Przedsiębiorca dokonujący sprzedaży na rzecz osoby prywatnej co do zasady ma obowiązek wystawienia faktury na jej żądanie, co wynika bezpośrednio z ustawy o VAT. Ważne jest, że powinność ta występuje przez okres trzech miesięcy, licząc od końca miesiąca, w którym dostarczono towar lub wykonano usługę bądź otrzymano
Blog Content marketing Dane wrażliwe w internecie – co to jest, przykłady, ochrona 5 października, 2021 5 min. czytania Dnia 25 maja 2018 r. rozpoczęto stosowanie Ogólnego Rozporządzenia o Ochronie Danych Osobowych (tzw. RODO), którego celem było ujednolicenie i rozszerzenie dotychczasowego zakresu ochrony danych osobowych. Rozporządzenie miało zapewnić spójny stopień ochrony danych personalnych na terytorium Unii Europejskiej, gwarantując podmiotom gospodarczym rozszerzenie możliwości biznesowych poprzez ułatwienie przepływu danych osobowych, a osobom fizycznym – ten sam poziom praw i jednoczesnych obowiązków administratorów danych. Wskutek wprowadzenia RODO polska ustawa o ochronie danych osobowych uległa zmianom i została dostosowana do brzmienia rozporządzenia, zapewniając najpełniejsze stosowanie przepisów unijnych. Ustawa o ochronie danych osobowych wyróżnia dane osobowe zwykłe i wrażliwe. Za pierwsze z nich uważa się informacje podstawowe, niepodlegające szczególnej ochronie. Dane osobowe wrażliwe stanowią natomiast szczególną kategorią danych personalnych, których przetwarzanie związane jest z przyjęciem dodatkowych środków bezpieczeństwa. Uzasadnieniem ich wyodrębnienia, jest konieczność ochrony osób, których one dotyczą. Aby odpowiedzieć sobie na pytanie, czy można przetwarzać dane wrażliwe, należy wskazać czym tak właściwie jest samo przetwarzanie danych. Zgodnie z przepisami, przetwarzaniem danych jest każda operacja na nich podjęta, w szczególności ich przechowywanie, utrwalanie, udostępnianie, zwłaszcza podjęte w systemie informatycznym. Co do zasady przetwarzanie danych wrażliwych jest zakazane, jednak ustawa o ochronie danych osobowych wprowadza od tej zasady wiele wyjątków. Przede wszystkim dane wrażliwe można przetwarzać, gdy osoba osoba, której one dotyczą, wyrazi pisemną zgodę na przetwarzanie danych wrażliwych. Dopuszczalne jest również przetwarzanie danych wrażliwych co do których oczywiste jest, że upublicznił je sam zainteresowany. Inną okolicznością legalizującą przetwarzanie danych wrażliwych jest zawarcie w ustawie przepisu przewidującego taką dopuszczalność. Takie regulacje zawierają przepisy ustawy o policji, czy też ustawy o usługach detektywistycznych, ustawy o służbie celnej. Prawodawca unijny wyodrębnił kategorie danych, co do których ograniczył dopuszczalność ich przetwarzania, zapewniając silniejszą ochronę, zgodnie z przekonaniem, że przetwarzanie niektórych danych osobowych może ingerować w prywatność osób, których dane dotyczą. Dane wrażliwe według RODO, to dane osobowe ujawniające: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej konkretnej osoby. Danymi wrażliwymi niewątpliwie będą przetwarzane przez przychodnię lub szpital dane dotyczące stanu zdrowia pacjentów. Jako dane wrażliwe często błędnie kwalifikowane są informacje dotyczące majątku danej osoby, numeru PESEL czy numeru konta bankowego. Tego rodzaju dane w