Czym są dane osobowe i na czym polega ich przetwarzanie w świetle RODO

Żeby zrozumieć ogólne wymogi dotyczące ochrony danych osobowych stawiane zarówno przez RODO, jak i przez wciąż obowiązującą ustawę o ochronie danych osobowych (pisałem o nich TUTAJ), należy doprecyzować czym są dane osobowe oraz na czym polega ich przetwarzanie. Na pierwszy rzut oka obydwa pojęcia wydają się oczywiste. Niemniej jednak z mojej praktyki wynika, że zdecydowana większość przedsiębiorców nie traktuje zbieranych przez nich informacji jak danych osobowych, a procesów biznesowych, w których dane te są pozyskiwane, nie traktuje jako ich przetwarzanie.

Czym są dane osobowe

W świetle RODO (oraz co do zasady również w świetle obowiązującej jeszcze ustawy o ochronie danych osobowych) danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest natomiast osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Co bardzo istotne, ochrona danych osobowych dotyczy wyłącznie osób fizycznych. Nie obejmuje ona natomiast w ogóle osób prawnych i jednostek organizacyjnych niemających osobowości prawnej, np. nazw i danych kontaktowych spółek kapitałowych, spółdzielni, stowarzyszeń, fundacji etc.

Bazując na tak szerokiej definicji, niemal wszystkie informacje „osobowe” możemy zakwalifikować jako dane osobowe. I nie są to tylko dane takie jak imię i nazwisko. Daną osobową w świetle RODO, w zależności od sytuacji i kontekstu, może być np. numer telefonu, numer PESEL, numer dowodu osobistego, adres email, profil na portalu społecznościowym, zdjęcie profilowe na portalu społecznościowym, czy też nazwa lub numer ID konta na portalu społecznościowym. Danymi osobowymi mogą być również np. informacje o zadłużeniu wobec spółdzielni mieszkaniowej, przypisane numerom mieszkań, wywieszone na klatkach schodowych, bądź dane geolokalizacyjne zbierane np. przez operatorów telefonii komórkowej. Danymi osobowymi w świetle RODO mogą być również np. próbki krwi i innych tkanek, umożliwiające analizę DNA lub ustalenie pokrewieństwa, czy też odciski palców i skany siatkówki oka, bądź nagrania głosu.

Na czym polega przetwarzanie danych osobowych

Z kolei przez  przetwarzanie danych osobowych należy rozumieć operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Przetwarzaniem danych osobowych jest w szczególności zbieranie danych, ich utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Definicja przetwarzania danych również jest bardzo szeroka i obejmuje zdecydowaną większość operacji i procesów w firmie, które jakkolwiek dotyczą danych osobowych. Co ciekawe, nawet usuwanie i niszczenie klasyfikuje jako przetwarzanie danych osobowych.

Czy ja przetwarzam dane osobowe?

Biorąc powyższe pod uwagę, niemal każda możliwa do wyobrażenia czynność na danych dotyczących osób fizycznych możliwych do zidentyfikowania jest przetwarzaniem danych  osobowych, poczynając od zbierania danych, a na usuwaniu kończąc. Wielu przedsiębiorców nawet nie zdaje sobie sprawy, że dane, które gromadzą, są danymi osobowymi, jak również, że gromadzenie tych danych np. w programie komputerowym obsługującym skrzynkę e-mail jest już przetwarzaniem w świetle RODO. W efekcie, wielu przedsiębiorców nie zdaje sobie sprawy, że wymogi RODO mają zastosowanie również do nich.