ABC RODO: Dane osobowe cz. I

Choć ogólne rozporządzenie o ochronie danych (czyli sławne RODO) jest już stosowane od ponad trzech lat, w dalszym ciągu pojawia się wiele problemów związanych ze jego interpretacją, zwłaszcza wśród przedsiębiorców. Z mojego doświadczenia wynika, że wątpliwości często dotyczą tego, jak rozumieć podstawowe pojęcia – dane osobowe, przetwarzanie, udostępnienie danych, powierzenie przetwarzania danych osobowych. Trudno się jednak dziwić przedsiębiorcom, skoro decyzje organów nadzorczych czy orzeczenia sądów administracyjnych zamiast klarować sytuację, jeszcze bardziej ją gmatwają. Przykładem niech będzie choćby spór co do tego, czy numer rejestracyjny pojazdu stanowi dane osobowe.

Myślę, że warto więc zacząć od podstaw i wyjaśnić, co to właściwie są dane osobowe. Rozłóżmy ich definicję na części pierwsze.

Wszelkie informacje

Dane osobowe to WSZELKIE INFORMACJE. W definicji danych osobowych określonej przez RODO zostały wskazane przykładowe informacje stanowiące dane osobowe, nie jest to jednak katalog zamknięty. Należy więc pamiętać, że konieczne jest dokonywanie oceny, czy dane informacje pozwalają nam zidentyfikować osobę fizyczną, z uwzględnieniem kontekstu, w którym te dane się pojawiają.

Danymi osobowymi będą informacje dotyczące zarówno życia prywatnego, rodzinnego, jak i życia zawodowego, publicznego, społecznego, a także informacje dotyczące zarówno cech osobistych danej osoby, jak i jej sytuacji finansowej.

Żyjące osoby fizyczne

Dane osobowe w rozumieniu RODO to informacje dotyczące wyłącznie żyjących osób fizycznych. RODO w motywie 27 preambuły (czyli części wstępnej, która formalnie nie stanowi obowiązujących przepisów prawa, ale służy do ich interpretacji) wskazuje, że rozporządzenie nie ma zastosowania do danych osobowych osób zmarłych. Państwa członkowskie mogą jednak przyjąć przepisy o przetwarzaniu danych osobowych osób zmarłych. W Polsce nie zostały one jednak przyjęte, wobec tego ma zastosowanie powyższa zasada, że RODO dotyczy wyłącznie danych osób żyjących.

Osobami fizycznymi są zarówno jednostki nieprowadzące, jak i prowadzące działalność gospodarczą. Informacje dotyczące przedsiębiorców – osób fizycznych również podlegają ochronie na podstawie RODO. W tym kontekście warto wspomnieć, że po rozpoczęciu stosowania RODO pojawiły się wątpliwości, czy dane osób reprezentujących np. spółki (np. członków zarządu) podlegają ochronie jako dane osobowe. Niepewność w tym zakresie powstała w wyniku zamieszczenia w motywie 14 preambuły RODO następującego zdania: „Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej”. Powołując się na ten motyw pojawiały się wśród prawników interpretacje, że imię, nazwisko i służbowe dane kontaktowe osób reprezentujących przedsiębiorców nie wchodzą do zakresu danych osobowych. W związku ze stanowiskiem Prezesa Urzędu Ochrony Danych Osobowych aktualnie nie ma już jednak wątpliwości, że informacje dotyczące osób fizycznych reprezentujących przedsiębiorców stanowią dane osobowe.

Osoba zidentyfikowana lub możliwa do zidentyfikowania

Ten element jest istotą definicji danych osobowych. Zakwalifikujemy do nich bowiem tylko takie informacje, które odnoszą się do osoby fizycznej i pozwalają ją zidentyfikować. Osoba zidentyfikowana to osoba konkretna, np. nasz pracownik Jan Podgórski. Z kolei osoba możliwa do zidentyfikowania to taka, której nie możemy ustalić od razu na podstawie posiadanych informacji, lecz musimy podjąć jakiś wysiłek, aby konkretną osobę zidentyfikować. Przykładem takiej informacji, dzięki której możemy zidentyfikować daną osobę jest np. numer klienta. Bezpośrednio na jego podstawie nie ustalimy, że dotyczy on Ewy Nowakowskiej, ale jeśli wpiszemy ten numer w systemie informatycznym, gdzie znajdują się dane naszych klientów, to ustalimy konkretną osobę, do której ten właśnie numer jest przypisany.

W kolejnych częściach „ABC RODO: Dane osobowe” dowiecie się:

co to są dane spseudonimizowane i dane anonimowe oraz jaka jest między nimi różnica,
jakie znaczenie ma podział na dane zwykłe i wrażliwe oraz jakiego rodzaju informacje kwalifikujemy do danej kategorii,
jakie informacje stanowią dane osobowe, a jakie nie stanowią danych osobowych – na konkretnych przykładach.

adw. Agnieszka Rapcewicz

Artykuł w wersji PDF do pobrania

Cookie	Duration	Description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.