komentowanym rozporządzeniu traktowane są jako tzw. dane zwykłe. Nie oznacza to jednak, że nie mogą podlegać szczególnej ochronie, w oparciu o przepisy szczególne (np. przepisy prawa bankowego). Administratorem danych osobowych jest każdy przedsiębiorca przetwarzający dane swoich klientów, bądź użytkowników. Jest on zobowiązany do stosowania odpowiednich środków, które zapewnią ochronę podczas przetwarzania danych osobowych, w szczególności do zabezpieczenia danych personalnych przed ich udostępnieniem osobom nieupoważnionym, zmianą lub zniszczeniem. Powyższe odnosi się również do przedsiębiorców, którzy prowadzą działalność w internecie i w związku z tym przetwarzają dane osobowe. Powinni oni podjąć działania zapobiegające wyciekowi danych lub ich kradzieży, gdyż dane personalne mogą okazać się bardzo cenne pod kątem marketingowym i sprzedażowym. W przypadku braku stosownej ochrony dane osobowe mogą wyciec lub zostać skradzione i stać się przedmiotem nielegalnego handlu danymi. Należy pamiętać, iż na przetwarzanie danych osobowych określonego internauty konieczne jest wyrażeniem przez niego zgody na takie działanie. Na ryzyka związane z przetwarzaniem danych osobowych zwraca uwagę motyw 75 Preambuły do RODO, który wskazuje, że przetwarzanie danych osobowych może prowadzić do dyskryminacji, kradzieży tożsamości, straty finansowej, naruszenia imienia lub utraty kontroli nad własnymi danymi osobowymi. Rozporządzenie RODO zawiera również definicję naruszenia danych osobowych, wskazując, że jest to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Przedsiębiorca przetwarzający dane osobowe powinien wdrożyć Politykę Bezpieczeństwa Danych Osobowych, czyli określić procedury dotyczące stosowania ochrony danych osobowych. Ponadto przedsiębiorca powinien przygotować tzw. Instrukcję Zarządzania Systemem Informatycznym, zawierającą wytyczne ochrony danych personalnych w internecie. W zależności od rodzaju przetwarzanych danych osobowych, wdrożony poziom bezpieczeństwa przy ich przetwarzaniu będzie różny. Dane wrażliwe podlegają najwyższej ochronie. Gromadzenie oraz przetwarzanie danych osobowych na coraz szersza skalę wiąże się z wieloma wyzwaniami i zagrożeniami. Wielu konsumentów i użytkowników internetu nie zdaje sobie sprawy z jakimi zagrożeniami może wiązać się niedostateczna ochrona danych osobowych. Numer PESEL nie jest daną wrażliwą. Numer konta bankowego nie należy do katalogu danych wrażliwych. Zazwyczaj samo imię i nazwisko, bez wskazania dodatkowych informacji identyfikujących konkretną osobę, nie będzie stanowiło danych osobowych, gdyż większości przypadków takie samo imię i nazwisko będzie należało do wielu osób. Z tego powodu imię i nazwisko nie może stanowić danych wrażliwych. Numer dowodu osobistego nie należy do katalogu danych wrażliwych. Online marketing z landing page'ami Kasia Hajok Content Specialist w Landingi Lubi, kiedy WordPress działa i gdy teksty same się piszą. Reaguje na słowa „kawa”, „przygoda” i „checklista”.

Na potrzeby artykułu podzielono dane wrażliwe na 3 grupy, aby ułatwić ich zdefiniowanie i rozróżnienie danych wrażliwych od danych zwykłych. 1. Dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność́ do związków zawodowych osoby fizycznej.

