Dane osobowe – czym są i kiedy następuje ich przetwarzanie? CZ. I

13.09.2016

Ochrona danych osobowych to temat znany wszystkim, ale w ostatnim czasie zyskujący na znaczeniu, co osobiście napawa mnie ogromnym optymizmem. Świadczy to bowiem o rosnącej wśród przedsiębiorców świadomości konieczności ochrony danych osobowych, a przy tym wywiązywania się z obowiązków wynikających z ustawy o ochronie danych osobowych.

Pomimo powyższego, w pracy zawodowej nierzadko spotykam się z błędnym przeświadczeniem, że dany podmiot nie jest administratorem danych osobowych, że w ogóle nie przetwarza danych osobowych, albo iż samo zgłoszenie zbiorów danych do GIODO jest wszystkim, co administrator danych osobowych jest obowiązany zrobić.

Aby ułatwić przedsiębiorcom rozwikłanie „zagadek” z zakresu ochrony danych osobowych, w tym oraz w kilku kolejnych artykułach postaram się wyjaśnić główne pojęcia związane z przetwarzaniem i ochroną danych osobowych, wskażę obowiązki ciążące na podmiotach biorących udział w procesie przetwarzania danych oraz spróbuję wskazać rozwiązania pojawiających się w praktyce problemów.

Jak rozpoznać dane osobowe?

Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 poz. 922) (Ustawa) określa, iż osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Warto jednak pamiętać, że w wirtualnym świecie określenie tożsamości osoby bez poniesienia nadmiernych kosztów lub czasu nie będzie wcale zadaniem trudnym.

Ustawa wśród danych osobowych wyróżnia tzw. dane wrażliwe, którymi są dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, dane dotyczące skazań, orzeczeń o ukaraniu i mandatach karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Uznanie pewnych danych za dane wrażliwe skutkować będzie koniecznością pozyskania szczególnych podstaw do ich przetwarzania, a ponadto stosowania środków szczególnej ochrony.

Jak wynika z powyższego, pojęcie danych osobowych jest bardzo szerokie. Najlepiej ilustruje to jedno ze stanowisk GIODO, w którym uznano, że pomimo rzeczywistego nieokreślenia bezpośrednio tożsamości osoby, ale z uwagi na możliwość podjęcia bezpośredniego kontaktu z osobą, przetwarzanie takich informacji jak kod respondenta, numer telefonu i imię stanowi o osobowym charakterze tych danych. Pomimo krytyki w literaturze przedmiotu takiego restrykcyjnego podejścia, każdy podmiot mający do czynienia z danymi mogącymi stanowić dane osobowe powinien obchodzić się z nimi ze szczególną ostrożnością. Należy mieć przy tym świadomość, że każda informacja, niezależnie od sposobu i formy jej wyrażania może zostać poddana ocenie pod kątem spełnienia definicji ustawowej danych osobowych i jednocześnie każda informacja może zostać uznana za informację mającą charakter osobowy.

Trudno jest wyobrazić sobie firmę, która w ogóle nie przetwarza danych osobowych. Nawet w sytuacji, gdy firma posiada kontakty biznesowe z osobami prawnymi, za tymi osobami zawsze stoją osoby fizyczne reprezentujące te podmioty. Niejednokrotnie też kontrahent prowadzi jednoosobową działalność gospodarczą, a jego danych nie możemy całkowicie wyłączać spod pojęcia danych osobowych, pomimo pewnych ograniczeń dotyczących stosowania przepisów Ustawy do tego rodzaju danych. Znaczna część firm zatrudnia pracowników, prowadzi rejestr korespondencji czy skrzynkę pocztową, w której gromadzi adresy mailowe osób fizycznych. Dane takie również mogą stanowić dane osobowe. Nie będzie zatem nadużyciem stwierdzenie, że dane osobowe spotykamy w zasadzie w każdej firmie, niezależnie od jej profilu działalności czy formy działania.

Jakie czynności składają się na przetwarzanie danych osobowych?

Wielokrotnie na łamach tego artykułu wspominałam o przetwarzaniu danych osobowych; nie możemy zatem przejść obojętnie nad pojęciem „przetwarzania danych osobowych”.

Przetwarzanie danych osobowych to nic innego jak jakakolwiek operacja wykonywana na danych osobowych. Z przetwarzaniem danych osobowych spotykamy się w szczególności w sytuacji zbierania danych osobowych, ich utrwalania, przechowywania, opracowywania, zmieniania oraz usuwania. Ustawowy katalog czynności składających się na przetwarzanie danych osobowych jest katalogiem otwartym, a zatem wszystko, co możemy zrobić z danymi osobowymi będzie formą przetwarzania tych danych. Należy pamiętać też o tym, że dane możemy przetwarzać zarówno w formie papierowej, jaki i z wykorzystaniem systemów informatycznych.

W kolejnym artykule z tematyki danych osobowych przybliżę Państwu podmioty biorące udział w przetwarzaniu danych osobowych oraz omówię obowiązki na nich ciążące.

***
Kinga Koczara
Radca Prawny
Kancelaria Prawna Cebula i Współpracownicy
www.jciw.pl