Tło strzałki Strzałka
0 0
dni
0 0
godz
0 0
min
0 0
sek

RODO - czyli jakie dane podlegają ochronie danych osobowych?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Czas na wdrożenie RODO dawno minął. Aktualnie przepisy rozporządzenia powinny być już doskonale znane i stosowane w przypadkach przetwarzania danych osobowych. Mimo to wciąż dochodzi do wielu nieporozumień i wysuwania roszczeń, które nie mają żadnego uzasadnienia w przepisach unijnych. Nagminnie mają miejsce sytuacje, gdy osoba fizyczna żąda usunięcia jej danych, mimo że RODO na to nie zezwala, np. ze względów archiwalnych, sądowych czy z uwagi na cele publiczne. Niekiedy informacje, co do których wysuwane są roszczenia, w ogóle nie stanowią danych osobowych w rozumieniu rozporządzenia. Tą ostatnią kwestią zajmiemy się w niniejszym artykule. Wyjaśnimy, jakie informacje stanowią dane osobowe, kiedy podlegają ochronie, a kiedy są spod niej wyłączone.

Co to są dane osobowe?

RODO nie wprowadziło wyczerpującej definicji danych osobowych, nie wskazało także zamkniętego katalogu informacji, jakie powinny być chronione prawem wspólnotowym. Przepis art. 4 ust. 1 rozporządzenia wskazuje jedynie, że dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie:

  • imienia i nazwiska;
  • numeru identyfikacyjnego – PESEL, numeru dowodu osobistego, paszportu itp.;
  • danych o lokalizacji;
  • identyfikatora internetowego – np. adresu e-mail lub nazwy profilu założonego na portalu społecznościowym zawierającej imię i nazwisko właściciela;
  • cech określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Powyższe oznacza, że katalog ten jest otwarty i za daną osobową może zostać uznana każda informacja o danej osobie fizycznej, na podstawie której istnieje możliwość jej jednoznacznego zidentyfikowania.

Elementy danej osobowej – jak rozróżniać informacje podlegające pod RODO?

Naturalne jest, że nie wszystkie dane mogące określać dany podmiot, mogą być traktowane jako dane osobowe. Mimo to, od wejścia rozporządzenia w życie forsowane jest stanowisko, że dla lepszego zabezpieczenia praw osób, których dane są przetwarzane, administratorzy powinni domyślnie traktować wszystkie przetwarzane informacje jako dane osobowe, jeżeli nie mogą z całkowitą pewnością wykluczyć ich osobowego charakteru. Oznacza to, że interpretując pojęcie danych osobowych, powinno się rozumieć je w sposób jak najbardziej szeroki.

Wskazana na wstępie definicja danych osobowych zawiera 3 kluczowe elementy, które są wymagane, aby dana informacja mogła być traktowana jako dana osobowa. Przede wszystkim dana osobowa jest informacją, musi dotyczyć osoby fizycznej, a także osoba, której dana dotyczy, musi być na jej podstawie zidentyfikowana.

Informację należy rozumieć jako „niematerialne, przenoszalne dobro zmniejszające niepewność” (por. Ochrona danych osobowych w Internecie rzeczy w prawie UE, 2022, dr Michał Mostowik). Wyrażona może zostać w dowolny sposób, m.in. jako tekst pisany, komunikat elektroniczny lub zwrot ustny. Nie jest przy tym wymagane, aby istniała możliwość zapisania informacji. Mimo to w praktyce najczęściej dane osobowe są utrwalane w formie słownej (imię i nazwisko), numerycznej (PESEL) lub biometrycznej (odcisk palca). Co więcej, aby zakwalifikować informację jako daną osobową, nie musi być ona powszechnie zrozumiała, stąd też danymi osobowymi będą informacje, które zostały w trakcie przetwarzania zaszyfrowane, poddane tokenizacji lub zapisane w nietypowym formacie pliku.

Kiedy informacja o osobie fizycznej nie będzie daną osobową?

Dane osobowe to informacje, które pozwalają zidentyfikować tożsamość konkretnej osoby. Proces „identyfikacji” nie został określony przez ustawodawcę. Rozporządzenie zawiera jednak zapis, że informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Oznacza to zatem, że dane niejednoznaczne, które mogłyby doprowadzić do identyfikacji osoby, jednakże wiązałoby się to z koniecznością posiadania ponadprzeciętnej wiedzy lub profesjonalnych umiejętności w tym zakresie nie są chronione przez RODO. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebny do jej zidentyfikowania oraz uwzględnić zarówno technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Np. dla zwykłego człowieka posiadanie wiedzy o imieniu obcego człowieka, jego lokalizacji czy cechach budowy nie jest wystarczające, aby ustalić jego tożsamość. Owszem, w przypadku podjęcia skomplikowanych, czasochłonnych i kosztownych działań operacyjnych (stosowanych przez służby mundurowe czy organy wywiadowcze), istnieje prawdopodobieństwo, że taka osoba zostanie zidentyfikowana, nie przesądza to jednak, że informacje te można traktować jako dane osobowe. Powyższe potwierdza motyw 26 preambuły RODO, zgodnie z którym „aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej”.

