Pojęcie danych osobowych jest z pozoru dość proste - są to wszelkie dane umożliwiające zidentyfikowanie osoby fizycznej, jednak na pojęciu prostota się kończy, ponieważ występują liczne wyjątki, szczególne kategorie czy grunt przepisów, pod którym je rozpatrujemy, np. RODO na terenie całej Unii Europejskiej. Warto więc wiedzieć, czym w świetle prawa są, a czym nie są, dane osobowe, zarówno z perspektywy osoby fizycznej, która chce chronić swoje dane, jak i przedsiębiorcy, który musi nimi odpowiednio zarządzać - administrować, przetwarzać i chronić.
Czym są dane osobowe?
25 maja 2018 roku na terenie całej Unii Europejskiej, a więc również w Polsce, zaczęło obowiązywać słynne RODO, czyli Rozporządzenie o Ochronie Danych Osobowych, które definiuje dane osobowe jako: "wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania żyjącej osoby fizycznej." Tym samym rozporządzenie Unii Europejskiej zastąpiło wielokrotnie nowelizowaną ustawę polskiego parlamentu z 1997 roku, która już wcześniej definiowała i regulowała kwestie związane z ochroną danych osobowych, choć była znacznie łagodniejsza niż RODO.
Pod definicje RODO, która jest dość ogólna, można podciągnąć bardzo wiele, a określone w rozporządzeniu kary za nieprzestrzeganie są ogromne - mogą wynosić do 20 milionów euro, lub nawet 4% całkowitego rocznego obrotu danej firmy, co przed wejściem i gdy ustawa zaczęła już obowiązywać, wywołało dosłowną panikę wśród przedsiębiorców. Panika ta okazała się uzasadniona, ponieważ niewiele rok po wejściu rozporządzenia w życie, zaczęły pojawiać się pierwsze kary, np. 660 tyś. euro kary dla sklepu Morele.net czy 443 tyś. euro dla Virgin Mobile Polska. Natomiast nawet zastosowanie się do rozporządzenia wiązało się ze znacznymi kosztami usług prawnych - doradztwa czy przygotowywania odpowiednich regulaminów, szczególnie do sklepów i portali internetowych.
Obecnie rozporządzenie RODO przeszło liczne nowelizacje i nie jest takie straszne, jak początkowo uważano, choć ostatnia nałożona na firmę z polski kara w wysokości miliona euro została nałożona 19.01.2022 roku. Dlatego warto poznać rodzaje i przykłady danych osobowych oraz wiedzieć, jak je zabezpieczać.
Rodzaje danych osobowych
Rozporządzenie RODO określa dwa rodzaje danych osobowych - dane osobowe zwykłe oraz szczególne kategorie danych osobowych.
Podstawowe dane osobowe według obowiązującego rozporządzenia RODO to wszystkie dane, które pozwalają w sposób bezpośredni, a nawet pośredni zidentyfikować osobę fizyczną. Zgodnie z tą definicją podstawowe dane osobowe to między innymi: PESEL i wynikająca z niego data urodzenia, adres zamieszkania i inne dane pozwalające ustalić miejsce pobytu danej osoby, imię i nazwisko, adres e-mail, identyfikator internetowy, czyli adres IP, a także inne czynniki pozwalające określić tożsamość fizyczną, genetyczną, ekonomiczną, społeczną, kulturową czy fizjologiczną.
Kategorie danych szczególnych to takie, które mają wrażliwy charakter, czyli zawierają informacje o pochodzeniu etnicznym czy przynależności do związków zawodowych. Wśród nich znajdziemy również szczególne kategorie danych osobowych, do których zaliczamy: informacje o poglądach politycznych, przekonaniach światopoglądowych czy wyznaniowych, dane genetyczne, biometryczne, a nawet dane o stanie zdrowia czy orientacji seksualnej.
Dane osobowe - przykłady
Podstawą definicji danych osobowych jest możliwość ustalenia tożsamości danej osoby fizycznej, więc choć np. adres e-mail znajduje się na liście danych osobowych, to nie zawsze można go zakwalifikować jako podstawowe dane osobowe według rozporządzenia RODO. Zdarza się bowiem, że adres nie ma nic wspólnego z naszym imieniem i nazwiskiem czy jest skrótowy, np. JKowal92@poczta.pl - ten adres może wskazywać na Jana, ale też Jacka, a Kowal może być skrótem od Kowalski, ale nie musi. Natomiast nawet adres JanKowalski92@poczta.pl to nadal za mało, bo Janów Kowalskich z rocznika 92 mamy tysiące czy dziesiątki tysięcy, więc nie wiadomo, o którego z nich chodzi. Sytuacja w przypadku maila zmienia się, gdy mamy do czynienia z adresem firmowym, np. JanKowalski@nazwafirmy.pl, ponieważ istnieje duże prawdopodobieństwo, że w danej firmie pracuje tylko jeden Jan Kowalski, co dość łatwo pozwala ustalić pełną tożsamość.
Jak długo można przechowywać dane osobowe?
Rozporządzenie RODO nie określa, jak długo możemy przechowywać dane osobowe, a jedynym normującym kryterium jest cel, w jakim są przetwarzane. Jeśli więc chodzi o dokumenty prawne, np. umowy zlecenie z kontrahentami czy ogólna baza kontrahentów to dane, które powinniśmy przechowywać jak najdłużej, ponieważ są dowodem współpracy z daną osobą. Podobnie jest z dokumentacjami, sprawozdaniami finansowymi, listą władz danej firmy czy spółki, wszelkimi dokumentami podatkowo-rachunkowymi czy dokumentami świadczącymi o przyznaniu dotacji.
Tak więc o ile spełniliśmy obowiązek informacyjny, a więc osoba, z którą współpracujemy, mogła podjąć świadomą decyzję, że posiadamy jej dane i zamierzamy je przetwarzać - została spełniona reguła wzajemności, to dane możemy przetwarzać tak długo, jak spełniają jakiś cel dla naszej firmy, czyli nie przechowujemy ich niepotrzebnie.
Jak chronić swoje dane osobowe?
Przechowywanie danych przez firmy nie jest zwykle problemem, natomiast naruszania danych osobowych, wynikają zwykle z zaniedbań w ich zabezpieczeniu. Największą bolączką firm są oczywiście ataki hakerów na bazy danych i wycieki. Jednak zdarza się również, że dana firma tworzy np. korespondencję seryjną, chcąc zoptymalizować proces wysyłki dokumentów, a w procesie pomyli odbiorców, przez co udostępni dane wrażliwie niechcianej osobie trzeciej.
Zabezpieczenie danych osobowych jest obecnie bardzo trudne, ponieważ nasze dane są stale narażone na wycieki, błędy ludzkie, a i my sami chętnie je udostępniamy w mediach społecznościowych. Na dwie pierwsze sytuacje nie mamy wpływu i to firmy mają obowiązek odpowiedniego zabezpieczania naszych danych, natomiast my powinniśmy bardziej uważać, gdzie i co udostępniamy. Okazuje się bowiem, że istnieją nawet bezpłatne wyszukiwarki osób, których roboty stale przeglądają internet i łączą znalezione dane takie jak adres e-mail, imię i nazwisko, numer telefonu w całość, przypisując je do konkretnej osoby, a co ciekawe - robią to legalne, ponieważ bazują na danych, które sami udostępniamy publicznie, np. w mediach społecznościowych.
