Dane osobowe to w rozumieniu RODO bardzo szerokie pojęcie. Może obejmować wszelkie informacje o osobie fizycznej – zarówno takie, które w potocznym rozumieniu stanowią dane osobowe (np. imię, nazwisko, adres, numer PESEL), jak i bardziej nieoczywiste informacje takie jak: wizerunek, lokalizacja, informacje o zakupach w sklepie internetowym, o aktywności w internecie czy o prowadzonej korespondencji elektronicznej.
Przy ocenie, czy dana informacja stanowi „dane osobowe”, decydującym kryterium jest to, czy informacja ta dotyczy zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. W wielu przypadkach problematyczne jest to, czy dana informacja dotyczy „osoby możliwej do zidentyfikowania”. W preambule RODO wskazano, że:
aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować.
Z praktycznego punktu widzenia, patrząc z perspektywy podmiotu, który posiada dane osobowe, jeśli podmiot ten jest w stanie zidentyfikować określone informacje jako dotyczące konkretnej osoby bez dodatkowych działań lub po podjęciu dodatkowych działań, ale z wykorzystaniem obiektywnie dostępnych technologii i z obiektywnie rozsądnym nakładem kosztów i czasu, to takie informacje powinien traktować jako dane osobowe w rozumieniu RODO.
Czym jest „przetwarzanie” danych osobowych w rozumieniu RODO?
Przetwarzanie danych w rozumieniu RODO to bardzo szerokie pojęcie. Z praktycznego punktu widzenia można założyć, że jeśli w jakimkolwiek zakresie, z jakiejkolwiek przyczyny oraz w jakikolwiek sposób członkowie personelu danej organizacji w ramach wykonywania obowiązków służbowych mają dostęp do zapisanych danych osobowych lub jeśli w jakimkolwiek zakresie, z jakiejkolwiek przyczyny oraz w jakikolwiek sposób dane osobowe zostaną zapisane (nawet chwilowo) z wykorzystaniem aktywów danej organizacji, to organizacja ta przetwarza takie dane osobowe.
Czym jest „ograniczenie przetwarzania” danych osobowych w rozumieniu RODO?
Informacje na temat pojęcia „ograniczenie przetwarzania” znajdują się w komentarzu do art. 18 RODO.
Czym jest „profilowanie” w rozumieniu RODO?
Informacje na temat pojęcia „profilowanie” znajdują się w komentarzu do art. 22 RODO.
Czym jest „pseudonimizacja” w rozumieniu RODO?
Pseudonimizacja to jeden ze środków ochrony danych osobowych. Jest to działanie, które obejmuje takie przetworzenie danych osobowych, że po przetworzeniu dane te nie mogą być przypisane konkretnej osobie bez użycia dodatkowych informacji (np. klucza), a takie dodatkowe informacje (np. klucz) są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Jak wskazano w preambule do RODO:
pseudonimizacja danych osobowych może ograniczyć ryzyko dla osób, których dane dotyczą, oraz pomóc administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych.
Z praktycznego punktu widzenia, planując wdrożenie pseudonimizacji, należy każdorazowo rozważyć:
czy dane osobowe zostały przetworzone w taki sposób, że rzeczywiście nie można ich przypisać do konkretnej osoby bez użycia dodatkowych informacji (tj. w szczególności czy informacje nieprzetworzone nie wystarczają do ich przypisania do konkretnej osoby),
czy dodatkowe informacje służące do identyfikacji są przechowywane osobno i w sposób należycie chroniony.
Co istotne, jak wynika z preambuły do RODO:
spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej,
a więc nadal za dane osobowe w rozumieniu RODO, do których stosuje się przepisy RODO.
Kim jest administrator danych osobowych w rozumieniu RODO?
