28. Maj 2013

Ochrona danych osobowych: jakie dane podlegają szczególnej ochronie?

Opublikowany przez

Prowadząc działalność w internecie często przetwarzamy dane osobowe naszych klientów. Każdy, kto zbiera i przetwarza dane osobowe – również w sklepach internetowych – zobowiązany jest do przestrzegania pewnych zasad oraz do ochrony danych osobowych. Trusted Shops w nowej serii artykułów przedstawia przydatne informacje i wymagania prawne, które należy spełnić zbierając i gromadząc dane osobowe użytkowników. W drugiej części artykułu przyjrzymy się bliżej, jakie dane traktowane są jako dane osobowe podlegające szczególnej ochronie.

Ustawa o ochronie danych osobowych

Jakie dane należy traktować jako dane osobowe? Informacje na ten temat można znaleźć w Art. 6 ustawy o ochronie danych osobowych. Zgodnie z tym zapisem za dane osobowe uważa się wszelkie informacje, dzięki którym możemy zidentyfikować osobę fizyczną. Identyfikacja możne nastąpić bezpośrednio, tzn. natychmiast lub pośrednio, czyli po pewnym nakładzie kosztów, czasu i działań.

Art. 6 ustawa o ochronie danych osobowych

1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Przetwarzając dane, które uważane są za dane osobowe, należy przestrzegać wymogów ustawowych m.in. ustawy o ochronie danych osobowych. Niektóre dane, tzw. dane wrażliwe, podlegają szczególnej ochronie. Za takie dane uznaje się dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym (art. 27 ustawy o ochronie danych osobowych). Przetwarzanie takich danych dopuszczalne jest tylko w szczególnych sytuacjach opisanych w art. 27 ust.2 ustawy o ochronie danych osobowych.

Jakie dane uważa się za dane osobowe?

Aby ocenić, czy podane informacje są danymi osobowymi czy też nie, należy dokładnie zbadać daną sytuację. W niektórych przypadkach wystarczy jedna informacja, aby określić tożsamość osoby, w innych potrzeba kilku informacji, aby zidentyfikować daną osobę. Pojedyncze informacje o dużym stopniu ogólności nie są traktowane jako dane osobowe w rozumieniu ustawy. Dopiero w połączeniu z innymi informacjami umożliwiają one identyfikację danej osoby (np. imię łącznie z adresem) i  wtedy uchodzą za dane osobowe.
Niewiele jest danych, za pomocą których można bez dodatkowej informacji zidentyfikować osobę fizyczną. Za takie dane uważamy np. PESEL, DNA lub wzór siatkówki.

Czy adres mailowy należy do danych osobowych? 

Adres mailowy należy do danych osobowych, jeśli zawiera informacje, dzięki którym bez nadmiernych kosztów, działań i czasu możemy zidentyfikować daną osobę (np. imię i nazwisko). Sam adres z ogólną nazwą (np. „misiek@”), nie należy do danych osobowych, ale już w połączeniu z innymi informacjami może się do nich zaliczać.

Czy adres IP komputera należy do danych osobowych?

Według opinii GIODO adres IP komputera może być w pewnych przypadkach uznany za dane osobowe, gdy

„…. jest na stałe lub na dłuższy okres czasu przypisany do konkretnego urządzenia, które przypisane jest z kolei konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową.”

Według wyjaśnień GIODO istnieją sytuacje, w których nie można przypisać adresu IP do konkretnej osoby (np. w niektórych kawiarniach internetowych), ale w sytuacji połączenia adresu IP z innymi danymi, adres IP może zostać uznany za daną osobową.

„W wielu przypadkach, nawet przy korzystaniu z komputera w kawiarence internetowej, wykorzystując dane zarejestrowane przez system nadzoru wizyjnego w zestawieniu z innymi danymi (np. dotyczących płatności przy użyciu karty kredytowej), możliwe jest zidentyfikowanie osoby korzystającej w danym czasie z danego komputera.”

Podsumowanie

Dane służące do identyfikacji naszej tożsamości podlegają szczególnej ochronie prawnej. Należy pamiętać, że ustawowa definicja danych osobowych nie jest zamkniętym katalogiem informacji i że należy każdorazowo zbadać, czy dane informacje są już danymi osobowymi czy też nie.
Ocena czy zbierane i przetwarzane dane są danymi osobowymi podlegającymi ochronie jest ważna dla sklepów internetowych, ponieważ przetwarzając takie dane należy uwzględnić wymogi ustawowe.

Jakich zapisów prawnych należy przestrzegać oraz jakie uprawnienia przysługują przetwarzającym dane osobowe? Powyższe zagadnienia przedstawimy w następnych artykułach o ochronie danych osobowych.

Przeczytaj też

Poleć ten post:
KategoriaPrawo

Komentarze dotyczące artykułu

Elzbieta Musielak (15. September 2015 - 14:00):

Dzień dobry!
Mam problem,potrzebuję pomocy.
Od ponad 25 lat jestem członkiem pewnego klubu żeglarskiego.
Posiada on od wielu lat stronę internetową.
Wszyscy członkowie “starzy i nowi” byli na niej.Nikt nie protestował ani nie zastrzegał tego faktu.
W zeszłym roku zmienił sie zarząd .Wczoraj otrzymałam wiadomość, iż zakładka “członkowie klubu” zostaje zlikwidowana.Powód “ochrona danych osobowych”
W moim mniemaniu kompletna bzdura.
Co można zrobić w tej sprawie?
Czy jest to samowolka?
Pozdrawiam
Elżbieta

Marcin Jędrzejak (25. September 2015 - 10:15):

Dzień dobry Pani Elżbieto,

dziękujemy za przesłane zapytanie. Podmiot przetwarzający dane osobowe może co do zasady przechowywać tylko takie dane, które są niezbędne do realizacji zaciągniętych zobowiązań (np. wykonania umowy). Upubliczniona lista członków klubu nie jest „niezbędnym” elementem członkostwa. Ponadto, klub żeglarski musiałby zadbać o uzyskanie wyraźnej zgody na przetwarzanie danych osobowych od każdego, „starego i nowego” członka klubu. Byłoby to oczywiście bardzo czasochłonne, gdyż zgoda ta nie może być udzielona w sposób dorozumiany (np. poprzez stwierdzenie, że żaden z członków klubu nie przesłał pisma z informacją o zakazie upubliczniania jego danych ). Na klubie żeglarskim nie ciąży ponadto żaden obowiązek upubliczniania listy członków. Wręcz przeciwnie, usuwając upublicznioną listę z danymi osobowymi, klub postępuje słusznie i zgodnie z przepisami prawa o ochronie danych osobowych (Podstawa prawna: art. 23 ustawy o ochronie danych osobowych).

Pozdrawiamy,
Zespół Trusted Shops

Dodaj komentarz