta Bielak-Jomaa[8], a zastępcą od 17 stycznia 2018 roku Mirosław Sanek[9].
Rozporządzenie o Ochronie Danych Osobowych (RODO)
Rozporządzenie o Ochronie Danych Osobowych (RODO) – rozporządzenie unijne, wchodzące w życie z dniem 25 maja 2018 roku[1], którego celem jest doprowadzenie do pełnej harmonizacji prawa materialnego w ramach UE i swobodnego przepływu danych osobowych[10]. Stosowanie rozporządzenia na terytorium Polski ma zapewnić uchwalona przez Sejm VIII kadencji ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych[6][11].
Urząd GIODO został zlikwidowany, a w jego miejsce powstał Urząd Ochrony Danych Osobowych (UODO), na czele którego stoi Prezes wybierany na 4 letnią kadencję. Prezesa Urzędu powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu na wniosek Prezesa Rady Ministrów.
Nowe rozporządzenie wprowadza wiele zmian, które dotyczą wszystkich podmiotów gospodarczych mających do czynienia z przetwarzaniem danych osobowych. Najważniejsze z nich to[1][12]:
- poszerzenie zakresu stosowania przepisów Rozporządzenia na przedsiębiorców działających poza UE;
- rozszerzenia definicji pojęcia danych osobowych, tak by uwzględniała ona możliwości rozwoju technologicznego i pojawienie się nowych form identyfikacji (dane genetyczne/dane biometryczne/dane dotyczące zdrowia);
- pozyskiwania zgody na przetwarzanie danych osobowych
- obowiązku wyznaczania Inspektora Ochrony Danych;
- podejścia opartego na ryzyku -im mniej potencjalnych zagrożeń dla danych, tym mniej obowiązków na podmiocie administrującym lub przetwarzającym dane;
- obowiązku zgłaszania naruszeń (organowi nadzorczemu, administratorowi danych) i powiadamiania podmiotu danych.
- prawa do „bycia zapomnianym”;
- uproszczenia przepisów dotyczących międzynarodowego przekazywania danych osobowych;
- doprecyzowania obowiązków podmiotów przetwarzających dane;
- prawa dostępu do danych, poprawiania ich, uzupełniania i przenoszenia między systemami;
- ochrony prywatności w fazie projektowania.
Za naruszenie postanowień RODO organ nadzorczy jest uprawniony do nakładania na przedsiębiorstwo wysokich kar pieniężnych. W zależności od okoliczności naruszenia, do których należą m.in.: charakter, czas i waga naruszenia, umyślność lub nieumyślność podmiotu, wdrożone u administratora środki organizacyjne oraz techniczne, czy też sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, a w szczególności, czy i w jakim zakresie przedsiębiorca zgłosił naruszenie, kara pieniężna może wynieść do 10 000 000 EUR, w przypadku przedsiębiorstwa – do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego lub w przypadku większych naruszeń nawet do 20 000 000 EUR, w przypadku przedsiębiorstwa – do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego[13].
Przypisy
- ↑ a b c d Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG).
- ↑ Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (CELEX: 32016L0680).
- ↑ a b c Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922).
- ↑ a b Portal informacyjno-edukacyjny Generalnego Inspektora Ochrony Danych osobowych. [dostęp 2018-02-11]. [zarchiwizowane z tego adresu (2018-02-11)].
- ↑ a b Strona Generalnego Inspektora Ochrony Danych Osobowych – giodo.gov.pl.
- ↑ a b Druk nr 2410. sejm.gov.pl. [dostęp 2018-05-16].
- ↑ Ustawa z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych (Dz.U. z 1974 r. nr 14, poz. 85).
- ↑ Generalny Inspektor. giodo.gov.pl.
- ↑ Z-ca Generalnego Inspektora. giodo.gov.pl.
- ↑ Informacje ogólne. giodo.gov.pl.
- ↑ Dz.U. z 2019 r. poz. 1781.
- ↑ Co to jest RODO?. adaptiverodo.pl. [dostęp 2018-02-11].
- ↑ RODO: Sankcje za nieprzestrzeganie przepisów dotyczących ochrony danych osobowych. IKA Legal, 2017-10-24. [dostęp 2018-02-11].