Dane osobowe – co się do nich zalicza oraz jak są chronione

Co zaliczamy do danych osobowych?

Zgodnie z Rozporządzeniem o Ochronie Danych Osobowych z 25 maja 2018 roku – znanym jako RODO – dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować. 

Dane osobowe pozwalają na zidentyfikowanie konkretnej osoby. Zbiór takich informacji pozwala na zidentyfikowanie sylwetki bez bezpośredniego wskazywania. Do danych osobowych, które określają osobę bezpośrednio, zaliczamy numer PESEL oraz wszelkie dane biometryczne, czyli odcisk linii papilarnych, DNA oraz siatkówkę oka. Nie ma znaczenia, ile posiadamy informacji oraz jakiej są jakości, jeżeli to wystarcza do zidentyfikowania konkretnej osoby, mamy wówczas do czynienia z danymi osobowymi.

Co jeszcze może być daną osobową? To także imię i nazwisko, adres zamieszkania, adres skrzynki mailowej, data urodzenia, a nawet numer telefonu komórkowego, identyfikator internetowy lub szczególne czynniki określające fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Czego nie zaliczamy do danych osobowych?

Samo imię lub data urodzenia nie pozwalają na zidentyfikowanie konkretnej osoby, dlatego nie możemy tutaj mówić o danych osobowych. Sama pojedyncza dana zwykle nie jest zaliczana do grupy danych osobowych, istnieją jednak wyjątki – numer PESEL pozwala na zidentyfikowanie właściciela numeru, dlatego, mimo że jest to pojedynczy numer, określa się go jako daną osobową. 

Ochrona danych osobowych w praktyce

Rozporządzenie o Ochronie Danych Osobowych (RODO) obowiązuje na terytorium całej Unii Europejskiej, w tym również w Polsce. Przepis ten reguluje kwestie związane z ochroną danych osobowych wszystkich osób fizycznych, a także osób prowadzących jednoosobową działalność gospodarczą, których nazwa wskazuje na osobę fizyczną. 

System ochrony danych osobowych zobowiązuje wszystkie przedsiębiorstwa, instytucje oraz organy gromadzące i przetwarzające dane osobowe osób fizycznych do zapewnienia im wystarczającej ochrony. Istotne jest, aby podmioty przetwarzające dane gromadziły jedynie te dane osobowe, które są niezbędne do prowadzenia dalszej działalności, a także by zbierane dane nie były nadmiarowe w stosunku do celu, w którym są zbierane. Złamanie tych zasad jest jednocześnie złamaniem obowiązującego prawa. 

Kara za nieprzestrzeganie Rozporządzenia o Ochronie Danych Osobowych

W przypadku naruszenia zasad rozporządzenia RODO, administrator danych podlega odpowiedzialności prawno-administracyjnej oraz cywilnej. Ponadto osoba, która nielegalnie przetwarza lub gromadzi dane osobowe, podlega odpowiedzialności karnej. Dotyczy to także osób, które uniemożliwiają prawidłowe przeprowadzenie kontroli przestrzegania przepisów o ochronie danych. W przypadku najwyższych wykroczeń może zostać nałożona kara pieniężna w wysokości do 20 milionów euro lub 4% obrotu. Za pozostałe wykroczenia grozi kara finansowa do 10 milionów euro lub 2% obrotu, w zależności od tego, która kwota jest wyższa. 

Za złamanie Rozporządzenia o Ochronie Danych Osobowych grozi także nakaz ograniczenia przetwarzania danych wyłącznie do przechowywania, a to może grozić poważniejszymi stratami finansowymi niż kara pieniężna – zależnie od modelu biznesowego firmy. Osoba naruszająca RODO musi się także liczyć z możliwością wnoszenia pozwów przez osoby fizyczne, co wiąże się z obowiązkiem wypłacenia odszkodowania poszkodowanemu. 

Pracownik naruszający Rozporządzenie o Ochronie Danych Osobowych musi się także przygotować na konsekwencje egzekwowane przez pracodawcę – naganę, a nawet zwolnienie z miejsca pracy.