Definicja art. 4 pkt 1 RODO
„Dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Czym, więc są dane osobowe?
Przede wszystkim musimy pamiętać, że dane osobowe odnoszą się wyłącznie do osoby fizycznej. Inaczej rzecz ujmując, „stanowią” o tej osobie fizycznej czy przekazują dane na temat tej osoby. Taką informacją może być dowolna informacja. Na jej podstawie powinniśmy być w stanie zidentyfikować osobę fizyczną, czyli ustalić jej tożsamość. Zarówno w sposób bezpośredni, jak i pośredni.
Motyw 26 RODO (fragment)
Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej.
Wszelka informacja, czyli jaka?
Zwrot ten należy traktować bardzo szeroko. Nie powinniśmy ograniczać się do subiektywnego czy obiektywnego charakteru posiadanej przez nas informacji. Chodzi o informacje (nawet z pozoru nieistotne), które w połączeniu ze sobą mogą prowadzić do zidentyfikowania tożsamości danej osoby, które stanowią dane osobowe.
Jaka jest różnica między osoba zidentyfikowaną a możliwą do zidentyfikowania?
Zidentyfikowaną osobą fizyczną jest osoba, której tożsamość jest ustalona – bezpośrednio i natychmiast.
Motyw 26 RODO (fragment)
Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.
Możliwą do zidentyfikowania osobą fizyczną jest osoba, której tożsamość można ustalić w sposób bezpośredni lub pośredni.
Nie ma znaczenia w jaki sposób dane osobowe zostaną przedstawione. Przykładowo mogą być:
Motyw 27 zdanie 1 RODO
RODO nie ma zastosowania do danych osobowych osób zmarłych.
Nie są danymi osobowymi:
Motyw 30 RODO
Osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookies – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.
Przykłady danych osobowych:
Przykład nr 1:
Taki zestaw danych nic nam nie mówi. Na podstawie takich informacji nie jesteśmy w stanie ustalić osoby fizycznej.
ALE
Na podstawie takiego zestawu informacji jesteśmy w stanie ustalić osobę fizyczną.
Przykład nr 2:
Nick na Instagramie jest unikalny. Co więcej, jeżeli ktoś zlikwiduje swoje konto, to nowy użytkownik Instagrama nie może skorzystać z już zajętego nicka.
Czy na tej podstawie jesteśmy w stanie ustalić kim jest osoba, która założyła dane konto? Nawet jeżeli konto jest całkowicie fikcyjne? Co do zasady TAK.
Przy współpracy Facebooka oraz organów ścigania jesteśmy w stanie ustalić najpierw adres IP komputera, a następnie pełne dane identyfikacje osoby.
Podsumowując, przy analizie czy dane informacje są danymi osobowymi zawsze należy się zastanowić czy podstawie posiadanych danych jestem w stanie ustalić kim jest osoba fizyczna.
Źródła:
Cookie | Czas przechowywania | Opis |
---|---|---|
cookielawinfo-checkbox-analytics | 1 rok | Ten plik cookie, ustawiony przez wtyczkę GDPR Cookie Consent, służy do rejestrowania zgody użytkownika na pliki cookie w kategorii „Analityczne”. |
cookielawinfo-checkbox-necessary | 1 rok | Ten plik cookie, ustawiony przez wtyczkę GDPR Cookie Consent, służy do rejestrowania zgody użytkownika na pliki cookie w kategorii „Niezbędne”. |
mailerlite:webform:shown | Plik cookie używany przez formularz zapisu na newsletter do określenia, czy formularz zapisu na newsletter został już wyświetlonwy użytkownikowi odwiedzającemu stronę. | |
viewed_cookie_policy | 1 rok | Plik cookie jest ustawiany przez wtyczkę GDPR Cookie Consent w celu przechowywania informacji, czy użytkownik wyraził zgodę na korzystanie z plików cookie (żadne dane osobowe nie są zapisywane ani przechwowane). |
Cookie | Czas przechowywania | Opis |
---|---|---|
_ga | 2 lata | Plik cookie _ga, instalowany przez Google Analytics, oblicza dane dotyczące odwiedzających, sesji i kampanii, a także śledzi wykorzystanie witryny na potrzeby raportu analitycznego witryny. Plik cookie przechowuje informacje anonimowo i przypisuje losowo wygenerowany numer w celu rozpoznania unikalnych użytkowników. |
_ga_BKFR6CLJT3 | 2 lata | Plik cookie wykorzystywany przez usługę Google Analytics. |
_gat_gtag_UA_199300153_1 | 1 minuta | Wykorzystywany przez usługę Google Analytics do rozróżniania użytkowników. |
_gid | 1 dzień | Instalowany przez Google Analytics plik cookie _gid przechowuje informacje o tym, w jaki sposób odwiedzający korzystają ze strony internetowej, jednocześnie tworząc raport analityczny dotyczący wydajności strony internetowej. Niektóre gromadzone dane obejmują liczbę odwiedzających, ich źródło i strony, które odwiedzają anonimowo. |