Co zaliczamy do danych osobowych?
Dla oceny czy określone informacje stanowią dane osobowe bez znaczenia pozostaje kwestia nadmierności kosztów, czasu bądź działań niezbędnych do identyfikacji osoby fizycznej na podstawie tych informacji. Prawodawca unijny formułując legalną definicję danych osobowych posłużył się klauzulą generalną zawierającą niedookreślone zwroty, tym samym katalog informacji będących danymi osobowymi ma charakter otwarty. Do takiego katalogu zaliczyć można zarówno dane podstawowe tj. imię, nazwisko czy numer telefonu, jak również informacje dotyczące relacji zawodowych bądź też zachowań ekonomicznych albo społecznych. Istnieje także kategoria informacji, które bezpośrednio określają osobę fizyczną, a tym samym występując samodzielnie stanowią już daną osobową tj. PESEL czy dane biometryczne w szczególności DNA lub odciski linii papilarnych.
Zgodnie ze stanowiskiem Grupy Roboczej[2] informacja dotyczy danej osoby (stanowi informację o danej osobie), jeżeli:
- jest na temat danej osoby, lub
- jest lub może być wykorzystywana, biorąc pod uwagę wszystkie okoliczności danej sprawy, w celu oceny danej osoby, jej traktowania w określony sposób lub też wpływania na jej status lub zachowanie, lub
- jej użycie będzie prawdopodobnie mieć wpływ na jej prawa i interesy.
Możliwość identyfikacji to inaczej możliwość wyróżnienia konkretnej osoby poprzez powiązanie jej z jakiegoś typu informacjami. Osoba fizyczna jest „możliwa do zidentyfikowania” jeżeli, mimo że nie została jeszcze zidentyfikowana, taka identyfikacja jest możliwa bezpośrednio lub pośrednio, w szczególności przy wykorzystaniu informacji, które stanowią swoiste „czynniki identyfikujące” i które wiążą się w sposób szczególny i bliski z daną osobą. Czynnikami identyfikującymi są np. imię, nazwisko oraz identyfikator internetowy. Dla przypisania określonym danym charakteru osobowego wystarcza sama potencjalna możliwość identyfikacji na ich podstawie konkretnej osoby. To stanowisko potwierdził TS w wyroku z dnia 19 października 2016 r. w sprawieC-582/14 Patrick Breyer przeciwko Bundesrepublik Deutschland, uznając że posiadana informacja nie musi sama w sobie umożliwiać identyfikacji osoby, której dane dotyczą, wystarczy bowiem, że daje ona taką możliwość po zestawieniu z innymi informacjami. Tytułem przykładu, po zestawieniu ze sobą informacji tj. imię, nazwisko, adres e-mail i miejsce prowadzenia działalności możliwa jest identyfikacja konkretnego człowieka.
Mając na uwadze cel publicznoprawnej ochrony danych osobowych, jakim jest możliwie najszersza ochrona prywatności osób fizycznych oraz powszechnie stosowaną rozszerzającą interpretację pojęcia „osoby możliwej do zidentyfikowania”, mówić można o istnieniu domniemania osobowego charakteru danych. W związku z tym, dane należy traktować jako osobowe, dopóki nie zostanie jednoznacznie stwierdzone, że na ich podstawie nie można dokonać identyfikacji konkretnej osoby[3].
Dane wrażliwe
RODO wyróżnia dwie kategorie danych osobowych tzw. dane osobowe zwykłe oraz dane osobowe szczególnych kategorii danych (tzw. dane wrażliwe). Do drugiej kategorii zalicza się dane ujawniające:
- pochodzenie rasowe lub etniczne,
- poglądy polityczne, przekonania religijne lub światopoglądowe,
- przynależność do związków zawodowych,
- dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane
- dotyczące zdrowia, seksualności lub orientacji seksualnej.
Dane osobowe zwykłe
Do danych osobowych zwykłych należeć będą wszystkie dane niestanowiące danych wrażliwych.
