• Polski
  • English
  • Deutsch
  • Zapisz się do newslettera

    Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

    Co podlega ochronie danych osobowych?

    dane biometryczne, dane osobowe, giodo, ochrona danych osobowych, rejestracja zbioru, zgloszenie zbioru do giodo

    Polityki prywatności portali i sklepów internetowych, umowy zawierane przez przedsiębiorców e-commerce oraz wszystkie poradniki dotyczące prowadzenia działalności gospodarczej zawierają sformułowanie „ochrona danych osobowych”, odmieniane przez wszystkie przypadki. Również wniosek o rejestrację zbioru danych GIODO wymaga, aby podać w nim jakie dane osobowe przetwarzamy. Pojęcie „dane osobowe” wydaje się oczywiste, jednak w praktyce nie zawsze jest jasne, co tak naprawdę podlega ochronie.

    Dane osobowe – definicja ustawowa
    Zgodnie z definicją sformułowaną w ustawie o ochronie danych osobowych, dane osobowe to „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Osobą możliwą do zidentyfikowania jest „osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilku specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne”.
    Nowe rozporządzenie o ochronie danych osobowych identycznie definiuje dane osobowe, rozszerza jednak jeszcze katalog identyfikatorów osoby fizycznej, wymieniając w nim wprost na imię i nazwisko, dane o lokalizacji, identyfikator internetowy oraz czynniki określające tożsamość genetyczną. Oczywiście katalog ten nie jest zamknięty.

    Co nie jest daną osobową?
    Uważa się, że informacja nie umożliwia określenia tożsamości konkretnej osoby, czyli nie jest daną osobową, jeżeli identyfikacja wymagałaby nadmiernych kosztów, czasu lub działań, a do jej uzyskania nie wystarcza wykorzystanie łatwo osiągalnych i powszechnie dostępnych źródeł.
    Danymi osobowymi nie będą pojedyncze informacje o dużym stopniu ogólności, na przykład samo imię ani nawet imię i nazwisko, jeżeli są bardzo popularne i często spotykane (np. Jan Nowak).
    W zależności od współwystępowania z innymi informacjami, bardzo ogólna informacja  może stanowić daną osobową, gdy zostanie zestawiona z innymi dodatkowymi informacjami, które prowadzą do identyfikacji konkretnej osoby – na przykład imię w połączeniu z nazwiskiem i miejscem zamieszkania. Pojedynczą informacją, która stanowi dane osobowe, jest np. numer PESEL.
    Pewne dane nie zawsze będzie można zaliczyć do danych osobowych. Na przykład sam adres e-mail fhskhbeiskts@uroid.com nie uniemożliwia zidentyfikowania jego posiadacza. Ale jeżeli połączymy go z imieniem i nazwiskiem (a takie informacje ma często operator danej poczty internetowej), to adres będzie mógł być zakwalifikowany jako dana. Daną osobową nie będzie zwykle ogólny e-mail sekretariatu (np. biuro@spolkaxyz.pl), będzie nią natomiast adres natalia.zawadzka@lubasziwspolnicy.pl, ponieważ nie tylko zawiera on imię i nazwisko posiadaczki skrzynki, ale dodatkowo ułatwia jej identyfikację przez wskazanie miejsca pracy.

    Dane wrażliwe – nałogi pod ochroną specjalną
    Szczególną ochroną objęte są tzw. dane wrażliwe, których przetwarzanie jest dopuszczalne jedynie w kilku wyjątkowych sytuacjach. Do takich danych należą informacje o pochodzeniu etnicznym lub rasowym, poglądach politycznych, przekonaniach religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, dane o stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym, informacje dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

    Co to są dane biometryczne?
    Rozporządzenie ogólne o ochronie danych osobowych, które będzie stosowane już od 2018 roku, wprowadza pojęcie „danych biometrycznych”. Są to „dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne”. Nie oznacza to jednak, że obecnie dane biometryczne nie są chronione – podlegają ochronie na takich samych zasadach, jak inne dane osobowe. Więcej na temat ochrony danych biometrycznych według rozporządzenia ogólnego można przeczytać w artykule mec. Witolda Chomiczewskiego w „Podręczniku e-Commerce Polska. Rewolucja w ochronie danych osobowych? Istotne zmiany dla przedsiębiorcy”.

    Wygląd czyli wizerunek jako dana osobowa.
    Co ciekawe, w jednej z decyzji dotyczących popularnego kiedyś portalu Nasza Klasa (decyzja z 3 września 2008 roku, sygn. DOLiS/DEC515/08/22857) GIODO stwierdził, że nie mogą być uznane za dane osobowe informacje o imieniu i nazwisku w połączeniu z informacjami o nazwie i adresie szkoły podstawowej oraz oznaczeniu klasy, do której uczęszczał dany uczeń, wraz z jego wizerunkiem z lat siedemdziesiątych. W decyzji stwierdzono, że „analiza przedstawionego stanu faktycznego prowadzi do wniosku, że potencjalna możliwość powiązania ww. sekwencji informacji o skarżącym z nim obecnie wymaga zaangażowania niewspółmiernych kosztów, czasu lub działań. Warto przy tym zwrócić uwagę, że imię i nazwisko skarżącego zostało przypisane do jego wizerunku sprzed lat przez osobę trzecią, w formie komentarza do fotografii i w tym sensie informacja ta nie ma charakteru obiektywnego”. Takie stanowisko GIODO nie zostało jednak zaaprobowane przez sądy administracyjne, przeciwnie, uznały one, że wizerunek, imię i nazwisko stanowią bez wątpienia dane osobowe, a ochrona danych osobowych obejmuje także ochronę wszystkich faktów dotyczących przeszłości określonego człowieka (wyrok NSA z 18 listopada 2009 roku, I OSK 667/09 oddalający skargę kasacyjną od wyroku WSA w Warszawie z 3 marca 2009 roku, II SA/Wa 1495/08).


    Jeśli omawiane kwestie dotyczą Państwa sytuacji, prosimy o kontakt bezpośrednio z

    Witold Chomiczewski LL.M

    Wspólnik
    Radca prawny

    witold.chomiczewski@lubasziwspolnicy.pl

    dr Dominik Lubasz

    Wspólnik
    Radca prawny

    dominik.lubasz@lubasziwspolnicy.pl

    Artykuły powiązane

    Rozporządzenie ogólne o ochronie danych osobowych

    4 maja 2016 roku w Dzienniku Urzędowym Unii Europejskiej opublikowano oficjalne teksty nowego rozporządzenia i dyrektywy o ochronie danych osobowych. Rozporządzenie znajdzie bezpośrednie zastosowanie od 25 maja 2018 roku, natomiast …

    Zgłoszenie danych do GIODO

    Obowiązek zgłaszania zbiorów danych do GIODO wynika wprost z art. 40 ustawy o ochronie danych osobowych. Przepis ten jasno wskazuje, że administrator danych ma obowiązek zgłosić zbiór danych do rejestracji …

    Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

    Subscribe to our newsletter

    FreshMail.pl