Dane osobowe – co to oznacza?
Ustalenie, czy określone informacje stanowią dane osobowe ma kluczowe znaczenie dla prawidłowego stosowania RODO. Rozporządzenie definiuje dane osobowe dość szeroko, co powoduje, że wskazanie, czy pewne informacje mogą zostać uznane za dane osobowe, może być problematyczne. Warto przyjrzeć się zatem bliżej pojęciu danych osobowych oraz poznać główne ich kategorie.
Identyfikacja danych osobowych RODO
Zgodnie z definicją przyjętą w art. 4 pkt 1 RODO, dane osobowe to dane o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować (ustalić jej tożsamość), w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Odnosząc się do powyższej definicji danych osobowych należy zwrócić uwagę na kilka kwestii. Po pierwsze, RODO nie zawiera zamkniętego katalogu danych osobowych. Identyfikatory zawarte w powołanym przepisie art. 4 pkt 1 RODO, zostały wymienione jedynie przykładowo. Zatem warto pamiętać, że definicję danych osobowych będzie spełniać każda informacja o osobie, pozwalająca na jej identyfikację. Osobę uznaje się za zidentyfikowaną, jeśli w pewnej grupie można ją odróżnić od wszystkich pozostałych członków tej grupy. Identyfikacja następuje bezpośrednio lub pośrednio.
Bezpośrednia identyfikacja oznacza, że ustalenie tożsamości określonej osoby następuje natychmiastowo na podstawie jednej informacji (jednostkowych danych).
-
Przykład: Bezpośrednia identyfikacja jest możliwa w oparciu o rzadkie imiona i nazwiska, czy rozpoznawalne pseudonimy. Z wykorzystaniem istniejących baz informacji (jak CEIDG, baza PESEL) dokonuje się identyfikacji również przy użyciu niepowtarzalnych i właściwych tylko dla jednej osoby numerów, jak PESEL, NIP czy REGON.
Ustalenie tożsamości określonej osoby odbywa się jednak często nie za pomocą jednej informacji, ale ich zespołu informacji oraz przy pewnym nakładzie czasu i działań, co stanowi identyfikację pośrednią. Pospolite, powtarzające się w społeczeństwie imiona i nazwiska często nie pozwalają na jednoznaczne ustalenie tożsamości. Natomiast dane te w połączeniu z innymi informacjami, w tym o miejscu zamieszkania, zawodzie, czy wieku, pozwalają najpierw na zawężenie ustaleń do pewnego obszaru czy grupy, a następnie na zidentyfikowanie konkretnej osoby. Warto również pamiętać, że pospolite dane lub informacje o charakterze powszechnym nie przestają być danymi osobowymi tylko dlatego, że powtarzają się u wielu osób. Warunkiem jest, aby składały się na tożsamość danej osoby i umożliwiały jej identyfikację (pojedynczo lub wraz z zespołem cech). Najpopularniejsze w Polsce nazwiska – „Nowak” i „Kowalski” w dalszym ciągu spełniają zatem definicję danych osobowych, o ile są używane w celu oznaczenia konkretnej osoby.
Ocena ryzyka w RODO
Informacji o osobie nie uznaje się za umożliwiające identyfikację (a zatem spełniające definicję danych osobowych), jeśli wymagałoby to nadmiernych kosztów, działań i czasu. Dlatego do stwierdzenia, czy osoba fizyczna jest możliwa do zidentyfikowania na podstawie konkretnych danych, należy wziąć pod uwagę wszelkie rozsądne sposoby ustalania tożsamości, jak również uwzględnić dostępną w tym momencie technikę oraz aktualny postęp technologiczny. W związku z tym ocena, czy pewna informacja stanowi przykład danych osobowych RODO może być zmienna w czasie oraz różna, w zależności od tego, kto dokonuje analizy.
-
Przykład: pozostawione na szklance odciski palców mogą pozwolić na identyfikację służbom dysponującym odpowiednią bazą danych, w której figuruje osoba, do której te ślady należą. Zatem dla tych podmiotów linie papilarne będą wypełniały definicję danych osobowych. Dla podmiotów nieposiadających tego rodzaju narzędzi, zidentyfikowanie osoby wyłącznie na podstawie odcisków palców nie będzie możliwe. Tym samym dla tych ostatnich pozostawione w powyższy sposób ślady biometryczne nie zostaną uznane za dane osobowe i nie będą podlegały ochronie na podstawie RODO.
Adres IP jako dane osobowe
Za sprawą postępu technologicznego, informacje, które dotychczas nie istniały lub nie pozwalały na identyfikację, obecnie samodzielnie lub w połączeniu z innymi danymi, umożliwiają ustalenie tożsamości osoby, do której należą.
-
Przykład: identyfikatory internetowe, takie jak adresy IP, czy identyfikatory plików cookie.
W przypadkach, gdy adres IP jest na stałe lub na dłuższy czas przypisany do konkretnego urządzenia, które z kolei dedykowane jest konkretnemu użytkownikowi, uznaje się, że adres IP stanowi dane osobowe. Ponadto ustalenie tożsamości użytkownika jest możliwe nawet w tych sytuacjach, gdy urządzenie nie jest trwale przypisane określonej osobie, a to dzięki zestawieniu danych urządzenia oraz innych informacji (z monitoringu, dotyczących płatności przy użyciu karty płatniczej lub prowadzonej przez tę osobę aktywności w sieci). Zatem do czasu, gdy administrator nie uzyska pewności, że nie jest w stanie połączyć adresu IP z informacjami identyfikującymi konkretną osobę, powinien traktować adres IP, jakby był on danymi osobowymi i w taki sposób je chronić.
