Kto powinien zadbać o ochronę danych i czym są dane osobowe?

Pan Janek, który jest moim klientem od samego początku, kiedy praktykuję zawód adwokata, zapytał mnie ostatnio do kogo jest skierowana ustawa o ochronie danych osobowych. To pytanie bardzo często wypływa z ust moich klientów, ale też, dla których prowadzę prelekcje czy szkolenia.
Zatem, ustawa o ochronie danych osobowych z 29 sierpnia 2017 r. ma zastosowanie, zarówno do organów sektora publicznego, jak i prywatnego, które mają siedzibę albo miejsce zamieszkania w Polsce. Prywatne podmioty są jednak zobowiązane do respektowania zasad ochrony danych osobowych, jeżeli wykonują zadania publiczne bądź przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub też dla realizacji celów statutowych.
Osoby fizyczne nie muszą stosować przepisów ustawy o ochronie danych osobowych, jeśli przetwarzają dane osobowe tylko i wyłącznie w celach osobistych lub domowych. W przypadku prowadzenia działalności literackiej, artystycznej lub też prasowej, również osoby te nie są objęte wymogami ustawy o ochronie danych osobowych. Co więcej jej zastosowanie w zasadzie jest wyłączone względem podmiotów stacjonujących lub mających miejsce zamieszkania w państwie trzecim, a jedynie przekazujących dane przez terytorium Polski przy wykorzystaniu narzędzi znajdujących się poza granicami naszego kraju.
Co to są dane osobowe? Mówi o tym art.6 ustawy o ochronie danych osobowych, który określa, iż dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, przy czym katalog danych osobowych nie jest zamknięty są to : cechy fizyczne, fizjologiczne, ekonomiczne, umysłowe, kulturowe czy też społeczne jeżeli pozwalają zidentyfikować konkretną osobę. Za daną osobową nie uważa się informacji umożliwiającej określenie tożsamości osoby, przy wykorzystaniu nadmiernych kosztów, czasu lub działań.
W wyniku tego, danymi osobowymi będą także te dane, które nie pozwalają na natychmiastową identyfikację człowieka, ale przy pewnym nakładzie finansów, czasu i  działań odpowiednie do jej ustalenia. Danymi osobowymi są informacje, które pozwalają na ustalenie tożsamości danej osoby, bez wkładania w to wysiłku i nakładów finansowych przy uwzględnieniu łatwo osiągalnych i powszechnie dostępnych źródeł.
Ciężko uznać zatem, za dane osobowe pojedyncze informacje takie jak imię czy nr telefonu. Natomiast w momencie kiedy zestawimy te dane z innymi informacjami, które pozwolą nam zidentyfikować określoną osobę, to staną się one wówczas danymi osobowymi. Wyjątkiem jest jednak nr identyfikacyjny PESEL, który jak wiadomo jest pojedynczą daną pozwala na identyfikację danej osoby. Pojawia się więc pytanie – czy adres poczty elektronicznej może być daną osobową? – absolutnie TAK! Jeśli mamy do czynienia z adresem kancelaria@adwokatlewandowska.pl wtenczas ustalenie, iż chodzi o mnie jest niezwykle proste. Natomiast jeśli jednak mamy do czynienia z adresem misiaczek000@tlenik.pl – to wówczas trudno określić kogo ta informacja dotyczy.
Muszę jeszcze na koniec zwrócić szczególną uwagę, na dane osobowe wrażliwe, których przetwarzanie jest możliwe jedynie wówczas, gdy np. osoba, której dotyczą wyrazi na przetwarzanie ich pisemną zgodę. Dotyczy to danych, które mówią o: pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych lub filozoficznych, przynależności partyjnej lub związkowej, stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, wyrokach i orzeczeniach o ukaraniu lub innych orzeczeniach wydawanych w postępowaniu sądowym lub administracyjnym.

adw. Małgorzata LEWANDOWSKA

Małgorzata Lewandowska jest adwokatem wpisanym na listę adwokatów Izby Adwokackiej w Warszawie. Ukończyła Wydział Prawa w Wyższej Szkole Prawa i Administracji w Warszawie oraz Studia Doktoranckie w Instytucie Nauk Prawnych Polskiej Akademii Nauk w Warszawie.