RODO - Definicje

Podstawowe pojęcia dotyczące RODO  

RODO  

RODO to skrót oznaczający Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (rozporządzenie ogólne o ochronie danych), który zastępuje dotychczasowa dyrektywę 95/46/WE z 1995 r. 

W dokumentach anglojęzycznych Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. jest określane skrótem GDPR, od angielskiej nazwy: General Data Protection Regulation. 

Dane Osobowe  

Termin “Dane Osobowe” oznacza informacje o zidentyfikowanej lub możliwej do zidentyfikowania żyjącej osobie fizycznej („osobie, której dane dotyczą”). 

Natomiast możliwa do zidentyfikowania żyjąca osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden, bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.  Poszczególne informacje, które w połączeniu ze sobą mogą prowadzić do zidentyfikowania tożsamości danej osoby, także stanowią dane osobowe. 

Oznacza to, że jeżeli przetwarzamy jedną informację, często nie będzie ona daną osobową. Ale jeśli połączymy ją z innymi informacjami, wtedy ten „komplet” będzie już stanowił dane osobowe. 

KE stwierdza również, że Dane Osobowe, które zostały pozbawione elementów pozwalających na identyfikację lub zostały zaszyfrowane bądź poddane pseudonimizacji, ale które mogą prowadzić do ponownej identyfikacji osoby fizycznej, pozostają danymi osobowymi objętymi zakresem RODO. 

Definicja pojęcia Dane Osobowe znajduje się w art. 4 pkt 1 GDPR (General Data Protection Regulation). Przepis ten wskazuje, że możliwa do zidentyfikowania żyjąca osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatorów takich jak:

• imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy;
• jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Definicja została rozbudowana w porównaniu z definicją zawartą w UODO (art. 6 ust. 1 i 2). Unijny prawodawca wprost wskazał, że dane o lokalizacji, identyfikator internetowy i informacja genetyczna to czynniki, które na pewno należy traktować, jako umożliwiające identyfikację. 

Zgodnie z motywem 26 GDPR: 

• aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądne prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku, do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. 

Administrator Danych Osobowych (ADO)  

Status Administratora Danych Osobowych (ADO) może mieć każdy podmiot. W szczególności może to być osoba fizyczna, prawna, organ publiczny, jednostka organizacyjna lub inny podmiot nieposiadający osobowości prawnej.

Termin „Administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

Przetwarzanie Danych Osobowych 

Przetwarzanie Danych Osobowych to jakiekolwiek operacje wykonywane na danych osobowych, takie jak:

• zbieranie danych,
• przechowywanie danych,
• usuwanie danych,
• opracowywanie danych,
• udostępnianie danych.

Podmiot przetwarzający (procesor) 

Podmiot przetwarzający to podmiot, któremu Administrator Danych Osobowych może powierzyć przetwarzanie danych.  ADO może powierzyć przetwarzanie danych osobie fizycznej lub prawnej, organowi publicznemu, jednostce organizacyjnej lub innemu podmiotowi, który przetwarza dane osobowe w imieniu administratora.

Podmiot (procesor) przetwarzający dane osobowe nie decyduje o celach (po co?) i sposobach (jak?) przetwarzania danych. Działa natomiast na podstawie umowy z administratorem danych.

Jeżeli administrator chce powierzyć przetwarzanie danych w jego imieniu, to może w tym celu korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi GDPR i chroniło prawa osób, których dane dotyczą.

Powierzenie danych osobowych do przetwarzania 

RODO bardzo szczegółowo reguluje instytucję powierzenia przetwarzania danych osobowych, pozycję procesora (czyli podmiotu przetwarzającego) oraz relacje między podmiotami. Administrator Danych Osobowych (ADO) nie musi bowiem sam przetwarzać danych osobowych – może je przekazać do przetwarzania innemu podmiotowi: procesorowi. W działalności większości przedsiębiorców dochodzi do powierzenia przetwarzania danych osobowych.

Podmiotem, któremu ADO może powierzyć przetwarzanie danych osobowych może być zarówno osoba fizyczna jak i prawna, organ publiczny, jednostka organizacyjna lub inny podmiot, który przetwarza dane osobowe w imieniu administratora, np.:

• firma przekazuje prowadzenie ksiąg rachunkowych do biura rachunkowego,,
• firma korzysta z usług operatora zapewniającego usługi poczty elektronicznej,
• firma zleca specjalistycznej firmie archiwizację dokumentów zawierających dane osobowe.

