W maju 2018 roku weszło w życie unijne rozporządzenie o ochronie danych osobowych, powszechnie znane jako RODO. Od tego czasu minęło już kilka lat poświęconych na wdrażanie regulacji.
Obecnie każdy podmiot mający do czynienia z takimi informacjami lub zajmujący się ich przetwarzaniem, powinien doskonale znać zasady postępowania. Pomimo to wciąż pojawia się pytanie, czym są dane osobowe według RODO. Poniżej znajdziesz odpowiedź.
Czym są dane osobowe?
Pojęcie danych osobowych nie pojawiło się wraz z rozporządzeniem RODO. Stosowano je już znacznie wcześniej w różnego typu formularzach zatrudnienia, zgłoszeniach do ubezpieczeń, dokumentach medycznych, bankowych, umowach czy ankietach.
Często pojawiały się w specjalnych rubrykach umieszczanych na wstępie dokumentu. Przez dane osobowe powszechnie rozumie się informacje umożliwiające jednoznaczne określenie tożsamości osoby fizycznej. Co to oznacza w praktyce?
Wiele osób uważa, że najważniejszymi danymi osobowymi są imię i nazwisko. W rzeczywistości nie gwarantują one jeszcze potwierdzenia tożsamości konkretnej osoby. Nie ma przecież gwarancji, że w Polsce żyje tylko jeden Jan Nowak lub Piotr Kowalski. Wręcz przeciwnie, im popularniejsze imię i nazwisko, tym więcej osób się nimi identyfikuje.
Nieco większe prawdopodobieństwo stwarza połączenie imienia i nazwiska z datą urodzenia lub miejscem zamieszkania. Natomiast do danych osobowych, które umożliwiają jednoznaczną identyfikację, zalicza się numer PESEL. Jest on unikalny i przypisany do konkretnej osoby. A jakie informacje za dane osobowe uznaje unijne rozporządzenie?
Przeczytaj również jak wdrożyć RODO w firmie: https://zgodnosc.pl/2022/09/12/jak-wdrozyc-rodo-w-firmie/
Dane osobowe według RODO
Definicja danych osobowych w rozporządzeniu nie jest jednoznaczna ani wyczerpująca. Stwarza to możliwość rozległej interpretacji, a także ciągłego rozszerzania listy takich informacji. Wynika to z faktu, że wciąż ewoluują nowoczesne technologie i pojawiają się nowe możliwości identyfikowania ludzi.
Obecnie do pisemnych danych dochodzą też np. nagrania wideo oraz zdjęcia w sieci czy przesyłane telefonicznie, na których widać twarz i znaki szczególne (np. tatuaż). Dlatego też rozporządzenie zostawia furtkę dla nowych form takich danych. Za podstawowe dane osobowe uważa się:
- imię i nazwisko,
- numer PESEL,
- numery dokumentów tożsamości (dowód osobisty, paszport, prawo jazdy),
- dane o zamieszkaniu stałym lub czasowym (dane o lokalizacji),
- identyfikator internetowy (adres poczty elektronicznej lub profilu zawierającego imię i nazwisko),
- zespół cech określających tożsamość osoby – fizyczną, genetyczną, kulturową, społeczną, ekonomiczną, psychiczną, fizjologiczną.
Możliwość jednoznacznej identyfikacji danej osoby fizycznej pojawia się w wielu sytuacjach. Zazwyczaj potrzeba do tego celu więcej informacji, jednak w niektórych okolicznościach wystarczą jedna czy dwie.
Oto przykład: Polak, Azjata z pochodzenia, jest zatrudniony w jednej firmie na terenie małej miejscowości. W takim przypadku do wskazania tej osoby wystarczą jedynie rasa i miejsce zamieszkania lub rasa i zatrudnienie.
Takie sytuacje sprawiają, że przy przestrzeganiu przepisów RODO zaleca się – tak na wszelki wypadek – traktowanie jako dane osobowe wszystkich informacji o konkretnej osobie.
Dowiedz się również dlaczego warto zrobić szkolenie RODO dla pracowników: https://zgodnosc.pl/2022/11/28/dlaczego-warto-zrobic-szkolenie-rodo-dla-pracownikow/
Dane wrażliwe – szczególne kategorie danych osobowych
Ustawa o ochronie danych osobowych, poza ogólnym określeniem ich charakteru, wskazuje też na różnice w wadze takich informacji. Pod tym względem wyróżnia się dane zwykłe oraz dane wrażliwe. Czym różnią się te dwa rodzaje danych osobowych?
Pierwsza kategoria to informacje, na podstawie których można zidentyfikować konkretną osobę fizyczną. Jest to jedynie identyfikacja ogólna, wskazująca na osobę, ale taka, która nic więcej o niej nie mówi.
Natomiast dane wrażliwe to szczególne kategorie danych, które wkraczają na pole życia osobistego ich właściciela i dostarczają bardzo osobiste informacje. Zaliczają się do nich dane dotyczące:
- zdrowia,
- pochodzenia etnicznego,
- poglądów politycznych,
- poglądów religijnych,
- orientacji seksualnej,
- genetyki.
Przetwarzanie danych osobowych uznawanych za wrażliwe jest objęte szczególnymi ograniczeniami. W niemal każdym przypadku ich wykorzystanie przez podmiot jest możliwe tylko po udzieleniu zgody przez właściciela.
Wyjątkiem są sytuacje, gdy przetwarzanie danych jest niezbędne dla celów administracyjnych lub sądowych. Zawsze jednak odpowiedni organ ma obowiązek poinformować właściciela o tym fakcie. Natomiast każdy podmiot podlegający pod RODO ma obowiązek określić zakres przetwarzania danych osobowych. Dotyczy to również serwisów internetowych.
Ochrona danych osobowych
Celem, w jakim opracowano i wdrożono rozporządzenie RODO, jest ochrona danych osobowych. W praktyce nie oznacza to jednak, że chronione są wszystkie informacje wymienione na przedstawionej wcześniej liście.
Dokument zakłada, że aby uznać je za wymagające ochrony, trzeba ocenić możliwości dokonania identyfikacji ich właściciela bez ponoszenia wysokich kosztów czy stosowania zaawansowanych technik. Przykładowo dla służb mundurowych zespół cech fizycznych konkretnej osoby stanowi wystarczającą podstawę do jej identyfikacji z wykorzystaniem własnych baz danych. Jednak dla przeciętnego człowieka taka identyfikacja jest nie tylko trudna, ale wręcz niemożliwa.
