Czy w 2018 roku też miałaś wrażenie, że świat kręci się wokół RODO i danych osobowych? Od momentu, gdy w Polsce i całej Europie pojawił się temat wejścia w życie unijnego rozporządzenia pojęcie danych osobowych przybrało na znaczeniu. Chociaż przepisy o ochronie danych osobowych zarówno w Unii Europejskiej, jak i w Polsce funkcjonowały już od wielu lat, to niewiele osób zwracało na nie uwagę. RODO wprowadziło istną rewolucję, i nie chodzi mi tu o rewolucję, jaką była zmiana prawa, ale o tę która spowodowała, że ludzie wreszcie zaczęli zauważać, że w ogóle istnieje coś takiego jak dane osobowe.
Problem polega na tym, że chociaż intuicyjnie wiemy, że nasze dane osobowe to: imię, nazwisko, adres zamieszkania, adres e-mail czy numer telefonu, to rozszerzenie tej listy o pozostałe dane osobowe może sprawiać trudności. Jeśli temat wydaje Ci się być banalny, to zachęcam Cię do małego testu. Zastanów się co Twoim zdaniem można zaliczyć do listy Twoich danych osobowych i dlaczego. Jesteś pewna, że wymieniłaś wszystko? Nie? Przeczytaj więc treść artykułu i sprawdź czy czegoś nie pominęłaś.
W artykule przeczytasz też jaka jest różnica pomiędzy danymi osobowymi, a danymi wrażliwymi. Zauważyłam, że wiele osób te dwa pojęcia stosuje wymiennie. Niestety to duży błąd i warto wiedzieć dlaczego, aby go nie popełniać, zwłaszcza jeśli to Ty jesteś Administratorem tych danych.
Spis treści
Co to są dane osobowe?
Dane osobowe to takie dane, które umożliwiają zidentyfikowanie konkretnej osoby. Oznacza to, że muszą być na tyle szczegółowe, aby na ich podstawie móc zidentyfikować osobę, do której należą. Zidentyfikowanie tej osoby nie musi być oczywiste i wiadome od razu, na pierwszy rzut oka. Często może wymagać wysiłku. Nie oznacza to też, że wszystkie dane należy uznać za dane osobowe, bo przy dużym nakładzie czasu i kosztów może się okazać, że w każdym przypadku jesteśmy w stanie zidentyfikować konkretną osobę, nawet przy znikomej ilości danych.
Zgodnie z RODO, w celu zidentyfikowania konkretnej osoby należy kierować się przede wszystkim rozsądkiem. Jeżeli okaże się, że zidentyfikowanie osoby na podstawie danych, które posiadamy wymaga dużego nakładu kosztów i czasu, przy uwzględnieniu dostępnej technologii, która mogłaby ten proces ułatwić, to takie dane są dla nas anonimowe. Nie są więc one danymi osobowymi, przez co nie są chronione przez obowiązujące prawo. Jak sama nazwa wskazuje, dane osobowe muszą dotyczyć osoby. Jeśli nie da się jej zidentyfikować, to mówimy o danych, a nie o danych osobowych.
Niestety rozporządzenie unijne nie określa jak duży koszt i nakład czasu jest rozsądny w celu zidentyfikowania danej osoby, a jaki przekracza już te granice. Jest to więc bardzo indywidualna kwestia. Ma to swoje minusy, bo nigdy nie wiemy co zostanie uznane przez podmiot kontrolujący (w Polsce będzie to Prezes Urzędu Ochrony Danych Osobowych) za wystarczające działanie, a co nie. Jednak ma to też swoje plusy. Jeśli prowadzisz małą firmę, to Twoje możliwości, zarówno finansowe, jak i techniczne są znacznie mniejsze niż wielkiej korporacji. Dlatego ta granica rozsądku jest znacznie bliżej, niż w drugim przypadku.
Nie wszystkie dane to dane osobowe
Jak już wspomniałam, do danych osobowych chronionych przez RODO nie zaliczamy informacji anonimowych, które uniemożliwiają zidentyfikowanie konkretnej osoby. Dotyczy to również danych do celów statystycznych lub naukowych. Dlatego właśnie czasem Twoje imię, albo nazwa miejscowości, w której mieszkasz jest daną osobową, a czasem nie. Często nawet te dwie połączone ze sobą dane nie stanowią danych osobowych. Chodzi o to, że jeśli dane posiadają duży poziom ogólności, to za ich pomocą nie da się zidentyfikować konkretnej osoby.
Na przykład jeśli moje imię Karolina występuje samodzielnie w jakiejś bazie danych, to nikt nie jest w stanie stwierdzić, że chodzi konkretnie o mnie. Przecież w Polsce wiele osób ma tak na imię. Podobnie, jeśli weźmiemy pod uwagę samą nazwę miejscowości. Jeśli nazwa Warszawa występuje samodzielnie, bez połączenia jej z innymi danymi, to nie da się określić o jaką osobę mieszkającą w Warszawie chodzi. W Warszawie mieszka przecież prawie 2 mln osób.
Dodatkowo, jeśli w jakiejś bazie danych występuje Twoje imię przypisane do miejscowości, w której mieszkasz, to najczęściej też nie są to Twoje dane osobowe. Zauważ, że osób o imieniu Karolina, które mieszkają w Warszawie z pewnością jest więcej niż jedna. Nikt, na podstawie takich danych, nie jest w stanie stwierdzić, że chodzi o konkretną osobę. Takie dane można by uznać za dane osobowe, jeśli tą miejscowością byłaby nie Warszawa, a jakaś mała wioska, w której faktycznie mieszka tylko jedna Karolina i przy użyciu odpowiednich środków da się to zweryfikować. Jeśli zbierasz takie dane, to warto uogólnić standardy swojej bazy i wszystkie pozycje w bazie uznać za dane osobowe.