W naszej praktyce często spotykamy się z wątpliwościami dotyczącymi tego czym są „dane wrażliwe”. Czy przykładowo numer PESEL jest tego rodzaju informacją? Kiedy przedsiębiorca może przetwarzać takie dane?Dane „wrażliwe” to tak naprawdę szczególna kategoria danych osobowych w rozumieniu art. 9 RODO. Samo rozporządzenie RODO ani wcześniejsza polska ustawa o ochronie danych osobowych z 1997 r. nie posługują się tym pojęciem, jest ono jednak obecne w praktyce od dawna. Same dane wrażliwe (inaczej nazywane też sensytywnymi) to informacje dotyczące najbardziej osobistej, intymnej sfery życia człowieka. Inaczej mówiąc są szczególnym typem danych osobowych i dotyczą sfery prywatnej konkretnych osób. Ich gromadzenie i przetwarzanie obwarowano w RODO zdecydowanie większymi rygorami, niż ma to miejsce w przypadku „zwykłych” danych z art. 9 RODO, dane szczególnej kategorii (czyli właśnie „dane wrażliwe”) to dane osobowe ujawniające:pochodzenie rasowe lub etniczne,poglądy polityczne,przekonania religijne lub światopoglądowe,przynależność do związków zawodowychoraz dane osobowe (o ile pozwalają na jednoznaczne zidentyfikowanie osoby fizycznej) będące:danymi genetycznymi,danymi biometrycznymi (dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne),danymi dotyczącymi stanu zdrowia (dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie zdrowia),danymi dotyczącymi seksualności lub orientacji te kategorie danych osobowych (o ile są lub mogą zostać przypisane do konkretnej osoby fizycznej), stanowią więc dane wrażliwe. Przetwarzanie tych kategorii danych jest dozwolone, ale obwarowane zdecydowanie bardziej rygorystycznymi wymogami, niż te wynikające z art. 6 RODO. Przetwarzanie tych kategorii danych osobowych jest więc dopuszczalne jeżeli:osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że przepisy prawa wyraźnie zakazują takiego przetwarzania;przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem odpowiednich warunków i zabezpieczeń,przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 RODO, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane „wrażliwymi” nie są więc np. numer PESEL, numer dowodu osobistego czy nawet numer PIN czy CVV/CVC do karty kredytowej. Chociaż ujawnienie tego typu kategorii danych osobowych może rodzić dużo bardziej poważne konsekwencje, w świetle podziału danych obecnego w RODO dane takie nie są danymi szczególnej kategorii w rozumieniu art. 9 „wrażliwymi” są natomiast dane osobowe dotyczące stanu zdrowia. W przypadku większości firm są one podstawowymi i często jedynymi danymi osobowymi zaliczanymi do szczególnie chronionych na podstawie art. 9 RODO danych osobowych. Stąd szczególnie ważne jest zapewnienie jednej z podstaw prawnych legalizujących przetwarzanie danych dotyczących zdrowia pracowników, współpracowników, klientów, dłużników lub innych osób kontaktujących się za pośrednictwem różnych kanałów komunikacji.
Po wprowadzeniu RODO powstaje coraz więcej wątpliwości, czy urzędy mogą wymagać od nas podawania PESEL i kto może mieć do niego dostęp. Niepotrzebnie, bo i tak mają ten numer w swoich bazach, a używanie go pozwala uniknąć pomyłek i kosztów ich poprawiania. Inaczej jest w kontaktach z podmiotami komercyjnymi lub osobami prywatnymi, gdzie powinien być szczególnie chroniony. Planujesz zakup węgla na najbliższy sezon grzewczy? Przygotuj swój PESEL i numer dowodu osobistego. Po co? Tylko w ten sposób możesz kupić ekogroszek bez akcyzy. To nie wymysł właścicieli składów opału. Konieczność udostępniania danych wynika z obowiązujących norm prawa. Numer dowodu i PESEL – (nie)wrażliwe dane osobowe W rozumieniu art. 27 Ustawy o ochronie danych osobowych, ani numer pesel ani numer dowodu osobistego nie należą do danych wrażliwych. Nie ujawniają bowiem kwestii takich jak: pochodzenie, poglądy polityczne, religijne, stan zdrowia czy nałogi. Mimo że zaliczane są do tzw. danych osobowych zwykłych, powinny podlegać szczególnej ochronie. W praktyce oznacza to, że należy być czujnym i zwracać uwagę na to, kto i w jakich okolicznościach wymaga podania jednego bądź drugiego numeru i czy jest to uzasadnione przepisami prawa. Czy tak właśnie jest w sytuacji zakupu węgla? PESEL i numer dowodu, a zakup opału węglowego Wyroby węglowe obłożone są akcyzą od 2012 roku. Jednak aż do 2019 roku z podatku tego zwolnieni byli właściciele gospodarstw domowych, podmioty typu: szkoły, szpitale, jednostki pomocy społecznej czy niektóre firmy. By zakupić węgiel bez akcyzy musieli tylko złożyć stosowne oświadczenie, potwierdzające jego przeznaczenie. Po wprowadzeniu nowelizacji ustawy akcyzowej w 2019 roku, wszystkie osoby prywatne, które nie prowadzą działalności gospodarczej i nie chcą płacić podatku, nadal muszą złożyć oświadczenie. Zostało ono jednak znacznie rozszerzone. Oprócz informacji o przeznaczaniu opału, musi się w nim również znaleźć: imię, nazwisko, adres i, budzący tak wiele wątpliwości, numer dowodu osobistego oraz PESEL. Dotyczy to zarówno zakupu opału w sklepie internetowym, jak i w składzie stacjonarnym. W tym drugim przypadku sprzedawca ma dodatkowo obowiązek zweryfikować tożsamość klienta, poprzez sprawdzenie jego dowodu. Powyższe zasady mają zastosowanie w przypadku zakupu powyżej 200 kg węgla, w tym ekogroszku. Zdecydowana większość osób zaopatruje się w opał na cały sezon, a więc będą zobowiązane do udostępnienia tych danych. Taka sytuacja powoduje dyskomfort, zarówno po stronie kupującego jak i sprzedawcy. Bo choć w rozumieniu ustawy nie są to dane wrażliwe, to przez wiele osób są właśnie tak postrzegane. Klient nie chce podać numeru dowodu ani numeru PESEL W przypadku gdy klient nie chce podać wymaganych danych, kupuje opał węglowy z akcyzą. Wynosi ona 37,40 zł za każde 1000 kg produktu. Obowiązkiem sprzedawcy jest taką opłatę doliczyć. Nie jest to duża kwota, jednak przy zakupie kilku ton opału na cały sezon będzie odczuwalna dla domowego budżetu. Podatek akcyzowy od wyrobów węglowych – jest szansa na uproszczenie przepisów Zarówno klienci składów opału jak i ich właściciele uważają, że wymóg udostępniania numeru PESEL i numeru dowodu osobistego jest dużą przesadą. Już w 2019 roku Izba Gospodarcza Sprzedawców Polskiego Węgla wystosowała pismo do Ministra Finansów. Opisała w nim protesty, jakie zgłaszają klienci, którzy coraz częściej decydują się na opłacenie akcyzy po to, by uniknąć podawania danych. Sprawę „pogorszyło” wprowadzenie RODO, przez które konsumenci zaczęli jeszcze ostrożniej podchodzić do tego co i komu udostępniają. Coraz częściej pojawiają się też protesty wobec obowiązku składania własnoręcznego podpisu na oświadczeniu, potwierdzającym zakup węgla na swoje potrzeby. To zbędne ryzyko, zwłaszcza dla osób starszych, które w czasie pandemii są szczególnie narażone na skutki zakażenia koronawirusem. Poza kwestiami bezpieczeństwa i komfortu dochodzą jeszcze aspekty finansowe. Niemal 30% gospodarstw domowych w Polsce wykorzystuje węgiel do ogrzewania. Pojawiają się więc pytania o to, czy sprzedaż węgla bez akcyzy ma sens i czy koszty obsługi nie przełożą się na wzrost cen węgla. Gromadzenie tak dużej ilości danych podczas zakupu opału wzbudziło również wątpliwości prezesa Urzędu Ochrony Danych Osobowych. Zwrócił się z prośbą od resortu finansów o wprowadzenie zmian i usunięcie obowiązku podawania numeru dowodu osobistego i numeru PESEL. Prace mające na celu zmianę niekorzystnych zapisów trwają. Zarówno sprzedawcy jak i ich klienci oczekują na pozytywny finał. Póki co, zgodnie z wciąż obowiązującymi przepisami, kupując opał węglowy bez akcyzy, trzeba dane podać. To argument przemawiający za tym, by wybierać zaufanych i dobrych sprzedawców, którzy będą zarządzać danymi klientów w odpowiedni sposób. Obowiązki administratora danych osobowych Każdy podmiot, który przetwarza dane osobowe do realizacji własnych celów, jest ich administratorem. Przepisy RODO wyznaczyły szczegółowo jego obowiązki, na czele z koniecznością zapewnienia bezpieczeństwa przetwarzanym przez niego danym, np. poprzez zastosowanie odpowiednich procedur, rozwiązań technicznych czy przeszkolenie personelu. W Grzeje mnie to administrator serwisu dba o bezpieczeństwo danych każdego z naszych klientów. Dajemy gwarancję, że są one zbierane i przetwarzane wyłącznie w ramach obowiązku nałożonego na nas przez ustawodawcę. Szczegółowe informacje na temat tego, kto jest administratorem danych osobowych, w jaki sposób są przechowywane i komu udostępniane znajdziecie w zakładce Polityka prywatności na naszej stronie. Pamiętaj, gdy kupujesz opał z pewnego źródła, Twoje dane pozostają bezpieczne!
