Wielokrotnie przedsiębiorcy zadają sobie pytanie, czym są dane osobowe i kiedy należy podjąć odpowiednie działania, aby zapewnić ich bezpieczeństwo. Należy bowiem mieć świadomość, że nie wszystkie pozyskiwane i przechowywane informacje na potrzeby działania firmy stanowią dane osobowe. Dlatego warto przeanalizować, które z informacji należy przetwarzać uwzględniając przepisy o ochronie danych osobowych.
Dane osobowe – definicja
Zgodnie z definicją danymi osobowymi są informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Zatem mówimy o:
- informacji,
- która dotyczy osoby fizycznej,
- zidentyfikowanej lub możliwej do zidentyfikowania.
Intuicyjnie wiemy, czym jest informacja. Poprzestać można zatem na stwierdzeniu, że dzięki informacji poznajemy dany stan rzeczy. Co ciekawe informacja może być fałszywa albo prawdziwa. Zawsze jednak pozostaje informacją.
Dane osobowe jako wszystkie informacje o osobie fizycznej
Informacja zatem musi dotyczyć osoby fizycznej. Osobą fizyczną jest oczywiście człowiek, dlatego danymi osobowymi nie są informacje o spółkach, urzędach, stowarzyszenia lub zwierzętach, jeżeli nie odnoszą się do informacji o zidentyfikowanym lub możliwym do zidentyfikowaniu człowieku. Takimi danymi nie są również dane osób zmarłych – na co jednoznacznie wskazuje Rozporządzenie Unijne o ochronie danych osobowych (dalej jako RODO).
Należy zwrócić uwagę na fakt, że danymi osobowymi nie są jedynie informacje o imieniu, nazwisku, numerze PESEL itp. Informacja, która dotyczy osoby fizycznej może odnosić się również do wysokości jej zarobków, nałogów, numerów rachunków bankowych tej osoby i numerów PIN, z których korzysta. Informacją o osobie fizycznej jest także informacja o preferowanych produktach spożywczych, o jej zainteresowaniach, czy też o sposobie, z którego korzysta wyszukując wakacje dla siebie lub swojej rodziny. Zatem dane, które są zbierane w celu prowadzenia skutecznego marketingu konsumenckiego najpewniej będą danymi osobowymi.
Możliwość identyfikacji konkretnej osoby
Kluczowym elementem w ustaleniu, czy dane informacje stanowią dane osobowe jest identyfikacja lub możliwość identyfikacji osoby fizycznej, której te informacje dotyczą. Informacja o osobie fizycznej, której nie można zidentyfikować nie stanowi danych osobowych. Pozostaje zatem problem rozumienia „możliwości identyfikacji osoby fizycznej”.
Zgodnie z polską ustawą informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Zgodnie natomiast z motywem 26 RODO, „aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej”. Rozsądnie prawdopodobne sposoby powinny uwzględniać wszelkie obiektywne czynniki, taki jak koszt i czas, które są potrzebne do zidentyfikowania danej osoby. Należy więc wziąć również pod uwagę technologię dostępną w momencie przetwarzania danych, jak i przyszły postęp technologiczny.
Problem adresu e-mail
Mając powyższe postanowienia prawne na uwadze, najlepiej podejść do tematu możliwości identyfikacji osoby fizycznej w następujący sposób: jeżeli mając jakieś informacje jestem w stanie przy użyciu posiadanych zasobów zidentyfikować osobę fizyczną, to na pewno informacje te są danymi osobowymi. Jeżeli jednak identyfikacja danej osoby wymagałaby poniesienia dużych kosztów np. poprzez wynajęcie detektywów lub przeprowadzanie specjalistycznych ekspertyz – a więc w praktyce zgromadzenia dodatkowych informacji, których nie posiadam, to najprawdopodobniej posiadane przeze mnie informacje danymi osobowi nie są.
Tym samym, dysponując adresem e-mail wskazującym jedynie dział w firmie np. administracja@firma.pl nie posiadamy możliwości identyfikacji adresata. Jednak w przypadku adresu mailowego zawierającego imię i nazwisko bądź pierwszą literę imienia i nazwisko danej osoby, możemy potencjalnie bez większych problemów zidentyfikować adresata. Tym samym, w drugim przypadku adres e-mail stanowi przykład danych osobowych i będzie dolegać ochronie zgodnie z właściwymi przepisami.