LexDigital

Kategorie danych osobowych w RODO

Często zastanawiamy się z jakim rodzajem danych osobowych mamy do czynienia: dane osobowe zwykłe czy dane osobowe wrażliwe? Jak określić jakie dane osoby fizycznej widzimy przed sobą? Jak wygląda ochrona różnych kategorii danych i w jakich przypadkach ich przetwarzanie jest niezbędne albo dozwolone?

Kategorie danych osobowych w RODO

W tym artykule:

  • Pojęcie danych osobowych
  • Katalogi i kategorie danych osobowych
  • Różna kategorie danych, wspólne zasady przetwarzania
  • Kategorie danych osobowych w poszczególnych regulacjach RODO
  • Zabezpieczenie poszczególnych kategorii danych osobowych

1. Pojęcie danych osobowych

Pojęcie „dane osobowe” otwiera drzwi do Ogólnego rozporządzenia o ochronie danych osobowych (RODO). Legalną definicję danych osobowych przynosi art. 4 ust. 1 RODO, który stanowi, że dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Definicja danych osobowych jest zatem z założenia szeroka i przy tym „neutralna osobowo”, o czym przesądza użycie zwrotu „wszelkie informacje”, nie odnosząc ich do jakiejkolwiek kategorii danych.

Kolejny kamień milowy na drodze do uznania, że mamy do czynienia z danymi osobowymi to identyfikowalność osoby, której dane dotyczą. Mowa tutaj zarówno o bezpośredniej, jak i pośredniej identyfikowalności. W wielu aspektach identyfikowalność osoby może być względna i uzależniona od tego, kto daną informację przetwarza, w jakim kontekście tego dokonuje oraz jakimi środkami się posługuje.

RODO, GDPR, kategorie danych osobowych

Identyfikacja osoby, której dane dotyczą.

Zgodnie z RODO, osoby fizyczne, których dane dotyczą, muszą być zidentyfikowane lub możliwe do zidentyfikowania. Możemy je bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub na podstawie jednej lub kilku szczególnych cech, które określają fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osób fizycznych. W praktyce są to również wszelkie dane, które są lub mogą być w jakikolwiek sposób przypisane do osoby, zarówno te obiektywne, jak i subiektywne, prawdziwe jak i nieprawdziwe.  

Ostatni element przesądzający o tym, że mamy do czynienia z danymi osobowymi to fakt, że informacja odnosi się do osób fizycznych, czyli do żyjących ludzi będących z natury rzeczy podmiotami praw i obowiązków.

computer, process, technology

2. Katalogi i kategorie danych osobowych

Wczytując się w treść poszczególnych przepisów RODO, trafnym wydaje się być uznanie, że kategorie danych osobowych należy postrzegać jako ich rodzaje.  W art. 9 ust. 1 RODO wybrane kategorie danych osobowych zostały skatalogowane. Sformułowany tutaj został zamknięty katalog danych szczególnych kategorii. RODO zalicza do nich dane osobowe ujawniające:

  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych, a także
  • dane genetyczne,
  • dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby.
    lgbt, gay, orientacja seksualna

Dlaczego akurat te dane, a nie inne stanowią zamknięty katalog danych szczególnych kategorii? W literaturze często podnoszony jest argument, że to właśnie te kategorie danych należą do szczególnych stref prywatności człowieka, a ich utrata wiąże się z większym niż przy innych kategoriach danych osobowych poczuciem zagrożenia.

Część danych szczególnych kategorii została przez prawodawcę unijnego dodatkowo wyciągnięta przed nawias za sprawą odpowiedniego ich zdefiniowania w art.4 pkt 13 - dane genetyczne, art. 4 pkt 14 - dane biometryczne, art.4 pkt 15 - dane dotyczące zdrowia.

dane osobowe, dane wrażliwe, personal data

Różne kategorie danych osobowych

Dane nieobjęte katalogiem z art. 9 uznaje się za dane tzw. „zwykle”, co mogłoby wskazywać, że mamy do czynienia z katalogiem danych osobowych „drugiej kategorii”. Jak dowodzi praktyka, nie do końca jest to prawda. Biorąc pod uwagę, chociażby decyzje administracyjne Prezesa Urzędu Ochrony Danych Osobowych warto odnotować dużą wagę, jaka jest przykładana do negatywnych zdarzeń związanych, chociażby z numerem PESEL, nieujętym przecież w katalogu danych osobowych szczególnych kategorii.

RODO nie wymienia w katalogu danych szczególnych kategorii informacji o wyrokach skazujących i czynach zabronionych, jednocześnie poddaje je osobnej regulacji w art. 10 a także wskazuje na nie chociażby w art. 35 i 37.

tłum ludzi, people, busy

Analizując przepisy Rozporządzenia natrafimy także na termin „danych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą”. Termin ten został użyty w art. 9 ust. 2 lit. e. RODO, jako przesłanka znosząca zakaz przetwarzania danych osobowych szczególnych kategorii.

