Dane osobowe – RODO 2018

RODO czyli ogólne rozporządzenie o ochronie danych zacznie być stosowane od 25 maja 2018 r. W tym dniu przestanie obowiązywać dyrektywa 95/46/WE regulująca obecnie kwestie ochrony danych osobowych. Jak w obecnym stanie prawnym definiuje się pojęcie danych osobowych i jak tą kwestie ureguluje RODO?

Polecamy: RODO. Ochrona danych osobowych. Przewodnik po zmianach

Ustawa o ochronie danych osobowych

W obowiązującym stanie prawnym pojęcie danych osobowych wyznacza ustawa o ochronie danych osobowych (UODO). Art. 6.1 tej ustawy stanowi, że (…) za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Natomiast za osobę możliwą do zidentyfikowania uważa się osobę,(…)  której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Zgodnie z powyższym do danym osobowych zaliczymy imię, nazwisko, adres danej osoby, PESEL,  a także dane o jej stanie zdrowia, stanie psychicznym, itd. Danymi osobowymi nie są z kolei tak ogólne informacje jak np. sama nazwa ulicy, wysokość wynagrodzenia bowiem te dane nie umożliwiają łatwiej identyfikacji osoby.

Dane osobowe w RODO

Ponieważ RODO w dniu 25 maja 2018 r. zastąpi UODO konieczne jest określenie definicji danych osobowych, co też ma miejsce w art. 4.1. RODO. Przepis ten stanowi, że: dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą). RODO nie zmienia więc znaczenia pojęcia danych osobowych w tym zakresie.

W rozumieniu RODO osobą możliwą do zidentyfikowania jest osoba fizyczna to, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Danymi osobowymi w rozumieniu RODO będą więc np. dane biometryczne, genetyczne, identyfikator internetowy lub dane dotyczące zdrowia;

Ponadto w przypadku definicji danych osobowych określonej w RODO należy pamiętać o motywie 26 preambuły, który stanowi że (…) aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.

Jak widać RODO wyznacza podobną definicję danych osobowych jak UODO. Jedyną zmianą jest rozszerzenie definicji danych osobowych o element danych o lokalizacji, identyfikatora internetowego oraz szczególnych czynników określających genetyczną tożsamość osoby fizycznej. Rozszerzenie to wynika z rozwoju technologicznego, który pociąga za sobą nowe możliwości identyfikacji osób fizycznych.

Opracowano na podstawie:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1)