Tomasz Wyrozumski
Dane osobowe – czym są według RODO?
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.,zwane w skrócie RODO, a dotyczące przetwarzania danych osobowych, wprowadza coś na kształtdefinicji przedmiotowego pojęcia. Coś na kształt, bo słowo definicja przywołuje słuszne skojarzeniaze sformalizowanymi systemami dedukcyjnymi i poziomem ścisłości, jakiego wymaga matematyka,a do takiego jest w zagadnieniach prawnych mimo wszystko bardzo daleko. Ale do rzeczy. Wrozporządzeniu czytamy:
„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
Wydaje się więc oczywiste, że wszelkie informacje przypisane do imienia i nazwiska nie sąjeszcze danymi osobowymi, jednakże staną się nimi po uzupełnieniu o numer PESEL lub na przykład adres. Jeśli zatem sporządzimy notatkę z rozmowy telefonicznej z Janem Kowalskim lub nawetGrzegorzem Brzęczyszczykiewiczem (ukłony pod adresem twórców „Jak rozpętałem drugą wojnę światową”), to z uwagi na powtarzalność imion i nazwisk w Polsce, na ogół nie będzie jeszcze wiadomo, o kogo chodzi. Dopiero coś dodatkowego, np. numer dowodu osobistego, PESEL, adres itp. pozwoli rozmówcę zidentyfikować.
A co jeżeli, czysto teoretycznie, sporządziwszy notatkę z rozmowy usuniemy z niej imię,nazwisko i adres, a pozostawimy jedynie datę i numer telefonu? A priori również wtedy będziemy mogli zidentyfikować rozmówcę, np. sięgając jakimś sposobem do baz danych operatora telekomunikacyjnego lub przeprowadzając z pomocą agencji detektywistycznej szeroko zakrojone śledztwo. Na szczęście rozporządzenie daje tu w miarę jasną odpowiedź:
Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osobyfizycznej.
Oczywiście, słowo „rozsądnie” pozostawia pewne pole do interpretacji, więc w razie czego liczyć trzeba na rozsądek urzędnika, który, jak łatwo zgadnąć, zależeć może od tego, czy urzędnik rezyduje w Warszawie, czy w Brukseli...
Wyobraźmy sobie teraz, że wspomniana wyżej notatka z rozmowy dotyczy pracownika pewnej firmy, np. ABC Sp. z o.o., która jest naszym klientem. Zważywszy, że przeważająca większość firm to nie korporacje zatrudniające tysiące ludzi, wystarczy, że znamy imię i nazwiskoowego pracownika, by móc już jednoznacznie stwierdzić, o kogo chodzi. A jeśli dysponujemy wyłącznie adresem mailowym? I tu trzeba uważać, bo o ile jasio@abc.com.pl brzmi niewinnie, to już jan.kowalski@abc.com.pl (struktura często spotykana w firmach) wydaje się nie pozostawiać wątpliwości. Nasuwa się zatem ważny wniosek, o którym zresztą wspominaliśmy już wcześniej:
Jeśli w naszej bazie znajdują się informacje dotyczące pracowników firm, z którymiutrzymujemy kontakty handlowe, to są one danymi osobowymi w rozumieniu RODO.
Zbiór takich danych stanowić więc będzie na przykład program MS Outlook, zawierający książkę adresową, a także inne, jemu podobne rozwiązania. Kto zatem nie przetwarza danychosobowych? Ze świecą by szukać... Niestety, rozporządzenie dotyczy praktycznie wszystkich przedsiębiorstw. A jak przetwarzać dane zgodnie z rozporządzeniem? O tym w kolejnych artykułach.