Definicja i rodzaje danych osobowych w RODO

Czym są dane osobowe?

Zgodnie z art. 4 pkt 1 RODO „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Nowością, którą wprowadza RODO, jest wyodrębnienie szczególnych danych osobowych:

1. dane genetyczne — dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej (art. 4 pkt 13 RODO);
2. dane biometryczne — dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne (art. 4 pkt 14 RODO);
3. dane dotyczące zdrowia — dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia (art. 4 pkt 15 RODO).

Dane osobowe w rozumieniu RODO

Danymi osobowymi w rozumieniu RODO nie są zatem wyłącznie takie informacje, jak imię i nazwisko, adres zamieszkania czy numer telefonu — tak przyjmuje się w potocznym rozumieniu. Ochronie będą podlegać wszelkie informacje, które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby, przy czym nieraz ich rodzaj może okazać się zarówno zaskakujący dla właściciela danych osobowych, jak i administratora danych osobowych. Dla przykładu można wskazać: identyfikatory internetowe, głos na nagraniu rozmowy telefonicznej, twarz na nagraniu z kamery, tablice rejestracyjne samochodu, kolor i kształt tęczówki, odcisk palca, informacje o przebywaniu w konkretnym miejscu (np. restauracji), informacje o przejeździe środkami komunikacji miejskiej (np. w wyniku użycia karty miejskiej), opis DNA.

Trzeba jednak pamiętać, że pojęcie danych osobowych jest ściśle powiązane z osobą fizyczną. Tym samym:

1. nie podlegają ochronie np. nazwy osób prawnych (chyba że w nazwie zostało użyte imię i nazwisko) — „Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej” (motyw 14 RODO);
2. nie podlegają ochronie na mocy RODO informacje o osobach zmarłych — „Niniejsze rozporządzenie nie ma zastosowania do danych osobowych osób zmarłych. Państwa członkowskie mogą przyjąć przepisy o przetwarzaniu danych osobowych osób zmarłych” (motyw 27 RODO);
3. nie podlegają samodzielnej ochronie informacje o płodach, ponieważ zdolność prawną nabywa dziecko urodzone — „Nasciturus nie może być podmiotem danych osobowych. Zgodzić się należy z prezentowanym w doktrynie na gruncie ustawy o ochronie danych osobowych poglądem, że do chwili urodzenia dane nasciturusa mogą być przede wszystkim danymi osobowymi jego matki lub ojca” (W. Chomiczewski [et. al.], Komentarz do art. 4 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w: RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, WKP 2018).

Podział danych osobowych na zwykłe oraz szczególne

Ponadto RODO dzieli dane osobowe na dane „zwykłe” oraz dane „szczególne”, dotychczas określane jako dane „wrażliwe” w polskim porządku prawnym. Dane szczególne wymienia art. 9 ust. 1 RODO, jednocześnie zabraniając ich przetwarzania co do zasady: „Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby”.

Obowiązki i możliwości administratorów danych osobowych oraz podmiotów przetwarzających są zróżnicowane w zależności od tego, czy mamy do czynienia z operacjami na zwykłych danych osobowych, czy na szczególnych danych osobowych. W związku z tym każdy, kto ma do czynienia z danymi osobowymi i podlega przepisom RODO, powinien zwracać baczną uwagę na to, jakie kategorie danych osobowych przetwarza.

Poprzedni materiał

Następny materiał