Odpowiedź

Dane osobowe stanowią wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania żyjącej osoby fizycznej. Poszczególne informacje, które w połączeniu ze sobą mogą prowadzić do zidentyfikowania tożsamości danej osoby, także stanowią dane osobowe.

Dane osobowe, które zostały pozbawione elementów pozwalających na identyfikację lub zostały zaszyfrowane bądź poddane pseudonimizacji, ale które mogą prowadzić do ponownej identyfikacji osoby fizycznej, pozostają danymi osobowymi objętymi zakresem RODO.

Za dane osobowe nie uważa się danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Aby dane były naprawdę anonimowe, anonimizacja musi być nieodwracalna.

RODO zapewnia ochronę danych osobowych niezależnie od rodzaju technologii, której użyto do przetwarzania danych. Jest zatem „neutralne pod względem technologii” i ma zastosowanie zarówno do zautomatyzowanego przetwarzania, jak i do przetwarzania ręcznego, jeśli dane uporządkowane są według określonych kryteriów (np. w porządku alfabetycznym). Ponadto nie ma znaczenia, w jaki sposób dane są przechowywane. W systemie IT, w systemie nadzoru wideo czy w formie papierowej — we wszystkich tych przypadkach dane osobowe podlegają wymogom w zakresie ochrony określonym w RODO.

Przykładowe dane osobowe:

  • imię i nazwisko;
  • adres zamieszkania;
  • adres e-mail, taki jak imię.nazwisko@firma.com;
  • numer dowodu tożsamości;
  • dane o lokalizacji (np. ustawienia lokalizacji w telefonie komórkowym)*;
  • adres IP;
  • identyfikator plików cookie*;
  • identyfikator reklamowy w telefonie komórkowym;
  • dane przechowywane przez szpital lub lekarza, które mogą jednoznacznie wskazywać tożsamość danej osoby.

* Należy pamiętać, że w niektórych przypadkach zastosowanie ma szczegółowe ustawodawstwo sektorowe regulujące między innymi wykorzystywanie danych o lokalizacji lub plików cookie — dyrektywa o prywatności i łączności internetowej (dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 (Dz.U. 201 z 31.7.2002, s. 37) oraz rozporządzenie (WE) nr 2006/2004 Parlamentu Europejskiego i Rady z dnia 27 października 2004 r. (Dz.U. 364 z 9.12.2004, s. 1).

Przykłady danych niebędących danymi osobowymi:

Odnośniki

  • art. 2, art. 4 ust. 1 i 5 oraz motywy 14, 15, 26, 27, 29 i 30 RODO
  • WP 01248/07/PL, WP 136 Opinia 4/2007 w sprawie pojęcia danych osobowych
  • Grupa Robocza Art. 29: Opinia 05/2014 w sprawie technik anonimizacji