Przykładowe stwierdzenia: Nie zbieramy danych wrażliwych takich jak Twój PESEL. Chronimy Twoje wrażliwe dane, takie jak imię, nazwisko, PESEL. Nie podam numeru PESEL, bo to dana wrażliwa. Może zacznę od tego, skąd biorą się takie stwierdzenia. PESEL jest indywidualnym i niepowtarzalnym identyfikatorem każdego obywatela.
W ponad dwuletniej praktyce stosowania RODO ujawniają się ciągłe wątpliwości co do zakresu danych osobowych, do których przetwarzania uprawniony jest administrator. Oczywiście, niektóre procesy przetwarzania danych osobowych i zakres tych danych są określone przez ustawodawcę, np. w odniesieniu do danych osobowych kandydatów oraz pracowników w ramach kodeksu pracy. Jednakże, w dużej części przypadków, to administrator samodzielnie jest zobowiązany do określenia zakresu danych osobowych, które będzie przetwarzał w konkretnych procesach. Jak określić zakres danych osobowych? Określając zakres danych osobowych, które mają być przetwarzane, należy przede wszystkim mieć na uwadze zasadę minimalizacji wynikającą z RODO. W myśl tej zasady, zgodnie z art. 5 ust. 1 lit. c) RODO, dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Postępowanie zgodnie z tą zasadą musi oznaczać, że administrator dostosuje zakres danych osobowych do celu ich przetwarzania. Sprzeczne z zasadą minimalizacji będzie zatem przetwarzanie możliwie szerokiego zakresu danych osobowych w danym procesie, np. imienia, nazwiska, adresu e-mail oraz adresu zamieszkania w przypadku korzystania z newslettera, ponieważ w tym procesie za wystarczające należy uznać pozyskiwanie adresu e-mail. Polecamy: Pakiet Kadrowy: Wynagrodzenia 2020 + Czas pracy 2020 + Zatrudnianie i zwalnianie pracowników + Uprawnienia rodziców w pracy Niestety, także i dzisiaj cześć administratorów stosuje zakres danych osobowych niedostosowany do specyfiki konkretnego procesu, opierając się raczej na swoich przyzwyczajeniach, wcześniejszych doświadczeniach i praktykach, często jeszcze sprzed zmiany przepisów, niż na analizie przepisów lub zakresu danych potrzebnych w konkretnym procesie. Przykładem może być nadal występujące przetwarzanie serii i numeru dowodu osobistego w stosunku pracy poprzez gromadzenie tych danych osobowych (a często także i innych z dowodu osobistego w przypadku wykonywania kserokopii tego dokumentu) w teczce akt osobowych pracownika. Dlaczego jednoczesne przetwarzanie danych osobowych z dowodu osobistego jest kwestionowane? Numer PESEL oraz seria i numer dowodu osobistego to przykłady identyfikatorów, których przetwarzanie jest dopuszczalne, z reguły w przypadkach określonych przepisami prawa. Podstawowym celem przetwarzania tych danych osobowych jest umożliwienie identyfikacji osoby fizycznej, w tym celu administratorzy często pozyskują numer PESEL (do celu identyfikacji czy ewentualnego dochodzenia roszczeń). Nie oznacza to jednak, że administrator może przetwarzać dowolną liczbą identyfikatorów osoby fizycznej. Przede wszystkim, w zdecydowanej liczbie przypadków pozyskiwanie więcej niż jednego identyfikatora (a więc jednocześnie numeru PESEL oraz serii i numeru dowodu osobistego) będzie sprzeczne z zasadą minimalizacji. Prawidłowe stosowanie tej zasady oznacza, że