WAŻNE!
Podczas przygotowywania umowy powierzenia, należy zwrócić uwagę, aby nie stracić kontroli nad danymi osobowymi, czyli nie dopuść do sytuacji, w której powierzone dane będą wykorzystywane w innym celu.

Podczas powierzania podmiotowi przetwarzającemu czynności przetwarzania, należy korzystać wyłącznie z usług podmiotów przetwarzających, które posiadają odpowiednią wiedzę fachową, wiarygodność i zasoby. W szczególności, jeżeli chodzi o gwarancje wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom RODO, w tym wymogom bezpieczeństwa przetwarzania.

Prawo do bycia zapomnianym 

RODO daje każdemu, kogo dotyczą dane, nowe uprawnienie w postaci prawa do bycia zapomnianym (prawo do usunięcia danych). Oznacza to wprowadzenie faktycznie dwóch uprawnień:

1. umożliwienia osobie, której dane dotyczą, usunięcia jej danych osobowych przez administratora danych,
2. możliwość żądania, aby administrator danych poinformował innych administratorów danych, którym upublicznił dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych lub ich kopie.

Prawo do bycia zapomnianym można wykonać, jeżeli spełniona jest choćby jedna z poniższych przesłanek:

• dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
• osoba, której dane dotyczą, wycofała zgodę na przetwarzanie danych osobowych i nie istnieje inna podstawa przetwarzania danych;
• osoba, której dane dotyczą, zgłosiła sprzeciw wobec przetwarzania swoich danych w związku ze swoją:
  • szczególną sytuacją,
  • albo sprzeciw wobec przetwarzania danych dla celów marketingowych,
• dane osobowe były przetwarzane „niezgodnie z prawem”;
• dane osobowe „muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator”;
• dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego bezpośrednio dziecku.

Przykład:
Firma przetwarza Dane Osobowe Klienta na podstawie złożonej przez Klienta zgody na przetwarzanie danych w celu marketingowym.  Klient wycofuje zgodę i korzysta z prawa do bycia zapomnianym.  Firma (ADO) powinna zaprzestać przetwarzania Danych Osobowych Klienta i usunąć je, chyba że zachodzą szczególne przypadki ograniczające prawo Klienta do bycia zapomnianym. 

Do obowiązków Administratora Danych Osobowych (ADO) w zakresie wykonania prawa do bycia zapomnianym należy również wspomniane wyżej poinformowanie innych administratorów danych, którym upublicznił dane osobowe, że osoba, której dane dotyczą, żąda usunięcia wszelkich łącz do tych danych, kopii danych osobowych lub ich replikacji.

UWAGA!
Obowiązek poinformowania innych administratorów danych nie ma charakteru nieograniczonego i może być ograniczony przez: dostępną technologię, koszty lub konieczność ograniczenia do „rozsądnych działań” (oznacza to, że obowiązek nie ma charakteru zobowiązania co do rezultatu, a wyłącznie starannego działania).

Oznacza to, że może zaistnieć sytuacja, gdzie podmioty większe, o większych możliwościach technologicznych oraz finansowych będą zobowiązane do wykonywania tego obowiązku w szerszym zakresie, niż podmioty niewielkie, mające mniejsze zasoby technologiczne i finansowe.

Czy zawsze można skorzystać z „prawa do bycia zapomnianym”? 

Prawo do bycia zapomnianym nie ma zastosowania, jeśli przetwarzanie jest niezbędne:

• do korzystania z prawa do wolności wypowiedzi i informacji;
• do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
• z uwagi na: cele zdrowotne lub interes publiczny w dziedzinie zdrowia publicznego;
• do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile prawdopodobne jest, że prawo, o którym mowa, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;
• do ustalenia, dochodzenia lub obrony roszczeń.

Przykład 1.  

Klient zamówił produkt w sklepie internetowym – otrzymał go, ale jeszcze za niego nie zapłacił.  Klient składa wniosek o realizację prawa do bycia zapomnianym;  ADO - sklep internetowy może jednak dane Klienta nadal przetwarzać, ponieważ są niezbędne do dochodzenia roszczeń sklepu, do czasu zapłaty lub dochodzenia praw przed sądem. 

