Dane osobowe według RODO

W Roz­po­rzą­dze­niu Par­la­men­tu Euro­pej­skie­go i Rady (UE) 2016/679 („RODO”) usta­wo­daw­ca euro­pej­ski wpro­wa­dził nową defi­ni­cję danych oso­bo­wych. Nad­to, wpro­wa­dzo­ny został nowy podział danych oso­bo­wych, co jest istot­nym zagad­nie­niem w zakre­sie moż­li­wo­ści ich prze­twa­rza­nia oraz wpro­wa­dzo­nych ogra­ni­czeń w ich prze­twa­rza­niu przez administratorów.

Dane osobowe według RODO

Zgod­nie z RODO dany­mi oso­bo­wy­mi są wszel­kie infor­ma­cje o ziden­ty­fi­ko­wa­nej lub moż­li­wej do ziden­ty­fi­ko­wa­nia oso­bie fizycznej.

Moż­li­wa do ziden­ty­fi­ko­wa­nia oso­ba fizycz­na to oso­ba, któ­rą moż­na ziden­ty­fi­ko­wać bądź bez­po­śred­nio lub pośrednio.

Dany­mi oso­bo­wy­mi są więc m. in.:

1. imię i nazwisko;
2. numer PESEL;
3. adres zamiesz­ka­nia, itp.

Prze­twa­rza­niem danych oso­bo­wych jest nato­miast ope­ra­cja lub zestaw ope­ra­cji na danych (np. zbie­ra­nie, prze­cho­wy­wa­nie itp.).

Szczególne kategorie danych osobowych

Co do zasa­dy RODO wpro­wa­dza zakaz prze­twa­rza­nia szcze­gól­nych kate­go­rii danych, do któ­rych należą:

1. pocho­dze­nie rasowe;
2. pocho­dze­nie etniczne;
3. poglą­dy polityczne;
4. prze­ko­na­nia religijne;
5. prze­ko­na­nia światopoglądowe;
6. przy­na­leż­ność do związ­ków zawodowych;
7. dane gene­tycz­ne;
8. dane bio­me­trycz­ne;
9. dane doty­czą­ce zdrowia;
10. dane doty­czą­ce sek­su­al­no­ści lub orien­ta­cji seksualnej.

Dane gene­tycz­ne są to dane doty­czą­ce cech gene­tycz­nych oso­by fizycz­nej (odzie­dzi­czo­nych lub naby­tych), któ­re ujaw­nia­ją nie­po­wta­rzal­ne infor­ma­cje o fizjo­lo­gii lub zdro­wiu. Dane te pocho­dzą z ana­li­zy prób­ki bio­lo­gicz­nej tej oso­by (np. ana­li­za chro­mo­so­mów, DNA lub RNA).

Dane bio­me­trycz­ne nato­miast ozna­cza­ją dane oso­bo­we, któ­re wyni­ka­ją ze spe­cjal­ne­go prze­twa­rza­nia technicznego.

Nad­to, RODO wpro­wa­dził rów­nież defi­ni­cję danych doty­czą­cych zdro­wia. Są to bowiem dane o zdro­wiu fizycz­nym lub psy­chicz­nym oso­by fizycz­nej oraz o korzy­sta­niu z usług opie­ki zdrowotnej. 

Do danych o sta­nie zdro­wia RODO zali­cza m. in. infor­ma­cje zbie­ra­ne pod­czas reje­stra­cji do usług opie­ki zdro­wot­nej czy dane o cho­ro­bie, nie­peł­no­spraw­no­ści oraz histo­rii medycznej.

