• +48 573 177 822
  • biuro@ratio-go.pl
  • Pon - Pt: 10:00 - 18:00
Facebook-f Instagram Linkedin
Facebook-f Instagram Linkedin

Dane osobowe – definicja: RODO

Dane osobowe – definicja RODO bardzo często jest postrzegana jako coś oczywistego i zamkniętego. W praktyce jednak to jeden z tych obszarów, który wymaga elastycznego podejścia i każdorazowego „zatrzymania się” nad konkretną sytuacją. Z mojego doświadczenia wynika, że najwięcej błędów bierze się właśnie z automatycznego kwalifikowania informacji jako danych osobowych albo odwrotnie, z ich pochopnego wykluczania.

 

RODO nie chroni „informacji samej w sobie”, lecz relację tej informacji do konkretnej osoby fizycznej. Oznacza to, że dana informacja w jednym kontekście może nie być daną osobową, a w innym już tak. Kluczowe jest pytanie, czy na podstawie tej informacji, samodzielnie lub w połączeniu z innymi danymi, możliwa jest identyfikacja osoby.

 

W praktyce często spotykam się z sytuacjami, w których dana informacja nie jest daną osobową „wprost”, ale staje się nią w zbiorze albo w określonym układzie organizacyjnym. Klasyczny przykład to adresy e-mail. Skrzynka typu biuro@domena.pl

 zazwyczaj nie pozwala na identyfikację konkretnej osoby i co do zasady nie będzie daną osobową. Ale już adres imie.nazwisko@domena.pl

 bardzo często umożliwia jednoznaczną identyfikację osoby fizycznej, a więc staje się daną osobową w rozumieniu RODO.

 

Granica bywa jeszcze bardziej płynna. Ten sam adres biuro@domena.pl

 może stać się daną osobową, jeżeli w danej organizacji przypisany jest wyłącznie do jednej osoby i w praktyce wszyscy wiedzą, kto z niego korzysta. Wtedy nie decyduje nazwa skrzynki, lecz realna możliwość identyfikacji konkretnego człowieka.

 

Dlatego definicja danych osobowych w RODO wymaga myślenia kontekstowego, a nie schematycznego. Każdorazowo trzeba spojrzeć na to, jakimi informacjami dysponuje administrator, jakie inne dane są dostępne i czy w danych warunkach możliwe jest powiązanie informacji z osobą fizyczną. RODO celowo pozostawia tu pewien margines oceny, bo tylko takie podejście pozwala realnie chronić ludzi, a nie wyłącznie kategorie informacji zapisane w przepisach.

Spis treści

„Dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować.

Podstawa prawna: art. 4 pkt 1 RODO. 

Czym jest RODO?

RODO, czyli Rozporządzenie Ogólne o Ochronie Danych (ang. General Data Protection Regulation – GDPR), to dokument prawny obowiązujący w całej Unii Europejskiej od 25 maja 2018 roku. Reguluje on zasady przetwarzania danych osobowych, zapewniając jednolite standardy ochrony danych w różnych krajach Unii.

Jakie prawa wprowadziło RODO?

  1. Prawo do informacji i dostępu do danych: osoba, której dane są przetwarzane, ma prawo otrzymać informacje o tym, jakie dane są przetwarzane, przez kogo, w jakim celu, na jakiej podstawie prawnej oraz do kogo mogą być przekazane.

  2. Prawo do poprawienia danych: jeżeli dane są nieprawidłowe lub nieaktualne, osoba ma prawo żądać ich poprawienia.

  3. Prawo do usunięcia danych („prawo do bycia zapomnianym”): w określonych sytuacjach, osoba ma prawo żądać usunięcia swoich danych.

  4. Prawo do ograniczenia przetwarzania: osoba ma prawo żądać ograniczenia przetwarzania swoich danych, na przykład gdy kwestionuje ich prawidłowość.

  5. Prawo do przenoszenia danych: osoba ma prawo otrzymać swoje dane w formacie umożliwiającym przeniesienie ich do innego administratora.

  6. Prawo do sprzeciwu: osoba ma prawo sprzeciwić się przetwarzaniu jej danych.

Dane osobowe - definicja: RODO

Definicja pojęcia dane osobowe występuje w art. 4 pkt 1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej RODO, zgodnie z którym dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą). Termin „możliwa do zidentyfikowania osoba fizyczna” należy rozumieć jako osobę, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego, jak:

  1. imię i nazwisko,
  2. numer indentyfikacyjny,
  3. dane o lokalizacji,
  4. identyfikator internetowy,
  5. jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.