administrator nie zbiera niepotrzebnych mu w danym procesie przetwarzania danych osobowych, a tym samym nie naraża się na zarzut pozyskiwania danych nadmiarowych. Po drugie, pozyskiwanie wszystkich danych osobowych zawartych w dowodzie osobistym nie ma z reguły oparcia w przepisie prawa. Zatem pozyskanie przez administratora numeru PESEL (np. do celu identyfikacji strony umowy) powinno wykluczyć pozyskiwanie serii i numeru dowodu osobistego, które miałoby służyć osiągnięciu tego samego celu. Ponadto, przetwarzanie serii i numeru dowodu osobistego jest dopuszczalne w przypadkach wyraźnie wskazanych w przepisach prawa, np. w przypadku ich zbierania przez kuratorów, banki czy, w przypadku niektórych podmiotów, pozyskiwania serii i numeru dowodu osobistego, jeżeli podmiot danych nie posiada numeru PESEL. Kiedy przetwarzanie serii i numeru dowodu nie jest dopuszczalne? Pozyskiwanie serii i numeru dokumentu tożsamości, np. dowodu osobistego nie jest prawidłowe: w przypadku wypożyczania sprzętu wodnego, rowerów, nart etc. (dodatkowym ryzykiem w tym przypadku jest pozostawienie dowodu osobistego w swoisty „zastaw”, do momentu zwrotu sprzętu; w takim przypadku Urząd Ochrony Danych Osobowych rekomenduje spisywanie danych z dowodu osobistego, tj. imienia, nazwiska i numeru PESEL oraz zniszczenie notatki z tymi danymi po oddaniu sprzętu[1]), w przypadku gromadzenia dokumentacji pracowniczej, np. na kwestionariuszach osobowych dla pracowników (seria i numer dowodu osobistego nie mieści się w zakresie danych określonych przez ustawodawcę w kodeksie pracy), w przypadku zawierania umów cywilnoprawnych, obok innych danych identyfikujących osobę fizyczną (np. adres zamieszkania, numer PESEL), w przypadku zawierania umów cywilnoprawnych, jako identyfikator pozyskiwany dla celów ewentualnego dochodzenia roszczeń (wystarczający do tego celu jest numer PESEL), do weryfikacji tożsamości osoby fizycznej, w przypadku żądania np. dostępu do jej danych osobowych przetwarzanych przez administratora (weryfikując tożsamość tej osoby, administrator nie może pozyskiwać nowych danych osobowych). Należy też mieć na uwadze, że w wielu przepisach prawa, przewidujących ewentualne pozyskiwanie danych osobowych w postaci serii i numeru dowodu osobistego, ustawodawca nakazuje w pierwszej kolejności pozyskać numer PESEL, a dopiero w jego braku – właśnie serię i numer dowodu osobistego. Poza tym, administrator musi liczyć się także i z tym, że osoba fizyczna, której dane przetwarza, postanowi skorzystać z jednego z przysługujących jej na gruncie RODO praw, i np. zażąda usunięcia serii i dowodu numeru osobistego. W takim przypadku administratorowi będzie trudno wykazać, że te dane osobowe są niezbędne w konkretnym procesie przetwarzania, jeżeli nie będzie mógł uzasadnić ich pozyskania poprzez wskazanie właściwej podstawy prawnej jego przetwarzania. Zatrudnianie i zwalnianie pracowników. Obowiązki pracodawców 2022
RE: Czy samo imię i nazwisko to już dane osobowe? Dokładniej rzecz biorąc - pojęcie to oznacza wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. A zatem - w zupełnie wyjątkowych sytuacjach - już nawet samo imię i nazwisko będzie można utożsamiać z tym pojęciem.
Nasz Czytelnik na infolinii Monedo dowiedział się, że PESEL może być przesyłany w zwykłym mailu, gdyż “nie należy do danych wrażliwych”. Nasz Czytelnik jest oburzony i ma sporo racji, ale czy na pewno pani z infolinii popełniła błąd zaliczając PESEL do danych niewrażliwych? Wyjaśnijmy to sobie raz a dobrze. Czym są “dane wrażliwe”? Pojęcie “danych wrażliwych” wywołuje więcej emocji niż to konieczne. Co jakiś czas Czytelnicy wytykają nam błędy polegające na tym, że nadużywamy tego pojęcia. Obserwujemy też przepychanki pomiędzy czytelnikami, albo niezrozumienie pomiędzy pracownikami różnych firm a ich klientami. Dlaczego jest tak dużo problemu z pojęciem “dane wrażliwe”? Odpowiedź jest prosta. Termin “dane wrażliwe” jest używany przez różnych ludzi w różnych znaczeniach. To powoduje nieporozumienia. Prawnicy i specjaliści od ochrony danych osobowych pod pojęciem “dane wrażliwe” rozumieją dane wymienione w art. 27 Ustawy o ochronie danych osobowych. W tym znaczeniu “dane wrażliwe” oznaczają dane związane z pochodzeniem, wyznawaną religią, poglądami politycznymi, stanem zdrowia, nałogami czy wyrokami dotyczącymi danej osoby. Specjaliści od bezpieczeństwa i wielu “zwykłych ludzi” pod pojęciem “dane wrażliwe” rozumie takie dane, które generalnie należy chronić aby uniknąć różnych problemów. Tak rozumiane pojęcie “dane wrażliwe” jest często tłumaczeniem z języka angielskiego (sensitive data, sensitive information), a w różnych krajach anglojęzycznych może mieć ono nieco inne znaczenie. Ba! Pojęcie sensitive data może być różnie interpretowane np. w różnych stanach USA. Generalnie jednak będzie chodziło o takie informacje na temat danej osoby, których ujawnienie pozwala ukraść tożsamość lub przynajmniej znacznie obniżyć poziom czyjejś prywatności. PESEL-i trzeba pilnować! Czy numer PESEL jest daną wrażliwą? Ujawnia on datę urodzenia i płeć. Identyfikuje osobę jednoznacznie i może być używany przy autoryzacji różnych czynności, np. spięcia aplikacji mobilnej banku z rachunkiem klienta. To oznacza, że… PESEL nie jest daną wrażliwą w rozumieniu art. 27 ustawy o ochronie danych gdyż nie ujawnia on tak intymnych spraw jak pochodzenie, poglądy czy stan zdrowia; PESEL jest daną wrażliwą w rozumieniu większości ludzi, gdyż może on posłużyć do autoryzowania pewnych czynności (np. przydaje się przy wzięciu pożyczki albo dokonywaniu zmian na koncie bankowym). PESEL powinien być szczególnie chroniony (choć dobrze wiemy, że bardzo często tak nie jest — przykładem są studenci, wspólnicy spółek i urzędnicy z kwalifikowanym podpisem elektronicznym, ponieważ ich pesele można znaleźć we właściwościach podpisu). Z punktu widzenia bezpieczeństwa, niezbyt dobrym pomysłem jest proszenie klienta o przesyłanie tej informacji e-mailem. Ale jednocześnie stwierdzenie, iż PESEL nie jest “daną wrażliwą”, może być uznane za merytorycznie poprawne choć nadal powinno ono stanowić wytłumaczenia dla niskich standardów bezpieczeństwa. Ciekawostka Ustawa o ochronie danych nie zawiera słów “dane wrażliwe”. Wiedzieliście? Artykuł 27 dotyczy danych… ….ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Słowo “wrażliwe” nie występuje w ustawie ani razu (sprawdźcie sobie przez ctrl+F). Po prostu prawnicy “zawłaszczyli sobie” pojęcie “dane wrażliwe” w odniesieniu do czegoś, co właściwie powinniśmy nazywać “danymi o których mowa w art. 27 ustawy o ochronie danych” (i takie pojęcie znajduje się np. w rozporządzeniach do ustawy). Natomiast językowy nawyk prawników by dane z art. 27 nazywać “wrażliwymi”, pozwala niektórym osobom wygłaszać mądre zdania w rodzaju “PESEL nie jest daną wrażliwą”. Tak zwany “język prawniczy” nie jest jedynym słusznym językiem na ziemi. Nie zawsze jest on tak precyzyjny jak prawnicy przekonują, a czasem jest on nawet używany do maskowania niewygodnych rzeczy. Jeśli czytają nas teraz