Blog

14 03/2018
Kategoria:

Dane osobowe według RODO – co to są dane osobowe?

Co to są dane osobowe? Według Art. 4 RODO, dane osobowe to informacje, na podstawie których bez nadmiernych kosztów, czasu i działań można ustalić tożsamość konkretnej osoby fizycznej. Na pozór, ten skrót definicji zapisany w Rozporządzeniu, wydaje się prosty i czytelny. Jednak gdy zaczniemy zastanawiać się, czy np. adres IP komputera, numer VIN pojazdu czy nawet adres e-mail są danymi osobowymi, okazuje się, że odpowiedź nie jest oczywista.

Co na temat danych osobowych mówi słownik języka polskiego?

Według słownika języka polskiego PWN, dane to „fakty, liczby, na których można się oprzeć w wywodach”. Dodając do tego zaimek „osobowy” definiowany przez ten sam słownik jak „dotyczący osoby lub osób”, otrzymujemy informację, że są to „fakty, liczby, na których można się oprzeć w wywodach dotyczących osoby lub osób”.

Jak dane osobowe definiują obowiązujące przepisy ochrony danych?

Według Dyrektywy 95/46/WE (wyznacza obowiązującą definicję do momentu wejścia RODO), pojęcie „dane osobowe” oznacza wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („osoby, której dane dotyczą”); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość;.

A co na to wszystko RODO?

Definicja głoszona przez RODO nieco różni się od obecnie obowiązującej. Sprawdźmy, co to są dane osobowe wg RODO:

„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Dyrektywa 95/46/WE kontra RODO

Nietrudno dostrzec, że definicja danych osobowych zaprezentowana w RODO niewiele różni się od dotychczas używanej, zawartej w Dyrektywie. Jednak diabeł tkwi w szczegółach. UODO i RODO inaczej definiują pojęcia osoby możliwej do zidentyfikowania czy określenie tożsamości osoby. Różnice te wynikają przede wszystkim z postępu informatycznego. Musimy pamiętać, że zestawiamy ze sobą zapisy z 1995 r. i 2016 r.

gdpr

Kiedy osoba fizyczna jest możliwa do zidentyfikowania?

W motywie 26 Art. 4 RODO możemy przeczytać, że chcąc zidentyfikować osobę fizyczną, należy wziąć pod uwagę wszystkie rozsądne sposoby, które administrator lub inna osoba użyją do identyfikacji. W trakcie weryfikacji tych sposobów, należy uwzględnić koszt i potrzebny czas, a także dostępną technologię. Podsumowując – jest szansa, że informacja dla jednego podmiotu będzie daną osobową, dla innego już nie (np. wymagałaby poniesienia zbyt wysokich kosztów).

Czy adres e-mail jest daną osobową?

Jak możemy przeczytać na stronie GIODO (https://giodo.gov.pl/pl/319/1426), adres e-mail MOŻE być daną osobową:

  1. Adres e-mail, bez dodatkowych informacji umożliwiających ustalenie tożsamości osoby, nie jest daną osobową. Przykład: kontakt@logsystem.pl. Wyjątek stanowi adres e-mail powiązany z pakietem innych danych, które łącznie pozwolą na identyfikację osoby. Wówczas nawet anonimowy adres poczty elektronicznej uznaje się za daną osobową.
  2. Adres e-mail, który składa się z elementów pozwalających bez nadmiernych kosztów, czasu i działań ustalić tożsamość osoby, jest daną osobową. Przykład: anna.kowalska@logsystem.pl

Czy numer VIN jest daną osobową?

Podobnie jak w przypadku adresu e-mail, odpowiedź na pytanie czy numer VIN jest daną osobową przynosi GIODO. I znów podobnie, odpowiedź GIODO to “zależy”.

  1. Zasadniczo numer VIN nie jest informacją, która pozwoli wskazać konkretną osobę, dlatego nie można go nazwać daną osobową.
  2. Jednak dla podmiotów mających dostęp do centralnej ewidencji kierowców, którzy powiążą numer VIN z właścicielem pojazdu, będą to dane osobowe. Podmiotami takimi, według ustawy o ruchu drogowym, będą przede wszystkim Policja, prokuratura, sądy, komornicy sądowi, ZUS, straże gminne (miejskie), organy właściwe w sprawach kontroli skarbowej, organy właściwe w sprawach rejestracji pojazdów, organy podatkowe.