Pojęcie osoby fizycznej, mimo iż nie jest w RODO zdefiniowane, należy intepretować w  opozycji do definicji osoby prawnej. Pojęcie zakresu ochrony danych osobowych związane jest z podmiotowością prawną osoby fizycznej, która to sygnuje początek i koniec okresu trwania tej ochrony. Do interpretacji początku i końca trwania podmiotowości prawnej osoby fizycznej  kluczowy jest art. 8 k.c., który określa początek jako narodziny i koniec jako śmierć osoby fizycznej. Ochronie nie będą podlegać więc dane osoby prawnej, dane dziecka poczętego –nasciturusa do momentu jego urodzenia oraz dane osób zmarłych. Definicja danych osobowych ujęta w art. 4 pkt 1 RODO składa się z poszczególnych fragmentów, takich jak: informacje, informacje dotyczące osoby fizycznej oraz zidentyfikowanie, bądź możliwość zidentyfikowania tejże osoby fizycznej. Termin informacja należy rozumieć jako wszelką informację, bez względu na jej sposób przekazania czy rozpowszechnienia, utrwalenie, prawdziwość czy obiektywny charakter. Nieistotny jest także typ takiej informacji, rozumiany jako obraz bądź dźwięk oraz forma, która może być pisemna, ustna, lub elektroniczna. Na podstawie opinii Grupy Roboczej można zauważyć, iż interpretacja pojęcia dane osobowe przebiega w sposób szeroki.

Dane osobowe definicja RODO

Zakres pojęcia danych osobowych

Motyw 26 RODO wskazuje, iż zakres informacji obejmuje dane o cechach pośrednio i bezpośrednio identyfikujących osobę fizyczną. Podkreśla też, iż zasady ochrony danych powinny obejmować wszelkie informacje pozwalające zidentyfikować lub umożliwiające zidentyfikowanie osób fizycznych. Mowa tu nie tylko o danych takich jak imię i nazwisko, data urodzenia czy adres zamieszkania, do danych osobowych również należą informacje takie jak: waga, płeć, kolor oczu, dane biometryczne, jak również informacje dotyczące poglądów politycznych, przekonań religijnych czy danych o orientacji seksualnej, bądź seksualności danej osoby fizycznej. Aby ustalić, czy daną osobę fizyczną można zidentyfikować powinno się uwzględnić wszystkie rozsądnie prawdopodobne sposoby, z których to administrator lub inna osoba mógłby potencjalnie skorzystać w celu pośredniej lub bezpośredniej identyfikacji danej osoby fizycznej. Badając prawdopodobieństwo zidentyfikowania danej osoby fizycznej należy ustalić wszelkie obiektywne czynniki, takie jak koszt, czas oraz dostępna technologia w momencie przetwarzania. Definicje danych osobowych również możemy znaleźć w polskim prawodawstwie, mowa tu o art. 6 ust. 1 ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz.U. 1997 nr 133 poz. 883) – dalej u.o.d.o., zgodnie z którym dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. W art. 6 ust. 2 u.o.d.o określono, że osoba możliwa do zidentyfikowania to osoba, której tożsamość możemy określić na podstawie danych informacji w sposób bezpośredni lub pośredni. Ustawodawca potwierdza motyw 26 RODO w art. 6 ust. 3 u.o.d.o., który stanowi, iż informacji nie uważa się za umożliwiającą identyfikację danej osoby, jeżeli ta identyfikacja wymagałaby nadmiernych działań, kosztów lub czasu. Mimo iż ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych straciła moc prawną wraz z wejściem w życie nowej u.o.d.o. z dnia 10 maja 2018 r., to rozdział 14 u.o.d.o. z dnia 10 maja 2018 r. w przepisach końcowych w art. 175 stanowi, iż ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych traci moc, z wyjątkiem art. 1, art. 2, art. 3 ust. 1, art. 4–7, art. 14–22, art. 23–28, art. 31 oraz rozdziałów 4, 5 i 7, które zachowują moc w odniesieniu do przetwarzania danych osobowych.

Jak rozumieć pojęcie: otwartego katalogu danych osobowych?

Prawodawca formułując legalną definicję danych osobowych posłużył się klauzulą generalną, zawierającą niedookreślone zwroty, dlatego też katalog informacji będących danymi osobowymi ma charakter otwarty. Grupa Robocza w kwestii wytycznych w sprawie przejrzystości na podstawie rozporządzenia stanowi, iż informacja dotyczy danej osoby jeżeli:

    1. jest na temat danej osoby,
    2. jest lub może być wykorzystywana, biorąc pod uwagę wszystkie okoliczności danej sprawy, w celu oceny danej osoby, jej traktowania w określony sposób lub też wpływania na jej status lub zachowanie,
    3. jej użycie będzie prawdopodobnie mieć wpływ na jej prawa i interesy

Możliwość zidentyfikowania osoby fizycznej

Możliwość zidentyfikowania osoby fizycznej to inaczej możliwość wyróżnienia danej osoby poprzez powiązanie jej z dostępnymi informacjami, stanowiącymi swoiste czynniki identyfikujące – wiążące się w sposób szczególny i bliski z konkretną osobą. Podsumowując, wystarczy sama potencjalna możliwość identyfikacji na ich podstawie danej osoby. Stanowisko to zostało potwierdzone w wyroku Trybunału Sprawiedliwości z dnia 19 października 2016 r. w sprawie Patrick Breyer przeciwko Republice Federalnej Niemiec, Trybunał Sprawiedliwości orzekł, iż posiadana informacja nie musi sama w sobie gwarantować identyfikacji osoby, której dane dotyczą, wystarczy bowiem, że daje ona taką możliwość po zestawieniu z innymi informacjami. Exempli gratia zestawiając ze sobą informacje tj. imię, nazwisko, adres e-mail i miejsce prowadzenia działalności możliwa jest identyfikacja konkretnego człowieka. Mając na względzie publicznoprawny cel ochrony danych osobowych, dane należy traktować jako dane osobowe, dopóki nie zostanie jednoznacznie stwierdzone, iż na ich podstawie nie można zidentyfikować konkretnej osoby.

czy to dana osobowa

Podsumowanie: jak należy rozumieć pojęcie danych osobowych

Identyfikując informację, czy zawiera dane osobowe powinno się jednak położyć nacisk na subiektywny charakter danych osobowych. Należy podkreślić, iż identyfikując dane osobowe na podstawie przesłanek „osoby zidentyfikowanej” oraz „osoby możliwej do zidentyfikowania” należy w pierwszej kolejności uzależnić identyfikacje danych osobowych od podmiotu, który takiej identyfikacji dokonuje. Uzależnienie ustaleń czy dana informacja może być zakwalifikowana jako dana osobowa, powinno zależeć od uprawnień podmiotu oraz dostępu do informacji na podstawie których, podmiot ten dokona analizy pozyskanych informacji. Co za tym idzie, im podmiot ma szersze uprawnienia i dostęp do informacji, tym większa szansa, iż z perspektywy tego podmiotu dana informacja będzie stanowić dane osobową.

Sprawdź:

Michał Myśliwy

Michał Myśliwy

Prawnik

Prawnik i praktyk w obszarze ochrony danych osobowych oraz compliance. Od momentu wejścia w życie RODO aktywnie pełni funkcję Inspektora Ochrony Danych w spółkach akcyjnych i spółkach z ograniczoną odpowiedzialnością. Specjalizuje się w projektowaniu i wdrażaniu rozwiązań z zakresu ochrony danych i compliance, opartych na realnych procesach biznesowych, ryzykach oraz odpowiedzialności zarządczej.

Sprawdź naszą ofertę!

Wdrożenie RODO
Dokumentacja
Audyt RODO
Szkolenia RODO
Szkolenia RODO
Outsourcing IOD
Doradztwo RODO
Ostatnie wpisy

Masz pytanie?

O nas

Uważamy, że odpowiednio wdrożone RODO, może posłużyć jako narzędzie wpływające korzystnie na rozwój, postrzeganie oraz reputację firmy. Naszym celem jest zapewnienie prawidłowego przetwarzania, obiegu, archiwizowania oraz dostępu do danych zgodnie z aktualnymi wymogami.

Facebook-f Instagram Linkedin
Udostępnij ten post
Facebook
LinkedIn
Czytaj dalej
Facebook Instagram Linkedin
Facebook-f Instagram Linkedin