Dane Osobowe

Definicja art. 4 pkt 1 RODO

„Dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.


Czym, więc są dane osobowe?

Przede wszystkim musimy pamiętać, że dane osobowe odnoszą się wyłącznie do osoby fizycznej. Inaczej rzecz ujmując, „stanowią” o tej osobie fizycznej czy przekazują dane na temat tej osoby.  Taką informacją może być dowolna informacja. Na jej podstawie powinniśmy być w stanie zidentyfikować osobę fizyczną, czyli ustalić jej tożsamość.  Zarówno w sposób bezpośredni, jak i pośredni.

Motyw 26 RODO (fragment)

Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej.


Wszelka informacja, czyli jaka?

Zwrot ten należy traktować bardzo szeroko. Nie powinniśmy ograniczać się do subiektywnego czy obiektywnego charakteru posiadanej przez nas informacji. Chodzi o informacje (nawet z pozoru nieistotne), które w połączeniu ze sobą mogą prowadzić do zidentyfikowania tożsamości danej osoby, które stanowią dane osobowe.

Jaka jest różnica między osoba zidentyfikowaną a możliwą do zidentyfikowania?

Zidentyfikowaną osobą fizyczną jest osoba, której tożsamość jest ustalona – bezpośrednio i natychmiast. 

Motyw 26 RODO (fragment)

Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.


Możliwą do zidentyfikowania osobą fizyczną jest osoba, której tożsamość można ustalić w sposób bezpośredni lub pośredni.

Nie ma znaczenia w jaki sposób dane osobowe zostaną przedstawione.  Przykładowo mogą być:

  • Zakomunikowane, np. na stories na Instagramie
  • Zapisane znakami graficznymi, symbolami, np. na grafice umieszczonej jako post na Instagramie
  • Zapisane na nośniku np. na papierze, np. umowa
  • Zapisana w języku komputerowym, np. identyfikatory plików cookies
  • Zapisana na fotografii, np. wizerunek

Motyw 27 zdanie 1 RODO

RODO nie ma zastosowania do danych osobowych osób zmarłych.


Nie są danymi osobowymi:

  • informacje o osobie zmarłej
  • numer KRS
  • informacje zagregowane o charakterze statystycznym bez możliwości ustalenia konkretnej osoby
  • informacje anonimowe
  • informacje zanonimizowane

Motyw 30 RODO

Osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookies – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.


Przykłady danych osobowych:

  • Spseudonimizowane dane osobowe
  • imię i nazwisko
  • numer identyfikacyjny, np. NIP, PESEL
  • numer dowodu osobistego
  • adres e- mail, tj. imię.nazwisko@firma.com
  • datą urodzin
  • stan cywilny
  • wykształcenie
  • karalność
  • wysokość wynagrodzenia
  • stan posiadania np. nieruchomości
  • adres zamieszkania
  • płeć, kolor oczu, waga, wzrost lub inne dane biometryczne wskazujące na właściwości biologiczne, a zatem czynniki o charakterze fizycznym, fizjologicznym
  • dane biometryczne
  • dane o stanie zdrowia
  • informacje dotyczące poglądów, przekonań, wypowiedzi czy życzeń
  • dane genetyczne
  • informacje dotyczące genetycznej, psychicznej, kulturowej, społecznej lub ekonomicznej tożsamości osoby fizycznej
  • informacje o wszelkich aktywnościach, relacjach zawodowych
  • dane lokalizacyjne
  • identyfikatory internetowe, tj. adres IP, identyfikatory plików cookies, identyfikatory generowane przez etykiety RFID


Przykład nr 1:

  • Yanina
  • Stan cywilny: panna

Taki zestaw danych nic nam nie mówi. Na podstawie takich informacji nie jesteśmy w stanie ustalić osoby fizycznej.

ALE

  • Yanina
  • Stan cywilny: panna
  • Zatrudniona w firmie X na stanowisku kasjerki
  • wynagrodzeniu 2900 zł netto

Na podstawie takiego zestawu informacji jesteśmy w stanie ustalić osobę fizyczną.

Przykład nr 2:

  • nick na Instagramie

Nick na Instagramie jest unikalny. Co więcej, jeżeli ktoś zlikwiduje swoje konto, to nowy użytkownik Instagrama nie może skorzystać z już zajętego nicka.

Czy na tej podstawie jesteśmy w stanie ustalić kim jest osoba, która założyła dane konto? Nawet jeżeli konto jest całkowicie fikcyjne? Co do zasady TAK.

Przy współpracy Facebooka oraz organów ścigania jesteśmy w stanie ustalić najpierw adres IP komputera, a następnie pełne dane identyfikacje osoby.

Podsumowując, przy analizie czy dane informacje są danymi osobowymi zawsze należy się zastanowić czy podstawie posiadanych danych jestem w stanie  ustalić kim jest osoba fizyczna.  

Źródła:

  1. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.), Lex.
  2. Komisja Europejska, Czym są dane osobowe? https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_pl, 22.06.2020 r.
  3. P. Figielski, Komentarz do art. 4 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/We (ogólne rozporządzenie o ochronie danych [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, pod red. P. Figielski, Wydawnictwo Wolters Kluwer, Warszawa 2018, Lex.
  4. Komentarz do art. 4 [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, pod red. E. Bielak-Jomaa, D. Lubasz, Wydawnictwo Wolters Kluwer, Warszawa 2018, Lex