Administrator danych to kluczowe pojęcie z perspektywy przepisów RODO. Zdecydowana większość obowiązków wynikających z RODO spoczywa bowiem na administratorze. „Administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. W praktyce nierzadko może być trudno jednoznacznie wskazać, który podmiot ustala cele i sposoby danego przetwarzania danych osobowych i w konsekwencji który podmiot jest administratorem danych w rozumieniu RODO w odniesieniu do określonego procesu przetwarzania danych osobowych (w szczególności w sytuacji, gdy wiele podmiotów jest zaangażowanych w proces przetwarzania danych).
Z praktycznego punktu widzenia pomocne przy identyfikacji administratora danych w danym procesie przetwarzania mogą okazać się następujące informacje:
Jeżeli obowiązek lub prawo prowadzenia danego przetwarzania danych osobowych wynika z przepisów prawa lub sposób przetwarzania danych jest opisany w przepisach prawa, to w praktyce najczęściej podmiot, który posiada takie prawo lub obowiązek lub jest wskazany jako podmiot, który ma przetwarzać dane w określony sposób, będzie mógł być uznany za administratora takich danych (patrz szerzej informacje zawarte w ww. wytycznych).
Pracodawca będzie, co do zasady, administratorem danych swoich pracowników, które przetwarza w kontekście zatrudnienia (patrz szerzej informacje zawarte w ww. wytycznych).
Podmiot, który jest stroną umowy z osobą fizyczną, będzie, co do zasady, administratorem danych takiej osoby, w zakresie, w którym przetwarza je w związku z umową z taką osobą.
Kim jest „podmiot przetwarzający” w rozumieniu RODO?
Uwagi na temat pojęcia „podmiotu przetwarzającego” znajdują się w komentarzu do art. 28 RODO.
Kim jest „odbiorca” danych w rozumieniu RODO?
W praktyce „odbiorca” to każda osoba lub podmiot, którym administrator lub podmiot przetwarzający dane osobowe ujawnia dane osobowe, niezależnie od tego, czy osoba, której dane są ujawniane, uzyskuje je i przetwarza z upoważnienia podmiotu ujawniającego, czy bez takiego upoważnienia.
Co istotne, organy publiczne otrzymujące dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii Europejskiej lub prawem państwa członkowskiego nie są uznawane za odbiorców.
Kim jest „strona trzecia” w rozumieniu RODO?
Z praktycznego punktu widzenia „strona trzecia” w rozumieniu RODO to każda osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot, który nie jest:
administratorem określonych danych osobowych,
ich podmiotem przetwarzającym,
osobą, której te dane dotyczą,
innym podmiotem, który może przetwarzać dane osobowe z upoważnienia administratora lub podmiotu przetwarzającego (np. pracownikiem administratora).
Innymi słowy „strona trzecia” to podmiot, który nie jest osobą, której dane dotyczą, administratorem danych, podmiotem przetwarzającym ani inną osobą, która przetwarza dane osobowe z upoważnienia administratora lub podmiotu przetwarzającego.
Czym jest „zgoda” na przetwarzanie danych w rozumieniu RODO?
Uwagi na temat pojęcia „zgody” na przetwarzanie danych osobowych znajdują się w komentarzu do art. 7 RODO.
Czym jest „naruszenie ochrony danych osobowych” w rozumieniu RODO?
Dane biometryczne to dane osobowe, które dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej przetworzone w taki sposób, że umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby. Przykładem danych biometrycznych może być odpowiednio przetworzony wizerunek twarzy, dane daktyloskopijne, przetworzony obraz siatkówki oka. Cechą szczególną danych biometrycznych jest to, że powstają w wyniku przetworzenia innych danych osobowych (np. cech fizycznych danej osoby).
Kodeks pracy zawiera szczególne regulacje dotyczące przetwarzania biometrycznych danych osobowych pracowników. Zgodnie z art. 221b k.p. dane biometryczne pracowników mogą być przetwarzane w dwóch przypadkach:
gdy zostanie wyrażona zgoda na przetwarzanie takich danych i przekazanie tych danych następuje z inicjatywy pracownika (przy czym, rozważając oparcie przetwarzania danych na zgodzie na przetwarzanie danych, należy mieć na względzie brak równowagi w relacjach pomiędzy pracodawcą a pracownikiem),
gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.
PUODO wyraźnie odniósł się do kwestii przetwarzania danych biometrycznych pracowników w celach rejestracji czasu pracy – uznał tego rodzaju przetwarzanie za niezgodne z RODO:
Pracodawca zatem, wykorzystując dane biometryczne pracownika do rejestracji czasu pracy, naruszyłby zasady określone w RODO (art. 5 ust. 1). W szczególności przetwarzałby dane wbrew zasadzie legalności (lit. a), ograniczenia celu (lit. b) oraz minimalizacji danych (lit. c), ponieważ nie byłby w stanie wykazać, dlaczego i na jakiej podstawie prawnej przetwarza dane biometryczne pracowników do celów związanych z weryfikowaniem ich obecności w pracy.
Czym jest „główna jednostka organizacyjna” w rozumieniu RODO?
Uwagi na temat pojęcia „głównej jednostki organizacyjnej” znajdują się w komentarzu do art. 56 RODO.
Kim jest „przedstawiciel” w rozumieniu RODO?
Uwagi na temat pojęcia „przedstawiciela” znajdują się w komentarzu do art. 27 RODO.
Czym są „wiążące reguły korporacyjne” w rozumieniu RODO?
Uwagi na temat pojęcia „wiążących reguł korporacyjnych” znajdują się w komentarzu do art. 47 RODO.
Czym jest „transgraniczne przetwarzanie” danych osobowych w rozumieniu RODO?
Uwagi na temat pojęcia „transgranicznego przetwarzania” danych osobowych znajdują się w komentarzu do art. 56 RODO.
Czym są „usługi społeczeństwa informacyjnego” w rozumieniu RODO?
Pojęcie „usług społeczeństwa informacyjnego” zdefiniowane jest w dyrektywie (UE) 2015/1535 Parlamentu Europejskiego i Rady z dnia 9 września 2015 r. ustanawiającej procedurę udzielania informacji w dziedzinie przepisów technicznych oraz zasad dotyczących usług społeczeństwa informacyjnego. Oznacza każdą usługę normalnie świadczoną za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług.
Jednocześnie ww. dyrektywa wskazuje, że:
„na odległość” oznacza, że usługa świadczona jest bez równoczesnej obecności stron,
„drogą elektroniczną” oznacza, że usługa jest wysyłana i odbierana w miejscu przeznaczenia za pomocą sprzętu elektronicznego do przetwarzania (włącznie z kompresją cyfrową) oraz przechowywania danych, i która jest całkowicie przesyłana, kierowana i otrzymywana za pomocą kabla, fal radiowych, środków optycznych lub innych środków elektromagnetycznych,
„na indywidualne żądanie odbiorcy usług” oznacza, że usługa świadczona jest poprzez przesyłanie danych na indywidualne żądanie.
Z praktycznego punktu widzenia, w kontekście danych osobowych, przetwarzanie danych osobowych w związku ze świadczeniem usług społeczeństwa informacyjnego będzie najczęściej miało miejsce, kiedy dane osobowe będą przetwarzane w związku z usługami świadczonymi za pośrednictwem sieci Internet.
Komentarz do art. 4
Definicje
Czym są „dane osobowe” w rozumieniu RODO?
Dane osobowe to w rozumieniu RODO bardzo szerokie pojęcie. Może obejmować wszelkie informacje o osobie fizycznej – zarówno takie, które w potocznym rozumieniu stanowią dane osobowe (np. imię, nazwisko, adres, numer PESEL), jak i bardziej nieoczywiste informacje takie jak: wizerunek, lokalizacja, informacje o zakupach w sklepie internetowym, o aktywności w internecie czy o prowadzonej korespondencji elektronicznej.
