Czy ja również muszę wdrożyć RODO? Cz. 1 – Co to są dane osobowe? - Prawo-IT

Amadeusz Sejud blog prawniczy prawo-it.pl

Baner

Czy ja również muszę wdrożyć RODO? Cz. 1 – Co to są dane osobowe?

Czy ja na pewno muszę dostosować firmę do RODO?

Bardzo często spotkam się z wątpliwościami klientów, czy muszą dostosować swoją firmę i działania biznesowe do RODO. Jeżeli również szukasz odpowiedzi na pytanie, kogo dotyczy RODO, to musisz rozpocząć od ustalenia, czy przetwarzasz dane osobowe. Często właściciele firm, zbyt pochopnie dochodzą do wniosku, że nie mają w swojej firmie żadnych danych osobowych. Zacznijmy więc od początku.

 

Co to są dane osobowe wg RODO?

Kluczowe znaczenie ma to, czym są dane osobowe. RODO podaje dość skomplikowaną definicję danych osobowych, zgodnie z którą dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Co to oznacza?

Oznacza to, że danymi osobowymi będą te informacje, które dają nam możliwość powiązania ich z konkretną osobą fizyczną. Dane osobowe to zatem nie tylko takie informacje, które bezpośrednio wskazują tożsamość oznaczonej osoby, ale również takie, które pozwalają pośrednio tę tożsamość ustalić, np. poprzez powiązanie ich z innymi informacjami.

 

Co zaliczamy do danych osobowych?

Aby wykorzystać definicję w praktyce, posłużmy się przykładem i spróbujmy ustalić, czy imię i nazwisko to dane osobowe.

 

Przykład 1 – czy imię i nazwisko to dane osobowe? 

Informacje te każdy intuicyjnie zakwalifikuje jako dane osobowe. Imię i nazwisko faktycznie zwykle będą stanowić dane osobowe, ale jednak nie zawsze. Jeżeli weźmiemy przykład imienia i nazwiska „Jan Nowak”, to raczej nie jest możliwie ustalenie na tej podstawie tożsamości konkretnej osoby. W przypadku jednak powiązania tych informacji np. z adresem zamieszkania Jana Nowaka, wówczas imię i nazwisko będą stanowiły informacje pozwalające zidentyfikować konkretną osobę i tym samym będą one danymi osobowymi. 

W taki sposób należy oceniać również, czy inne informacje są danymi osobowymi. W określonych okolicznościach danymi osobowymi mogą być takie informacje jak chociażby adres e-mail, nr IP, nr telefonu, ale również mniej oczywiste jak wizerunek np. uwidoczniony na zdjęciach lub nagraniach monitoringu, czy dane biometryczne jak np. linie papilarne.

 

matthew-henry-87142-unsplash

 

Na czym polega identyfikowanie oznaczonej osoby?

O tym czy konkretna informacja będzie stanowić dane osobowe, decyduje zatem – w pewnym uproszczeniu – to, czy na podstawie tej informacji, można ustalić, jakiej osoby te dane dotyczą.

Jak oceniać, czy taka możliwość istnieje czy nie? Na pewno w różnych wypadkach, różni administratorzy będą dysponowali różnymi możliwościami. Nie wchodząc szczegółowo w rozległe spory toczone przez prawników, powinieneś brać pod uwagę to, jakie są Twoje możliwości w ustaleniu tożsamości osoby, kryjącej się za informacją, którą posiadasz. Posłużmy się przykładem numeru telefonu.

 

Przykład 2 – czy numer telefonu to dane osobowe? 

Jeżeli otrzymujesz numer telefonu (ciąg cyfr) i chcesz sprawdzić do kogo ten numer należy, wówczas zwykle wstukujesz ten numer w swój telefon i jeżeli masz zapisany ten kontakt, wówczas ustalasz tożsamość osoby posługującej się numerem telefonu, który otrzymałeś. Jest to racjonalne i prawdopodobne. Jeżeli jednak nie masz zapisanego takiego numeru i nie masz żadnych innych danych, które wskazywałyby, czyj może to być numer lub nie możesz tego ustalić w inny sposób, np. w wyszukiwarce internetowej, wówczas raczej nie będziesz miał możliwości ustalenia właściciela numeru przy użyciu zgodnych z prawem metod. W takim wypadku nie będziesz mógł ustalić tożsamości właściciela po samym jego numerze, a tym samym numer ten nie będzie stanowił dla Ciebie danych osobowych.

 

Przykład 3 – czy numer IP to dane osobowe? 

Podobnie należy ocenić numer IP. Tutaj oceny prawników są rozbieżne. Moim zdaniem samo dysponowanie numerem IP nie daje Ci możliwości powiązania go z oznaczoną osobą fizyczną, więc w normalnych warunkach (dla większości administratorów) numer IP nie będzie daną osobową.

Zwróć jednak uwagę, że niektóre podmioty jak np. operatorzy będą mieli możliwość ustalenia tożsamości osoby, dysponując wyłącznie numerem IP czy numerem telefonu. Dla takich podmiotów numery te będą stanowiły dane osobowe ponieważ jest to racjonalne i prawdopodobne, że posiadając konkretny numer będą w stanie powiązać ten numer z oznaczoną osobą, która się nim posługuje.

 

Oceniając, czy informacje, którymi dysponujesz dają Ci możliwość ustalenia oznaczonej osoby, powinieneś brać pod uwagę to, czy sposoby, jakich musiałbyś użyć są, po pierwsze rozsądne (racjonalne), a po drugie czy prawdopodobne jest ich wykorzystanie przez Ciebie.

 

Co nie stanowi danych osobowych?

Danymi osobowymi nie będą zatem te informacje, które nie pozwalają na ustalenie tożsamości oznaczonej osoby. Pamiętaj jednak, że wystarczające jest to, aby powiązanie informacji, z konkretną osobą mogło nastąpić pośrednio np. poprzez połączenie tej informacji z innymi, jakie są dla Ciebie dostępne. W przypadku niektórych danych, ocena będzie się różnić w zależności od konkretnego przypadku – będzie tak np. przy przetwarzaniu adresów e-mail.

 

Przykład 4 – czy adres e-mail to dane osobowe? 

Ocena, czy adres e-mail stanowi dane osobowe czy nie, zależy najczęściej od brzmienia tego adresu. Jeżeli dysponujesz adresem, który nie powoduje możliwości powiązania go z konkretną osobą np. buziaczek123@pocztajakaś.pl to w takim wypadku adres nie będzie zazwyczaj stanowił danych osobowych. Bardzo często jednak adres e-mail zawiera imię i nazwisko oznaczonej osoby (lub ich kombinację np. pierwszą literą i nazwisko), a często również firmę / miejsce zatrudnienia w drugim członie adresu np. amadeusz.sejud@ksbclegal.pl – w takim wypadku ustalenie tożsamości osoby posługującej się adresem jest możliwe, więc adres ten będzie stanowił dane osobowe.

 

Jak ustalić czy mam w firmie dane osobowe czy nie?

Mając wiedzę co stanowi dane osobowe, powinieneś

  • w pierwszej kolejności, ustalić się jakie informacje gromadzisz w ramach prowadzenia swojej firmy:
    • weź pod uwagę wszystkie informacje o klientach, kontrahentach, pracownikach
    • uwzględnij wszelkie miejsca gdzie dane te mogą się pojawiać – w mailach, spisach kontaktów, w systemie CRM, fakturach – sam zobaczysz jaki wiele jest tych informacji
  • następnie biorąc pod uwagę wskazówki zawarte w tym wpisie, dokonać oceny, czy informacje te stanowią dane osobowe.

 

W następnym wpisie dowiesz się, co w sytuacji, jeżeli przetwarzasz wyłącznie dane firm, a w szczególności, czy są to dane osobowe i czy również podlegają RODO.