Definicja danych osobowych a ich zakres przedmiotowy w świetle RODO

Art. 4 pkt. 1 Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych definiuje pojęcie „danych osobowych”. Czy zmieni się ta definicja po wejściu w życiu RODO w stosunku do obecnie jeszcze obowiązującej ustawy o ochronie danych osobowych?

Określenie pojęcia danych osobowych, zarówno w ustawie o ochronie danych osobowych, jak i w RODO, ma niezwykle ważną rolę. Wyznacza ona zakres zastosowania norm zawartych w każdym z wyżej wymienionych aktów prawnych. Warto zatem zwrócić szczególną uwagę na definicję ustawowe tego pojęcia. Ponieważ w przypadku zmiany jego treści w stosunku do postanowień ustawy o ochronie danych osobowych, zmianie ulegnie również i zakres przedmiotowy stosowania RODO.

Definicja danych osobowych

Art. 4 pkt. 1 ogólnego rozporządzenia o ochronie danych stanowi, iż: „dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.

Podobne brzmienie miał przepis art. 2a dyrektywy 95/46/WE, jak również art. 6 ustawy o ochronie danych osobowych, będącej wynikiem transpozycji wyżej wskazanej dyrektywy. A zatem kwalifikacja pojęcia „danych osobowych” nie zostanie znacząco zmieniona po wejściu w życie unijnego rozporządzenia.

W oparciu o zawartą w art. 4 pkt. 1 RODO definicję pojęcia danych osobowych, należy stwierdzić, że przetwarzane przez administratora lub inny podmiot informacje będą uważane za dane osobowe wyłącznie w przypadku, gdy pozwolą na identyfikację konkretnej osoby fizycznej. Zatem definicja legalna podstawowego dla rozporządzenia pojęcia „danych osobowych” po raz kolejny, podobnie jak w dyrektywie i ustawie o ochronie danych osobowych, została oparta na skutku procesu identyfikacji osoby fizycznej. A więc zidentyfikowaniu osoby lub możliwości jej zidentyfikowania.

Za przyjęciem tożsamej konstrukcji uznania informacji za dane osobowe w ogólnym rozporządzeniu o ochronie danych, idzie sukcesja dotychczasowego stanowiska organów regulacyjnych (np. GIODO), dotychczasowego orzecznictwa oraz stanowiska prezentowanego w doktrynie.

Identyfikacja osoby fizycznej

Motyw 26 preambuły RODO stanowi, że do stwierdzenia, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby, w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.

Ustawodawca unijny natomiast ograniczył stosowanie RODO w stosunku do informacji anonimowych. Wskazał to w motywie 26 preambuły, a zatem nieco zmodyfikował przepis art. 4 pkt. 1 RODO. Dane anonimowe to:

  • informacje, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną lub
  • dane zanonimizowane w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować.

W związku z powyższym, należy stwierdzić, iż ustawodawca unijny w odniesieniu do definicji pojęcia „danych osobowych”, a zatem i w odniesieniu do zakresu przedmiotowego RODO, przyjął koncepcję bardzo podobną do wykorzystanej już wcześniej w dyrektywie 95/46/WE.