Zupełnie inaczej sprawa wygląda jeśli do imienia i nazwy miejscowości dodamy jeszcze nazwisko. Wtedy nie ma wątpliwości, że są to dane osobowe. Oczywiście może się tak zdarzyć, że ponownie, takich osób jest więcej niż jedna, ale prawdopodobieństwo jest niewielkie. Nie są to już dane o dużym poziomie ogólności. Dlatego bez wątpienia takie dane należy uznać za dane osobowe.
Jakie dane zaliczamy do dany osobowych?
Zgodnie z art. 4 pkt. 1) RODO do danych osobowych zaliczamy takie dane, jak:
imię i nazwisko,
numer identyfikacyjny – np. numer PESEL, NIP oraz inne numery nadawane indywidualnie, w celu zidentyfikowania konkretnej osoby
dane o lokalizacji – w tym adres miejsca zamieszkania, zameldowania lub czasowego pobytu,
identyfikator internetowy – login, nick, nazwa użytkownika lub pseudonim, którego używamy w internecie
jeden bądź kilka szczególnych czynników określających fizyczną (np. wygląd), fizjologiczną (np. płeć), genetyczną (np. kolor skóry), psychiczną (np. określone zachowania), ekonomiczną (np. wysokość zarobków), kulturową (np. przynależność kulturowa) lub społeczną (np. poglądy polityczne) tożsamość osoby fizycznej.
Zatem wszystko, co w jakiś sposób nas określa i pozwala innym na zidentyfikowanie nas stanowi nasze dane osobowe.
Dane osobowe, a dane wrażliwe
Dane wrażliwe to to samo, co szczególne kategorie danych osobowych. Między tymi dwoma pojęciami RODO stawia znak równości. Są to dane, które wymagają szczególnej ochrony ze względu na poważne ryzyko dla podstawowych praw i wolności. Podstawowe prawa i wolności to te zawarte w Karcie praw podstawowych Unii Europejskiej. Mowa o takich prawach i wolnościach, jak: wolność myśli, sumienia i religii, zakaz wszelkiej dyskryminacji, poszanowanie różnorodności kulturowej, religijnej i językowej, równość płci.
Zgodnie z art. 9 RODO, szczególne kategorie danych to:
pochodzenie rasowe lub etniczne
poglądy polityczne
przekonania religijne lub światopoglądowe
przynależność do związków zawodowych
dane genetyczne
dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej
dane dotyczące zdrowia
dane dotyczące seksualności lub orientacji seksualnej.
Szczególne kategorie danych oraz obowiązki, które kryją się za ich przetwarzaniem to bardzo obszerne, ale jednocześnie bardzo ważne zagadnienie. Z pewnością poruszę je niebawem na blogu w formie odrębnego artykułu.
Dlaczego powinniśmy chronić nasze dane osobowe?
Nasze dane osobowe, to my sami. Nie chroniąc ich, narażamy się nie tylko na wykorzystywanie ich przez nieuprawnione osoby, ale przede wszystkim narażamy się na wiele niebezpieczeństw. Nękanie, stalking, kradzież, kradzież tożsamości to tylko nieliczne z nich. Domyślam się, że w tym zakresie się ze mną zgadzasz i nie masz wątpliwości, że dla własnego dobra należy dbać o własne dane osobowe. Jednak, jak to się mówi, punkt widzenia zależy od punktu siedzenia. Czy nadal jesteś tego samego zdania już nie jako właściciel danych osobowych, a jako przedsiębiorca i administrator danych osobowych, który przetwarza cudze dane osobowe? Czy nadal się ze mną zgadzasz, że dane osobowe należy właściwie chronić, jeśli mówimy już nie o Twoich danych osobowych, a o danych Twoich klientów, odbiorców Twoich treści, czy kontrahentów?
Mam nadzieję, że tak. Jeśli jednak zmieniłaś zdanie, to spójrz na to z innej strony. Co jest celem Twojej działalności? Jeśli prowadzisz bloga, to pewnie chcesz, żeby Twoi czytelnicy lubili do Ciebie zaglądać i czytać Twoje treści. Jeśli prowadzisz sklep online, to zależy Ci, aby Twoi klienci byli zadowoleni z usługi jaką im świadczysz, z obsługi klienta i z towarów, jakie im dostarczasz. Jeśli jesteś ekspertką w jakiejś dziedzinie i wykorzystujesz internet do promowania swoich usług, to zależy Ci, aby Twoi klienci byli nimi usatysfakcjonowani. W każdym z tych przypadków zależy Ci, aby Twoi odbiorcy byli zadowoleni z tego, co im oferujesz. Tylko wtedy do Ciebie wrócą lub polecą Cię innym. W tym celu niezbędne jest zaufanie. Jak mogliby Ci zaufać, jeśli bezpieczeństwo ich danych nie byłoby dla Ciebie ważne? Jak mogliby zostać z Tobą jako Twoja społeczność, jeśli Twoje działania byłyby mało przejrzyste i niejasne dla nich? Myślę, że już znasz odpowiedzi na te pytania. To sytuacja win-win. Pamiętaj o tym.
Jeżeli zagadnienie danych osobowych, w kontekście Twojej strony internetowej, nadal wydaje Ci się skomplikowane, to napisz do mnie na kontakt@poprawniewsieci.pl, a z przyjemnością Ci w tym pomogę.
Karo