Przy ocenie, czy dana informacja stanowi „dane osobowe”, decydującym kryterium jest to, czy informacja ta dotyczy zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. W wielu przypadkach problematyczne jest to, czy dana informacja dotyczy „osoby możliwej do zidentyfikowania”. W preambule RODO wskazano, że:
Z praktycznego punktu widzenia, patrząc z perspektywy podmiotu, który posiada dane osobowe, jeśli podmiot ten jest w stanie zidentyfikować określone informacje jako dotyczące konkretnej osoby bez dodatkowych działań lub po podjęciu dodatkowych działań, ale z wykorzystaniem obiektywnie dostępnych technologii i z obiektywnie rozsądnym nakładem kosztów i czasu, to takie informacje powinien traktować jako dane osobowe w rozumieniu RODO.
Czym jest „przetwarzanie” danych osobowych w rozumieniu RODO?
Przetwarzanie danych w rozumieniu RODO to bardzo szerokie pojęcie. Z praktycznego punktu widzenia można założyć, że jeśli w jakimkolwiek zakresie, z jakiejkolwiek przyczyny oraz w jakikolwiek sposób członkowie personelu danej organizacji w ramach wykonywania obowiązków służbowych mają dostęp do zapisanych danych osobowych lub jeśli w jakimkolwiek zakresie, z jakiejkolwiek przyczyny oraz w jakikolwiek sposób dane osobowe zostaną zapisane (nawet chwilowo) z wykorzystaniem aktywów danej organizacji, to organizacja ta przetwarza takie dane osobowe.
Czym jest „ograniczenie przetwarzania” danych osobowych w rozumieniu RODO?
Informacje na temat pojęcia „ograniczenie przetwarzania” znajdują się w komentarzu do art. 18 RODO.
Czym jest „profilowanie” w rozumieniu RODO?
Informacje na temat pojęcia „profilowanie” znajdują się w komentarzu do art. 22 RODO.
Czym jest „pseudonimizacja” w rozumieniu RODO?
Pseudonimizacja to jeden ze środków ochrony danych osobowych. Jest to działanie, które obejmuje takie przetworzenie danych osobowych, że po przetworzeniu dane te nie mogą być przypisane konkretnej osobie bez użycia dodatkowych informacji (np. klucza), a takie dodatkowe informacje (np. klucz) są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Jak wskazano w preambule do RODO:
Z praktycznego punktu widzenia, planując wdrożenie pseudonimizacji, należy każdorazowo rozważyć:
Co istotne, jak wynika z preambuły do RODO:
a więc nadal za dane osobowe w rozumieniu RODO, do których stosuje się przepisy RODO.
Czym jest „zbiór danych” w rozumieniu RODO?
Uwagi na temat pojęcia „zbioru danych” znajdują się w komentarzu do art. 2 RODO.
Kim jest administrator danych osobowych w rozumieniu RODO?
Administrator danych to kluczowe pojęcie z perspektywy przepisów RODO. Zdecydowana większość obowiązków wynikających z RODO spoczywa bowiem na administratorze. „Administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. W praktyce nierzadko może być trudno jednoznacznie wskazać, który podmiot ustala cele i sposoby danego przetwarzania danych osobowych i w konsekwencji który podmiot jest administratorem danych w rozumieniu RODO w odniesieniu do określonego procesu przetwarzania danych osobowych (w szczególności w sytuacji, gdy wiele podmiotów jest zaangażowanych w proces przetwarzania danych).
Z praktycznego punktu widzenia pomocne przy identyfikacji administratora danych w danym procesie przetwarzania mogą okazać się następujące informacje:
Kim jest „podmiot przetwarzający” w rozumieniu RODO?
Uwagi na temat pojęcia „podmiotu przetwarzającego” znajdują się w komentarzu do art. 28 RODO.
Kim jest „odbiorca” danych w rozumieniu RODO?
