Poradnik Przedsiębiorcy

Które informacje stanowią dane osobowe w świetle RODO?

Prowadzenie działalności gospodarczej nieodzownie wiąże się z gromadzeniem informacji dotyczących klientów oraz kontrahentów. Niektóre z tych informacji stanowią dane osobowe,  wówczas przedsiębiorca ma obowiązek zapewnić im stosowną ochronę. Wymaga tego nie tylko profesjonalizm, lecz także przepisy prawa nadające przedsiębiorcy rolę administratora danych osobowych. Co kryje się pod pojęciem „dane osobowe”? Wyjaśniamy poniżej.

Dane osobowe – definicja ustawowa

Ustawowa definicja pojęcia „dane osobowe” została zawarta w art. 6 ust. 1 ustawy  z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883 ze zm.; dalej: u.o.d.o.), zgodnie z którym za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 

Ust. 2 przywołanego przepisu stanowi, iż osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Natomiast informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ust. 3 u.o.d.o).

25 maja 2018 roku weszła w życie nowa ustawa o ochronie danych osobowych, zastępująca dotychczasowe regulacje, jednakże przepis ten, wyjątkowo, zachował moc, w związku z czym definicja legalna omawianego pojęcia nie zmieniła się.

Ustawodawca formułując legalną definicję danych osobowych, posłużył się klauzulą generalną, zawierającą zwrot niedookreślony, przez co katalog informacji będących danymi osobowymi ma charakter otwarty. Zakwalifikowanie danej informacji do zbioru danych osobowych wymaga indywidualnej oceny, czy w określonych okolicznościach przy użyciu konkretnych środków umożliwia ona  zidentyfikowanie osoby fizycznej.

Najczęściej pojedyncze informacje, które są bardzo ogólne (np. wysokość wynagrodzenia) nie są danymi osobowymi. Stają się one nimi wówczas, gdy zostaną zestawione łącznie i pozwalają na dokładne określenie, której osoby dotyczą. Np. informacja o wysokości wynagrodzenia zestawiona z danymi adresowymi i imieniem.

Jednak zdarza się, że nawet pojedyncza informacja może stanowić dane osobowe. Tak jest w przypadku numeru PESEL, który zgodnie z art. 15 ust. 2 ustawy z dnia 24 września 2010 r. o ewidencji ludności (Dz. U. z 2015 r. poz. 388) jest 11-cyfrowym symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną, w którym sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), kolejne cztery – liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną służącą do elektronicznej kontroli poprawności nadanego numeru ewidencyjnego.

Dane osobowe według RODO

25 maja 2018 r. również weszło w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. rozporządzenie RODO).

Zgodnie z art. 4 rozporządzenia RODO dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”).

Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak:

  • imię i nazwisko,

  • numer identyfikacyjny,

  • dane o lokalizacji,

  • identyfikator internetowy lub

  • jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

W preambule rozporządzenia RODO wskazano, że „Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych”.

W rozporządzeniu RODO określono dwie kategorie danych osobowych: tzw. dane osobowe zwykłe oraz dane osobowe zaliczające się do szczególnych kategorii danych (dawniej tzw. dane wrażliwe), do których zalicza się dane ujawniające:

  • pochodzenie rasowe lub etniczne,

  • poglądy polityczne, przekonania religijne lub światopoglądowe,

  • przynależność do związków zawodowych,

  • dane genetyczne,

  • dane biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej,

  • dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

Dane osobowe, które nie należą do żadnej z wyżej wymienionych kategorii, to dane zwykłe.

Czy dane osobowe dotyczą również osób prawnych?

Nie, dane osobowe dotyczą wyłącznie osób fizycznych.

Czy adres poczty elektronicznej jest daną osobową?

Dane osobowe są to nie tylko takie informacje, które pozwalają bezpośrednio na określenie tożsamości konkretnej osoby, lecz także takie, które przy pewnym nakładzie kosztów, czasu lub działań będą wystarczające do jej zidentyfikowania.

Biorąc pod uwagę powyższe, należy stwierdzić, iż co do zasady adres poczty elektronicznej nie stanowi danej osobowej w rozumieniu art. 6 ust. 1 u.o.d.o. Natomiast  jeżeli w jego treści będą zawarte takie informacje, które pozwalają bez nadmiernych kosztów, czasu lub działań na ustalenie na ich podstawie tożsamości danej osoby, można będzie uznać go za daną osobową.

Przykład 1.

Adres e-mail: jan.kowalski@o2.pl nie stanowi danych osobowych.

Adres e-mail: jan.kowalski@nazwafirmy.com może stanowić dane osobowe.

Czy adres IP komputera jest daną osobową?

Grupa Robocza ds. Ochrony Danych powołana przez Parlament Europejski i Radę Europejską  przyjęła, iż adres IP komputera należy uznać za dane dotyczące osoby możliwej do zidentyfikowania, stwierdzając, że: "dostawcy usług internetowych oraz menedżerowie lokalnych sieci mogą, stosując rozsądne środki, zidentyfikować użytkowników internetu, którym przypisali adresy IP, ponieważ systematycznie zapisują w plikach daty, czas trwania oraz dynamiczny adres IP (czyli ulegający zmianie po każdym zalogowaniu) przypisany danej osobie. To samo odnosi się do dostawców usług internetowych, którzy prowadzą rejestr (logbook) na serwerze HTTP. Nie ma wątpliwości, że w takich przypadkach można mówić o danych osobowych, w rozumieniu art. 2 Dyrektywy".

Co powinien zrobić przedsiębiorca, jeżeli okazało się, że gromadzone przez niego informacje są danymi osobowymi?

Przede wszystkim należy podkreślić, że przedsiębiorca, który w toku prowadzenia działalności gospodarczej wykorzystuje dane osobowe – z mocy prawa staje się ich administratorem.

W pierwszej kolejności przedsiębiorca powinien określić, jakiego rodzaju dane osobowe przetwarza (czy są to dane zwykłe czy szczególne kategorie danych).

Następnie należy się upewnić, czy gromadzenie określonej kategorii danych w firmie jest uzasadnione, a jeżeli ich dalsze przetwarzanie jest konieczne, należy wypełnić obowiązki administratora danych osobowych.

Zgodnie z art. 36 ustawy  z dnia 29 sierpnia 1997 r. o ochronie danych osobowych do zadań administratora danych osobowych należy:

  • stosowanie środków technicznych i organizacyjnych zapewniających  ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem;

  • prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środków zapewniających ochronę danych osobowych.