Lemlock Lemlock logo

RODO a dane osobowe

W świetle Rozporządzenia o Ochronie Danych Osobowych - RODO (z angielskiego General Data Protection Regulation - GDPR) wiele firm może zadawać sobie pytanie, czy również ich bazy danych podlegają regulacjom. Szczególnie niejasny wydaje się przypadek, w którym firma nie dysponuje informacjami bezpośrednio pozwalającymi zidentyfikować konkretną osobę fizyczną, jak imię i nazwisko, ale posiada ich zamiennik, np. pseudonim albo jedynie sam adres IP, z którego dokonywane jest połączenie sieciowe. Czy również w takim wypadku istnieje konieczność zabezpieczenia danych? Które dane pod ochroną RODO mają szczególne znaczenie?

W artykule znajdziesz:

  1. informacje na temat Rozporządzenia w kontekście danych osobowych,
  2. informacje o danych umożliwiających identyfikacje osób,
  3. informacje o danych szczególnych,
  4. odpowiedź na temat gotowości biznesu na RODO.

Jakie informacje umożliwiają identyfikację człowieka?

Tradycyjnie rozumiana odpowiedź - “wszelkie dane osobowe, w tym dane wrażliwe” - w świetle RODO nie jest wystarczająca (sprawdź inne artykuły Lemlock). Od 25 maja 2018 roku ochronie podlegają wszystkie informacje pozwalające nie tylko bezpośrednio, ale też pośrednio zidentyfikować daną osobę, w tym:

  • adres IP,
  • identyfikator sieciowy,
  • zmienne przechowywane w formie ciasteczek (ang. „Cookies”),
  • informacje powiązane z wizerunkiem (np. zdjęcia),
  • numery telefonów,
  • metadane profilujące zachowania i preferencje użytkowników,
  • dane lokalizacyjne pozwalające określić miejsce przebywania danej osoby lub śledzić jej przemieszczanie się.

Trybunał orzekł, że w przypadku, gdy organizacja posiada dane, które same w sobie nie są w stanie zidentyfikować osoby fizycznej, dane te mogą stanowić dane osobowe, jeżeli organizacja posiada środki prawne umożliwiające jej zidentyfikowanie osoby, której dane dotyczą, poprzez połączenie tych danych z innymi informacjami będącymi w posiadaniu co najmniej jednej osoby trzeciej.

Szczególne kategorie danych

Dodatkową uwagę należy zwrócić na tzw. „szczególne kategorie danych” pod ochroną RODO - przetwarzanie dancyh osobowych w tej kategorii będzie zakazane. W definicji danych osobowych wrażliwych uwzględniono:

  • dane o stanie zdrowia,
  • dane ujawniające pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • przekonania religijne,
  • światopogląd,
  • przynależność do związków zawodowych,
  • dane genetyczne,
  • dane biometryczne (co obejmuje np. głos, odciski palców, grupę krwi),
  • dane dotyczące seksualności,
  • dane dotyczące orientacji seksualnej.

Sytuacje, w których przetwarzanie szczególnych kategorii danych osobowych będzie dozwolone, obejmują między innymi:

  • wyraźną zgodę na przetwarzanie tej kategorii danych osobowych, przy czym za zgodę zgodnie z art. 4 pkt 11 RODO uważa się dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych,
  • dochodzenie praw lub roszczeń we właściwych postępowaniach, w tym przetwarzanie danych osobowych przez sądy w ramach sprawowania wymiaru sprawiedliwości,
  • ochronę żywotnych interesów osoby, której dane dotyczą (np. w związku z udzielaniem jej pomocy medycznej).

Czy biznes jest gotowy na RODO?

W świetle wymienionych informacji nie ulega wątpliwości, że wiele firm stoi obecnie przed wyzwaniem przeanalizowania swoich baz danych i określenia, czy gromadzone przez nie informacje stwarzają konieczność podjęcia działań służących ich zabezpieczeniu i stałej ochronie. Ponadto, zgodnie z nową regulacją, niejednokrotnie rozproszone i nieskonsolidowane dane muszą zostać uporządkowane w zorganizowanych zbiorach. Firmy są zobowiązane podjąć działania umożliwiające agregowanie, lokalizowanie, wgląd, dokonywanie modyfikacji, przesyłanie i usuwanie informacji.

