W ponad dwuletniej praktyce stosowania RODO ujawniają się ciągłe wątpliwości co do zakresu danych osobowych, do których przetwarzania uprawniony jest administrator. Oczywiście, niektóre procesy przetwarzania danych osobowych i zakres tych danych są określone przez ustawodawcę, np. w odniesieniu do danych osobowych kandydatów oraz pracowników w ramach kodeksu pracy. Jednakże, w dużej części przypadków, to administrator samodzielnie jest zobowiązany do określenia zakresu danych osobowych, które będzie przetwarzał w konkretnych procesach. Jak określić zakres danych osobowych? Określając zakres danych osobowych, które mają być przetwarzane, należy przede wszystkim mieć na uwadze zasadę minimalizacji wynikającą z RODO. W myśl tej zasady, zgodnie z art. 5 ust. 1 lit. c) RODO, dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Postępowanie zgodnie z tą zasadą musi oznaczać, że administrator dostosuje zakres danych osobowych do celu ich przetwarzania. Sprzeczne z zasadą minimalizacji będzie zatem przetwarzanie możliwie szerokiego zakresu danych osobowych w danym procesie, np. imienia, nazwiska, adresu e-mail oraz adresu zamieszkania w przypadku korzystania z newslettera, ponieważ w tym procesie za wystarczające należy uznać pozyskiwanie adresu e-mail. Polecamy: Pakiet Kadrowy: Wynagrodzenia 2020 + Czas pracy 2020 + Zatrudnianie i zwalnianie pracowników + Uprawnienia rodziców w pracy Niestety, także i dzisiaj cześć administratorów stosuje zakres danych osobowych niedostosowany do specyfiki konkretnego procesu, opierając się raczej na swoich przyzwyczajeniach, wcześniejszych doświadczeniach i praktykach, często jeszcze sprzed zmiany przepisów, niż na analizie przepisów lub zakresu danych potrzebnych w konkretnym procesie. Przykładem może być nadal występujące przetwarzanie serii i numeru dowodu osobistego w stosunku pracy poprzez gromadzenie tych danych osobowych (a często także i innych z dowodu osobistego w przypadku wykonywania kserokopii tego dokumentu) w teczce akt osobowych pracownika. Dlaczego jednoczesne przetwarzanie danych osobowych z dowodu osobistego jest kwestionowane? Numer PESEL oraz seria i numer dowodu osobistego to przykłady identyfikatorów, których przetwarzanie jest dopuszczalne, z reguły w przypadkach określonych przepisami prawa. Podstawowym celem przetwarzania tych danych osobowych jest umożliwienie identyfikacji osoby fizycznej, w tym celu administratorzy często pozyskują numer PESEL (do celu identyfikacji czy ewentualnego dochodzenia roszczeń). Nie oznacza to jednak, że administrator może przetwarzać dowolną liczbą identyfikatorów osoby fizycznej. Przede wszystkim, w zdecydowanej liczbie przypadków pozyskiwanie więcej niż jednego identyfikatora (a więc jednocześnie numeru PESEL oraz serii i numeru dowodu osobistego) będzie sprzeczne z zasadą minimalizacji. Prawidłowe stosowanie tej zasady oznacza, że administrator nie zbiera niepotrzebnych mu w danym procesie przetwarzania danych osobowych, a tym samym nie naraża się na zarzut pozyskiwania danych nadmiarowych. Po drugie, pozyskiwanie wszystkich danych osobowych zawartych w dowodzie osobistym nie ma z reguły oparcia w przepisie prawa. Zatem pozyskanie przez administratora numeru PESEL (np. do celu identyfikacji strony umowy) powinno wykluczyć pozyskiwanie serii i numeru dowodu osobistego, które miałoby służyć osiągnięciu tego samego celu. Ponadto, przetwarzanie serii i numeru dowodu osobistego jest dopuszczalne w przypadkach wyraźnie wskazanych w przepisach prawa, np. w przypadku ich zbierania przez kuratorów, banki czy, w przypadku niektórych podmiotów, pozyskiwania serii i numeru dowodu osobistego, jeżeli podmiot danych nie posiada numeru PESEL. Kiedy przetwarzanie serii i numeru dowodu nie jest dopuszczalne? Pozyskiwanie serii i numeru dokumentu tożsamości, np. dowodu osobistego nie jest prawidłowe: w przypadku wypożyczania sprzętu wodnego, rowerów, nart etc. (dodatkowym ryzykiem w tym przypadku jest pozostawienie dowodu osobistego w swoisty „zastaw”, do momentu zwrotu sprzętu; w takim przypadku Urząd Ochrony Danych Osobowych rekomenduje spisywanie danych z dowodu osobistego, tj. imienia, nazwiska i numeru PESEL oraz zniszczenie notatki z tymi danymi po oddaniu sprzętu[1]), w przypadku gromadzenia dokumentacji pracowniczej, np. na kwestionariuszach osobowych dla pracowników (seria i numer dowodu osobistego nie mieści się w zakresie danych określonych przez ustawodawcę w kodeksie pracy), w przypadku zawierania umów cywilnoprawnych, obok innych danych identyfikujących osobę fizyczną (np. adres zamieszkania, numer PESEL), w przypadku zawierania umów cywilnoprawnych, jako identyfikator pozyskiwany dla celów ewentualnego dochodzenia roszczeń (wystarczający do tego celu jest numer PESEL), do weryfikacji tożsamości osoby fizycznej, w przypadku żądania np. dostępu do jej danych osobowych przetwarzanych przez administratora (weryfikując tożsamość tej osoby, administrator nie może pozyskiwać nowych danych osobowych). Należy też mieć na uwadze, że w wielu przepisach prawa, przewidujących ewentualne pozyskiwanie danych osobowych w postaci serii i numeru dowodu osobistego, ustawodawca nakazuje w pierwszej kolejności pozyskać numer PESEL, a dopiero w jego braku – właśnie serię i numer dowodu osobistego. Poza tym, administrator musi liczyć się także i z tym, że osoba fizyczna, której dane przetwarza, postanowi skorzystać z jednego z przysługujących jej na gruncie RODO praw, i np. zażąda usunięcia serii i dowodu numeru osobistego. W takim przypadku administratorowi będzie trudno wykazać, że te dane osobowe są niezbędne w konkretnym procesie przetwarzania, jeżeli nie będzie mógł uzasadnić ich pozyskania poprzez wskazanie właściwej podstawy prawnej jego przetwarzania. Zatrudnianie i zwalnianie pracowników. Obowiązki pracodawców 2022

Treść zapytania godz. 21:39 Sosnowiec, Śląskie Wyjaśnienie sytuacji Mam poważne obawy przed udostępnianiem danych wrażliwych dla GUS-u, w kontekście wycieku danych z ABW , czy KSSiP. Nie mam żadnych gwarancji ze również z GUS-u nie wyciekną dane umożliwiające różnym hochsztaplerom wykorzystanie tych danych dla różnych oszustw. Jak identyfikowano obywateli podczas spisów gdy nie funkcjonowały numery pesel? Chcę dodać odpowiedź! Jeśli jesteś prawnikiem Zaloguj się by odpowiedzieć temu klientowi Jeśli Ty zadałeś to pytanie, możesz kontynuować kontakt z tym prawnikiem poprzez e-mail, który od nas otrzymałeś. Dodaj odpowiedź

Kiedy nadchodzi moment, gdy musimy udostępnić nasze dane osobowe, rodzi się wiele pytań dotyczących naszego bezpieczeństwa. Co jest bezpieczniejsze – podanie naszego unikalnego numeru PESEL czy też numeru dowodu osobistego? To zagadnienie wywołuje dyskusję wśród ekspertów, stawiając nas w trudnej sytuacji.

Dane wrażliwe - czym są i kiedy można z nich korzystać 29 października 2019, 14:04. 2 min czytania Dane wrażliwe to szczególny typ danych osobowych. Wszystkie podmioty, które zbierają i przetwarzają dane osobowe - w tym firmy - muszą stosować się do przepisów dotyczących tego zagadnienia. W przeciwieństwie do zwykłych danych, które pozwalają na identyfikację konkretnych osób, te wrażliwe dotyczą strefy prywatności, a nawet intymności człowieka i wymagają szczególnej ochrony. Istnieją jednak sytuacje, w których i z takich danych można skorzystać. Dowiedz się dokładniej, które dane uważa się za wrażliwe, i w jakich sytuacjach możesz je przetwarzać. Czym są dane wrażliwe, jakie są ich rodzaje i jakie dokumenty regulują korzystanie z tego typu danych - dowiedz się tego, aby nie popełnić kosztownego błędu | Foto: BenAkiba / Getty Images Dane wrażliwe są szczególnym typem danych osobowych, które przetwarzane są między innymi w firmach Na ogół przetwarzanie wrażliwych danych osobowych jest zakazane, lecz istnieją przesłanki umożliwiające ich wykorzystanie Numer PESEL nie jest daną wrażliwą Dane wrażliwe, nazywane inaczej danymi sensytywnymi, są szczególnym typem danych osobowych i dotyczą sfery prywatnej konkretnych osób. Ich gromadzenie i przetwarzanie obwarowano większymi rygorami niż korzystanie z innych typów danych. Dane wrażliwe muszą być chronione przed nieuprawnionym dostępem. Chroni się w ten sposób prywatność i bezpieczeństwo osoby czy organizacji, których owe dane dotyczą - na przykład pracowników i kontrahentów. W przypadku braku rygorystycznej ochrony poufne informacje mogą wyciec, zostać wykorzystane do kradzieży tożsamości czy w celu nielegalnego handlu danymi, co na ogół niekorzystnie odbija się na wizerunku firmy czy instytucji. RODO a ochrona danych wrażliwych W Polsce dane wrażliwe chroni się na mocy RODO, czyli Ogólnego Rozporządzenia o Ochronie Danych Osobowych (regulacje zawarte w tym dokumencie dotyczą przetwarzania danych osobowych na terenie całej Unii Europejskiej), jak również Ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (czyli regulacji krajowych). Jej przepisy dotyczą wszystkich firm i instytucji, które gromadzą i przetwarzają dane osób fizycznych. Przedsiębiorstwa powinny więc zwrócić szczególną uwagę na to jakie dane udostępniają i komu je udostępniają. Firmie, która nie zastosuje się do wymogów RODO grożą kary, dlatego warto poznać wszystkie rodzaje danych wrażliwych, których upubliczniania należy się wystrzegać. Dane wrażliwe - rodzaje Istnieje wiele rodzajów danych wrażliwych. Zgodnie z zapisami znajdującymi się w RODO za dane wrażliwe uważane są te dotyczące: pochodzenia rasowego lub etnicznego danej osoby (przykładowo tego, czy pracownik przynależy do cygańskiej mniejszości etnicznej) ujawniające przekonania religijne lub światopoglądowe (na przykład tego, czy pracownik jest wyznawcą islamu lub buddyzmu) uwidaczniające poglądy polityczne (na przykład był związany z konserwatywnymi ugrupowaniami), obnażające przynależność do związków zawodowych, dane biometryczne (przede wszystkim odciski palców, odręczny podpis, cechy siatkówki oka), dane genetyczne (przede wszystkim o kodzie DNA i RNA) i te dotyczące zdrowia (na przykład o jego stanie, przebytych chorobach, a nawet dotyczące trzeźwości pracownika), dane dotyczące seksualności w tym orientacji seksualnej. Uwaga! Numer PESEL (wbrew błędnym przekonaniom wielu ludzi) nie jest daną wrażliwą. Fałszywe są więc sformułowania typu "nie zbieramy danych wrażliwych takich jak twój PESEL" czy "nie podawaj numeru PESEL, bo to dana wrażliwa". Czytaj także w BUSINESS INSIDER Co grozi za ujawnianie danych wrażliwych W Polsce zakres kar związanych z bezprawnym korzystaniem z tego typu danych reguluje ustawa o ochronie danych osobowych. Do przepisów muszą dostosować się wszystkie podmioty, które zbierają i przetwarzają dane osobowe. W ustawie nie ma sformułowania "dane wrażliwe". Jednak ustawodawca wymienił konkretne rodzaje danych, pokrywających się z tymi wymienionymi w RODO, których przetwarzanie jest objęte wyższymi karami. Zgodnie z zapisami ustawy osoby, które nie mają praw do: ujawniania pochodzenia rasowego, etnicznego, poglądów politycznych, przekonań, przynależności do związków zawodowych, przetwarzania danych genetycznych, danych biometrycznych w celu zidentyfikowania danej osoby, jak również danych dotyczących zdrowia i seksualności danej osoby (w tym jej orientacji), lecz robią to, podlegają grzywnie, karze ograniczenia wolności lub mogą zostać pozbawione wolności na maksymalnie 3 lata. Ponadto Ogólne Rozporządzenie o Ochronie Danych Osobowych mówi, że organ nadzorczy (w Polsce jest nim Urząd Ochrony Danych Osobowych) ma możliwość nałożenia kar pieniężnych w wysokości do 10 mln euro lub do 2% rocznego obrotu przedsiębiorstwa za niewłaściwe zabezpieczenie danych osobowych i do 20 mln euro lub do 4% rocznego obrotu firmy za przetwarzanie danych niezgodnie z zasadami RODO (np. zasadą minimalizacji danych czy ograniczenia celu). Firmy mają się czego wystrzegać, co jednak nie znaczy, że dane wrażliwe nie mogą nigdy ujrzeć światła dziennego. W niektórych sytuacjach zarówno firma, jak i instytucja, może sobie na to pozwolić. Kiedy dane wrażliwe mogą zostać ujawnione Na ogół przetwarzanie wrażliwych danych osobowych jest zakazane. Jednak istnieją przesłanki umożliwiające ich wykorzystanie. Z tego szczególnego rodzaju danych osobowych przedsiębiorca lub instytucja mogą korzystać wtedy, gdy: osoba, której dane wrażliwe mają zostać użyte, wyraziła wyraźną zgodę na ich przetwarzanie. (przykładowo, jeśli kandydat do pracy w trakcie procesu rekrutacji z własnej inicjatywy przekazał pracodawcy dane osobowe na temat stanu zdrowia i nie wyrazi odrębnej zgody na ich przetwarzanie, wtedy właściciel firmy powinien takie dane usunąć ze swoich zasobów. Jeżeli zaś kandydat podpisał odrębne oświadczenie z wyraźną zgodą na przetwarzanie wrażliwych danych, pracodawca może zachować informacje na temat jego zdrowia w bazie firmowej), są niezbędne przy wypełnianiu obowiązków administratora danych. Dotyczy to konkretnych obszarów, takich jak prawa pracy, zabezpieczenia społeczne i ochrona socjalna (w takim przypadku dane wrażliwe pozwalają na przykład na określenie stopnia inwalidztwa i przyznanie odpowiedniej renty), wykorzystanie tych danych jest niezbędne w celu dochodzenia praw przed sądem (na przykład ustalenie, czy doszło do szykanowania pracownika ze względu na jego wyznanie), dane wrażliwe zostały upublicznione przez osobę, której dotyczą (na przykład mówi o swoim wyznaniu, pochodzeniu etnicznym czy seksualności w wywiadach dla prasy lub sam upublicznia te publiczne dane w kanałach społecznościowych w żaden sposób nie ograniczając odbiorców, do których kierowany jest post czy zdjęcie). WARTO WIEDZIEĆ:

. 112 477 673 346 3 248 721 314

czy pesel to dane wrażliwe