Dane osobowe (art. 6 ustawy)
są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Danymi osobowymi nie są pojedyncze informacje o dużym stopniu ogólności, np. sama nazwa ulicy i numer domu, w którym mieszka wiele osób. Informacja ta będzie jednak stanowić dane osobowe wówczas, gdy zostanie zestawiona z innymi, dodatkowymi informacjami, np. imieniem i nazwiskiem czy numerem PESEL, które w konsekwencji można odnieść do konkretnej osoby.
Dane osobowe przedsiębiorcy
Jeżeli przedsiębiorca objął zakresem danych indywidualnych dotyczących firmy swoje dane osobowe, w sytuacji gdy dane te pokrywają się, nie może on jako osoba fizyczna domagać się ochrony swoich danych osobowych, które są wykorzystywane nie jako dane osobowe, lecz jako dane firmy. Decydując się na utożsamianie tych danych godzi się tym samym na szersze ich ujawnianie i słabszą ochronę.
(Vide: wyrok NSA w Warszawie z 2002.11.28, II SA 3389/01)
Dane osobowe a nośniki danych osobowych
Dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Nośnikiem danych (informacji) jest fizyczny ośrodek przeznaczony do przechowywania danych. Nośniki danych nie są danymi, a jedynie je zawierają, przechowują.
Pojęcia te nie są tożsame. Nośniki danych osobowych nie są desygnatem pojęcia dane osobowe.
Tożsamość
oznacza cechy, które stanowią o tym kim dana osoba jest, czym różni się od innych. Na tak rozumianą tożsamość składa się nie tylko to, kim się jest obecnie, ale także to kim się było, a nawet zamierzenia na przyszłość, wszystko to powoduje, że dana osoba różni się od innej.
(vide: wyrok WSA z 3 marca 2009 r., sygn. akt II S.A./Wa1495/08)
Przykłady informacji stanowiącej dane osobowe:
Numer PESEL
Zgodnie z art. 31a ust. 1 ustawy o ewidencji ludności i dowodach osobistych, jest 11-cyfrowym, stałym symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną, w którym sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), kolejne cztery – liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną, służącą do komputerowej kontroli poprawności nadanego numeru ewidencyjnego.
Numer ten, występując nawet bez zestawienia z innymi informacjami
o osobie, stanowi dane osobowe.
Wizerunek i rysopis
Wizerunek i rysopis mieszczą się w definicji danych osobowych.
Imiona rodziców i inne dane
Przy badaniu, na przykład, zdolności kredytowej, imiona rodziców będą obok innych danych identyfikowały nie ich samych, lecz stronę zawieranej umowy. Także wykaz osób pozostających na utrzymaniu kredytobiorcy będzie w istocie informacją o nim, a nie danymi osobowymi członków jego rodziny.
(vide: wyroku NSA z 7 listopada 2003 r., sygn. akt II SA 1432/02).
Adres poczty elektronicznej
Adres poczty elektronicznej – bez dodatkowych informacji, umożliwiających ustalenie tożsamości osoby – zasadniczo nie stanowi danych osobowych. Występujący samodzielnie adres poczty elektronicznej można w wyjątkowych przypadkach uznać za dane osobowe, ale tylko wtedy, gdy elementy jego treści pozwalają, bez nadmiernych kosztów, czasu lub działań – na ustalenie na ich podstawie tożsamości danej osoby.
Przykład:
- jan.kowalski@firmax.com – jest daną osobową
- jan.kowalski@domenapubliczna.com – nie jest daną osobową
- janko@firmax.com – nie jest daną osobową
- imię i nazwisko, adres mailowy – jest daną osobową
Numer karty miejskiej
Numer karty miejskiej, gdy na jego podstawie można bez nadmiernych kosztów, czasu i działań, określić tożsamość osoby, do której ta karta należy.
Na karcie miejskiej zakodowany jest unikatowy numer nadawany przez system informatyczny. Pod tym numerem zapisane są informacje o jej właścicielu i historia użycia karty. Właściciel ma obowiązek uzupełnić kartę imieniem, nazwiskiem i numerem dokumentu tożsamości. Istnieją także karty imienne, które dodatkowo oprócz tych danych zawierają także zdjęcie jej posiadacza.
Dane szczególnie chronione – dane osobowe wrażliwe
(art. 27 ust. 1 ustawy)
Są to informacje o pochodzeniu rasowym lub etnicznym, poglądach politycznych, religijnych, filozoficznych, wyznaniu, przynależności do partii lub związku, stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym, skazaniach, orzeczeniach o ukaraniu, mandatach
i innych orzeczeniach wydanych w postępowaniu przed sądem lub urzędem. Na administratorów tych danych ustawa nakłada bardziej rygorystyczne obowiązki niż na administratorów danych „zwykłych”.
UWAGA: Dane finansowe nie są danymi wrażliwymi!
Dane „zwykłe”
Nie jest to pojęcie zdefiniowane w ustawie o ochronie danych osobowych. Pojęcie to obejmuje dane osobowe, których nie zalicza się do danych wrażliwych. Innymi słowy są to wszystkie dane osobowe poza wymienionymi w art. 27 ust. 1 ustawy. Zaliczamy do nich np. imię, nazwisko, adres zamieszkania, datę urodzenia, nr PESEL, adres email.
Zbiór danych
(art. 7 pkt 1 ustawy)
jest to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
Pojęcie zbioru danych obejmuje swym zakresem zbiory zautoma-tyzowane (bazy danych tworzone przez profesjonalne systemy zarzą-dzania bazami danych), jak i niezautomatyzowane (materiały zgromadzone w formie akt – teczki socjalne, akta osobowe oraz inne ręczne zbiory ewidencyjne).
Zbiorem nie będą pojedyncze kartki z różnymi danymi osobowymi na każdej z nich.
Cechą odróżniającą zbiór danych od innego zestawienia danych jest istnienie cechy albo cech pozwalających na odnalezienie informacji bez potrzeby przeglądania całego zestawu.
Aby określony zestaw danych zaklasyfikować jako zbiór, wystarczające jest istnienie, co najmniej dwóch kryteriów
(vide: wyrok NSA z 12 stycznia 2007 r., sygn. akt I OSK 218/06)
Administrator danych osobowych
to organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych. (organ państwowy, organ samorządu terytorialnego lub państwowa albo komunalna jednostka, firma, organizacja reprezentowana przez Prezesa, Dyrektora, itp.) (art. 7 pkt 4 ustawy).
Administrator danych osobowych z państwa trzeciego może wyznaczyć podmiot do reprezentowania go na terenie RP.
Do uznania podmiotu za administratora danych potrzebna jest zawsze analiza konkretnych przepisów prawnych. Stąd o tym, czy ktoś jest administratorem danych, decyduje przede wszystkim rodzaj i charakter nadanych mu przez prawo kompetencji z obszaru spraw publicznych oraz wyznaczone ustawowo zadania
(vide: wyrok WSA z dnia 17 listopada 2004 r., sygn. akt I SA/Wa 887/04)
Administrator bezpieczeństwa informacji
Administrator bezpieczeństwa informacji (ABI) jest to osoba, której zadaniem jest nadzorowanie przestrzegania zasad ochrony danych.
ABI wyznaczany jest przez administratora danych.
ABI nadzoruje przestrzeganie zasad ochrony danych, określonych przez administratora, stosując odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i organizacyjne, które mają zabezpieczyć dane przed ich udostępnieniem osobom nieupoważ-nionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z na-ruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Odbiorca danych
to każda osoba/instytucja, której UDOSTĘPNIA się dane osobowe z wyjątkiem:
- „właściciela” danych osobowych lub osoby upoważnionej
- organów państwowych lub samorządu terytorialnego otrzymujących dane w związku z prowadzonym przez nie postępowaniem
- podmiotu przetwarzającego dane osobowe na mocy umowy o powierzeniu przetwarzania danych
System informatyczny
(art. 7 pkt 2a ustawy)
zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
Pojęcie systemu informatycznego na gruncie ustawy o ochronie danych osobowych odnosi się tylko do automatycznego przetwarzania danych.
(vide: wyrok WSA z 17 listopada 2004 r., sygn. akt II SA/Wa 887/04).
Przetwarzanie danych
rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, przesyłanie, udostępnianie i powierzenie, wykorzystanie oraz usuwanie, w szczególności te, które wykonuje się w systemach informatycznych.
Przetwarzanie danych może przebiegać w sposób zautomatyzowany całkowicie lub częściowo albo niezautomatyzowany.
Usuwanie danych osobowych
Przez usuwanie rozumie się zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.
Innymi słowy usuwanie danych oznacza takie procedury, których zastosowanie pozbawi administratora danych możliwości jakiegokolwiek dalszego przetwarzania danych osobowych.
Powierzenie
(art. 31 ustawy)
Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.
Zgoda
Przez pojęcie zgody osoby, której dane dotyczą rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.
Przykładowa treść klauzuli zgody na przetwarzanie danych osobowych:
Zgodnie art. 23 ust. 1 pkt 1ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, wyrażam zgodę na przetwarzanie danych osobowych do celów:
- Marketingowych
- Udostępniania innym podmiotom
- Rekrutacji
Wyrażenie zgody na przetwarzanie danych osobowych jest zbędne, gdy przetwarzanie danych jest dopuszczalne na podstawie:
- odrębnych przepisów prawa (np. w celu przeprowadzenia wywiadu środowiskowego przez pracownika pomocy społecznej, dochodzenia prowadzonego przez prokuraturę),
- innych przesłanek (np. w celu realizacji umowy).