Ochrona danych osobowych w firmie – jak należy rozumieć pojęcie danych osobowych?

Prowadząc firmę, należy zwrócić szczególną uwagę na ochronę danych osobowych oraz wykonywanie obowiązków prawnych, nałożonych na administratorów i podmioty przetwarzające, którymi mogą być przedsiębiorcy w odniesieniu do poszczególnych danych osobowych. Aby zrozumieć, w jaki sposób należy zapewniać realizację tych obowiązków oraz prawidłowo organizować w firmie procesy związane z przetwarzaniem danych osobowych, w pierwszej kolejności istotne jest zrozumienie, czym są dane osobowe.

Dane osobowe

Definicja danych osobowych znajduje się w art. 4 pkt 1) RODO: „dane osobowe”  oznaczają  informacje o  zidentyfikowanej lub  możliwej do  zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub  pośrednio zidentyfikować,  w  szczególności na  podstawie identyfikatora  takiego jak  imię  i  nazwisko,  numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających  fizyczną,  fizjologiczną, genetyczną,  psychiczną, ekonomiczną, kulturową  lub  społeczną tożsamość osoby fizycznej.

Zgodnie z powyższą definicją dane osobowe są to dane dotyczące wyłącznie osób fizycznych. Ochroną przewidzianą w RODO nie są objęte dane osób zmarłych (motyw 27 RODO). Aby móc przypisać danym charakter osobowy, muszą one dotyczyć osoby fizycznej zidentyfikowanej lub w odniesieniu do której taka możliwość istnieje. Jak należy rozumieć pojęcie „możliwa do zidentyfikowania osoba fizyczna”? Odpowiedź w tym zakresie częściowo przynosi treść motywu 26 RODO:

„(…)Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. (…)”.

Dane sensytywne

Rozporządzenie przewiduje podział danych na dane zwykłe, np. imię, nazwisko czy PESEL oraz dane szczególnych kategorii. Dane szczególnych kategorii to między innymi dane dotyczące stanu zdrowia, pochodzenia rasowego lub etnicznego, poglądów politycznych czy danych biometrycznych. O ile dane osobowe zwykłe możemy przetwarzać, jeśli dysponujemy odpowiednią podstawą legalizującą zawartą w art. 6 ust. 1 RODO, to przetwarzanie danych szczególnych kategorii jest co do zasady zabronione, chyba że wystąpi jedna z przesłanek wskazanych w art. 9 ust. 2 RODO.

Obowiązki

Prowadząc firmę na terenie Unii Europejskiej, niezależnie od tego czy przetwarzanie odbywa się w granicach UE lub poza Unią Europejską, jednak jeśli w ramach przedsiębiorstwa dochodzi do przetwarzania danych osobowych osób przebywających w UE na zasadach określonych w art. 3 RODO, obowiązują nas przepisy RODO. Stale dokonujemy operacji przetwarzania na danych osobowych klientów, kontrahentów czy pracowników dostawców usług. Działając w roli administratora lub podmiotu przetwarzającego spoczywa na nas szereg obowiązków wynikających z RODO, które musimy spełnić, aby zapewnić osobom, których dane przetwarzamy adekwatną ochronę, którą gwarantuje im Rozporządzenie. Z tego względu warto zadbać o to, aby wszystkie procesy związane z danymi osobowymi w firmie odbywały się w sposób świadomy i zgodnie z przepisami prawa dotyczącymi ochrony danych.