Podsumowując, jeśli firma przetwarza lub przechowuje jakiekolwiek dane osobowe, dane wrażliwe lub informacje ogólnie związane z ruchem osób w sieci, istnieje duże prawdopodobieństwo, że podlega Rozporządzeniom wynikającym z RODO. Wielkość podmiotu nie ma znaczenia. RODO obejmuje swym zasięgiem nie tylko duże portale aukcyjne czy portale społecznościowe, ale też szpitale, małe sklepy wysyłkowe, a nawet osiedlowe przedszkola. Więcej na ten temat znajdziesz w artykułach Lemlock.

Lemlock ebook. Poradnik ekspercki: Trzy podejścia do cyberbezpieczeństwa
Interesuje Cię kompleksowe rozwiązanie,
związane z bezpieczeństwem gromadzonych przez Ciebie danych?
Zgoda na  przetwarzanie danych w celu kontaktu
Potwierdzam, że zapoznałem/am się z  klauzulą informacyjną Sagiton Sp. z o.o.

Niniejszym wyrażam zgodę na przetwarzanie moich danych osobowych przez Administratora Danych Osobowych (dalej: „ADO”) – Sagiton Sp. z o.o. ul. Fabryczna 19, 53-609 Wrocław, w zakresie: imię i nazwisko, adres email lub telefon, w celach sprzedaży produktów i usług Sagiton Sp. z o.o. oraz w celu przesłania do mnie informacji zwrotnej i nawiązania ze mną kontaktu przez Sagiton Sp. z o.o.

Jednocześnie przyjmuję do wiadomości, że: w każdej chwili mogę zażądać usunięcia moich danych osobowych z bazy ADO Sagiton Sp. z o.o., poprzez wysłanie na adres poczty elektronicznej grzegorz.makosa@lemlock.com. lub na piśmie, na adres Sagiton Sp. z o.o., ul. Fabryczna 19, 53-609 Wrocław, oświadczenia zawierającego stosowne żądanie co skutkować będzie usunięciem moich danych osobowych z bazy danych ADO Sagiton Sp. z o.o.; mam prawo dostępu do treści swoich danych; podanie moich danych jest dobrowolne, aczkolwiek odmowa ich podania jest równoznaczna z nieotrzymywaniem informacji dotyczących sprzedaży produktów i usług Sagiton Sp. z o.o., a także z nieotrzymaniem informacji zwrotnej i nawiązaniem ze mną kontaktu przez Sagiton Sp. z o.o.

Zgodnie z art. 13 ust. 1 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016r., (RODO), informujemy, iż administratorem Pana/Pani danych osobowych jest Sagiton Sp. z o.o. z siedzibą przy ul. Fabrycznej 19, 53-609 Wrocław, e-mail: grzegorz.makosa@lemlock.com.

Pana/Pani dane osobowe przetwarzane będą w zakresie imię i nazwisko, adres email i/lub numer telefonu w celu odpowiedzi na Pana/Pani zapytanie/prośbę o kontakt i wystosowanie informacji zwrotnej– na podstawie art. 6 ust. 1 lit a RODO tj. zgody na przetwarzanie danych osobowych.

Administrator danych informuje, że Pana/Pani dane osobowe nie będą udostępniane podmiotom trzecim.

Pana/Pani dane nie będą przekazywane poza Europejski Obszar Gospodarczy lub do organizacji międzynarodowych.

Pana/Pani dane osobowe będą przetwarzane do wycofania przez Pana/Panią zgody na przetwarzanie danych a także w przypadku ustania celów przetwarzania tych danych.

Ma Pan/Pani prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia oraz prawo do wniesienia sprzeciwu.

W przypadku wyrażenia zgody ma Pan/Pani prawo wycofania zgody w dowolnym momencie. Skorzystanie z prawa do wycofania zgody nie ma wpływu na przetwarzanie, które miało miejsce do momentu wycofania zgody.

Przysługuje Panu/Pani prawo do wniesienia skargi do organu nadzorczego tj. Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.

Podanie przez Pana/Panią danych osobowych jest warunkiem nawiązania z Panem/Panią kontaktu przez Sagiton Sp. z o.o. z siedziba przy ul. Fabrycznej 19, 53-609 Wrocław. W przypadku niepodania danych osobowych, Sagiton Sp. z o.o., nie będzie w stanie nawiązać z Panem/Panią kontaktu.

Administrator Danych Sagiton Sp. z o.o. informuje, iż nie będzie wykorzystywał Pana/Pani danych osobowych do zautomatyzowanego podejmowania decyzji, które opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec Pana/Pani skutki prawne lub w podobny sposób istotnie na Pana/Panią wpływa.

Pozostańmy w kontakcie: