Nowe przepisy Rozporządzenia zastąpią zarówno
dyrektywę regulującą materię ochrony osób
fizycznych w związku z przetwarzaniem danych
osobowych oraz swobodny przepływ takich danych,
jak i będącą obecnie w mocy polską ustawę o
ochronie danych osobowych. Wejście w życie
Rozporządzenia oznacza szereg zmian, które dotkną
przede
wszystkim
przedsiębiorców
przetwarzających dane osobowe osób fizycznych,
oferując towary lub usługi na terenie Unii
Europejskiej.
Jedną z najważniejszych nowości przewianych w
Rozporządzeniu jest rozszerzenie definicji „danych
osobowych”. Celem tego rozszerzenia było
dostosowanie pojęcia „danych osobowych” do
praktyki obrotu gospodarczego, a w szczególności
do przetwarzania danych w sieci. Pojęcie danych
osobowych zostało w Rozporządzeniu zdefiniowane
przez niewyczerpujące wyliczenie typów informacji
o
zidentyfikowanej
lub
możliwej
do
zidentyfikowania osobie fizycznej.
Zgodnie z art. 4 pkt 1 Rozporządzenia, „dane
osobowe” oznaczają informacje o zidentyfikowanej
lub możliwej do zidentyfikowania osobie fizycznej
(„osobie, której dane dotyczą”). Rozporządzenie
wskazuje, że możliwa do zidentyfikowania osoba
fizyczna to osoba, którą można bezpośrednio lub
pośrednio zidentyfikować, w szczególności na
podstawie identyfikatora takiego jak imię i
nazwisko,
numer
identyfikacyjny,
dane
o
lokalizacji, identyfikator internetowy lub jeden
bądź kilka szczególnych czynników określających
fizyczną, fizjologiczną, genetyczną, psychiczną,
ekonomiczną, kulturową lub społeczną tożsamość
osoby fizycznej. Przywołane w przepisie kategorie
danych to jedynie przykładowe wyliczenie, na co
wskazuje
zwrot
„w
szczególności”.
Samo
Rozporządzenie wskazuje, że typem danych
osobowych
może
być,
np.
identyfikator
internetowy, czyli adres IP, identyfikator plików
cookie lub inny identyfikator, generowany na
przykład przez etykiety RFID albowiem taki
identyfikator połączony z innym unikatowym
identyfikatorem może być wykorzystany do
stworzenia profilu lub zidentyfikowania danej
osoby.
Rozporządzenie wyróżnia niektóre typy danych
osobowych jako “szczególne kategorie danych osobowych”, których przetwarzanie, co do zasady,
jest zabronione. Zgodnie z art. 9 ust. 1
Rozporządzenia w skład szczególnych kategorii
danych osobowych wchodzą: dane ujawniające
pochodzenie rasowe lub etniczne, poglądy
polityczne,
przekonania
religijne
lub
światopoglądowe, przynależność do związków
zawodowych, a także dane dotyczące seksualności
lub orientacji seksualnej danej osoby, dane
genetyczne, dane biometryczne lub dane dotyczące
zdrowia. Przepisy Rozporządzenia, precyzując te
trzy ostatnie kategorie, wskazują np., że dane
genetyczne dotyczą odziedziczonych lub nabytych
cech genetycznych osoby fizycznej, które ujawniają
niepowtarzalne informacje o fizjologii lub zdrowiu
tej osoby. Dane biometryczne to dane dotyczące
cech fizycznych, fizjologicznych lub behawioralnych
osoby
fizycznej,
które
umożliwiają
lub
potwierdzają jednoznaczną identyfikację tej osoby,
takie
jak
wizerunek
twarzy
lub
dane
daktyloskopijne. Natomiast do danych dotyczących
zdrowia należy zaliczyć wszelkie dane o stanie
zdrowia osoby, której dane dotyczą, ujawniające
informacje o przeszłym, obecnym lub przyszłym
stanie fizycznego lub psychicznego zdrowia osoby,
której dane dotyczą, wyniki badań, numery
identyfikacyjne, historie chorób, informacje o
niepełnosprawności czy też informacje o leczeniu
jakichkolwiek chorób.
Należy uznać, że Rozporządzenie rozszerzyło
znaczenie pojęcia „danych osobowych” poprzez
dostosowanie go do wymogów obrotu e-commerce
oraz powiązanych z tym metod identyfikacji jego
uczestników, takich jak: numer IP, dane o
geolokalizacji lub dane biometryczne.
MILLER, CANFIELD,
W. BABICKI, A. CHEŁCHOWSKI I WSPÓLNICY SP.K.
ul. Batorego 28-32
81-366 Gdynia
Tel. +48 58 782-0050
Fax +48 58 782-0060
gdynia@pl.millercanfield.com
ul. Nowogrodzka 11
00-513 Warszawa
Tel. +48 22 447-4300
Fax +48 22 447-4301
warszawa@pl.millercanfield.com
ul. Skarbowców 23a
53-125 Wrocław
Tel. +48 71 780-3100
Fax +48 71 780-3101
wroclaw@pl.millercanfield.com
Zastrzeżenie: Niniejsza publikacja została przygotowana dla klientów i współpracowników kancelarii Miller Canfield. Ma ona na celu jedynie
przedstawienie streszczenia niektórych wydarzeń prawnych z wybranych dziedzin prawa. Z tego powodu informacje zawarte w niniejszej publikacji nie
powinny stanowić podstawy do podjęcia jakiejkolwiek decyzji dotyczącej określonego kierunku działania. Informacje te nie mogą też być traktowane
jako porada prawna ani nie zastępują szczegółowej opinii prawnej w konkretnej sprawie. W każdym przypadku należy skorzystać z usług doradców
prawnych w celu weryfikacji, czy odpowiednie przepisy prawa mają zastosowanie do określonej sytuacji.