W praktyce „odbiorca” to każda osoba lub podmiot, którym administrator lub podmiot przetwarzający dane osobowe ujawnia dane osobowe, niezależnie od tego, czy osoba, której dane są ujawniane, uzyskuje je i przetwarza z upoważnienia podmiotu ujawniającego, czy bez takiego upoważnienia.
Co istotne, organy publiczne otrzymujące dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii Europejskiej lub prawem państwa członkowskiego nie są uznawane za odbiorców.
Kim jest „strona trzecia” w rozumieniu RODO?
Z praktycznego punktu widzenia „strona trzecia” w rozumieniu RODO to każda osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot, który nie jest:
Innymi słowy „strona trzecia” to podmiot, który nie jest osobą, której dane dotyczą, administratorem danych, podmiotem przetwarzającym ani inną osobą, która przetwarza dane osobowe z upoważnienia administratora lub podmiotu przetwarzającego.
Czym jest „zgoda” na przetwarzanie danych w rozumieniu RODO?
Uwagi na temat pojęcia „zgody” na przetwarzanie danych osobowych znajdują się w komentarzu do art. 7 RODO.
Czym jest „naruszenie ochrony danych osobowych” w rozumieniu RODO?
Uwagi na temat pojęcia „naruszenia ochrony danych osobowych” znajdują się w komentarzu do art. 33 RODO.
Czym są „dane biometryczne” w rozumieniu RODO?
Dane biometryczne to dane osobowe, które dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej przetworzone w taki sposób, że umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby. Przykładem danych biometrycznych może być odpowiednio przetworzony wizerunek twarzy, dane daktyloskopijne, przetworzony obraz siatkówki oka. Cechą szczególną danych biometrycznych jest to, że powstają w wyniku przetworzenia innych danych osobowych (np. cech fizycznych danej osoby).
Kodeks pracy zawiera szczególne regulacje dotyczące przetwarzania biometrycznych danych osobowych pracowników. Zgodnie z art. 221b k.p. dane biometryczne pracowników mogą być przetwarzane w dwóch przypadkach:
PUODO wyraźnie odniósł się do kwestii przetwarzania danych biometrycznych pracowników w celach rejestracji czasu pracy – uznał tego rodzaju przetwarzanie za niezgodne z RODO:
Czym jest „główna jednostka organizacyjna” w rozumieniu RODO?
Uwagi na temat pojęcia „głównej jednostki organizacyjnej” znajdują się w komentarzu do art. 56 RODO.
Kim jest „przedstawiciel” w rozumieniu RODO?
Uwagi na temat pojęcia „przedstawiciela” znajdują się w komentarzu do art. 27 RODO.
Czym są „wiążące reguły korporacyjne” w rozumieniu RODO?
Uwagi na temat pojęcia „wiążących reguł korporacyjnych” znajdują się w komentarzu do art. 47 RODO.
Czym jest „transgraniczne przetwarzanie” danych osobowych w rozumieniu RODO?
Uwagi na temat pojęcia „transgranicznego przetwarzania” danych osobowych znajdują się w komentarzu do art. 56 RODO.
Czym są „usługi społeczeństwa informacyjnego” w rozumieniu RODO?
Pojęcie „usług społeczeństwa informacyjnego” zdefiniowane jest w dyrektywie (UE) 2015/1535 Parlamentu Europejskiego i Rady z dnia 9 września 2015 r. ustanawiającej procedurę udzielania informacji w dziedzinie przepisów technicznych oraz zasad dotyczących usług społeczeństwa informacyjnego. Oznacza każdą usługę normalnie świadczoną za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług.
Jednocześnie ww. dyrektywa wskazuje, że:
Z praktycznego punktu widzenia, w kontekście danych osobowych, przetwarzanie danych osobowych w związku ze świadczeniem usług społeczeństwa informacyjnego będzie najczęściej miało miejsce, kiedy dane osobowe będą przetwarzane w związku z usługami świadczonymi za pośrednictwem sieci Internet.
Więcej o tego rodzaju usługach w komentarzu do art. 8 RODO.