Ochrona danych osobowych przed przedsiębiorcę
RODO nakłada na administratorów obowiązek podjęcia odpowiednich środków technicznych i organizacyjnych umożliwiających ochronępraw i wolności osób fizycznych w zakresie przetwarzania danych osobowych. Administrator powinien przyjąć wewnętrzną politykę i wdrożyć środki zgodne m.in. z zasadą uwzględnienia ochrony danych już w fazie projektowania (privacy by design) oraz z zasadą domyślnej ochrony danych (privacy by default). Dobór środków i zakresu zabezpieczeń wdrażanych przez administratora powinien zależeć od zakresu, formy, celu i ilości przetwarzanych danych, tak by zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych. W niektórych przypadkach powinien on również brać pod uwagę koszty wdrożenia oraz stan wiedzy technicznej w zakresie możliwych do wdrożenia rozwiązań. Zgodnie z art. 32 RODO wdrażając odpowiednie zabezpieczenia administrator powinien uwzględnić między innymi:
- pseudonimizację i szyfrowanie danych osobowych,
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
- zdolność do szybkiego przywrócenia dostępności danych i dostępu do nich w razie incydentu fizycznego lub technicznego,
- regularne testowanie, mierzenie i ocenianie skuteczności tych środków.
Przykładowymi środkami zabezpieczającymi, jakie administrator może zastosować w swoim przedsiębiorstwie są:
- uwierzytelnianie – dostęp do danych osobowych mają jedynie upoważnieni przez administratora pracownicy, którzy legitymują się nadanym identyfikatorem i hasłem,
- kopie zapasowe danych – w przypadku kiedy dane osobowe zostaną utracone, administrator będzie miał możliwość odzyskania ich z innego źródła,
- anonimizacja – przekształcenie danych osobowych w takim stopniu, że nie jest możliwa identyfikacja konkretnej osoby,
- zasada poufności – zobowiązanie pracowników do zachowania w tajemnicy przetwarzanie danych osobowych oraz sposobu ich zabezpieczenia.
Jak chronić dane osobowe?
O ochronie swoich danych osobowych powinny pomyśleć także same podmioty danych. Aby uchronić się przed potencjalnymi zagrożeniami i zadbać o swoje dane osobowe, trzeba pamiętać m.in. o następujących kwestiach:
- niepozostawianie dowodu osobistego w „zastaw” – często do takich sytuacji dochodzi w wypożyczalniach, które uzależniają wypożyczenie sprzętu (np. pływającego bądź narciarskiego) lub samochodów od pozostawienia dowodu osobistego. Przekazanie dowodu osobie trzeciej bez żadnej kontroli może skutkować nieuprawnionym wykorzystaniem danych osobowych w nim zawartych. Osoba, która weszła w posiadanie takiego dokumentu może bowiem zaciągnąć pożyczkę czy zrobić zakupy przez internet. Zgodnie z powszechnie obowiązującymi przepisami prawa, zabronione jest zatrzymywanie dokumentów potwierdzających tożsamość (poza dowodem osobistym, także paszport lub prawo jazdy) oraz przetwarzanie danych w nich zawartych. Prawo zabrania także robienia kserokopii takich dokumentów przez nieuprawnione do tego podmioty;
- weryfikacja zakresu zbieranych danych osobowych – uzyskanie informacji dotyczących tego czy dane nie są zbierane nadmiarowo, jak długo będą przetwarzane i do jakich celów, jest jednym z praw przysługujących osobie podającej dane, zaś udzielenie tej informacji jest obowiązkiem leżącym po stronie administratora danych;
- korzystanie z wielu haseł – posiadanie jednego hasła do całej sieciowej aktywności jest niebezpiecznym rozwiązaniem, które nie zabezpiecza odpowiednio danych osobowych. W związku z tym zaleca się wymyślanie nowych haseł przy korzystaniu z różnych aplikacji. Warto także zadbać o jakość tych haseł, im dłuższe i z większą liczbą znaków specjalnych tym trudniej je złamać;
- tworzenie kopii zapasowych – najlepiej na dysku, który nie jest połączony z siecią;
- instalacja i aktualizacja oprogramowania antywirusowego;
- korzystanie z przeglądarek internetowych w tzw. trybie incognito/ prywatnym;
- niepodawanie danych osobowych na stronach o wątpliwej reputacji – jeżeli na stronie internetowej, brakuje dokładnych informacji o danym przedsiębiorcy tj. pełna nazwa, adres, dane kontaktowe, nr NIP/KRS, na podstawie których możliwe byłoby sprawdzenie wiarygodności danego przedsiębiorcy, zalecane jest wstrzymanie się z podaniem swoich danych osobowych, bowiem mogą one zostać wykorzystane przez cyberprzestępców.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
[2] Working Document: Concept of personal data (WP 136, 20.06.2007), s. 10.
[3] M. Jagielski, Prawo do ochrony danych osobowych Standardy Europejskie, Oficyna, Warszawa 2010, s. 46.