Niby podstawowe informacje, niby wszyscy wiedzą ale jak przychodzi co do czego nadal pojawiają się pytania i wątpliwości. Czym są, a czym nie są dane osobowe? Wydaje się, że od momentu wdrożenia RODO minęło już tyle czasu, że każdy powinien znać podstawowe pojęcia i definicje. Zwłaszcza takie, które w praktyce nie zmieniły się w znaczący sposób po wdrożeniu nowych regulacji. Jak się jednak okazuje, rzeczywistość różni się od oczekiwań. Dlatego też w dzisiejszym wpisie postanowiliśmy podsumować najważniejsze pojęcia i definicje na temat danych osobowych. Wyjaśnimy raz na zawsze czym są, a czym nie są takie dane i jak należy rozumieć przepisy RODO w tym zakresie. Do tego garść dobrych praktyk i dodatkowych informacji, które pomogą Wam w szerszy sposób spojrzeć na ten temat i (mamy nadzieję) lepiej go zrozumieć. Zapraszamy!
Czym są dane osobowe?
Zacznijmy od definicji. W art. 4 RODO czytamy, że dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Co ciekawe, obecna definicja danych osobowych zawarta w unijnym akcie prawnym Rozporządzenie o Ochronie Danych Osobowych jest zbieżna z wcześniej obowiązującą w Polsce ustawą (rozporządzenie zastąpiło ją 25 maja 2018 r.). Podstawową różnicą jest dodanie danych o lokalizacji, identyfikatory internetowe oraz informacje genetyczne. A czym są wspomniane identyfikatory?
Na to pytanie również znajdujemy odpowiedź w regulacjach RODO. Osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób. O danych osobowych mówimy zatem, gdy informacje umożliwiają identyfikację konkretnej osoby. Jakie mogą być to informacje?
- imię i nazwisko,
- adres zamieszkania,
- adres e-mail zawierający imię, nazwisko i stanowisko pracy,
- numer telefonu komórkowego lub domowego,
- numer dowodu osobistego,
- PESEL,
- dane o lokalizacji (np. ustawienia lokalizacji w telefonie komórkowym),
- adres IP,
- identyfikator reklamy i plików cookies.
Tak jak wspomnieliśmy powyższe informacje mogą być danymi osobowymi ale wcale nie muszą. Nie każde imię i nazwisko pozwala na identyfikację. Dla przykładu Tomasz Nowak – sama informacja o takim imieniu i nazwisku raczej nie umożliwi na identyfikację konkretnego Tomasza Nowaka. W Polsce jest ich zapewne kilka tysięcy 🙂 Inaczej będzie wyglądać sytuacji w przypadku np. Genowefy Brzęczyszczykiewicz. Może się okazać, że takich osób jest kilka i wtedy już samo imię i nazwisko może być wystarczające do znalezienia i identyfikacji tej jednej konkretnej Genowefy. Daną osobową nie będzie wyłącznie nazwa ulicy, ani nawet numer domu, w którym może się znajdować co najmniej kilku (a w przypadku bloku mieszkalnego kilkaset) mieszkańców. Widmo kar za naruszenie przepisów RODO sprawiło, że wiele przedsiębiorców woli dmuchać na zimne i na wszelki wypadek traktuje imię nazwisko (i podobne informacje) jako dane, które powinny być klasyfikowane jako dane osobowe. Takie podejście nie jest korzystne, ponieważ wymaga dodatkowego zaangażowania środków i sił w ochronę przetwarzania danych, których w rzeczywistości nie zawsze trzeba chronić. A jakie informacje nie są danymi osobowymi?
Czym nie są dane osobowe?
Przepisy RODO nie wskazują wprost, jakie informacje nie mogą być uznane za dane osobowe. Oczywiście mam zapis i informację, że dane osobowe to informacje, które pozwalają zidentyfikować tożsamość osoby. Ważna jest jednak dodatkowa wskazówka, która rzuca dodatkowe światło na tą kwestię. Chodzi o zapis, który wspomina, że informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Posługując się wcześniejszym przykładem. Znajomość imienia i nazwiska najczęściej nie umożliwi ustalenia tożsamości danej osoby. Można jednak podjąć dodatkowe czynności, które pozwolą na identyfikacje. Najczęściej są one skomplikowane i czasochłonne, dlatego nie mają one bezpośredniego wpływu na istniejącą zasadę. Warto zauważyć, że dla niektórych organów, takich jak sądy, policja — ustalenie tożsamości osoby tylko za pomocą jednej informacji (np. PESEL) będzie o wiele mniej czasochłonne, kosztowne i skomplikowane (mogą one złożyć wniosek o udostępnienie danych z rejestru PESEL). W takiej sytuacji, dla takiego podmiotu, pojedyncza informacja może być uznana za dane osobowe, ale dla przedsiębiorcy, czy instytucji która nie ma stosownych uprawnień – już nie. Idąc tym tropem, danymi osobowymi nie będą:
- numer KRS,
- firmowy adres e-mail (np. biuro@ksiegi-rachunkowe.com),
- adres z nazwą ulicy i nr domu,
- anonimowe dane
Za przetwarzanie danych osobowych uznaje się wykonywanie jakichkolwiek operacji na danych osobowych, w tym ich: zbieranie, przechowywanie, opracowywanie, zmienianie, udostępnianie czy też usuwanie, zwłaszcza jeżeli realizuje się je w systemach informatycznych. Dodatkowo, według ustawy instytucja przetwarzająca dane osobowe musi prezentować konkretny i uzasadniony gospodarczo cel ich przetwarzania.
