Czym są dane osobowe?
Share
Dane osobowe to temat, który w kontekście RODO pojawia się niemal wszędzie. Warto jednak zrozumieć, co tak naprawdę oznacza to pojęcie. Dane osobowe to wszelkie informacje, które pozwalają na bezpośrednią lub pośrednią identyfikację osoby fizycznej. Co to dokładnie znaczy? Przyjrzyjmy się temu bliżej.
Bezpośrednia identyfikacja – proste jak zdjęcie
Bezpośrednia identyfikacja jest stosunkowo łatwa do zrozumienia. Gdy mamy dane takie jak imię, nazwisko, numer PESEL czy zdjęcie osoby, możemy bez trudu wskazać, o kogo chodzi. To klasyczne dane osobowe, które od zawsze były chronione prawnie, jeszcze przed wprowadzeniem RODO.
Przykład:
Jeżeli mamy zdjęcie danej osoby, możemy ją rozpoznać w tłumie lub zidentyfikować, przeglądając zdjęcia w bazie danych. Podobnie działa to w przypadku imion i nazwisk – te informacje pozwalają na bezpośrednie zidentyfikowanie konkretnej osoby.
Pośrednia identyfikacja – bardziej abstrakcyjna, ale równie ważna
Największą zmianą wprowadzoną przez RODO jest zrozumienie, że dane osobowe nie ograniczają się tylko do oczywistych informacji, takich jak nazwiska czy zdjęcia. RODO wprowadza pojęcie pośredniej identyfikacji, która jest bardziej abstrakcyjna, ale równie ważna w kontekście ochrony danych.
Co to znaczy? Pośrednia identyfikacja oznacza, że możemy zidentyfikować osobę, nie znając jej imienia, nazwiska czy innych bezpośrednich danych. Przykłady takich danych to:
- Cookies – małe pliki, które przechowują informacje o Twojej aktywności na stronie.
- Metadane – informacje związane z danymi, które mogą pomóc w identyfikacji osoby.
- Dane analityczne – np. śledzenie użytkownika, który odwiedza stronę internetową w różnych dniach.
Chociaż nie znamy tożsamości użytkownika przeglądającego naszą stronę, możemy na podstawie tych danych stwierdzić, że ta sama osoba była na stronie wczoraj i dziś – to jest właśnie pośrednia identyfikacja. Pewne dane pozwalają nam na śledzenie człowieka nawet jak nie wiemy kim jest. To nowe podejście ma kluczowe znaczenie w kontekście RODO, które podkreśla, że dane takie jak cookies czy metadane również są chronione prawnie.
Przykłady danych osobowych – co może nimi być?
Dane osobowe to znacznie więcej niż imię i nazwisko. RODO jasno określa, że dane osobowe to wszelkie informacje, które mogą prowadzić do identyfikacji osoby, zarówno bezpośrednio, jak i pośrednio. Oto przykłady danych osobowych:
1. Dane identyfikacyjne:
- Imię i nazwisko
- PESEL
- Data i miejsce urodzenia
- Numer telefonu
- Adres zamieszkania
- Adres e-mail
2. Dane biometryczne:
- Odcisk palca
- Skan siatkówki oka
- Analiza głosu
3. Dane cyfrowe:
- Adres IP (szczególnie, gdy można przypisać go do konkretnego użytkownika)
- Cookies (jeśli mogą prowadzić do identyfikacji konkretnej osoby)
- Dane GPS (śledzenie lokalizacji)
- Dane analityczne dotyczące zachowań użytkownika w Internecie
4. Dane finansowe:
- Numer konta bankowego
- Numer karty kredytowej
- Historia płatności
- Informacje o zadłużeniu
5. Dane dotyczące zdrowia:
- Historia medyczna
- Wyniki badań
- Leki, które dana osoba przyjmuje
- Informacje o stanie zdrowia psychicznego
6. Dane dotyczące zatrudnienia:
- Informacje o pracodawcy
- Stanowisko pracy
- Wynagrodzenie
- Historia zatrudnienia
- Umowy o pracę
7. Inne dane:
- Płeć
- Stan cywilny
- Obywatelstwo
- Wyznanie (jeśli są ujawniane np. w dokumentach rekrutacyjnych)
- Preferencje użytkownika w mediach społecznościowych
Dane osobowe a praktyka biznesowa
Definicja danych osobowych jest bardzo szeroka W praktyce, niewiele procesów może być w pełni wolnych od przetwarzania jakichkolwiek danych osobowych. Nawet jeśli na pierwszy rzut oka nie są to "klasyczne" dane osobowe, jak nazwiska czy adresy, mogą one stać się danymi osobowymi, gdy zostaną połączone z innymi informacjami.
Przykład:
Plik cookies śledzący aktywność użytkownika na stronie internetowej sam w sobie może nie być danymi osobowymi, ale w połączeniu z innymi informacjami, takimi jak IP czy lokalizacja lub godzina wcisnięcia guzika "kupuj", może pomóc w identyfikacji konkretnej osoby. W takim przypadku, firma ma obowiązek poinformowania użytkownika o przetwarzaniu jego danych i zapewnienia, że odbywa się to zgodnie z RODO. Poinformowanie o przetwarzaniu na następnych etapach może być zbyt późne lub trudne do zrealizowania.
Pułapka szerokiej definicji
Definicja danych osobowych w RODO jest na tyle szeroka, że trudno jest powiedzieć, kiedy dane faktycznie nie są danymi osobowymi. To prowadzi do potencjalnych problemów – przedsiębiorstwa mogą nie zdawać sobie sprawy, że przetwarzają dane osobowe, co może prowadzić do nieprzestrzegania przepisów.
Każda firma powinna podchodzić do kwestii danych osobowych z dużą ostrożnością, ponieważ nawet jeżeli coś na początku nie było uważane za dane osobowe, może nimi się stać, gdy zostanie połączone z innymi informacjami. Dlatego tak ważne jest przestrzeganie obowiązków wynikających z RODO, w tym informowanie osób o przetwarzaniu ich danych osobowych. Lepiej dla świętego spokoju objąć podmiot danych osobowych ochroną wczesniej niż później.
Podsumowanie: szeroka definicja, szeroka odpowiedzialność
Dane osobowe to więcej niż imiona, nazwiska i zdjęcia. RODO jasno pokazuje, że pośrednia identyfikacja – takie jak dane analityczne, cookies czy metadane – również podlega przepisom ochrony danych osobowych. Każda firma musi mieć to na uwadze, budując swoje procesy związane z ochroną danych, aby unikać niepotrzebnych naruszeń przepisów.