Co to są dane osobowe?
Zabierając się za uporządkowanie kwestii danych osobowych w swojej firmie, należy zacząć od odpowiedzi na jedno bardzo ważne pytanie – co to są dane osobowe? Stanowi to punkt wyjścia – jeżeli dane, które pozyskujesz stanowią dane osobowe, jesteś zobowiązany do przestrzegania wszystkich zasad określonych w RODO[1]Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) i za wszelkie zaniedbania ponosisz odpowiedzialność.
Definicja danych osobowych
Zgodnie z definicją zawartą w art. 4 p. 1) RODO przez „dane osobowe” należy rozumieć „wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. Zrozumienie tej definicji ułatwi podzielenie jej na następujące elementy:
- wszelkie informacje;
- osoba fizyczna;
- zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna;
i omówienie każdego z nich osobno.
Wszelkie informacje
Jest to określenie tak szerokie, że swoim zakresem obejmuje dosłownie wszystko, bez względu na formę czy źródło. Wszystko, co dotyczy zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, stanowi dane osobowe. Nie ma żadnego znaczenia, że dane zostają nam przekazane np. w języku, którego nie znamy. To także będą dane osobowe. O ile oczywiście zostaną spełnione kolejne kryteria zawarte w powyższej definicji.
Osoba fizyczna
Osoba fizyczna to każdy człowiek od chwili urodzenia aż do śmierci. Innymi słowy – po prostu każdy. Choć kwestia ta wydaje się bardzo prosta, nie uciekniemy od pewnych zagadnień, którym trzeba poświęcić trochę więcej miejsca:
- dzieci poczęte, ale nienarodzone i
- osoby zmarłe.
Jeżeli chodzi o dzieci nienarodzone, to ciężko sobie wyobrazić sytuację, w której dane takiego dziecka będą gdziekolwiek podawane. Co prawda informacje dotyczące przebiegu ciąży zazwyczaj są utrwalane (chociażby podczas wizyt kobiety w ciąży u lekarza), ale moim zdaniem powinny być zakwalifikowane jako dane osobowe matki (i to w dodatku wrażliwe, jako odnoszące się do stanu zdrowia).
W przypadku osób zmarłych sprawa jest jeszcze prostsza. RODO w p. (27) preambuły wskazuje wprost, że nie ma ono zastosowania do danych osobowych osób zmarłych, zaznaczając jednak, że każde państwo członkowskie może przyjąć przepisy o przetwarzaniu danych osób zmarłych. W Polsce takie przepisy nie zostały uchwalone, a zatem należy uznać, że w naszym kraju żadne informacje odnoszące się do zmarłych, nie stanowią danych osobowych.
W kontekście osób fizycznych warto jeszcze wspomnieć o danych osobowych osób prowadzących działalność gospodarczą. Jeszcze kilka lat temu obowiązywała ustawa o swobodzie działalności gospodarczej, w której art. 39b wprost wyłączał dane osobowe zawarte w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) spod przepisów obowiązującej przed RODO ustawy ochronie danych osobowych. Oznaczało to, że dane osobowe przedsiębiorców będących osobami fizycznymi publicznie dostępne w ramach CEIDG, nie podlegały ochronie. Stan ten uległ jednak zamianie z dniem 28 kwietnia 2018 r., kiedy to ustawa o swobodzie działalności gospodarczej została uchylona. Obecnie brak jest analogicznego przepisu, a więc nawet dane ujawnione w CEIDG są objęte ochroną przewidzianą przez RODO.
Podobnie sytuacja wygląda z danymi osobowymi ujawnionymi w Krajowym Rejestrze Sądowym (KRS), np. członków zarządu (w KRS podane jest imię, nazwisko i PESEL). Nie ma żadnego znaczenia, że dane te są publicznie dostępne – jakiekolwiek ich przetwarzanie powinno odbywać się zgodnie z zasadami określonymi w RODO.
Osoby prawne i inne podmioty
Osoby fizyczne to nie jedyne podmioty, z którymi przedsiębiorcy mają do czynienia w swojej działalności. Dlatego warto pamiętać, że dane osobowe dotyczą tylko osób fizycznych. Dane (np. nazwa firmy, o ile nie zawiera nazwiska osoby fizycznej, czy adres) odnoszące się do osób prawnych (m.in. spółki kapitałowe, fundacje, stowarzyszenia rejestrowe), tzw. ułomnych osób prawnych (m.in. spółki osobowe), czy jeszcze innych podmiotów, nie stanowią danych osobowych, a w konsekwencji nie są objęte ochroną przewidzianą w RODO.
Zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna
Informacje dotyczące osób fizycznych mogą być różnego rodzaju. Nie wszystkie jednak stanowią dane osobowe. Kluczowe jest rozstrzygnięcie czy dana informacja dotyczy osoby zidentyfikowanej lub możliwej do zidentyfikowania.
Pomimo tego, że RODO zawiera definicję osoby możliwej do zidentyfikowania (ciąg dalszy art. 4 p. 1) – „Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”), wyznaczenie granicy pomiędzy zidentyfikowaną osobą i możliwą do zidentyfikowania osobą jest bardzo trudne. Z tego względu najlepiej rozpatrywać oba te zagadnienia łącznie. Prowadzi to do wniosku, że jako dane osobowe powinna zostać zakwalifikowana każda informacja, która chociażby pośrednio (poprzez zestawienie z innymi danymi) umożliwia przypisanie jej do konkretnej osoby fizycznej.
Należy jednak pamiętać, że każdy przypadek powinien być oceniany indywidualnie. Pod uwagę powinny być brane wszystkie informacje (w tym także kontekst), jakimi dysponuje administrator danych osobowych. Samo zestawienie imienia i miejscowość, w której mieszka osoba fizyczna, zazwyczaj nie stanowi danych osobowych. Ale nie zawsze. Może zdarzyć się taka sytuacja, że imię i miejscowość w połączeniu z np. jakąś szczególną cechą fizyczną osoby, o której wie osoba przetwarzająca dane, umożliwi zidentyfikowanie tej osoby. A wtedy będziemy mieli do czynienia z danymi osobowymi.
Lepiej zrobić za dużo niż za mało
Definicja danych osobowych zawarta w RODO jest bardzo szeroka. Użyte w niej sformułowania sprawiają, że dane osobowe stanowi większość informacji o osobach fizycznych zbieranych i przechowywanych przez firmy sprzedające towary lub świadczące usługi. Jeżeli twoja firma ma kontakt z klientami lub kontrahentami (a z pewnością ma), niemal na pewno przetwarzasz dane osobowe.
Z uwagi na powyższe niejasności i konieczność traktowania każdego przypadku indywidualnie, zalecam bardzo ostrożne podejście przy ocenianiu czy informacja stanowi dane osobowe. W myśl zasady, że lepiej zrobić za dużo niż za mało, bezpieczniej jest potraktować informacje, co do których mamy wątpliwości, jako dane osobowe. Nie ma żadnych sankcji za zastosowanie zasad określonych w RODO do informacji niebędących danymi osobowymi. W sytuacji odwrotnej można narazić się na działania ze strony Prezesa Urzędu Ochrony Danych Osobowych.
Przypisy
↑1 | Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) |
---|