Dane osobowe

Z Wikipedii, wolnej encyklopedii
Przejdź do nawigacji Przejdź do wyszukiwania

Dane osobowetermin prawny, który w prawie polskim został zdefiniowany w ustawie z dnia 29 sierpnia 1997 o ochronie danych osobowych[1]. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Danymi osobowymi nie będą zatem pojedyncze informacje o dużym stopniu ogólności, np. sama nazwa ulicy, numer domu, w którym mieszka wiele osób, czy wysokość wynagrodzenia. Informacja ta będzie jednak stanowić dane osobowe wówczas, gdy zostanie zestawiona z innymi, dodatkowymi informacjami, np. imieniem i nazwiskiem, czy numerem PESEL, które w konsekwencji można odnieść do konkretnej osoby. Danymi osobowymi nie są również informacje o osobach zmarłych[2].

Nad kontrolą i ochroną prawną czuwa Generalny Inspektor Ochrony Danych Osobowych[3].

25 maja 2018 r. weszło w życie unijne Rozporządzenie o Ochronie Danych Osobowych (RODO), które zastąpiło polską ustawę o ochronie danych osobowych[4]. 10 maja 2018 r. Sejm RP VIII kadencji uchwalił nową ustawę o ochronie danych osobowych, która zastąpi ustawę o ochronie danych osobowych z 1997 r. i zapewnieni stosowanie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz ustanawia nowy organ właściwy w sprawie ochrony danych osobowych – Prezesa Urzędu Ochrony Danych Osobowych w miejsce Generalnego Inspektora Ochrony Danych Osobowych[5].

Przykłady danych osobowych[2][edytuj | edytuj kod]

  • Przykładem pojedynczej informacji stanowiącej dane osobowe jest numer PESEL. Zgodnie z obowiązującym do 1 marca 2015 roku art. 31a ust. 1 ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych[6], jest to 11-cyfrowy, stały symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, w którym sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), cztery kolejne – liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną służącą do komputerowej kontroli poprawności nadanego numeru ewidencyjnego. PESEL, występujący nawet bez innych informacji o osobie, stanowi dane osobowe, a jego przetwarzanie podlega wszelkim rygorom przewidzianym w ustawie o danych osobowych.
  • Innym przykładem informacji stanowiącej dane osobowe może być adres poczty elektronicznej, jednak tylko wtedy, gdy na podstawie jego treści, bez nadmiernych kosztów, czasu, czy działań można określić tożsamość jego właściciela. Dzieje się tak w momencie, gdy elementem treści adresu jest np. imię i nazwisko jego właściciela.

Dane szczególnie chronione[edytuj | edytuj kod]

Według art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych[1] zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Są to dane zwane danymi wrażliwymi.

Przetwarzanie tych danych jest jednak dopuszczalne w kilku przypadkach, m.in. jeżeli[1].

  • osoba, której dotyczą, wyrazi na to pisemną zgodę;
  • przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dotyczą;
  • jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych;
  • przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem;
  • przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób;
  • przetwarzanie jest prowadzone w celu ochrony zdrowia;
  • przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dotyczą.

Generalny Inspektor Ochrony Danych Osobowych (GIODO)[edytuj | edytuj kod]

Generalny Inspektor Ochrony Danych Osobowych (GIODO) kontroluje zgodność przetwarzania danych z przepisami ustawy, wydaje decyzje administracyjne i rozpatruje skargi w sprawach wykonania przepisów o ochronie danych osobowych, prowadzi rejestr zbiorów danych, opiniuje akty prawne dotyczące ochrony danych osobowych, inicjuje i podejmuje przedsięwzięcia w zakresie doskonalenia ochrony danych osobowych, uczestniczy w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych[3].

Od 22 kwietnia 2015 roku Generalnym Inspektorem Ochrony Danych Osobowych jest Edyta Bielak-Jomaa[7], a zastępcą od 17 stycznia 2018 roku Mirosław Sanek[8].

W świetle przepisów z dnia 29 sierpnia 1997 r. o ochronie danych osobowych[1] GIODO jest uprawniony m.in. do[9]:

  • kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
  • wydawania decyzji administracyjnych i rozpatrywania skarg w sprawach wykonywania przepisów o ochronie danych osobowych;
  • prowadzenia rejestru zbiorów danych oraz rejestru administratorów bezpieczeństwa informacji, a także udzielania informacji o zarejestrowanych zbiorach danych i administratorach bezpieczeństwa informacji;
  • opiniowania projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych;
  • inicjowania i podejmowania przedsięwzięć w zakresie doskonalenia ochrony danych osobowych;
  • uczestniczenia w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.

Rozporządzenie o Ochronie Danych Osobowych (RODO)[edytuj | edytuj kod]

Rozporządzenie o Ochronie Danych Osobowych (RODO) – rozporządzenie unijne, wchodzące w życie z dniem 25 maja 2018 roku[4], którego celem jest doprowadzenie do pełnej harmonizacji prawa materialnego w ramach UE i swobodnego przepływu danych osobowych[10]. Stosowanie rozporządzenia na terytorium Polski ma zapewnić uchwalona przez Sejm VIII kadencji ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych[5][11].

Urząd GIODO zostanie zlikwidowany, a w jego miejsce powstanie Urząd Ochrony Danych Osobowych (UODO), na czele którego stanie Prezes wybierany na 4 letnią kadencję. Prezesa Urzędu powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu na wniosek Prezesa Rady Ministrów.

Nowe rozporządzenie wprowadza wiele zmian, które dotyczą wszystkich podmiotów gospodarczych mających do czynienia z przetwarzaniem danych osobowych. Najważniejsze z nich to[4][12]:

  • poszerzenie zakresu stosowania przepisów Rozporządzenia na przedsiębiorców działających poza UE;
  • rozszerzenia definicji pojęcia danych osobowych, tak by uwzględniała ona możliwości rozwoju technologicznego i pojawienie się nowych form identyfikacji (dane genetyczne/dane biometryczne/dane dotyczące zdrowia);
  • pozyskiwania zgody na przetwarzanie danych osobowych
  • obowiązku wyznaczania Inspektora Ochrony Danych;
  • podejścia opartego na ryzyku -im mniej potencjalnych zagrożeń dla danych, tym mniej obowiązków na podmiocie administrującym lub przetwarzającym dane;
  • obowiązku zgłaszania naruszeń (organowi nadzorczemu, administratorowi danych) i powiadamiania podmiotu danych.
  • prawa do „bycia zapomnianym”;
  • uproszczenia przepisów dotyczących międzynarodowego przekazywania danych osobowych;
  • doprecyzowania obowiązków podmiotów przetwarzających dane;
  • prawa dostępu do danych, poprawiania ich, uzupełniania i przenoszenia między systemami;
  • ochrony prywatności w fazie projektowania.

Za naruszenie postanowień RODO organ nadzorczy jest uprawniony do nakładania na przedsiębiorstwo wysokich kar pieniężnych. W zależności od okoliczności naruszenia, do których należą m.in.: charakter, czas i waga naruszenia, umyślność lub nieumyślność podmiotu, wdrożone u administratora środki organizacyjne oraz techniczne, czy też sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, a w szczególności, czy i w jakim zakresie przedsiębiorca zgłosił naruszenie, kara pieniężna może wynieść do 10 000 000 EUR, w przypadku przedsiębiorstwa – do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego lub w przypadku większych naruszeń nawet do 20 000 000 EUR, w przypadku przedsiębiorstwa – do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego[13].

Przypisy[edytuj | edytuj kod]