Definicja danych osobowych w RODO - jak odróżnić je od innych informacji
Pomiędzy danymi osobowymi a informacjami niemającymi statusu takich danych bywa dość cienka i trudna do określenia granica. Tymczasem rozróżnienie to jest niezwykle istotne, ponieważ decyduje o konieczności stosowania RODO przez daną organizację. Sprawdź, według jakich kryteriów rozróżnić dane osobowe od innych informacji. Dowiedz się, jaka jest definicja danych osobowych i na czym polega identyfikacja osoby fizycznej (jakie kryteria brane są pod uwagę).
Ochrona danych osobowych czyli informacji o osobach fizycznych
Zgodnie z motywem 26 RODO zasady ochrony danych osobowych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych czyli umożliwiających określenie tożsamości osoby.
Nawet takie dane , które poddano pseudonimizacji, a przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za dane osobowe.
Definicja danych osobowych - kluczowa możliwość identyfikacji
Przypomnijmy, że zgodnie z art. 4 pkt 1 RODO za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (podmiocie danych czyli osobie, której dane dotyczą). Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.
Czym są dane osobowe - kryteria identyfikacji
Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy:
- wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania,
- uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.
Przepisy o ochronie danych osobowych nie powinny więc mieć zastosowania do:
- informacji od początku anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną,
- danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować (czym innym są dane poddane pseudonimizacji).
Takich informacji nie uważa się za dane osobowe.
ADO musi ocenić możliwość identyfikacji
Wskazane wyżej odniesienia zawarte w motywie 26 RODO należy naturalnie odnieść do definicji danych osobowych zawartej w art. 4 pkt 1 RODO. Zgodnie z nią dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej a możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak:
- imię i nazwisko,
- numer identyfikacyjny,
- dane o lokalizacji,
- identyfikator internetowy,
- jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Ta możliwość identyfikacji powinna być oceniana wg kryteriów wskazanych w motywie 26, tj. przede wszystkim „wszelkich obiektywnych czynników, takich jak koszt i czas potrzebne do jej zidentyfikowania”.
Danymi osobowymi nie będą informacje, które nie pozwalają zidentyfikować osoby fizycznej biorąc pod uwagę „uzasadnione prawdopodobieństwo” wyznaczone tymi obiektywnymi czynnikami.
Nazwisko i pierwsza litera imienia w połączeniu z informacją o pracodawcy tej osoby będzie daną osobową. Najczęściej bowiem taki zestaw danych będzie pozwalał na identyfikację konkretnej osoby. Rzadko przecież zdarza się aby w danej firmie pracowały dwie osoby o identycznym nazwisku i pierwszej literze imienia. Nawet gdyby na 50 przekazanych nazwisk zdarzyły się dwie takie osoby to i tak mamy do czynienia z 48 innymi parami nazwisko i pierwsza litera imienia a więc danymi osobowymi.
- Pracownik w delegacji – jak wygląda przekazywanie jego danych osobowych do państwa trzeciego
- Mechanizmy dochodzenia roszczeń w związku z wdrożeniem ram ochrony danych UE - USA
- Upoważnienie do przetwarzania danych osobowych czy oświadczenie o poufności
- TSUE: Identyfikator personalizacji reklam zaliczany do danych osobowych według RODO
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
- Zgoda marketingowa – czy także od firmy lub instytucji
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