RODO jest pierwszym aktem prawnym w zakresie ochrony danych osobowych, który wprost odnosi się do tej kwestii. Zgodnie z motywem 30 Rozporządzenia, osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.
Przykłady danych osobowych
Danymi osobowymi są zatem takie informacje pozwalające na ustalenie tożsamości, jak numer telefonu, adres e-mail, numer rachunku bankowego, seria i numer dowodu osobistego, a także fotografia zawierająca wizerunek danej osoby lub przynajmniej wyróżniający się szczegół wyglądu (w tym charakterystyczny tatuaż czy blizna). Dane osobowe RODO dotyczą osoby i muszą być z nią merytorycznie związane. Związek ten może być jednak pośredni i dotyczyć np. jej majątku, sytuacji ekonomicznej, kulturowej lub społecznej, o ile te czynniki pozwalają na ustalenie tożsamości.
Dane osobowe osób prawnych
Za dane osobowe RODO można uznać informacje o osobach fizycznych, niezależnie od faktu prowadzenia przez nie działalności gospodarczej i wpisu do CEIDG. Definicji danych osobowych nie spełniają natomiast dane osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej. Niemniej należy pamiętać, że w skład takich podmiotów wchodzą zazwyczaj osoby fizyczne. Tym samym dane osób prawnych mogą być powiązane z danymi osób fizycznych, np. gdy w skład firmy osoby prawnej wchodzi nazwisko wspólnika lub w zakresie dotyczącym członków organów (zarząd, rada nadzorcza). Należy pamiętać, że mimo częściowej jawności danych przedsiębiorców wpisanych do CEIDG oraz osób fizycznych wschodzących w skład spółek wpisanych do KRSu, informacje te podlegają ochronie na podstawie przepisów RODO.
Dla uznania pewnej informacji za dane osobowe nie ma zasadniczo znaczenia, że informacja ta jest nieprawdziwa, czy zawiera błędy. Skoro RODO przyznaje osobie, której dane dotyczą prawo do żądania sprostowania danych, zaś administratora zobowiązuje do dbałości o prawdziwość i aktualność przetwarzanych danych, uznaje się, że danymi osobowymi RODO są również informacje nieprawdziwe (np. błędnie zanotowane nazwisko, czy nieaktualny numer telefonu).
Dane osobowe osób zmarłych
Danymi osobowymi nie są natomiast, a zatem nie podlegają ochronie RODO dane anonimowe, na podstawie których nie jest możliwa identyfikacja. RODO nie dotyczy również danych osób zmarłych. Mogą one jednak w sposób pośredni stanowić informację o powiązanych ze zmarłymi osobach żyjących (np. w zakresie stanu cywilnego lub występujących w rodzinie schorzeń).
Dane osobowe dziecka nienarodzonego
Wątpliwości interpretacyjne budzi natomiast kwestia kwalifikacji danych nasciturusa, czyli dziecka poczętego, ale nienarodzonego. RODO nie zawiera przepisów regulujących tę kwestię. Przyjmuje się, tak jak miało to miejsce na gruncie dotychczas obowiązujących przepisów, że dziecko może być podmiotem danych osobowych dopiero od momentu narodzin. Do tej chwili dane nasciturusa mogą być uznane za dane jego matki lub ojca.
Dane osobowe zwykłe i dane osobowe wrażliwe
Spośród istniejących rodzajów danych osobowych można wyróżnić kategorię danych o szczególnym znaczeniu i wadze. Dane te są tradycyjnie nazywane danymi osobowymi wrażliwymi lub sensytywnymi. RODO określa je mianem szczególnej kategorii danych i w art. 9 ust. 1 wymienia ich zamknięty katalog. Są to informacje ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, jak również przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej dane genetyczne i biometryczne oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby. Przetwarzanie tych danych może następować jedynie w określonych przypadkach wskazanych w RODO [o najważniejszych podstawach przetwarzania danych osobowych, w tym danych wrażliwych pisaliśmy w artykule „Przetwarzanie danych osobowych – czy zgoda jest zawsze potrzebna?” – link wewnętrzny]. Podlega ono większym rygorom i wymaga wyższego poziomu zabezpieczeń. Pozostałe niewymienione w tym katalogu dane należą do danych zwykłych.
Komentarz Capital Legal
Pojęcie danych osobowych RODO, mimo powszechności zastosowania, wciąż jeszcze budzi praktyczne wątpliwości i daje pole do interpretacji. Bez znajomości ich definicji nie jest możliwe wypełnianie szczegółowych obowiązków określonych w RODO. Warto zatem przyswoić sobie to pojęcie oraz kryteria pozwalające na odróżnienie danych osobowych od innych informacji.
Potrzebujesz pomocy prawnej z zakresu RODO ?
Zapraszamy do kontaktu z naszą Kancelarią Prawną Capital Legal. Jedną z naszych specjalizacji jest ochrona danych osobowych (RODO). Przedstaw nam swój problem prawny, a my poszukamy rozwiązania.
Kategorie: RODO | Tagi: dane osobowe, RODO, dane osobowe RODO | Komentarze: Nic