Dane osobowe - co to jest i jakie informacje nimi są

Dane osobowe obejmują wszelkie informacje dotyczące osoby fizycznej, którą można zidentyfikować od razu albo pośrednio. Nie trzeba znać pełnego imienia i nazwiska. Wystarczy, że da się ustalić konkretną osobę przy użyciu informacji, którymi administrator już dysponuje lub może rozsądnie dysponować.

W praktyce warto zadać sobie trzy pytania. Po pierwsze: czy informacja dotyczy człowieka, a nie wyłącznie firmy lub rzeczy. Po drugie: czy pozwala odróżnić jedną osobę od innych. Po trzecie: czy identyfikacja jest realna przy typowych środkach organizacyjnych i technicznych, a nie całkowicie abstrakcyjna.

Jeżeli odpowiedź na te pytania jest twierdząca, trzeba przejść do kolejnego etapu: ustalić cel przetwarzania, podstawę prawną i zakres danych. Sama kwalifikacja informacji jako danych osobowych nie rozstrzyga jeszcze, czy wolno je przetwarzać, ale uruchamia obowiązek dalszej oceny zgodności z RODO.

Przed decyzją sprawdź aktualną ustawę albo kodeks, właściwy formularz, załączniki i termin wynikający z dokumentu.

Do danych osobowych najczęściej zaliczają się: imię i nazwisko, numer PESEL, adres zamieszkania, adres e-mail, numer telefonu, data urodzenia, wizerunek, numer dokumentu tożsamości, numer klienta, dane lokalizacyjne i identyfikatory internetowe. W wielu sytuacjach także służbowy adres e-mail lub numer telefonu będzie danymi osobowymi, jeśli wskazuje konkretną osobę.

Nie każda informacja będzie jednak danymi osobowymi. Sama nazwa spółki, numer KRS lub ogólny adres typu [email protected] zwykle nie identyfikuje osoby fizycznej. Podobnie informacja trwale zanonimizowana, z której nie da się odtworzyć tożsamości, co do zasady wypada poza reżim RODO.

Granica bywa płynna przy danych pośrednich. Numer rejestracyjny pojazdu, identyfikator użytkownika, login, adres IP albo historia wyszukiwania nie zawsze identyfikują osobę od razu, ale często pozwalają to zrobić po zestawieniu z innymi informacjami. Właśnie te przypadki wymagają najostrożniejszej oceny.

RODO nie traktuje wszystkich danych jednakowo. Dane zwykłe to na przykład imię, nazwisko, numer telefonu czy adres korespondencyjny. Nadal wymagają podstawy prawnej i zabezpieczeń, ale co do zasady nie należą do grupy najbardziej wrażliwych informacji.

Osobną kategorię stanowią dane szczególne, na przykład informacje o zdrowiu, pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych, przynależności związkowej, danych genetycznych, danych biometrycznych używanych do jednoznacznej identyfikacji oraz danych dotyczących seksualności lub orientacji seksualnej. Tutaj samo stwierdzenie, że administrator ma uzasadniony cel, zwykle nie wystarczy.

W praktyce znaczenie ma nie nazwa dokumentu, lecz treść. Zwykły formularz kontaktowy może zawierać dane szczególne, jeśli ktoś opisze stan zdrowia albo przekaże wyniki badań. Dlatego ocena powinna obejmować realny zakres informacji, a nie tylko typ procesu.

Nie każda informacja związana z działalnością gospodarczą lub systemem IT wchodzi w zakres danych osobowych. Jeżeli informacja dotyczy wyłącznie osoby prawnej, produktu, urządzenia lub procesu i nie da się jej przypisać do człowieka, RODO nie będzie punktem wyjścia.

Najważniejszym wyjątkiem jest anonimizacja rzeczywista, czyli taka, po której ustalenie osoby nie jest możliwe przy użyciu rozsądnych środków. To wymaga trwałego oderwania danych od tożsamości, a nie tylko usunięcia imienia i nazwiska z widoku użytkownika.

Trzeba odróżnić anonimizację od pseudonimizacji. W pseudonimizacji osoba nadal może zostać ustalona po użyciu dodatkowego klucza, rejestru lub powiązania systemowego. Taki zestaw nadal pozostaje danymi osobowymi i nadal podlega obowiązkom ochronnym.

