Wszystko co powinieneś wiedzieć o RODO. Część 2 – Kategorie danych osobowych.

W ostatnim wpisie poruszałem ogólne kwestie związane z RODO, a dotyczące tego o czym jest i kogo dotyczy ogólne rozporządzenie o ochronie danych osobowych (ang. general data protection regulation). W tym wpisie skupię się na zagadnieniu bardziej szczegółowym ale jednocześnie podstawowym i bardzo ważnym na drodze do poznania i zrozumienia RODO jako całości. We wpisie m.in. o tym jak należy rozumieć samo pojęcie “przetwarzania” danych osobowych. Czym są i jak rozumieć według rozporządzenia dane osobowe. Jakie są szczególne kategorie danych osobowych w tym jakie nowe rodzaje szczególnych danych osobowych wprowadza RODO. 

Czym jest przetwarzanie danych osobowych według RODO?

Przede wszystkim zarówno obecnie obowiązujące w Polsce przepisy o ochronie danych osobowych, jak i  RODO, dotyczy zagadnienia przetwarzania danych osobowych. Często spotykam się z tym, że osoby które przetwarzają dane osobowe nie do końca zdają sobie z tego faktu sprawę. Czasami zdarza się również, że osoby przetwarzające dane osobowe zarzekają się, że tego nie robią, bo przecież “używają danych swoich klientów tylko do wysyłki towarów”.

Tymczasem przetwarzanie danych osobowych według definicji z  rozporządzenia to wykonywanie operacji lub zestawów operacji na danych osobowych lub zestawach tych danych. Przetwarzanie dotyczy operacji  zautomatyzowanych oraz niezautomatyzowanych. RODO zawiera określone przykłady co może stanowić przetwarzanie i tak jest to m.in.: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Przez tak szczegółowe wyliczenie, można zaryzykować stwierdzenie, że przetwarzanie danych osobowych, to wykonywanie na nich jakichkolwiek operacji i to niezależnie czy wykonywanych z użyciem skomplikowanych systemów informatycznych czy przy użyciu długopisu i kartki papieru.

Czym są dane osobowe według RODO?

Przez „dane osobowe” należy rozumieć informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Przy czym możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.  Co istotne, wymienione w rozporządzeniu informacje, które umożliwiają identyfikację danej osoby nie są katalogiem zamkniętym. Trzeba pamiętać, że RODO to rozporządzenie UE, a więc definicja danych osobowych musiała być dość mocno  uniwersalna i ogólna.

Jakie są rodzaje danych osobowych według RODO?

Podobnie jak w przypadku dotychczas obowiązującej w Polsce ustawy o ochronie danych osobowych, RODO doprecyzowuje dane o szczególnych charakterze. Dość podobnie jak dotychczas zdefiniowane są dane szczególnie chronione dotyczące stanu zdrowia, jako te, które oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej,  w tym również o korzystaniu przez nią z usług opieki zdrowotnej , które to dane ujawniają informacje o stanie jej zdrowia.

Poza danymi o stanie zdrowia, RODO podobnie jak ma to miejsce w obecnie obowiązującej ustawie, do danych o szczególnym charakterze zalicza dane dotyczące wyroków skazujących oraz naruszeń prawa.

Jakie są nowe rodzaje danych osobowych według RODO?

Nowością w stosunku do obecnych przepisów o ochronie danych osobowych jest wyróżnienie danych genetycznych oraz danych biometrycznych.

Przez dane genetyczne według RODO należy rozumieć dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej.

Dane biometryczne według RODO, to dane osobowe,  dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne. Do danych biometrycznych można więc zaliczyć zarówno zdjęcia twarzy, jak i odcisk palca. W rozporządzeniu określono dane biometryczne jako szczególny charakter danych m.in. ze względu na fakt, że mogą one ujawniać pochodzenie rasowe lub etniczne, a niewłaściwe przetwarzanie takich danych może doprowadzić do ryzyka naruszenia podstawowych praw i wolności osób których dane dotyczą

Wszystkie wymienione powyżej dane mogą być przetwarzane pod pewnymi warunkami i w określonych sytuacjach. O szczegółach dotyczących tych warunków dowiesz się w kolejnych wpisach cyklu: “Wszystko co powinieneś wiedzieć o RODO.”

 

Jakub Szajdziński
Partner Zarządzający
ENSIS Kancelaria Doradztwa Prawnego
Cioczek & Szajdziński Spółka Cywilna

 

Jeżeli chcesz pozostawać na bieżąco z nowymi przepisami zapraszamy do dołączenia do naszej grupy na Facebook

Jeżeli potrzebujesz pomocy w zakresie ochrony danych osobowych, skontaktuj się z nami: ensiskancelaria.com

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *