Czym są dane osobowe? To jedno z podstawowych pytań w obszarze RODO, a jednocześnie jedno z tych, na które w praktyce bardzo często odpowiada się zbyt wąsko. Wielu przedsiębiorców nadal zakłada, że dane osobowe to wyłącznie imię, nazwisko, PESEL albo adres zamieszkania. Tymczasem prawna definicja jest znacznie szersza i obejmuje nie tylko informacje identyfikujące człowieka wprost, ale również takie, które pozwalają ustalić jego tożsamość pośrednio.
Zapraszamy do współpracy
Szczegółowe informacje o ofercie i warunkach współpracy można uzyskać telefonicznie lub wysyłając zapytanie za pomocą formularza kontaktowego.
Właśnie dlatego błędne rozumienie tego pojęcia prowadzi później do kolejnych problemów: źle określonych podstaw przetwarzania, niepełnych klauzul informacyjnych, błędnych założeń w marketingu, niewłaściwej oceny ryzyka albo nieprawidłowego wdrożenia środków bezpieczeństwa. W praktyce pytanie, czym są dane osobowe, nie jest więc akademickim wstępem do RODO, lecz jednym z fundamentów całego systemu zgodności.
Czym są dane osobowe w rozumieniu RODO
RODO definiuje dane osobowe jako wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Już samo to sformułowanie pokazuje, że ustawodawca nie ograniczył ochrony wyłącznie do najbardziej oczywistych identyfikatorów. Znaczenie ma nie tylko to, czy dana informacja wskazuje konkretną osobę bezpośrednio, ale również to, czy można ją z tą osobą powiązać przy użyciu innych dostępnych danych.
To bardzo ważne rozróżnienie. Jeżeli organizacja patrzy na dane wyłącznie przez pryzmat PESEL-u, numeru dowodu albo pełnego imienia i nazwiska, bardzo łatwo przeoczy szereg informacji, które również podlegają ochronie. W praktyce zakres pojęcia danych osobowych jest znacznie szerszy niż potoczne wyobrażenie o „danych wrażliwych” czy „danych formalnych”.
Nie tylko imię, nazwisko i PESEL
Jednym z najczęstszych błędów jest założenie, że brak numeru PESEL albo adresu zamieszkania oznacza automatycznie brak danych osobowych. To nieprawidłowe podejście. Danymi osobowymi mogą być również adres e-mail, numer telefonu, wizerunek, adres IP, identyfikator internetowy, dane o lokalizacji, numer klienta, identyfikator użytkownika, nagranie głosu, historia kontaktu z działem obsługi czy nawet zestaw kilku informacji, które dopiero łącznie pozwalają ustalić, kogo dotyczą.
W praktyce nie decyduje więc sama forma informacji, lecz jej funkcja. Jeżeli dana informacja prowadzi do konkretnej osoby fizycznej albo pozwala ją zidentyfikować przy użyciu innych danych, bardzo często będzie należało uznać ją za dane osobowe. To właśnie dlatego pojęcie to ma charakter tak szeroki i wymaga analizy kontekstu, a nie tylko pojedynczego pola w formularzu.
Czym są dane osobowe, gdy identyfikacja następuje pośrednio
To jeden z najważniejszych aspektów całej definicji. Odpowiadając na pytanie, czym są dane osobowe, nie można ograniczać się wyłącznie do przypadków identyfikacji bezpośredniej. RODO wyraźnie obejmuje także sytuacje, w których osoba może zostać zidentyfikowana pośrednio.
W praktyce oznacza to, że pojedyncza informacja może na pierwszy rzut oka wydawać się neutralna, ale w określonym środowisku organizacyjnym pozwolić na bardzo precyzyjne wskazanie konkretnego człowieka. Może to być identyfikator klienta, numer sprawy, login pracownika, służbowy adres e-mail, numer urządzenia albo zestaw informacji o stanowisku, lokalizacji i godzinach aktywności. Jeżeli ich połączenie umożliwia rozsądnie prawdopodobną identyfikację osoby, mamy do czynienia z danymi osobowymi.
