Skip to main content

Co to są dane osobowe (GDPR)?

Celem GDPR jest ochrona danych osobowych obywateli i mieszkańców UE. Zrozumienie, co to oznacza, pozwoli Twojej firmie uporać się z wymaganiami GDPR. W rzeczywistości GDPR dotyczy tylko danych osobowych. Ale czym dokładnie są dane osobowe? Zakres tej kategorii może Cię zaskoczyć! W tym artykule pomożemy Ci określić, które z Twoich danych podlegają przepisom GDPR, co pozwoli Ci uniknąć niepotrzebnego usuwania przydatnych informacji.

Wyjaśnimy również różnicę między danymi osobowymi a wrażliwymi danymi osobowymi - jest to kluczowe rozróżnienie w ramach GDPR, które ma wpływ na sposób gromadzenia, przechowywania i przetwarzania tych danych.

Czym dokładnie są dane osobowe?

Niestety, GDPR nie zawiera wyczerpującej listy tego, co uznaje za dane osobowe. Przepisy stanowią, że dane osobowe to: "Wszelkie informacje dotyczące możliwej do zidentyfikowania osoby fizycznej".

Dla laika oznacza to wszelkie informacje, które mogą być użyte - same lub w połączeniu z innymi informacjami - do zidentyfikowania żyjącej osoby, której dane dotyczą. Dane osobowe mogą być czymś oczywistym, jak nazwisko lub nazwa użytkownika, lub czymś mniej oczywistym, jak nagranie z kamery przemysłowej.

Wynika to z faktu, że takie dane mogą być wykorzystane do potwierdzenia fizycznej obecności użytkownika w jakimś miejscu. Obejmują one również dane o lokalizacji telefonu, adresy IP, dane plików cookie, a także adresy e-mail i adresy domowe.

Należy jednak pamiętać, że te elementy same w sobie nie muszą stanowić danych osobowych w rozumieniu przepisów GDPR - wszystko zależy od konkretnych okoliczności.

Co ma z tym wspólnego okoliczność?

Weźmy na przykład czyjeś imię i nazwisko.

Można by założyć, że zawsze będzie ono zaliczane do danych osobowych zgodnie z GDPR, ale bylibyśmy w błędzie. Biorąc pod uwagę, że w Stanach Zjednoczonych jest 48 532 Johnów Smithów, samo imię nie może być użyte do identyfikacji konkretnej osoby(US Census Bureau). Dla porównania można chyba bezpiecznie powiedzieć, że syn Elona Muska jest jedyną osobą na planecie o imieniu X Æ A-12 Musk (na razie).

W związku z tym zrozumiałe jest, że GDPR uzna jego imię i nazwisko za dane osobowe, ponieważ ta informacja sama w sobie wystarczy, by ustalić jego indywidualną tożsamość. Sytuacja zmienia się jednak, gdy połączy się ją z innymi informacjami znajdującymi się w aktach. Adres e-mail johnsmith@businessx.com zostałby uznany za dane osobowe, ponieważ wskazuje, że w tej konkretnej firmie pracuje tylko jeden John Smith.

Czy cokolwiek nie jest uznawane za dane osobowe?

W większości przypadków dane osób zmarłych nie są uznawane za dane osobowe w świetle GDPR. W motywie 26 stwierdza się również, że dane anonimowe nie podlegają przepisom GDPR. Anonimizacja to proces usuwania z danych wszystkich identyfikatorów osobowych. Nie należy jej mylić z danymi pseudonimowymi lub zaszyfrowanymi, które nadal mogą być ponownie przetwarzane w celu identyfikacji osób. Jednak GDPR aktywnie zachęca do pseudonimizacji danych osobowych, ponieważ zapewnia ona dodatkowy poziom bezpieczeństwa osobom, których dane dotyczą. Dzieje się tak dlatego, że dostęp do spseudonimizowanych danych mają tylko upoważnieni pracownicy - w ten sposób zmniejsza się ryzyko utraty prywatności osób, które przekazały swoje dane firmom.

Co z wrażliwymi danymi osobowymi GDPR?

Wrażliwe dane osobowe - lub "dane szczególnej kategorii" w oficjalnym języku art. 9 - zostały wyróżnione w GDPR jako coś, co musi być traktowane z zachowaniem szczególnego bezpieczeństwa. Oto wszystkie przykłady wrażliwych danych osobowych:

  • Pochodzenie rasowe lub etniczne
  • poglądy polityczne
  • Przekonania religijne lub filozoficzne
  • Przynależność do związków zawodowych
  • Rejestr karny
  • Dane niejawne
  • Dane genetyczne
  • Dane finansowe
  • Dane biometryczne
  • Dane dotyczące zdrowia
  • Życie seksualne lub orientacja seksualna
  • Informacje biznesowe lub dotyczące pracy

To rozróżnienie między danymi osobowymi a wrażliwymi danymi osobowymi jest ważne. Zgodnie z GDPR dane wrażliwe można przetwarzać tylko wtedy, gdy spełniają co najmniej jeden z poniższych warunków:

  • Jeśli dana osoba udzieliła wyraźnej zgody lub już upubliczniła te dane
  • dane są niezbędne do ochrony interesów osób, których dane dotyczą, a które fizycznie nie są w stanie wyrazić na to zgody
  • dane są niezbędne do spełnienia wymogów prawnych dotyczących zatrudnienia, zabezpieczenia społecznego lub ochrony socjalnej
  • dane są potrzebne organizacji nienastawionej na zysk do prowadzenia zgodnej z prawem działalności
  • Dane są potrzebne do działań związanych z istotnym interesem publicznym w zakresie zdrowia lub medycyny.

Jesteś gotowy do przetwarzania danych

Mamy nadzieję, że teraz lepiej wiesz, jakie dane osobowe i wrażliwe masz w swojej bazie. Jest to pierwszy krok w kierunku identyfikacji i klasyfikacji danych oraz zapewnienia, że sposób przechowywania danych osobowych jest zgodny z prawami użytkowników Internetu w UE na mocy GDPR. Poprawa bezpieczeństwa tych wrażliwych informacji pozwoli również lepiej chronić firmę w niefortunnym przypadku naruszenia danych - zmniejszając kary, jakie firma otrzyma od organów ochrony danych.

Więcej informacji na temat GDPR i prywatności danych można znaleźć w naszym obszernym przewodniku.