Od kilku lat w Polsce jak i innych krajach UE obowiązują przepisy RODO, czyli unijnego rozporządzenia, które w sposób kompleksowy reguluje przetwarzanie danych osobowych i zapewnia im niezbędną ochronę prawną. Dla wielu przedsiębiorców przetwarzających dane osobowe klientów i kontrahentów przepisy te, m.in. z uwagi na specyfikę języka prawnego, pozostają często niezrozumiałe. W niniejszym artykule skupimy się na wyjaśnieniu dwóch podstawowych kwestii. Czym w ogóle są dane osobowe i na czym polega ich przetwarzanie?
Czym są dane osobowe?
Zakres pojęcia danych osobowych jest niezwykle szeroki i obejmuje wszelkie informacje, na podstawie których można – choćby pośrednio – zidentyfikować daną osobę. Danymi osobowymi są zatem nie tylko imię i nazwisko, numer PESEL, numer dowodu tożsamości, adres zamieszkania czy data urodzenia, ale także np. numer telefonu, adres e-mailowy, wykonywany zawód i wysokość wynagrodzenia, stan cywilny, login do Facebooka, adres IP czy unikalny identyfikator reklamowy nadany smartfonowi użytkownika przez Google Play (w przypadku urządzeń obsługiwanych przez system Android) lub Apple iOS (dla iPhone’ów). Informacje te pozwalają bowiem – w mniej lub bardziej skomplikowany sposób – na ustalenie tożsamości konkretnej osoby. Podkreślić należy, że katalog danych osobowych jest otwarty, tj. prawodawca w żaden sposób nie ogranicza ich ilości oraz rodzajów. Jeśli dana informacja pozwala zidentyfikować konkretnego człowieka, jest daną osobową w świetle RODO.
Jakie informacje nie są danymi osobowymi?
Informacja, która nie pozwala na identyfikację osoby fizycznej, nie wchodzi w zakres danych osobowych. Danymi osobowymi nie będą zatem informacje niepełne, tj. np. samo imię, nazwa ulicy czy pierwsze dwie litery numeru rejestracyjnego pojazdu, bowiem o ile mogą się one odnosić do konkretnej osoby i mogą pomóc przy jej identyfikacji, to jednak nakład czasu, sił i kosztów jest na tyle nieproporcjonalny do oczekiwanego rezultatu, że niezbyt prawdopodobne byłoby ich wykorzystanie w tym celu. Przykładowo: jeśli chcemy ustalić tożsamość osoby podpisującej internetową petycję, nie wystarczą podane w formularzu imię i wiek (np. Maciek, 20 lat), ale konieczne będą dodatkowe informacje, np. numer IP. Danymi osobowymi nie są także dane dotyczące osób innych niż fizyczne, tj. osób prawnych (np. dane spółek zamieszczone w KRS-ie) oraz tzw. ułomnych osób prawnych (np. adres i numer konta wspólnoty mieszkaniowej, adres szkoły, NIP spółki osobowej).
Jakie mamy rodzaje danych osobowych?
Istnieją trzy podstawowe kategorie danych osobowych. Pierwszą są tzw. zwykłe dane osobowe, tj. wszystkie dane, których nie można zaklasyfikować do pozostałych kategorii. Będa to np.: imię i nazwisko, PESEL czy adres zamieszkania. Drugą stanowią tzw. dane wrażliwe (opisane poniżej), a trzecią – dane dotyczące wyroków skazujących oraz czynów zabronionych i in. Będą to np. informacje z Krajowego Rejestru Karnego, jak i niezanonimizowane treści wyroków sądów cywilnych w zakresie popełnionych deliktów.
Czym są tzw. dane wrażliwe?
Szczególnym rodzajem danych osobowych są tzw. dane wrażliwe, czyli informacje ujawniające: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby. Z pewnymi ściśle określonymi wyjątkami przetwarzanie tego typu danych jest zabronione. Dla przykładu, w formularzu aplikacyjnym na stanowisko w korporacji pracodawca nie może wymagać podania przez aplikującego Jana Nowaka informacji takich jak: „rasa kaukaska”, „liberał”, „agnostyk”, „należący do NSZZ Solidarność”, „177 cm wzrostu”, „80 kg wagi”, „grupa krwi ARh+”, określenia struktury kodu genetycznego czy załączenia pliku ze skanem odcisku palca lub zdjęciem.
Na czym polega przetwarzanie danych osobowych?
Skoro wiemy już, czym są, a czym nie są dane osobowe, o których mowa w RODO, należy wyjaśnić, na czym polega ich przetwarzanie. Przetwarzaniem danych osobowych jest dokonywanie na nich następujących operacji:
- zbierania (np. pozyskiwania danych użytkownika za pomocą zamieszczonego na stronie internetowej formularza kontaktowego),
- utrwalania (np. zapisywania danych na nośniku cyfrowym),
- organizowania i porządkowania (np. chronologicznego porządkowania danych w arkuszu Excela),
- przechowywania (np. przechowywania danych w cyfrowej chmurze lub na nośniku DVD),
- adaptowania i modyfikowania (np. przerabiania pliku ze zdjęciem danej osoby w programie graficznym),
- pobierania (np. pobierania pliku z danymi osobowymi z pendrive’a na dysk pamięci komputera),
- przeglądania (np. przeglądania plików lub fizycznych nośników z zapisanymi danymi),
- wykorzystywania (np. zakładania adresu e-mail na imię i nazwisko danej osoby lub logowania się do Facebooka przy użyciu jej loginu i hasła),
- ujawniania poprzez przesłanie (np. przesyłania przez przedsiębiorcę danych klientów do kontrahentów),
- rozpowszechniania lub innego rodzaju udostępniania (np. udostępniania imienia i nazwiska danej osoby w treści posta na Facebooku),
- dopasowywania lub łączenia (np. łączenia osobno pozyskanych danych danej osoby w jeden plik),
- ograniczenia, usuwania, niszczenia (np. trwałego usunięcia pliku z danymi z nośnika cyfrowego, spalenia zeszytu z adresami klientów).
Podkreślić należy, że dane osobowe mogą być przetwarzane zarówno w sposób zautomatyzowany, tj. przede wszystkim za pomocą programów komputerowych. Jak również w sposób niezautomatyzowany, np. poprzez odręczne zapisanie danych w zeszyci. Jak również utrwalenie wizerunku jakiejś osoby za pośrednictwem aparatu smartfona. Szczególną i bardzo często stosowaną formą zautomatyzowanego przetwarzania jest tzw. profilowanie polegające na selektywnym wykorzystaniu danych osobowych dla celów np. reklamowych. Dobrze znanym przykładem jest wykorzystywanie przez strony internetowe plików cookie. Plików zapisywanych na urządzeniach docelowych użytkownika, dzięki którym może on m.in. pozostać zalogowanym w witrynie czy zapoznać się z reklamami dostosowanymi do jego preferencji.
Masz jakieś pytania związane z tym, co przeczytałeś?
Napisz do nas, chętnie na nie odpowiemy!