RODO a dane osób prawnych

Informacjami podlegającymi pod RODO są tylko te, które dotyczą osób fizycznych. Oznacza to, że chronione nie są dane osób prawnych i innych jednostek organizacyjnych, którym ustawa nadaje zdolność prawną, a także zwierząt, przedmiotów oraz zjawisk przyrodniczych. Rozporządzenie jednoznacznie wskazuje w motywie 14 preambuły, że „nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej”. Ochrona prawna została zatem wyłączona wobec informacji przetwarzanych w związku z funkcjonowaniem osoby prawnej. Co do zasady jednak informacje o osobach fizycznych, mimo że pozostają w ścisłym powiązaniu z osobami prawnymi czy innymi podmiotami gospodarczymi, w dalszym ciągu pozostają danymi osobowymi. Kontekst gospodarczy czy zawodowy nie przekreśla utrzymywania danych prywatnych pod ochroną RODO. Np. nazwa spółki z ograniczoną odpowiedzialnością nie znajduje się pod ochroną przepisów rozporządzenia, jednakże imiona i nazwiska członków zarządu są traktowane jako dane osobowe.

Podobnie dzieje się w przypadku osób fizycznych prowadzących działalność gospodarczą zarejestrowanych w Centralnej Ewidencji i Informacji o Działalności Gospodarczej. Podkreśla się, że istotą prowadzenia działalności gospodarczej na podstawie wpisu w CEIDG jest funkcjonowanie przedsiębiorców w obrocie gospodarczym jako osób fizycznych. Za taką interpretacją przemawia również brak użycia przez ustawodawcę zwrotu „przedsiębiorca”, a posługiwanie się określeniem „osób prawnych”, „podmiotów gospodarczych” czy też „mikro, małych i średnich przedsiębiorstw”. W związku z tym przepisy rozporządzenia znajdują zastosowanie w całości do danych osobowych dotyczących osób fizycznych samodzielnie prowadzących działalność gospodarczą.

Dane osobowe wyłączone spod RODO

Z powyższych akapitów wiemy, że wszystkie informacje o osobach fizycznych, które mogą służyć do ich identyfikacji, są chronione rozporządzeniem. Ustawodawca unijny uznał jednak, że w niektórych ściśle określonych sytuacjach dane takie przestają mieć walor danych osobowych. Katalog ten znalazł się w art. 2 ust. 2 RODO. Zgodnie z tym przepisem rozporządzenie nie ma zastosowania do przetwarzania danych osobowych:

  1. w ramach działalności nieobjętej zakresem prawa Unii;
  2. przez państwa członkowskie w ramach wykonywania wspólnej polityki zagranicznej i bezpieczeństwa;
  3. przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom;
  4. przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze – chodzi tu o działalności o charakterze czysto osobistym lub domowym, czyli bez związku z działalnością zawodową lub gospodarczą. Przepisy rozporządzenia nie są stosowane do czynności związanych m.in. z dokonywaniem operacji na książkach adresowych znajdujących się w notatnikach czy komputerowych programach pocztowych oraz w telefonach komórkowych. W motywie 18 preambuły RODO wskazano, że „działalność osobista lub domowa może między innymi polegać na korespondencji i przechowywaniu adresów, podtrzymywaniu więzi społecznych oraz działalności internetowej podejmowanej w ramach takiej działalności”.

Inne przypadki ograniczenia RODO

Z przypadkiem nieokreślonym w przepisach RODO, lecz znajdującym się w samej preambule, mamy do czynienia w motywie 27. Zgodnie z jego treścią przepisy rozporządzenia nie mają zastosowania do danych osób zmarłych. Chronione nie są zatem dane osobowe osoby zmarłej umieszczane na tzw. klepsydrach informujących o zgonach oraz na nagrobkach.

Wyłączenia mogą wynikać również ze szczegółowych przepisów krajowych. Jednym z takich wypadków jest ustawa – Prawo prasowe. Zgodnie z nim do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych, a także do wypowiedzi w ramach działalności literackiej lub artystycznej nie stosuje się przepisów o przetwarzaniu danych osobowych.

Jakie dane nie podlegają pod RODO?

Co do zasady przepisy RODO chronią wszelkie informacje określające osoby fizyczne, dzięki którym osoby te mogą zostać zidentyfikowane. Informacji nie uważa się jednak za umożliwiające określenie tożsamości osoby i tym samym podlegających pod przepisy rozporządzenia, jeżeli ustalenie tożsamości wymagałoby nadmiernych kosztów, czasu lub działań. Dodatkowo regulacja unijna nie obejmuje swoim zakresem danych o osobach prawnych i innych jednostkach organizacyjnych nieposiadających osobowości prawnej, którym ustawa nadaje zdolność prawną. Inaczej jest jednak z przedsiębiorcami zarejestrowanymi w CEIDG. W związku z tym, że są to osoby fizyczne prowadzące działalność gospodarczą, ustawodawca unijny uznał, że nie można ich dyskryminować tylko ze względu na prowadzenie przez nich działalności.

Dodatkowo RODO wprowadziło uregulowania, na mocy których niektóre informacje, mimo że dotyczą osoby fizycznej, są wyjęte spod regulacji. Będzie tak m.in. w przypadkach, gdy dana osoba nie żyje bądź gdy dane osobowe przetwarzane są przez inną osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze, w ramach działalności nieobjętej zakresem prawa Unii oraz przez właściwe organy do celów zapobiegania przestępczości.

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów