Dane osobowe podlegające szczególnej ochronie

Nie muszę Ci tego mówić:

Wiesz, że prowadząc e-biznes zbierasz i przetwarzasz dane osobowe swoich klientów. Co za tym idzie — obowiązuje Cię dyrektywa RODO.

Co to jednak oznacza w praktyce? Przecież nie jesteś prawnikiem, a na dogłębne analizy prawa nie masz czasu (biznes sam się nie zrobi).

Przygotowaliśmy ten poradnik, aby ułatwić Ci przyswojenie niezbędnej wiedzy.

W tym artykule dowiesz się:

jak ustawa definiuje dane osobowe
czy adres mailowy i adres IP należą do danych osobowych

Prowadząc działalność w internecie często przetwarzamy dane osobowe naszych klientów. Każdy, kto zbiera i przetwarza dane osobowe – również w sklepach internetowych – zobowiązany jest do przestrzegania pewnych zasad oraz do ochrony danych osobowych.

Trusted Shops w nowej serii artykułów przedstawia przydatne informacje i wymagania prawne, które należy spełnić zbierając i gromadząc dane osobowe użytkowników. W drugiej części artykułu przyjrzymy się bliżej, jakie dane traktowane są jako dane osobowe podlegające szczególnej ochronie.

Ustawa o ochronie danych osobowych

Jakie dane należy traktować jako dane osobowe? Informacje na ten temat można znaleźć w Art. 6 ustawy o ochronie danych osobowych. Zgodnie z tym zapisem za dane osobowe uważa się wszelkie informacje, dzięki którym możemy zidentyfikować osobę fizyczną.

Identyfikacja możne nastąpić bezpośrednio, tzn. natychmiast lub pośrednio, czyli po pewnym nakładzie kosztów, czasu i działań.

Ustawa o ochronie danych osobowych
Art. 6 ochrona danych osobowych

1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Przetwarzając dane, które uważane są za dane osobowe, należy przestrzegać wymogów ustawowych m.in. ustawy o ochronie danych osobowych. Niektóre dane, tzw. dane wrażliwe, podlegają szczególnej ochronie.

Za takie dane uznaje się dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym (art. 27 ustawy o ochronie danych osobowych).

Przetwarzanie takich danych dopuszczalne jest tylko w szczególnych sytuacjach opisanych w art. 27 ust.2 ustawy o ochronie danych osobowych.

Jakie dane uważa się za dane osobowe?

Aby ocenić, czy podane informacje są danymi osobowymi czy też nie, należy dokładnie zbadać daną sytuację. W niektórych przypadkach wystarczy jedna informacja, aby określić tożsamość osoby, w innych potrzeba kilku informacji, aby zidentyfikować daną osobę.

Pojedyncze informacje o dużym stopniu ogólności nie są traktowane jako dane osobowe w rozumieniu ustawy. Dopiero w połączeniu z innymi informacjami umożliwiają one identyfikację danej osoby (np. imię łącznie z adresem) i wtedy uchodzą za dane osobowe.

Niewiele jest danych, za pomocą których można bez dodatkowej informacji zidentyfikować osobę fizyczną. Za takie dane uważamy np. PESEL, DNA lub wzór siatkówki.

Czy adres mailowy należy do danych osobowych?

Adres mailowy należy do danych osobowych, jeśli zawiera informacje, dzięki którym bez nadmiernych kosztów, działań i czasu możemy zidentyfikować daną osobę (np. imię i nazwisko). Sam adres z ogólną nazwą (np. „misiek@”), nie należy do danych osobowych, ale już w połączeniu z innymi informacjami może się do nich zaliczać.

Czy adres IP komputera należy do danych osobowych?

Według opinii GIODO adres IP komputera może być w pewnych przypadkach uznany za dane osobowe, gdy

„…. jest na stałe lub na dłuższy okres czasu przypisany do konkretnego urządzenia, które przypisane jest z kolei konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową.”

Według wyjaśnień GIODO istnieją sytuacje, w których nie można przypisać adresu IP do konkretnej osoby (np. w niektórych kawiarniach internetowych), ale w sytuacji połączenia adresu IP z innymi danymi, adres IP może zostać uznany za daną osobową.

„W wielu przypadkach, nawet przy korzystaniu z komputera w kawiarence internetowej, wykorzystując dane zarejestrowane przez system nadzoru wizyjnego w zestawieniu z innymi danymi (np. dotyczących płatności przy użyciu karty kredytowej), możliwe jest zidentyfikowanie osoby korzystającej w danym czasie z danego komputera.”

Podsumowanie

Dane służące do identyfikacji naszej tożsamości podlegają szczególnej ochronie prawnej. Należy pamiętać, że ustawowa definicja danych osobowych nie jest zamkniętym katalogiem informacji i że należy każdorazowo zbadać, czy dane informacje są już danymi osobowymi czy też nie.

Ocena czy zbierane i przetwarzane dane są danymi osobowymi podlegającymi ochronie jest ważna dla sklepów internetowych, ponieważ przetwarzając takie dane należy uwzględnić wymogi ustawowe.

Jakich zapisów prawnych należy przestrzegać oraz jakie uprawnienia przysługują przetwarzającym dane osobowe? Powyższe zagadnienia przedstawimy w następnych artykułach o ochronie danych osobowych.