prawnicy-puryści to bardzo ich przepraszamy, ale musimy to napisać. PESEL jest daną wrażliwą, która powinna być chroniona, a pani z infolnii Monedo używała tylko pewnego prawniczego pojęcia aby zamaskować praktykę niezalecaną. PS. Wiemy, że oprócz prawników-purystów istnieją też inżynierowie-puryści (to jest “przewód” a nie “kabel”). Potrafią być równie irytujący. Przeczytaj także: Dane wrażliwe to informacje ujawniające m.in.: Pochodzenie etniczne. Patrząc na szczególny charakter danych wrażliwych, przetwarzanie ich jest w większości sytuacji zabronione. Dotyczy to zarówno przetwarzania w systemach, jak i w formie niezautomatyzowanej. Przepisy prawa przewidują jednak pewne wyjątki od tej zasady. Dane osobowe to w ostatnich czasach nośny temat. Rozszerza się zakres ich ochrony. Przetwarzanie danych dotyczy zarówno podmiotów publicznych, (takich jak organy państwowe i ich jednostki organizacyjne), podmiotów niepublicznych realizujących zadanie publiczne, jak i podmiotów prywatnych (spółki, przedsiębiorcy). Obecny i przyszły system prawny ochrony danych osobowych zakłada istnienie dwóch kategorii danych osobowych. Należą do nich zwykłe dane osobowe oraz szczególne kategorie danych, tzw. "dane wrażliwe" czy też "dane sensytywne. Podział ten wynika z potrzeby szerszej i bardziej intensywnej ochrony tej drugiej kategorii. Dane szczególnie chronione dotyczą sfery prywatności i intymności człowieka. Identyfikacja osoby fizycznej może odbyć się za pomocą najbardziej podstawowych danych: imienia, nazwiska, adresu lub zameldowania, numeru PESEL, NIP czy numeru telefonu, czy numeru IP. Wymienione rodzaje dane nazywane są danymi zwykłymi. Która dane są wrażliwe? Bardzo wielu przedsiębiorców prowadzących swoje interesy za pomocą internetu chce poinformować swoich klientów o nowościach i promocjach. W tym celu firma wykorzystuje między innymi newsletter, który jest formą marketingu. RODO dzieli dane osobowe na „zwykłe” i „szczególne”. Rozporządzenie wskazuje katalog danych szczególnych, których naruszenie może mieć poważniejsze konsekwencje niż w przypadku naruszenia zwykłych danych osobowych. Nowe unijne rozporządzenie (RODO) określa zamknięty katalog szczególnych kategorii danych, podlegających ochronie. Należą do nich: Dane ujawniające pochodzenie rasowe lub etniczne; Poglądy polityczne; Przekonania religijne lub filozoficzne; Przynależność wyznaniową, partyjną lub związkową; Dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym; Dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Co do zasady, przetwarzanie szczególnych kategorii danych jest zabronione. Art. 9 ust. 2 RODO wskazuje jednak wyjątki, w przypadku których przetwarzanie danych wrażliwe będzie legalne. Zgodnie z brzmieniem przepisu Administrator będzie mógł przetwarzać szczególne kategorie danych jeżeli: Osoba, której dane dotyczą, udzieli na to wyraźnej zgody; Przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą; Przetwarzanie jest niezbędne w celu ochrony zdrowia lub życia danej osoby, a ona sama nie jest w stanie wyrazić w tym zakresie oświadczenia; Przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą; Przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń, lub w ramach sprawowania wymiaru sprawiedliwości przez sądy; Przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym do celów badań naukowych lub historycznych lub statystycznych. “Podstawa prawna: art. 4 pkt 13 -15, art. 9 ust. 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ( UE L 119, s. 1) – Ogólne Rozporządzenie o Ochronie Danych Osobowych” .
  • rvm31sapnj.pages.dev/9
  • rvm31sapnj.pages.dev/38
  • rvm31sapnj.pages.dev/157
  • rvm31sapnj.pages.dev/183
  • rvm31sapnj.pages.dev/182
  • rvm31sapnj.pages.dev/359
  • rvm31sapnj.pages.dev/323
  • rvm31sapnj.pages.dev/375
  • rvm31sapnj.pages.dev/198

    • czy pesel to dane wrażliwe