Intuicyjnie wiemy, czym są dane osobowe. Gdy jednak zaczyna się dyskusja o tym, czy adres e-mail, numer telefonu, NIP, adres IP, itp. są danymi osobowymi, pojawiają się rozbieżne opinie.
Skoro interesujesz się ochroną danych osobowych, powinieneś wpierw przeanalizować definicję zawartą w RODO. Będzie ona zapewne odbiegała od tego, co podpowiada Ci intuicja. Przejdźmy zatem do analizy definicji. Znajdziesz ją w artykule 4 RODO.
Dane osobowe to informacje o osobie fizycznej
Artykuł 4 punkt 1 RODO mówi:
…dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”);…
Definicja dość ogólna i szeroka. Napisana przy tym jasno. Warto wyjaśnić jedynie kim jest osoba fizyczna. Opierając się o kodeks cywilny, możemy stwierdzić, że osoba fizyczna, to każdy człowiek od chwili narodzenia, aż do śmierci. Z tego płynie prosty wniosek – dane osoby zmarłej nie są danymi osobowymi zgodnie z definicją z RODO.
Jakie konkretnie informacje są danymi osobowymi?
Wiesz już, że to „informacje” pozwalające na zidentyfikowanie osoby fizycznej, ale konkretnie jakie? Spójrzmy dalej na artykuł 4 punkt 1 RODO:
…możliwa do zidentyfikowania osoba fizyczna to osoba, która można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Zatem posiadasz informacje i na ich podstawie możesz stwierdzić kogo one dotyczą lub kogo opisują.
Do tych informacji możemy zaliczyć numer identyfikacyjny – na przykład numer PESEL. Każda obywatel polski ma unikalny PESEL i na tej podstawie możemy jednoznacznie określić jej tożsamość. Jednak nie tylko numery wchodzą w grę, ale także inne „czynniki” występujące osobno lub razem. Mogą to być np. imię i nazwisko.
Mogą to być również kwestie mniej oczywiste.
Nie używając imienia, nazwiska lub numeru identyfikacyjnego możemy również określić tożsamość osoby.
Przykład? Duchowny, który dostał samochód od bezdomnego. Nie ma imienia, nazwiska, czy numeru identyfikacyjnego, a wiesz dobrze o kogo chodzi.
Daną osobową mogą być informacje, które wydają się pozornie neutralne
Art. 4 punkt 1 wymienia grupy „czynników”. Istotna jest również fraza „w szczególności”, które mówi nam, że jest to katalog otwarty. Tak więc każda informacja (pozwalająca zidentyfikować osobę), jest daną osobową.
Katalog danych osobowych – dlaczego go nie stworzono?
RODO dość dobrze opisuje czym są dane osobowe. Wiele osób twierdzi jednak, że pozostawia zbyt wiele wątpliwości (moim zdaniem zmusza po prostu do myślenia :)). Nie da się stworzyć listy tego co jest, a co nie jest daną osobową. Za każdym razem bowiem w grę wchodzą dodatkowe uwarunkowania.
Dobrym przykładem jest wcześniej wspomniany przypadkowy PESEL. Mnie on niewiele powie i mało prawdopodobne, aby sam w sobie był daną osobową. Dla urzędnika posiadającego odpowiednie uprawnienie będzie. Podobną sytuację mamy w przypadku wielu innych danych np. numer telefonu, NIP, adres e-mail. To czy można je uznać za dane osobowe zależy od szeregu czynników.
Masz problem z określeniem, czy konkretne dane mają charakter osobowy. Napisz o tym w komentarzu. Postaram się pomóc.
Ekspert ochrony danych osobowych z 10 letnim doświadczeniem. Realizował projekty związane z ochroną danych osobowych dla takich marek jak eObuwie.pl, Shoper, KKS Lech Poznań, Carry, Akademickie Inkubatory Przedsiębiorczości. Członek Stowarzyszenia Inspektorów Ochrony Danych (SABI) i Stowarzyszenia Praktyków Ochrony Danych (SPOD). Absolwent Politechniki Poznańskiej. Informatyk, inżynier systemów zarządzania. Absolwent studiów podyplomowych z zakresu systemów zarządzania opartych o normy ISO (Politechnika Poznańska) oraz bezpieczeństwa danych w systemach komputerowych (Collegium DaVinci). Współtwórca autorskiej metody wdrażania RODO.