Czy adres IP komputera jest daną osobową?

Z adresem IP komputera jest podobnie jak z adresem e-mail. Adres IP komputera będzie daną osobową tylko wtedy, gdy podmiot przetwarzający połączy go z innymi danymi identyfikującymi osobę. Dopóki nie ma pewności, że sam nie jest w stanie połączyć adresu IP z innymi danymi wskazującymi konkretną osobę, powinien traktować go jako daną osobową.

  1. Są sytuacje, w których adres IP powiązany jest przez dłuższy czas z jednym urządzeniem. Wówczas wskazanie konkretnej osoby dla urządzenia nie będzie problemem – należy traktować go jako daną osobową.
  2. W sytuacjach, gdy przypisanie konkretnej osoby do adresu IP będzie niemożliwe (np. kafejka internetowa), adres IP będzie daną osobową tylko wtedy, gdy administrator powiąże go z innymi danymi, np. zapisem monitoringu i kartą kredytową użytą do płatności za usługę.

Czy numer telefonu jest daną osobową?

Wprawdzie sam zestaw liczb stanowiących numer telefonu nie wskazuje osoby fizycznej, jednak GIODO uznało, że numer telefonu pozwoli na bezpośredni kontakt z konkretną osobą. Wówczas numer telefonu stanowić będzie daną osobową:

W świetle przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej również ustawą, nie budzi wątpliwości, iż numer telefonu jest daną osobową w rozumieniu art. 6 ust. 1 ustawy, bowiem dotyczy możliwej do zidentyfikowania osoby fizycznej. Ponadto wskazać należy, iż na podstawie art. 159 ust. 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800 ze zm.) ww. dana objęta jest tajemnicą telekomunikacyjną.

dane-osobowe-gdpr

Czy wszystkie dane osobowe można przetwarzać?

Dyrektywa 95/46/WE oraz RODO wyróżnia dane osobowe, których przetwarzanie – co do zasady – jest zakazane. Są to szczególne kategorie danych osobowych, które wg Art. 9 ust. 1 RODO ujawniają:

  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • przekonania religijne i światopoglądowe,
  • przynależność do związków zawodowych.

Ponadto, wskazany wyżej zapis, zabrania przetwarzania:

  • danych genetycznych,
  • danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej,
  • danych dotyczących zdrowia, seksualności lub orientacji seksualnej.

Informacje dotyczące wyroków skazujących i naruszeń prawa stanowią szczególną kategorię danych osobowych?

Zgodnie z RODO, informacje dotyczące wyroków skazujących i naruszeń prawa, będą regulowane przez art. 6 ust. 1 RODO (zgodność przetwarzania z prawem). Tym samym, dane te nie stanowią szczególnej kategorii danych osobowych.

Jednak przetwarzanie informacji dotyczących wyroków skazujących i naruszeń prawa będzie możliwe jedynie w trzech sytuacjach (art. 10 RODO):

  • pod nadzorem władz publicznych
  • jeśli przetwarzanie jest dozwolone prawem Unii,
  • jeśli przetwarzanie jest dozwolone prawem państwa członkowskiego.

Co to są dane osobowe na gruncie RODO – podsumowanie

Jeśli była Ci znana definicja danych osobowych zawarta w dotychczasowych regulacjach, nie powinieneś mieć większych problemów z dostosowaniem się do tego, jak dane osobowe przedstawia RODO. Bowiem na UODO i Dyrektywie 95/46/WE zbudowano nową definicję, aktualizując kilka elementów.

Podsumowując – co to są dane osobowe? Dane osobowe są to informacje, na podstawie których można bez nadmiernych kosztów, czasu i działań, określić tożsamość osoby, do której należą.

Sprawdź
Matriały LOG System
Poznaj FlowBoard

Kontynuując przeglądanie strony, wyrażasz zgodę na używanie przez nas plików cookies. więcej informacji

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close