To właśnie w tym miejscu wiele firm popełnia błąd. Analizują każdą informację osobno, zamiast ocenić, czy w realiach danego procesu możliwe jest ustalenie tożsamości przy użyciu innych zasobów, które już posiadają. Tymczasem ochrona danych nie dotyczy wyłącznie informacji „samowystarczalnych”, lecz również tych, które w konkretnym układzie prowadzą do człowieka pośrednio.
Granica jest szersza, niż podpowiada intuicja
W praktyce biznesowej nadal bardzo często spotyka się myślenie, że skoro dana informacja nie brzmi jak klasyczna dana osobowa, to nie podlega RODO. To założenie jest ryzykowne. W wielu przypadkach to właśnie dane techniczne, operacyjne albo marketingowe stają się danymi osobowymi, ponieważ pozwalają administratorowi śledzić aktywność, profilować użytkownika albo odtworzyć jego tożsamość.
Dlatego odpowiedź na pytanie, czym są dane osobowe, musi być budowana nie tylko na podstawie katalogu przykładów, lecz przede wszystkim na podstawie kryterium identyfikowalności. Jeżeli informacja odnosi się do osoby fizycznej i istnieje realna możliwość przypisania jej do tej osoby, w praktyce bardzo często będzie to dana osobowa, nawet jeśli nie zawiera najbardziej oczywistych identyfikatorów.
Czy dane firmowe to też dane osobowe
To kolejne zagadnienie, które budzi w praktyce wiele nieporozumień. Nie każda informacja o przedsiębiorstwie stanowi dane osobowe. Sama nazwa spółki, numer KRS czy adres siedziby osoby prawnej nie są co do zasady danymi osobowymi, ponieważ nie odnoszą się do osoby fizycznej jako takiej.
Sytuacja zmienia się jednak wtedy, gdy dane „firmowe” prowadzą do konkretnego człowieka. Dotyczy to zwłaszcza jednoosobowych działalności gospodarczych, bezpośrednich danych kontaktowych pracowników, członków organów, przedstawicieli handlowych czy osób obsługujących klientów. Firmowy adres e-mail w postaci imię.nazwisko@firma.pl, bezpośredni numer telefonu do pracownika albo podpis w korespondencji służbowej bardzo często będą danymi osobowymi, ponieważ pozwalają ustalić, do kogo konkretnie odnoszą się te informacje.
Właśnie dlatego automatyczne przeciwstawianie „danych firmowych” i „danych osobowych” jest zbyt daleko idącym uproszczeniem. W praktyce trzeba zawsze zbadać, czy dana informacja dotyczy osoby fizycznej i czy pozwala ją zidentyfikować.
Czym są dane osobowe w internecie i systemach cyfrowych
W środowisku cyfrowym problem staje się jeszcze bardziej złożony. Dane osobowe bardzo często nie mają tam postaci klasycznych danych identyfikacyjnych, lecz przybierają formę identyfikatorów technicznych, danych lokalizacyjnych, loginów, historii aktywności, informacji o urządzeniu czy adresów IP. Dla wielu organizacji to właśnie ten obszar jest najbardziej problematyczny, ponieważ granica między danymi technicznymi a danymi osobowymi nie zawsze jest intuicyjna.
Jeżeli jednak określony identyfikator pozwala wyróżnić użytkownika, śledzić jego zachowania, przypisać mu określone działania albo połączyć go z innymi informacjami znajdującymi się w systemie, bardzo często będzie należało uznać, że mamy do czynienia z danymi osobowymi. W praktyce cyfrowej odpowiedź na pytanie, czym są dane osobowe, musi więc uwzględniać nie tylko klasyczne dokumenty i formularze, ale także architekturę systemów, analitykę, logi i narzędzia marketingowe.
Gdzie kończą się dane osobowe, a zaczyna anonimowość
Nie każda informacja podlega RODO. Dane anonimowe, czyli takie, których nie można powiązać ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, nie są objęte przepisami o ochronie danych osobowych. W teorii granica wydaje się prosta. W praktyce bywa znacznie trudniejsza do uchwycenia.