Ocena powinna przebiegać etapami. Najpierw trzeba ustalić, jakie informacje są zbierane w formularzu, systemie, pliku, nagraniu lub korespondencji. Potem należy sprawdzić, czy w tym zbiorze występuje możliwość identyfikacji osoby fizycznej.

Jeżeli odpowiedź jest twierdząca, kolejnym krokiem jest określenie roli podmiotu: czy decyduje on o celu i sposobach przetwarzania jako administrator, czy działa na cudze zlecenie jako podmiot przetwarzający. Ta decyzja wpływa na zakres obowiązków dokumentacyjnych, informacyjnych i zabezpieczających.

Dopiero po tej kwalifikacji warto badać dalsze elementy: podstawę prawną, okres przechowywania, krąg odbiorców, zakres upoważnień i ryzyko naruszenia. Dzięki temu łatwiej uniknąć dwóch skrajności: uznania, że RODO dotyczy wszystkiego, albo że nie dotyczy niczego poza PESEL-em i adresem.

Adres zamieszkania osoby fizycznej co do zasady jest daną osobową, ponieważ prowadzi do konkretnego człowieka lub gospodarstwa domowego. Podobnie numer PESEL niemal zawsze będzie daną osobową, a przy naruszeniu poufności może tworzyć podwyższone ryzyko dla osoby, której dane dotyczą.

Adres IP wymaga oceny kontekstu. Sam dla wielu odbiorców nie pozwoli od razu wskazać imienia i nazwiska, ale w zestawieniu z danymi operatora, logami aplikacji lub historią aktywności może prowadzić do ustalenia osoby. Dlatego automatyczne uznawanie go za informację anonimową jest ryzykowne.

Dane służbowe też nie są wyłączone z ochrony tylko dlatego, że pojawiają się w pracy. Jeżeli służbowy e-mail, stopka, numer telefonu lub identyfikator pracownika pozwala ustalić konkretną osobę fizyczną, nadal mówimy o danych osobowych. Inaczej może być ze skrzynką działową albo adresem recepcji, o ile rzeczywiście nie wiąże się on z jedną osobą.

Wizerunek także bywa danymi osobowymi, gdy pozwala rozpoznać osobę. Zdjęcie legitymacyjne, nagranie z monitoringu lub fotografia z wydarzenia trzeba więc oceniać nie według formatu pliku, lecz według możliwości identyfikacji.

Pierwszy błąd to zbyt wąskie rozumienie danych osobowych. W praktyce nie chodzi wyłącznie o PESEL, dowód osobisty i adres zamieszkania. Dane internetowe, identyfikatory klienta, zapisy rozmów, logi i metadane także mogą podlegać ochronie.

Drugi błąd to utożsamianie pseudonimizacji z anonimizacją. Zamiana nazwiska na numer, token lub hash nie usuwa obowiązków, jeśli istnieje możliwość odwrócenia procesu lub powiązania rekordu z osobą.

Trzeci błąd dotyczy danych służbowych. To, że informacja pojawia się w relacji zawodowej, nie znaczy jeszcze, że przestaje być danymi osobowymi. Jeżeli wskazuje konkretnego pracownika, współpracownika albo przedsiębiorcę prowadzącego działalność jako osoba fizyczna, ochrona nadal może działać.

Czwarty błąd to zbieranie danych na zapas. Nawet poprawnie zakwalifikowane dane osobowe nie powinny być gromadzone bez określonego celu, podstawy i czasu przechowywania. Minimalizacja danych jest praktycznym filtrem, który ogranicza ryzyko jeszcze przed wdrożeniem zabezpieczeń.

Jeżeli masz zdecydować, czy wdrażać klauzulę informacyjną, umowę powierzenia, ograniczenie dostępu albo procedurę retencji, najpierw uporządkuj stan faktyczny. Samo pytanie, czy coś jest daną osobową, to dopiero początek analizy.

Najlepiej przejść przez krótki zestaw pytań kontrolnych: kogo dotyczą informacje, czy identyfikacja jest możliwa, jaki jest cel przetwarzania, kto podejmuje decyzje, kto ma dostęp i jak długo dane mają być potrzebne. Dopiero po takim uporządkowaniu można rozsądnie zdecydować, czy potrzebna jest dalsza dokumentacja lub zmiana procesu.

Taka metoda daje praktyczną korzyść: rozdziela problem kwalifikacji danych od problemu legalności ich przetwarzania. Dzięki temu łatwiej uniknąć chaosu organizacyjnego i zbyt ogólnych odpowiedzi.