Dane osobowe

Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej^[1]^[2].

Definicje prawne

10 maja 2018 roku Sejm RP VIII kadencji uchwalił nową ustawę o ochronie danych osobowych, która zastąpiła ustawę z 1997 roku. Ustawa zapewnia stosowanie RODO, czyli rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, które obowiązuje w polskim porządku prawnym bezpośrednio i ma zastosowanie od dnia 25 maja 2018 r.

Według RODO dane osobowe to wszelkie informacje dotyczące zidentyfikowania danej osoby fizycznej. Obejmują m.in datę urodzenia, imię i nazwisko, adres zamieszkania czy identyfikator internetowy. W wielu aspektach identyfikowalność osoby może być względna i uzależniona od tego, kto daną informację przetwarza, w jakim kontekście tego dokonuje oraz jakimi środkami się posługuje^[3].

Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań^[1].

Przykłady danych osobowych

Przykładami danych osobowych są m.in^[3]:

imię i nazwisko
numer identyfikacyjny (PESEL lub numer dowodu osobistego)
dane o lokalizacji
identyfikator internetowy

Oprócz podstawowych danych, takich jak imię i nazwisko, dane osobowe mogą obejmować również bardziej specyficzne informacje, takie jak odciski palców czy dane o lokalizacji.

Dane osobowe zwykłe i dane osobowe wrażliwe

W RODO występuje podział na dane osobowe zwykłe i wrażliwe (dane osobowe szczególnej kategorii)^[1].

Do danych osobowych szczególnej kategorii zalicza się:

pochodzenie rasowe lub etniczne,
poglądy polityczne,
przekonania religijne lub światopoglądowe,
przynależność do związków zawodowych, a także
dane genetyczne,
dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby.

Te kategorie danych są objęte surowszymi regulacjami ze względu na ich wrażliwy charakter.

Organ nadzorczy

Od 1997 do 2018 r. Generalny Inspektor Ochrony Danych Osobowych (GIODO) kontrolował zgodność przetwarzania danych z przepisami ustawy, wydawał decyzje administracyjne i rozpatrywał skargi w sprawach wykonania przepisów o ochronie danych osobowych, prowadził rejestr zbiorów danych, opiniował akty prawne dotyczące ochrony danych osobowych, inicjował i podejmował przedsięwzięcia w zakresie doskonalenia ochrony danych osobowych, uczestniczył w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych^[4].

25 maja 2018 roku^[1] weszło w życie RODO, czyli unijne rozporządzenie, którego celem jest doprowadzenie do pełnej harmonizacji prawa materialnego w ramach UE i swobodnego przepływu danych osobowych^[5]. Wskutek wprowadzenia RODO urząd GIODO został zlikwidowany, a w jego miejsce powstał Urząd Ochrony Danych Osobowych (UODO), na czele którego stoi Prezes wybierany na 4 letnią kadencję. Prezesa Urzędu powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu na wniosek Prezesa Rady Ministrów. Obecnie Prezesem UODO jest Mirosław Wróblewski^[6].

Obowiązki podmiotów gospodarczych

RODO zawiera wiele obowiązków, które dotyczą wszystkich podmiotów gospodarczych mających do czynienia z przetwarzaniem danych osobowych. Najważniejsze z nich to^[1]^[7]:

pozyskiwanie zgody na przetwarzanie danych osobowych;
obowiązek wyznaczania Inspektora Ochrony Danych;
obowiązek zgłaszania naruszeń (organowi nadzorczemu, administratorowi danych) i powiadamiania podmiotu danych;
respektowanie praw osób, których dane są przetwarzene, w tym m.in prawa do "bycia zapomnianym”.

Kary administracyjne

Za naruszenie postanowień RODO organ nadzorczy jest uprawniony do nakładania na przedsiębiorstwo wysokich kar pieniężnych. W zależności od okoliczności naruszenia, do których należą m.in.: charakter, czas i waga naruszenia, umyślność lub nieumyślność podmiotu, wdrożone u administratora środki organizacyjne oraz techniczne, czy też sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, a w szczególności, czy i w jakim zakresie przedsiębiorca zgłosił naruszenie, kara pieniężna może wynieść do 10 000 000 EUR, w przypadku przedsiębiorstwa – do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego lub w przypadku większych naruszeń nawet do 20 000 000 EUR, w przypadku przedsiębiorstwa – do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego^[8].

Z powodu naruszeń różnych przepisów RODO w 2024 Prezes Urzędu Ochrony Danych Osobowych ukarał m.in mBank na kwotę 4 mln zł ^[9], Santander Bank Polska na kwotę 1 mln zł 440 tys. zł ^[10] czy American Heart of Poland SA na kwotę 1 mln 440 tys. zł ^[11].

Przypisy

↑ ^a ^b ^c ^d ^e Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG).
↑ Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (CELEX: 32016L0680).
↑ ^a ^b Dane osobowe: Kompletny przewodnik po RODO na 2025 rok [online], LexDigital, 13 grudnia 2024 [dostęp 2024-12-17] .
↑ Strona Generalnego Inspektora Ochrony Danych Osobowych – giodo.gov.pl.
↑ Informacje ogólne. giodo.gov.pl.
↑ Aktualności - UODO [online], uodo.gov.pl [dostęp 2024-12-17] (pol.).
↑ Co to jest RODO?. adaptiverodo.pl. [dostęp 2018-02-11].
↑ RODO: Sankcje za nieprzestrzeganie przepisów dotyczących ochrony danych osobowych. IKA Legal, 2017-10-24. [dostęp 2018-02-11].
↑ Aktualności - UODO [online], uodo.gov.pl [dostęp 2024-12-17] (pol.).
↑ Aktualności - UODO [online], uodo.gov.pl [dostęp 2024-12-17] (pol.).
↑ Aktualności - UODO [online], uodo.gov.pl [dostęp 2024-12-17] (pol.).

[:3-1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG).

[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (CELEX: 32016L0680).

[:0-3] Dane osobowe: Kompletny przewodnik po RODO na 2025 rok [online], LexDigital, 13 grudnia 2024 [dostęp 2024-12-17] .

[:2-4] Strona Generalnego Inspektora Ochrony Danych Osobowych – giodo.gov.pl.

[5] Informacje ogólne. giodo.gov.pl.

[6] Aktualności - UODO [online], uodo.gov.pl [dostęp 2024-12-17] (pol.).

[7] Co to jest RODO?. adaptiverodo.pl. [dostęp 2018-02-11].

[8] RODO: Sankcje za nieprzestrzeganie przepisów dotyczących ochrony danych osobowych. IKA Legal, 2017-10-24. [dostęp 2018-02-11].

[9] Aktualności - UODO [online], uodo.gov.pl [dostęp 2024-12-17] (pol.).

[10] Aktualności - UODO [online], uodo.gov.pl [dostęp 2024-12-17] (pol.).

[11] Aktualności - UODO [online], uodo.gov.pl [dostęp 2024-12-17] (pol.).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]