Wska­za­ny wyżej zakaz nie ma zasto­so­wa­nia w nastę­pu­ją­cych sytuacjach:

1. zgo­da tej osoby;
2. jest to nie­zbęd­ne do wyko­ny­wa­nia obo­wiąz­ków z zakre­su pra­wa pra­cy, zabez­pie­cze­nia spo­łecz­ne­go i ochro­ny socjal­nej przez administratora;
3. jest to nie­zbęd­ne do ochro­ny żywot­nych inte­re­sów oso­by fizycznej;
4. pro­wa­dze­nia dzia­łal­no­ści przez fun­da­cje, sto­wa­rzy­sze­nia lub inny nie­za­rob­ko­wy pod­miot – gdy doty­czy to ich członków;
5. upu­blicz­nie­nie danych przez oso­bę fizyczną;
6. jest to nie­zbęd­ne do usta­le­nia, docho­dze­nia lub obro­ny roszczeń;
7. w ramach spra­wo­wa­nia wymia­ru spra­wie­dli­wo­ści przez sądy;
8. zwią­za­ne jest to z waż­nym inte­re­sem publicznym;
9. jest to nie­zbęd­ne w celach pro­fi­lak­ty­ki zdro­wot­nej bądź medy­cy­ny pracy;
10. jest to nie­zbęd­ne do oce­ny zdol­no­ści pra­cow­ni­ka do pracy;
11. jest to nie­zbęd­ne do zapew­nie­nia opie­ki zdro­wot­nej lub leczenia;
12. jest to nie­zbęd­ne do zapew­nie­nia zabez­pie­cze­nia społecznego;
13. jest to nie­zbęd­ne w inte­re­sach publicznych.

Trzeci rodzaj danych osobowych

RODO wpro­wa­dza rów­nież trze­ci, obok zwy­kłych i szcze­gól­nych kate­go­rii danych, zakres danych oso­bo­wych pod­le­ga­ją­cych odręb­nej ochro­nie prawnej. 

Do zakre­su danych obję­tych trze­cią kate­go­rią danych oso­bo­wych należą:

1. dane doty­czą­ce wyro­ków skazujących;
2. dane doty­czą­ce czy­nów zabro­nio­nych oraz powią­za­nych z nimi środ­ków bez­pie­czeń­stwa (np. zakaz pro­wa­dze­nia pojaz­dów, zakaz zaj­mo­wa­nia sta­no­wisk publicznych).

Prze­twa­rza­nie danych wcho­dzą­cych w przed­mio­to­wy zakres moż­na bowiem doko­ny­wać wyłącznie:

1.  pod nad­zo­rem władz publicznych;
2.  gdy jest to dozwo­lo­ne prze­pi­sa­mi pra­wa Unii Euro­pej­skiej lub pra­wa krajowego.

Podsumowanie

RODO wpro­wa­dzi­ło nową defi­ni­cję danych oso­bo­wych oraz nowy podział danych oso­bo­wych na dane zwy­kłe, szcze­gól­ne kate­go­rie danych oraz dane zawie­ra­ją­ce infor­ma­cje o wyro­kach ska­zu­ją­cych i czy­nach zabronionych.

W zależ­no­ści, z jaki­mi dany­mi będzie­my mie­li do czy­nie­nia, inne unor­mo­wa­nia będą mia­ły zasto­so­wa­nie. Co do zwy­kłych kate­go­rii danych będzie­my mie­li do czy­nie­nia z ogól­ny­mi zasa­da­mi ochro­ny danych oso­bo­wych ure­gu­lo­wa­ny­mi prze­pi­sa­mi UE oraz państw człon­kow­skich. Prze­twa­rza­nie danych oso­bo­wych wcho­dzą­cych w skład szcze­gól­nej kate­go­rii danych jest zabro­nio­ne, chy­ba że speł­nio­ny jest jeden z warun­ków wska­za­nych w RODO. Co do ostat­niej kate­go­rii danych nale­ży pod­kre­ślić, iż ich prze­twa­rza­nie może wyni­kać wyłącz­nie na pod­sta­wie prze­pi­sów pra­wa i musi być doko­ny­wa­ne pod nad­zo­rem władz publicznych.

Powrót do spe­cja­li­za­cji — Szko­le­nie RODO