Bardzo wiele organizacji zbyt szybko uznaje dane za anonimowe tylko dlatego, że usunęły imię i nazwisko. To jednak nie wystarcza. Jeżeli nadal istnieje możliwość ponownego ustalenia tożsamości przy użyciu dodatkowych informacji, klucza powiązań, numeru referencyjnego albo innych zasobów, dane nadal mogą mieć charakter osobowy. Sama redukcja najbardziej oczywistych identyfikatorów nie oznacza jeszcze wyjścia poza reżim RODO.
Pseudonimizacja to nie anonimizacja
To rozróżnienie ma duże znaczenie praktyczne. Pseudonimizacja polega na takim przetworzeniu danych, aby bez użycia dodatkowych informacji nie można było przypisać ich konkretnej osobie. Jest to ważny środek bezpieczeństwa i element ograniczania ryzyka, ale nie oznacza, że dane przestają być danymi osobowymi.
Anonimizacja prowadzi dalej. Dopiero wtedy, gdy ustalenie tożsamości nie jest już realnie możliwe, można mówić o danych anonimowych, które nie podlegają RODO. W praktyce wiele organizacji myli te dwa pojęcia, co później prowadzi do błędnych założeń dotyczących obowiązków administratora, zakresu zabezpieczeń czy zasad dalszego wykorzystania danych.
Dlaczego prawidłowe rozumienie definicji ma tak duże znaczenie
Pytanie, czym są dane osobowe, ma konsekwencje dalece wykraczające poza samą definicję. Od odpowiedzi na nie zależy, czy trzeba spełnić obowiązek informacyjny, ustalić podstawę prawną przetwarzania, zawrzeć umowę powierzenia, wdrożyć określone środki bezpieczeństwa, prowadzić odpowiednią dokumentację oraz realizować prawa osób, których dane dotyczą.
Jeżeli organizacja zbyt wąsko rozumie dane osobowe, zwykle zbyt późno dostrzega swoje obowiązki. Jeżeli rozumie je zbyt szeroko i bezrefleksyjnie, może z kolei tworzyć nadmiarowe procesy i zbędne formalizmy. Dojrzałe podejście wymaga więc nie tyle mechanicznego powtarzania definicji, ile umiejętności prawidłowej oceny konkretnych przypadków.
Czym są dane osobowe w praktyce organizacji
W praktyce odpowiedź jest prostsza, niż mogłoby się wydawać: są to wszystkie informacje, które dotyczą człowieka i pozwalają go zidentyfikować bezpośrednio albo pośrednio. Nie chodzi wyłącznie o dane oczywiste, formalne czy urzędowe. Chodzi również o informacje cyfrowe, operacyjne, kontaktowe, wizerunkowe czy organizacyjne, jeśli prowadzą do konkretnej osoby fizycznej.
To właśnie dlatego pytanie, czym są dane osobowe, powinno być stawiane na samym początku projektowania procesów. Nie wtedy, gdy formularz już działa, kampania marketingowa została uruchomiona, a baza danych zbudowana, lecz znacznie wcześniej, czyli na etapie założeń, architektury procesu i oceny ryzyka.
Podsumowanie
Czym są dane osobowe? To wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Mogą to być zarówno klasyczne identyfikatory, takie jak imię i nazwisko czy numer PESEL, jak i adres e-mail, numer telefonu, adres IP, dane lokalizacyjne, wizerunek, identyfikator klienta albo zestaw informacji, który pozwala ustalić tożsamość pośrednio.
Największy błąd praktyczny polega na tym, że pojęcie to nadal bywa rozumiane zbyt wąsko. Tymczasem RODO patrzy nie przez pryzmat tego, jak dana informacja wygląda, lecz przez pryzmat tego, czy prowadzi do człowieka. Właśnie dlatego prawidłowe zrozumienie, czym są dane osobowe, stanowi jeden z fundamentów zgodnego i dojrzałego podejścia do ochrony danych w każdej organizacji.
| Redakcja BPPZ.pl
