Definicja „danych osobowych”
Definicję danych osobowych określa przepis art. 4 pkt 1 RODO. Oznaczają one wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”).
Kim jest „osoba, której dane dotyczą”? Odpowiedź znajdujemy w dalszej części definicji:
Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Rodzajowe określenie danych umożliwiających identyfikację osoby fizycznej pozostawia otwarty katalog tych danych. Poniżej kilka przykładów.
Poza wskazanymi imieniem i nazwiskiem, które raczej nie pozostawiają wątpliwości co do swojego charakteru, przepis wskazuje również inne. Numerem identyfikacyjnym może być przede wszystkim numer PESEL, na co mocno zwraca uwagę Prezes UODO. Danymi osobowymi mogą być również dane o lokalizacji, tak często pozyskiwane przez różnego rodzaju aplikacje mobilne, wszelkiego rodzaju identyfikatory, ale również pseudonimy, a nawet dane, które z pozoru wydają się danymi osobowymi nie być. Wiele zależy od kontekstu. Co dla jednego będzie zupełnie nieistotną informacją, dla innego może stanowić daną, na podstawie której dowie się o kim mowa, a więc bezproblemowo zidentyfikuje tożsamość osoby fizycznej.
W medycynie
Najlepszym przykładem przetwarzanych danych będą wszelkie dane dotyczące pacjenta wykorzystywane w procesie leczenia, w tym w dokumentacji medycznej. Poza danymi umożliwiającymi bezpośrednią identyfikację należy wziąć pod uwagę również dane dotyczące zdrowia, które należą do szczególnych kategorii danych osobowych.
W działalności gospodarczej
Do przetwarzanych w ramach prowadzonej działalności gospodarczej należeć będą przede wszystkim te, które są wykorzystywane w umowach, jak imię, nazwisko, numer PESEL lub seria i numer dowodu tożsamości. Zakres przetwarzanych danych będzie zależał od przedmiotu działalności, często związanej bezpośrednio z przetwarzaniem danych, jak choćby tworzenie ich baz, czy prowadzenie sklepu internetowego. Co mniej oczywiste, zgodnie ze stanowiskiem Prezesa UODO, do jako dane osobowe należy traktować również dane przedstawicieli, reprezentantów, pełnomocników itp. osób prawnych, których RODO zasadniczo nie obejmuje. Ze stanowiskiem możesz zapoznać się tutaj: https://uodo.gov.pl/pl/225/1577.
W samorządzie
Danymi osobowymi są wszelkie dane, na podstawie których można zidentyfikować osobę, do których należeć będą dane pozyskiwane i przetwarzane w ramach prowadzenia postępowań administracyjnych.
W telegraficznym skrócie:
- dane osobowe to wszelkie dane umożliwiające identyfikację osoby fizycznej,
- dane osób prawnych nie są danymi osobowymi,
- danymi osobowymi są natomiast dane pełnomocników, przedstawicieli itp. osób prawnych,
- RODO nie ma zastosowania do danych osobowych osób zmarłych.