RODO – Dane osobowe

rodoNiniejszym wpisem rozpoczynam serię opracowań poświęconych RODO. Niesamowita popularność skryptu z tego rozporządzenia sprawiła, że zalaliście mnie prośbami o bardziej szczegółowe materiały. Wychodząc naprzeciw Waszym oczekiwaniom, a także widząc w tym bodziec do doskonalenia własnej wiedzy z zakresu prawa danych osobowych, będę publikował możliwie skondensowane artykuły dotyczące różnych zagadnień wynikających z rozporządzenia w sprawie ochrony dóbr osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.

Żeby w ogóle móc zacząć rozmawiać o zapisach RODO, należy ustalić kilka kluczowych pojęć, które przewijają się przez całą treść rozporządzenia. Najważniejszym z nich są „dane osobowe”.

Zgodnie z art. 4 pkt 1, dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

W ramach tak postawionej definicji można wyróżnić kilka kumulatywnych warunków uznania za dane osobowe:

  1. informacje – chodzi o wszystkie informacje niezależnie od poziomu ich obiektywizmu, nośnika czy sposobu utrwalenia;
  2. dotyczące – informacja musi być powiązana z osobą fizyczną z punktu widzenia treści, celu lub skutku takiego powiązania;
  3. zidentyfikowanej lub możliwej do zidentyfikowania – informacje muszą pozwalać na wskazanie konkretnej osoby fizycznej;
  4. osoby fizycznej.

Katalog informacji, które mogą stanowić dane osobowe, jest trudny do kompleksowego opisania. Chodzi tutaj o wszelkie informacje, w tym czynniki o charakterze fizycznym, fizjologicznym, poglądy, przekonania, wypowiedzi czy życzenia. W grę wchodzą czynniki majątkowe, osobiste, rodzinne czy zawodowe.

Przyjmuje się, że związek między informacją a osobą fizyczną musi mieć charakter merytoryczny, W pracach nad rozporządzeniem wskazywano, że informacja dotyczy osoby, jeśli jest na temat tej osoby. Związek może być bezpośredni (kolor oczu, grupa krwi), albo pośredni (informacja o posiadanych udziałach w spółce X). Podkreśla się, że wystarczy wystąpienie jednego ze wspominanych elementów – treści, celu lub skutku – by zaistniał związek między danymi a osobą fizyczną.

Informacje tylko wtedy są danymi osobowymi, jeśli pozwalają na natychmiastowe zidentyfikowanie osoby fizycznej (imię i nazwisko + adres zamieszkania), lub dają możliwość takiej identyfikacji. Według motywu 26 preambuły, aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.

Choć wynika to wprost z tytułu rozporządzenia oraz definicji danych osobowych, w motywie 14 preambuły wyraźnie wskazano, że rozporządzenie nie dotyczy przetwarzania danych osobowych osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. Powszechnie przyjmuje się jednak, że RODO znajdzie zastosowanie do danych osób fizycznych prowadzących działalność gospodarczą. Pojawiają się także głosy, że rozporządzenie obejmować będzie dane osób fizycznych wchodzących w skład organów osób prawnych. Przykładowo, nazwiska członków zarządu spółki z o.o. przetwarzanie w ramach działania osoby prawnej jest dopuszczalne, ale wykorzystanie ich np. do marketingu produktów będzie podlegało ochronie RODO.

W rozumieniu cytowanego przepisu, dane dotyczące osoby zmarłej nie będą danymi osobowymi. Wynika to wprost z motywu 27 preambuły. Rozporządzenie nie będzie miało także zastosowania do danych dziecka poczętego, ale jeszcze nieurodzonego. Jeśli dziecko urodziny się żywe, dane zebrane w okresie jego rozwoju płodowego powinny być traktowane jako jego dane osobowe.

Ciekawym przypadkiem jest numer PESEL, który wskazuje dokładnie konkretną osobę fizyczną. Z uwagi na to, że dostęp do bazy PESEL jest mocno ograniczony i konieczna jest normatywna podstawa jego uzyskania przyjmuje się, że poza organami administracji i innymi podmiotami mającymi swobodny dostęp do tej bazy, PESEL nie zawsze będzie traktowany w kategoriach danych osobowych.

Problematyczny jest także adres e-mail. Można przyjąć założenie, że tylko wtedy będzie on wchodził w skład danych osobowych, gdy przy jego pomocy możliwe będzie zidentyfikowanie konkretnej osoby fizycznej. Nie musi przy tym chodzić wyłącznie o imię i nazwisko w adresie. Wszystko zależeć będzie od oceny indywidualnego przypadku.

Podobne zastrzeżenia co w przypadku numeru PESEL i adresu poczty elektronicznej poczynić można także do adresów IP.

W RODO przewidziano szczególne kategorie danych osobowych, których przetwarzanie wiąże się z większymi obostrzeniami. Są to dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Zachęcam do dyskusji i podsyłania propozycji na kolejne opracowania związane z RODO!

Michał Wysocki

Bibliografia:

  1. E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, 2017;
  2. A. Dmochowska, M. Zadrożny, Unijna reforma ochrony danych osobowych. Analiza zmian, C.H. Beck, 2016;
  3. M. Krzysztofek, Ochrona danych osobowych w Unii Europejskiej po reformie. Komentarz do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, C.H. Beck, 2016;
  4. P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, 2018

Jedna myśl nt. „RODO – Dane osobowe

  1. Józefina

    A co z danymi samozatrudnionych? Jest to prawdziwa plaga, moje imię i nazwisko pojawia się dokładnie wszędzie. A jest na tyle unikatowe, że bardzo łatwo mnie zidentyfikować. Jak się przed tym bronić?

    Odpowiedz

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Możesz użyć następujących tagów oraz atrybutów HTML-a: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>