Jakie dane osobowe podlegają ochronie?

Od pewnego czasu dość głośnym echem odbija się hasło dotyczące ochrony danych osobowych. Jest to związane z rozporządzeniem unijnym o ochronie danych, potocznie nazywanym RODO, które weszło w życie w 2018 roku we wszystkich państwach członkowskich. Jakie informacje zaliczamy do danych podlegających szczególnej ochronie? Co grozi za udostępnienie danych bez zgody danej osoby?

Wrażliwe dane osobowe – czyli jakie?

Za podmiot danych osobowych, zgodnie z RODO uznajemy każdą zidentyfikowaną lub możliwą do zidentyfikowania osobę fizyczną. Brzmi to pokrętnie, jednak w rzeczywistości sprawa jest bardzo prosta. Osobę możemy zidentyfikować na podstawie imienia bądź nazwiska, numeru identyfikacyjnego, danych o lokalizacji, adresie IP lub na podstawie innych czynników określających tożsamość.

Wszystkie te dane, pozwalają nam określić w sposób sformalizowany, czy mamy do czynienia z tą jedną konkretną osobą. To czyni te informacje naszymi danymi osobowymi. Co możemy zaliczyć do danych osobowych:

  • imię i nazwisko,
  • data urodzin,
  • różnego rodzaju numery identyfikacyjne (PESEL, NIP, numer dowodu)
  • adres zamieszkania bądź zameldowania,
  • adres e-mail,
  • wygląd: kolor oczu, płeć, kolor włosów, wzrost,
  • dane biometryczne i genetyczne,
  • dane dotyczące stanu zdrowia,
  • dane związane z poglądami politycznymi czy religijnymi,
  • adres IP.

Szkolenie z zakresu ochrony danych osobowych

Co ważne, identyfikacja nie musi i rzadko kiedy uwzględnia jeden z tych czynników. Najczęściej łączy się je ze sobą, by umożliwić rozpoznanie danej osoby w sposób jak najbardziej szczegółowy. Nie bez powodu na większości dowodów tożsamości oprócz imienia i nazwiska pojawia się także zdjęcie, data urodzenia czy numer PESEL. Nie zmienia to jednak faktu, że jeśli jesteśmy w stanie rozpoznać osobę po chociaż jednej z podanych informacji, należy uznać tę informację za dane osobowe, podlegające szczególnej ochronie.

Za dane osobowe według RODO uznaje się także imię i nazwisko pojawiające się w nazwie firmy i w stosunku do nich także powinno się stosować postanowienia rozporządzenia unijnego o ochronie danych osobowych.

Co nie należy do danych osobowych?

Do danych osobowych nie zaliczymy tego, co nie pozwala na identyfikację danej osoby. Będą to na przykład inicjały czy tablice rejestracyjne samochodów. Te drugie, nie podlegają z reguły RODO, ze względu na to, że umożliwiają zidentyfikowanie właściciela pojazdu tylko wąskiej grupie, jaką jest policja. Inicjały natomiast nie pozwalają nam na identyfikację danej osoby, choć w niektórych przypadkach mogą zawężać grupę osób, której dotyczą.

RODO nie dotyczy także osób, które przetwarzają dane w celach prywatnych, czyli na przykład, wysyłając kartki do osób fizycznych. Rozporządzenie dotyczy relacji przedsiębiorca – klient, dlatego w kontaktach prywatnych się go nie stosuje.

Za naruszenie RODO uznaje się każdy wyciek danych. Kary mogą być bardzo wysokie, jednak są uzależnione od kilku czynników:

  • charakter czynu, czas trwania i jego waga,
  • czy zostały podjęte działania w ramach zadośćuczynienia czynu,
  • kategoria danych, które zostały naruszone,
  • inne czynniki łagodzące lub obciążające (np. czy doszło do korzyści majątkowych).

Kary za naruszenie danych osobowych nakładane są przez Prezesa Urzędu Ochrony Danych Osobowych, ale klient może także osobiście wystąpić z pozwem.

Szkolenie z zakresu ochrony danych osobowych

Kto musi realizować zadania w ramach ochrony danych osobowych?

Ze względu na to, że do danych osobowych zaliczamy także informacje dotyczące stanu zdrowia, RODO dotyczy w dużej mierze różnych placówek medycznych. Jednak unijne rozporządzenie zobowiązuje do ochrony każdą firmę, niezależnie od jej wielkości czy statusu, do ochrony danych osobowych swoich klientów.

Co ważne, RODO dotyczy także tych firm, których siedziba nie jest zlokalizowana w jednym z państw członkowskich, a która oferuje swoje usługi na ich terenie. Dane osobowe musi chronić także przedsiębiorca przetwarzający dane w ramach chmury obliczeniowej – niezależnie od tego gdzie znajdują się serwery firmy.

Prowadząc firmę, warto przeprowadzić w niej szkolenie z zakresu ochrony danych osobowych. Można także zatrudnić osobę wykształconą w tym kierunku, by uniknąć nieprzyjemnych sytuacji. Pozwoli to zminimalizować ryzyko strat i z pewnością ociepli wizerunek przedsiębiorstwa.