Ochrona danych osobowych
RODO znacząco zwiększyło kontrolę właściciela nad jego danymi osobowymi — przedsiębiorstwa muszą dokładnie poinformować go o zakresie, w jakim te informacje będą wykorzystywane. Właściciele danych osobowych uzyskali także tzw. prawo do bycia zapomnianym, czyli nakazania ich usunięcia. Pojawiło się szereg regulacji, które zwiększają konieczność ochrony danych osobowych. Chodzi zarówno o pojedyncze informacje stanowiące dane osobowe, jak również o całe zbiory danych. Na czym polega taka ochrona danych?
Ochrona danych osobowych, to mówiąc bardzo ogólnie zabezpieczenie tych danych przed ich utratą, wyciekiem, czy niepowołanym dostępem. To też niedopuszczenie do sytuacji, aby te dane były przetwarzane przez osoby nie mające do tego odpowiedniego upoważnienia i zgody. Przepisy nie wskazują konkretnych rodzajów zabezpieczeń, ponieważ będą one zależeć od wielu indywidualnych czynników. Dobór odpowiednich środków ochrony zależy od konkretnej firmy, rodzaju danych i ich przetwarzania.
To co istotne to dane muszą być w pełni zabezpieczone przed dostępem z zewnątrz (np. ataku hakerskiego, wycieku, nieuprawnionego dostępu strony trzeciej – chyba że podpisana została umowa powierzenia danych) ale też od wewnątrz. Oznacza to, że ograniczenie dostępu dotyczy też pracowników. Rolą administratora danych jest dbanie o to, aby dane w firmie były przetwarzane zgodnie z przepisami, były zabezpieczone przed przypadkowym usunięciem lub modyfikacją i nie miały do nich dostępu osobowy postronne. To oczywiście nie wszystkie zadania i wyzwania związane z ochroną danych. Tak jak wspomnieliśmy, wiele zależy tu od indywidualnych cech przedsiębiorstwa i zakresu przetwarzania danych. Rodzaj i charakter zabezpieczeń zmienia się wraz z konkretną sytuacją dlatego zanim dobrane zostaną odpowiednie środki ochronne, konieczne jest przeprowadzenie audytu RODO i analiza bieżącego przypadku. Celem audytu RODO jest rozpoznanie i diagnoza. Stanowi punkt wyjścia przed rozpoczęciem wdrożeń i optymalizacji procesów ochrony danych. Prawidłowo wykonany, zobrazuje nam, jakie dane osobowe są w firmie i czy są przetwarzane w zgodzie z aktualnie obowiązującymi przepisami. Pomoże odpowiedzieć na takie pytania jak:
- Jakie działania na danych są prowadzone w firmie i czy są zgodne z RODO?
- Czy nie przetwarzamy zbyt dużo danych osobowych (minimalizacja danych)?
- Czy obecnie stosowane rozwiązania są skuteczne i przynoszą zakładane korzyści?
- Czy stosujemy profilowanie, a jeśli tak to czy jest one zgodne z RODO?
- Do jakich zewnętrznych podmiotów transferujemy dane osobowe?
- Czy posiadamy wszystkie niezbędne dokumenty, zgody i umowy?
- Czy musimy powołać Inspektora Ochrony Danych (IOD)?
- Czy w odpowiedni sposób spełniamy obowiązki informacyjne?
- Czy odpowiednio archiwizujemy dane osobowe w firmie?
- W jaki sposób realizowane są prawa osób, których dane są przetwarzane?
- Jaki jest stan naszych zabezpieczeń przed ewentualną utratą danych (IT i nie tylko)
- Czy nasza organizacja ma opracowaną strukturę systemu ochrony danych?
- Czy jesteśmy w stanie wykazać przestrzeganie przepisów RODO (zasada rozliczalności).
To oczywiście nie wszystkie pytania, na które poznamy odpowiedzi po przeprowadzeniu audytu. Wszystko zależy od skali i charakteru przetwarzania danych. Niezależnie od tego, audyt będzie najlepszą podstawą do podjęcia ważnych działań ochronnych. Bez bieżącej i sprawdzonej wiedzy na temat konkretnej sytuacji w danej firmie, nie da się odpowiednio zabezpieczyć danych. Dlatego zachęcamy do bezpośredniego kontaktu z WBT-IT. Od lat pomagamy przedsiębiorcom z powodzeniem wdrażać RODO i chronić dane osobowe. Wykorzystujemy do tego doświadczenie i wiedzę naszego zespołu składającego się z prawników, administratorów, specjalistów IT (i nie tylko). Skontaktuj się z nami, porozmawiajmy o najważniejszych potrzebach i wyzwaniach, umówmy się na audyt RODO i zaplanujmy działania, dzięki którym dane osobowe w Twojej firmie będą bezpieczne i odpowiednio zarządzanie.
Zapraszamy!