RODO: Dane osobowe - co to właściwie jest?

Istnieje wiele nieporozumień do co tego, kiedy mamy do czynienia z danymi osobowymi. Niektórzy twierdzą na przykład, że każdy adres mail oznacza daną osobową. Trudno jednak np. w przypadku adresu superjanek@masowydostawcapoczty.pl bez dość sporego nakładu sił, środków i sądowych nakazów stwierdzić tożsamość posługującej się nim osoby. 

Sytuacja zmieni się jednak, kiedy do tego konkretnego adresu możemy przyporządkować (ale bez użycia nieproporcjonalnych do zakładanych celów sił i środków) stały numer IP, któremu w jakimś ogólnie dostępnym rejestrze odpowiada konkretny Janek Superson. Ale izolowany od innych adres e-mail często daną osobową nie będzie.

Komisja Europejska w swoich wytycznych stwierdza m.in.:

„Dane osobowe stanowią wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania żyjącej osoby fizycznej. Poszczególne informacje, które w połączeniu ze sobą mogą prowadzić do zidentyfikowania tożsamości danej osoby, także stanowią dane osobowe.

Oznacza to, że jeżeli przetwarzamy jedną informację, często nie będzie ona daną osobową. Ale jeśli połączymy ją z innymi informacjami, wtedy ten „komplet” będzie już stanowił dane osobowe.

KE stwierdza również, że dane osobowe, które zostały pozbawione elementów pozwalających na identyfikację lub zostały zaszyfrowane bądź poddane pseudonimizacji, ale które mogą prowadzić do ponownej identyfikacji osoby fizycznej, pozostają danymi osobowymi objętymi zakresem RODO.

Nieodwracalna anonimizacja

Za dane osobowe nie uważa się danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Aby dane były rzeczywiście anonimowe, anonimizacja musi być nieodwracalna.

Komisja Europejska wskazuje w wytycznych przykładowe dane osobowe. Są nimi np.:

• imię i nazwisko;

• adres zamieszkania;

• adres e-mail, taki jak imię.nazwisko@firma.com;

• numer dowodu tożsamości;

• dane o lokalizacji (np. ustawienia lokalizacji w telefonie komórkowym)* ;

• adres IP;

• identyfikator plików cookie*;

• identyfikator reklamowy w telefonie komórkowym;

• dane przechowywane przez szpital lub lekarza, które mogą jednoznacznie wskazywać tożsamość danej osoby.

Przykłady danych niebędących danymi osobowymi to np.:

• numer KRS;

• adres e-mail, taki jak info@firma.com;

• dane anonimowe.

Pojęcie danych osobowych nawet po analizie tych przykładów pozostaje nadale nieostre - a co istotne, to czy przetwarzamy dane osobowe czy inne dane może się zmieniać w czasie. Większość firm, od których otrzymujemy obecnie listy zawierające klauzule informacyjne, pytania o zgody itp. przyjęła zasadę, że każdy adres mail to dana osobowa. Stąd użytkownik adresu misiujogi@buziaczek.pl również może spodziewać się komunikatu, że ktoś jest w posiadaniu jego danych osobowych i prosi o zgodę na ich dalsze przetwarzanie.

Redakcja podatki.biz

*) Należy pamiętać, że w niektórych przypadkach zastosowanie ma szczegółowe ustawodawstwo sektorowe regulujące między innymi wykorzystywanie danych o lokalizacji lub plików cookie — dyrektywa o prywatności i łączności internetowej (dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 (Dz.U. 201 z 31.7.2002, s. 37) oraz rozporządzenie (WE) nr 2006/2004 Parlamentu Europejskiego i Rady z dnia 27 października 2004 r. (Dz.U. 364 z 9.12.2004, s. 1).