Jednym z kluczowych pojęć Rozporządzanie o ochronie danych osobowych1 (dalej RODO) są „dane osobowe”. Podstawową kwestią powinna być odpowiedź na pytanie, co właściwie kryje się pod tym terminem i co zaliczamy do bazy wrażliwych informacji?
Zgodnie z art. 4 ust. 1 RODO „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”).
Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie:
- identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub;
- jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Dane osobowe szczególnych kategorii
Rozporządzenie RODO określa także dane szczególnych kategorii. Właściwe wskazanie tych danych wpływa na wykazanie podstawy prawnej do ich przetwarzania – art. 9 Rozporządzania RODO.
Do danych osobowych szczególnych kategorii zalicza się dane:
- ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe,
- przynależność do związków zawodowych,
- dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej,
- dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
Informacje, które uznajemy za dane osobowe
Przykłady informacji, które uznajemy za dane osobowe:
- informacje, które identyfikują osobę m.in. imię, nazwisko, adres, numer identyfikacyjny, wizerunek
- informacje, które odnoszą się do jej cech lub statusu osobistego m.in. stan cywilny, obywatelstwo, stan zdrowia, wykształcenie, karalność
- informacje o charakterze rzeczowym m.in. wysokość wynagrodzenia, stan posiadania, stosunki własnościowe
Czy pliki cookies są danymi osobowymi?
Definicję danych osobowych stosuje się nie tylko do informacji w klasycznym rozumieniu. Jak wskazuje motyw 30 preambuły RODO osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak:
- adresy IP,
- identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły,
- inne identyfikatory, generowane na przykład przez etykiety RFID
Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.
Podsumowanie
Główny zadaniem Administratora jest właściwe zidentyfikowanie danych osobowych, jakie przetwarza w ramach swojego podmiotu, tak aby móc wywiązać się ze swoich obowiązków. W tym celu powinien orientować się, czym są dane osobowe i co zawierają zarządzane przez niego informacje. Na tej podstawie musi identyfikować, selekcjonować i wyodrębniać spośród dokumentów, plików elektronicznych i innych źródeł danych te, które wymagają bezwzględnej ochrony.
1ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)