W ostatnim czasie nie dało się nie usłyszeć o tzw. „Rewolucji RODO”, a ściślej rzecz ujmując o wejściu w życie Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; dalej jako: „Rozporządzenie RODO”). Pomijając liczne doniesienia medialne, setki wiadomości e-mail dotyczących Rozporządzenia RODO, już sama nazwa aktu prawnego może budzić w wielu osobach „strach” – czy słusznie? Oczywiście, każdorazowo jest to kwestia subiektywna, determinowana przez wiele czynników. Z całą pewnością – bez względu na poczucie „strachu” lub jego brak – nie można jednak przejść obojętnie obok Rozporządzenia RODO. Dzisiejszym artykułem chcielibyśmy zapoczątkować cykl wpisów poświęconych „niuansom” RODO, które mamy nadzieję pomogą odnaleźć się Państwu w „nowej rzeczywistości”.

Pierwszym i zasadniczym zagadnieniem w kontekście Rozporządzenia RODO, które chcielibyśmy Państwu przybliżyć, jest definicja pojęcia „dane osobowe”. Zgodnie z art. 4 pkt 1) Rozporządzenia RODO: „dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (…); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (….).

W kontekście przedstawionej normatywnej definicji pojęcia „dane osobowe”, w pierwszej kolejności zwrócić uwagę należy, iż zgodnie z Rozporządzeniem RODO, danymi osobowymi są wyłącznie informacje dotyczące osób fizycznych. W konsekwencji za dane osobowe nie są uważane np. dane identyfikacyjne osób prawnych czy też innych funkcjonujących w obrocie jednostek organizacyjnych. Trzeba jednak zwrócić uwagę, iż zgodnie z Rozporządzeniem RODO nie każda informacja o osobie fizycznej, stanowić będzie dane osobowe. Za dane osobowe są bowiem uważane wyłącznie informacje o możliwych do zidentyfikowania osobach fizycznych. Zgodnie z przywołanym powyżej przepisem rozporządzania, możliwą  do zidentyfikowania jest taka osoba fizyczna, którą można zidentyfikować bezpośrednio lub pośrednio na podstawie informacji takich jak m.in. imię i nazwisko, numer identyfikacyjny (np. PESEL), dane o lokalizacji itp.  Uzupełniająco wskazać należy, iż zgodnie z motywem 26 Preambuły do Rozporządzenia RODO, przy ocenie możliwości bezpośredniej lub pośredniej identyfikacji, należy wziąć pod uwagę wszelkie rozsądne prawdopodobne sposoby, w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Jednocześnie podkreśla się, że  dla stwierdzenia, że dany sposób identyfikacji może być z uzasadnionym prawdopodobieństwem wykorzystany do identyfikacji danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebny do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.

Konsekwencją uregulowania na gruncie Rozporządzenia RODO definicji pojęcia „dane osobowe” w sposób opisany powyżej, jest przede wszystkich to, że niejako z samego założenia nie można stworzyć zamkniętego katalogu „rodzajów” danych osobowych. Ocena, czy informacja stanowi dane osobowe, ma charakter indywidualny i jest determinowana „możliwościami identyfikacyjnymi administratora” (w tym kosztami i czasem niezbędny do dokonania identyfikacji osoby czy też dostępną technologią).

Istnieje zatem prawdopodobieństwo, iż dla jednego podmiotu określona informacja stanowić będzie dane osobowe, a dla drugiego już nie. Taka sytuacja będzie mieć miejsce na przykład w sytuacji, gdy tylko jeden z podmiotów będzie w stanie (bezpośrednio lub pośrednio) zidentyfikować określoną osobę na podstawie informacji, w której jest dyspozycji.

W kontekście powyższego, jedynie na marginesie należy zwrócić uwagę, iż zasadniczo Rozporządzenie RODO, nie dokonuje wprost kategoryzacji danych osobowych. Niemniej jednak, m.in. z uwagi na przyjęte przez unijnego prawodawcę zasady przetwarzania poszczególnych kategorii danych osobowych, doktrynalnie wyróżnia się m.in. tzw. dane wrażliwe (zalicza się do nich szczególne kategorie danych osobowych m.in. dane genetyczne, dane biometryczne, dane dotyczące zdrowia, dane ujawniające przekonania światopoglądowe). „Wyróżnienie” szczególnych kategorii danych osobowych jest o tyle istotne, iż Rozporządzenie RODO pozwala na ich przetwarzanie wyłącznie w drodze wyjątku (szerzej o warunkach przetwarzania szczególnych kategorii danych osobowych „opowiemy” Państwu w jednym z kolejnych wpisów).

Mając na uwadze powyższe, nie ulega wątpliwości, iż wraz z wejściem w życie Rozporządzenie RODO, nie doszło do „rewolucji” w odniesieniu do dotychczasowego definiowania pojęcia „dane osobowe”. Niemniej jednak, koniecznym jest dokonanie analizy: czy i jakie dane osobowe przetwarzamy oraz w jaki sposób je przetwarzamy. Taka analiza stanowi „punkt wyjścia” dla dalszych prac związanych z wdrożeniem Rozporządzenia RODO.

Powyżej w możliwe syntetyczny sposób przedstawiliśmy Państwu „pierwszą część problematyki” związanej z Rozporządzeniem RODO. W przypadku wątpliwości w tym zakresie lub w innych aspektach związanych z przetwarzaniem danych osobowych na gruncie Rozporządzenia RODO, serdecznie zapraszamy do kontaktu z adwokatem Maciejem Wypych (maciej.wypych@rpwe.pl), który z pewnością odpowie na wszystkie Państwa pytania lub pomoże skonstruować odpowiednie projekty dokumentów.

 

Maciej Wypych – adwokat / doradca specjalistyczny OWES Debrzno