Przykład 2.  

Klient zamówił produkt w sklepie internetowym – zapłacił za niego i otrzymał go.  Klient składa wniosek o realizację prawa do bycia zapomnianym;  ADO - sklep internetowy może jednak dane Klienta nadal przetwarzać, ponieważ obowiązek przetwarzania danych wynika z przepisów o rachunkowości.

Prawo do przenoszenia danych 

Prawo do przenoszenia danych oznacza uprawnienia do: 

• otrzymania przez osobę, której dane dotyczą, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego Danych Osobowych, które dostarczyła administratorowi, 
• przesłania przez osobę, której dane dotyczą, Danych Osobowych, które dostarczyła administratorowi, innemu administratorowi, bez przeszkód ze strony pierwotnego administratora danych. 

Prawo do przenoszenia danych może zostać wykonane wyłącznie w sytuacjach, gdy przetwarzanie danych odbywa się zgodnie z poniższymi dwoma warunkami: 

1. przetwarzanie danych odbywa się na podstawie zgody lub w celu wykonania umowy,
2. przetwarzanie danych odbywa się w sposób zautomatyzowany. 

Prawo do przenoszenia danych obejmuje tylko dane osobowe przetwarzane przy użyciu systemów informatycznych i nie obejmuje tradycyjnych, papierowych zbiorów danych.

Format danych nadający się do odczytu maszynowego to format pliku zorganizowany tak, aby aplikacje komputerowe mogły łatwo zidentyfikować, rozpoznać i uzyskać określone dane, np.: pliki w formacie XML, JSON, CSV. 

Przykład. 
Postanawiasz zmienić bank. Dotychczasowy bank powinien zapewnić Ci możliwość przeniesienia twoich danych do nowego banku. 

Prawo do przenoszenia danych obejmuje dane osobowe dotyczące osoby, która wykonuje to prawo i które to dane ta osoba dostarczyła administratorowi. W pewnych przypadkach dane objęte prawem do przeniesienia będą jednak obejmować także dane innych osób. 

Nieodwracalna anonimizacja 

Za dane osobowe nie uważa się Danych Osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Aby dane były rzeczywiście anonimowe, anonimizacja musi być nieodwracalna. 

Komisja Europejska wskazuje w wytycznych przykładowe Dane Osobowe. Są nimi np.: 

• imię i nazwisko;
• adres zamieszkania;
• adres e-mail, taki jak imię.nazwisko@firma.com;
• numer dowodu tożsamości;
• dane o lokalizacji (np. ustawienia lokalizacji w telefonie komórkowym)* ;
• adres IP;
• identyfikator plików cookie*;
• identyfikator reklamowy w telefonie komórkowym;
• dane przechowywane przez szpital lub lekarza, które mogą jednoznacznie wskazywać tożsamość danej osoby. 

*) Należy pamiętać, że w niektórych przypadkach zastosowanie ma szczegółowe ustawodawstwo sektorowe regulujące między innymi wykorzystywanie danych o lokalizacji lub plików cookie — dyrektywa o prywatności i łączności internetowej (dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 (Dz.U. 201 z 31.7.2002, s. 37) oraz rozporządzenie (WE) nr 2006/2004 Parlamentu Europejskiego i Rady z dnia 27 października 2004 r. (Dz.U. 364 z 9.12.2004, s. 1). 

Przykłady danych niebędących Danymi Osobowymi to np.:

• numer KRS;
• adres e-mail, taki jak info@firma.com;
• dane anonimowe.

Pojęcie danych osobowych nawet po analizie tych przykładów pozostaje nadal nieostre - a co istotne, to czy przetwarzamy dane osobowe czy inne dane może się zmieniać w czasie. Większość firm, wysyłających listy zawierające klauzule informacyjne, pytania o zgody itp. przyjęła zasadę, że każdy adres mail to dana osobowa.  Stąd użytkownik adresu misiujogi@buziaczek.pl również może spodziewać się komunikatu, że ktoś jest w posiadaniu jego danych osobowych i prosi o zgodę na ich dalsze przetwarzanie.