Po wejściu w życie rozporządzenia RODO powszechnie powtarzanym hasłem jest ochrona danych osobowych. Warto jednak zatrzymać się i zastanowić, czym tak naprawdę są dane osobowe i co rzeczywiście podlega ochronie.

Czym są dane osobowe?

Zgodnie z rozporządzeniem RODO, dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Przesłankę „wszelkich informacji” należy traktować szeroko. Przyjmuje się powszechnie, że są to dane identyfikujące daną osobę bezpośrednio, jak i pośrednio, za pomocą określonych operacji.

RODO - ochrona danych osobowych

Przykłady danych osobowych

Przyjmując zatem szerokie pojęcie danych osobowych, należy wskazać, że są nimi:

  • imię i nazwisko,
  • numer identyfikacyjny (np. PESEL, NIP, numer dowodu osobistego),
  • adres zamieszkania,
  • adres mailowy,
  • data urodzin,
  • płeć,  kolor oczu, waga, wzrost,
  • dane biometryczne czy genetyczne,
  • dane o stanie zdrowia,
  • dane dotyczące poglądów, przekonań religijnych,
  • adres IP

Rozporządzenie unijne wskazuje w preambule (motyw 26), kiedy dane osobowe mogą posłużyć identyfikacji osoby:  aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.

Innymi słowy, identyfikacja nie musi nastąpić wprost, może nastąpić przez powiązane różnych danych, co doprowadzi ostatecznie do ustalenia tożsamości danej osoby.

Jeśli zatem na podstawie wymienionych przykładów lub ich powiązań jesteśmy w stanie zidentyfikować osobę fizyczną, informacje te należy uznać za dane osobowe.

Rozporządzenie RODO pozostawia otwarty katalog definicji danych osobowych. Jeśli na podstawie określonych informacji możliwe będzie zidentyfikowanie danej osoby, wówczas dane te należy uznać za chronione w świetle RODO.

Co istotne, informacje te nie muszą, jak wynika z powyższego, identyfikować wprost danej osoby, jak to jest w przypadku imienia i nazwiska. Wystarczająca będzie także pośrednia możliwość powiązania określonej informacji z konkretną osobą.

Oczywiście może się zdarzyć, że dane będą powtarzalne – jest np. wielu Janów Kowalskich w Polsce.  Wskazane imię i nazwisko możemy jednak przypisać jednej, konkretnej osobie, zatem także oczywiście w takich przypadkach nie ma wątpliwości co do tego, że takie imię i nazwisko będzie daną osobową.

Kłopotliwych sytuacji i problemów ze stosowaniem danych osobowych możemy oczekiwać w najbliższym czasie nieco więcej.

Już teraz w szpitalach zaczęto stosować system rejestracji numerycznej i wywoływaniu pacjentów przypisanymi im numerami, natomiast nie powinno być przeszkód z używaniem imion i nazwisk w dziennikach klasowych, choć nie powinniśmy się dziwić, jeśli na szafkach dzieci w przedszkolu od 25 maja zniknęły nazwiska naszych pociech a pozostały tylko imiona czy inicjały.

Czy to są dane osobowe?

Na koniec warto pokazać na przykładach, kiedy określone dane są danymi osobowymi.

Zatem, czy numer rejestracyjny pojazdu może być uznane za takie dane? Wydaje się nam, że absolutnie nie. Jednak, dla określonych osób taka informacja może umożliwić jednak identyfikację osoby – policja na podstawie numerów rejestracyjnych jest przecież w stanie ustalić tożsamość danej osoby.

Wiele wątpliwości wzbudza fakt czy, takimi danymi mogą być cookies, czyli popularne ciasteczka, a także numery IP. Jak wynika z motywu 30 RODO, osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory.

Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób. Już teraz zaczynają się pojawiać spory wśród prawników, czy stosowanie cookies wymaga wyłącznie poinformowania o tym, czy konieczna jest zgoda użytkowników serwisów internetowych na ich stosowanie.

Wobec uchylenia ustawy o ochronie danych osobowych z 1997 roku a także ustawy o swobodzie działalności gospodarczej należałoby przychylić się do stanowiska, że dane użyte w nazwie firmy (np. PPHU Jan Kowalski) są danymi osobowymi i stosuje się do nich RODO.