W odróżnieniu od danych osobowych zwykłych przetwarzanie danych osobowych szczególnych kategorii jest bowiem zakazane, z zastrzeżeniem wyjątków wskazanych w art. 9 ust. 2 RODO.  

digitalizacja, digitalization, cybersecurity

3. Różne kategorie danych, wspólne zasady przetwarzania

RODO nie kategoryzuje danych osobowych z puntu widzenia ogólnych zasad dotyczących ich przetwarzania wskazanych w art. 5. Zarówno na dane definiowane jako dane szczególnej kategorii, jak i pozostałe dane osobowe uznawane za tzw. "zwykłe” oddziaływują generalne, nadrzędne nad innymi przepisami Rozporządzenia, zasady, tj:

  • zasada legalności i rzetelności,
  • zasada przejrzystości,
  • zasada ograniczenia celu,
  • zasada minimalizacji danych,
  • zasada prawidłowości,
  • zasada ograniczenia przechowywania,
  • zasada integralności i poufności,
  • zasada rozliczalności.

Rozróżnienie kategorii danych osobowych pojawia się na etapie rozwinięcia i realizacji poszczególnych zasad, np. w zakresie spełnienia przesłanek legalizacyjnych osobno dla danych osobowych „zwykłych” wskazanych w art. 6 oraz danych szczególnej kategorii wskazanych w art. 9 RODO.

dsgvo, gdpr, privacy policy

4. Kategorie danych osobowych w poszczególnych regulacjach RODO

Pojęcie kategorii danych osobowych pojawia się w Rozporządzeniu wielokrotnie. Administrator, by skutecznie stosować RODO, musi identyfikować przetwarzane kategorie danych osobowych i analizować związane z nimi czynności przetwarzania. Wiedza o przetwarzanych kategoriach danych osobowych ma doniosłe znaczenie w skutecznym stosowaniu RODO i będzie potrzebna administratorowi m.in. w zakresie:

  • określania przesłanek legalizujących przetwarzanie danych osobowych,
  • spełniania obowiązków informacyjnych,
  • realizacji praw osób, których dotyczą dane osobowe,
  • powierzenia przetwarzania danych osobowych,
  • rejestrowania czynności przetwarzania,
  • zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu,
  • oceny skutków dla ochrony danych,
  • podejmowaniu decyzji o potrzebie wyznaczenia IOD,
  • transferu danych do krajów trzecich.
    social media, contact, internet

    5. Zabezpieczenie poszczególnych kategorii danych osobowych

Zgodnie z art. 24 RODO, na co zwraca uwagę Prezes Urzędu Ochrony Danych Osobowych m.in. w wydawanych decyzjach, administrator przy wdrażaniu zabezpieczeń winien uwzględniać charakter, zakres, kontekst i cele przetwarzania, a także uwzględniać ryzyko naruszenia praw i wolności osób fizycznych. Jednocześnie, aby móc wykazać przestrzeganie Rozporządzenia, administrator powinien przyjąć wewnętrzne polityki oraz wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych.

Ryzyko naruszenia praw lub wolności osób może mieć różne prawdopodobieństwo oraz różną wagę zagrożeń. Jak czytamy w motywie 75 preambuły RODO takie ryzyko jest determinowane przetwarzaniem danych mogącym prowadzić do uszczerbku fizycznego lub szkód majątkowych czy niemajątkowych. Na przykład w związku z przetwarzaniem danych osobowych szczególnych kategorii, lub gdy przetwarzane są dane osobowe osób wymagających szczególnej opieki, przede wszystkim dzieci albo gdy przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą. W art. 35 ust. 3b RODO legislator utożsamia wysokie ryzyko m.in z czynnościami przetwarzania na dużą skalę szczególnych kategorii danych osobowych, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych. Jako reakcję na to ryzyko wskazuje potrzebę przeprowadzenia oceny skutków dla ochrony danych. Ocena skutków powinna w szczególności obejmować planowane środki, zabezpieczenia i mechanizmy mające minimalizować ryzyko.

regulation, ue, unia europejska

W art. 32 RODO wymieniony został katalog środków zarówno technicznych, jak i organizacyjnych mogących oddziaływać na stwierdzone przez administratora ryzyka. Wskazane zostały takie środki jak pseudonimizacja i szyfrowanie danych, zdolność do ciągłego zapewnienia bezpieczeństwa i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępu do danych w razie incydentu, a także działania dotyczące testowania, pomiaru i oceny skuteczności stosowanych zabezpieczeń.

Identyfikacja ryzyka i w związku z tym przeprowadzenie oceny na ile prawdopodobne jest, że ryzyko się zmaterializuje oraz jak dotkliwe z tego powodu będą skutki dla praw i wolności osób, których dotyczą dane osobowe to zadanie dla administratora. Działania te powinny być przeprowadzane na bazie rzeczowej i obiektywnej oceny, z uwzględnieniem zidentyfikowanych i scharakteryzowanych procesów przetwarzania poszczególnych kategorii danych osobowych. Adekwatna do zagrożeń ochrona danych osobowych powinna być zapewniona podczas całego okresu ich przetwarzania. Szczególnie wysoką staranność administrator musi wykazać w procesach przetwarzania danych szczególnych kategorii ze względu na ich potencjalny negatywny wpływ na prawa i wolności osób w przypadku naruszenia ich ochrony.

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk