Prawo i podatki,

Pojęcie i kategorie danych osobowych na gruncie RODO

Zespół prawny

A.M. Jesiołowscy-Finanse sp. z o.o.

Wprowadzenie

Celem Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z  dnia 27 kwietnia 2016 roku – w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), przywoływanego w dalszej części jako: „RODO”, jest ochrona osób fizycznych w związku z przetwarzaniem danych osobowych. W związku z tym, przystępując do analizy kluczowych aspektów powyższego aktu prawnego oraz jego wpływu na nasze codzienne życie (zarówno prywatne, jak i zawodowe), należy już na samym początku wyjaśnić, czym na gruncie RODO są dane osobowe oraz jakie kategorie danych osobowych możemy wyróżnić.

Definicja danych osobowych

Pojęcie danych osobowych definiowane jest w art. 4 pkt 1 RODO. Stosownie do treści tego przepisu, oznaczają one wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”), przy czym możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Tak określona definicja danych osobowych, jak i osoby fizycznej powoduje, że ma ona de facto zastosowanie do każdego z nas. Co więcej, ma ona charakter otwarty, gdyż niemożliwym jest wymienienie wszystkich typów informacji, które wypełniają pojęcie danych osobowych (wynika ona także z zastosowanego w przepisie zwrotu „w szczególności”). 

Zgodnie z doktryną, do przykładowego katalogu danych osobowych można niewątpliwie zaliczyć takie informacje jak:

  1. imię, nazwisko, 
  2. adres zamieszkania, 
  3. numer PESEL, 
  4. NIP, 
  5. seria i numer dowodu osobistego lub paszportu, 
  6. data i miejsce urodzenia, 
  7. numer telefonu, 
  8. wykonywany zawód, 
  9. wysokość wynagrodzenia, 
  10. wizerunek, 
  11. stan cywilny, 
  12. obywatelstwo, 
  13. stan zdrowia, 
  14. wykształcenie, 
  15. karalność, 
  16. adres e-mail,
    ale także:
  17. identyfikatory internetowe, 
  18. adresy IP, 
  19. identyfikatory plików cookie – generowanych przez urządzenia, aplikacje, narzędzia i protokoły, 
  20. głos na nagraniu rozmowy telefonicznej, 
  21. twarz na nagraniu z kamery, 
  22. tablice rejestracyjne samochodu, 
  23. płeć, kolor i kształt tęczówki, 
  24. waga, 
  25. wzrost, 
  26. odcisk palca, 
  27. informacje o przebywaniu w konkretnym miejscu, 
  28. informacje o przejeździe środkami komunikacji miejskiej, 
  29. grupa krwi, 
  30. struktura kodu genetycznego.

Istotna rzecz, na którą trzeba zwrócić uwagę, to fakt, iż dane osobowe dotyczą osób fizycznych, co implikuje z kolei, iż nie podlegają ochronie prawnej na gruncie RODO dane osób prawnych oraz jednostek organizacyjnych mających zdolność prawną, a nieposiadających osobowości prawnej. Tak samo rzecz się ma, jeśli chodzi o osoby fizyczne reprezentujące osoby prawne (takie jak np. spółki kapitałowe) – mocą przepisów szczególnych niektóre dane osobowe takich podmiotów podlegają ujawnieniu (m.in. w KRS czy CRBR). W przypadku jednoosobowej spółki z o.o. informacje dotyczące osoby fizycznej mogą okazać się tożsame z informacjami dotyczącymi osoby prawnej, z kolei w przypadku osób fizycznych prowadzących działalność gospodarczą, katalog danych jawnych, udostępnianych w CEIDG, może być ograniczony wolą przedsiębiorcy (zgodnie z art. 43 ust. 1 ustawy z dnia 6 marca 2018 roku – o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy (Dz. U. z 2019 r., poz. 1291), CEIDG udostępnia zawarte w niej dane i informacje, o których mowa w art. 5 ust. 1 i 2, z wyjątkiem numeru PESEL, daty urodzenia oraz danych kontaktowych, o których mowa w art. 5 ust. 1 pkt 7, w przypadku gdy, podając je, osoba uprawniona sprzeciwiła się ich udostępnianiu w CEIDG).

Kategorie danych osobowych

Na gruncie przepisów RODO możemy wyróżnić trzy podstawowe kategorie danych osobowych:

  1. tzw. zwykłe dane osobowe
  2. szczególne dane osobowe z art. 9 RODO (tzw. dane wrażliwe)
    oraz
  3. dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa (wymienione w art. 10 RODO).

Jeśli chodzi o zwykłe dane osobowe, to co do zasady można do nich zaliczyć wszystkie dane, których nie można zaklasyfikować do pozostałych kategorii. O ile takimi danymi będą przykładowo imię, nazwisko, NIP, PESEL, czy wykonywany zawód, o tyle przymiotu zwykłych danych osobowych nie będą posiadały takie informacje jak wizerunek, grupa krwi, odcisk linii papilarnych, temperatura ciała, czy zawartość alkoholu w wydychanym powietrzu.

Szczególne dane osobowe (dane wrażliwe) tym różnią się od zwykłych danych osobowych, że ze względu na ich charakter przetwarzanie jest zasadniczo zabronione. Zakaz ten wynika z art. 9 ust. 1 RODO, który stanowi:

„Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.”.

Nie ma on jednak charakteru absolutnego – zgodnie z art. 9 ust. 2 RODO, nawet dane wrażliwe będą mogły być przetwarzane, jeśli spełniony jest choćby jeden z poniższych warunków:

  1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
  2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
  3. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
  4. przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
  5. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
  6. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
  7. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
  8. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;
  9. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
  10. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

Co więcej, z przepisu art. 9 ust. 1 RODO wynikają 4 grupy danych wrażliwych:

  1. dane osobowe ujawniające: 
    • pochodzenie rasowe lub etniczne, 
    • poglądy polityczne, 
    • przekonania religijne lub światopoglądowe, 
    • przynależność do związków zawodowych;
  1. dane genetyczne, 
  2. dane biometryczne
    oraz
  3. dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby.

O ile dane z pkt 1 nie wymagają szerszego omówienia, o tyle należy pochylić się nad tym, jakie faktory determinują pozostałe grupy danych.

Dane genetyczne zdefiniowane są w art. 4 pkt 13 RODO i oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej. Jak wskazuje P. Fajgielski, „(…) W motywie 34 preambuły wskazano, że dane genetyczne to dane dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, uzyskane z analizy próbki biologicznej danej osoby fizycznej, w szczególności z analizy chromosomów, kwasu dezoksyrybonukleinowego (DNA) lub kwasu rybonukleinowego (RNA) lub z analizy innych elementów umożliwiających pozyskanie równoważnych informacji. Informacje te mogą wskazywać np. na predyspozycje osoby do wystąpienia różnych chorób. (…)”.

Z kolei dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne (art. 4 pkt 14 RODO). Oprócz kategorii wskazanych expressis verbis w powyższym przepisie, w ramach tej grupy coraz częściej wykorzystywane są inne kategorie danych, jak np. obraz tęczówki oka, geometria dłoni, układ naczyń krwionośnych dłoni (odzwierciedlające różnorodne cechy fizyczne lub fizjologiczne). Danymi biometrycznymi mogą być również informacje dotyczące sposobu zachowania się człowieka, a więc cech behawioralnych, jak np. brzmienie głosu, sposób poruszania się. We współczesnych czasach dane biometryczne są coraz częściej wykorzystywane np. w dokumentach tożsamości, w systemach zabezpieczeń dostępu, w bankomatach itp..

Wreszcie, zgodnie z art. 4 pkt 15 RODO, przez dane dotyczące zdrowia należy rozumieć dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia. Definicja ta jest dosyć szeroka, gdyż obejmuje nie tylko informacje odnoszące się do zdrowia fizycznego lub psychicznego osoby (np. informacja, na jakie schorzenie cierpi osoba), ale obejmują również informacje o korzystaniu z usług opieki zdrowotnej (np. wizyt u lekarza, świadczeń medycznych, przepisanych lekarstw itp.). W przepisie nie wskazano explicite informacji dotyczących nałogów danej osoby, jednakże zgodnie z większościowym poglądem w doktrynie, również informacje o nałogach czy uzależnieniach wchodzą w zakres danych dotyczących zdrowia.

Na koniec wypada wspomnieć także, czym są dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa (nienależące ani do kategorii zwykłych danych osobowych, ani do kategorii szczególnych danych osobowych). Kategoria ta odnosi się danych dotyczących wyroków skazujących oraz naruszeń prawa. Mimo, że polski ustawodawca przyznał omawianej kategorii danych status danych wrażliwych, prawodawca unijny nie uwzględnia powyższych danych w katalogu danych wrażliwych. Zgodnie bowiem z treścią art. 10 ust. 1 RODO, 

„Przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych.”.

Nie wchodząc w szczegóły dotyczące tej grupy danych, trzeba jedynie zasygnalizować, że rejestrami, o których mowa w zdaniu drugim powyższego przepisu, są Krajowy Rejestr Karny oraz Rejestr Sprawców Przestępstw na Tle Seksualnym.

Podsumowanie

Pojęcie danych osobowych na gruncie RODO jest bardzo szerokie i możemy uznać, że każda informacja odnosząca się do pewnej indywidualnie wskazanej osoby tę definicję wypełnia. Bardzo ważne jest także określenie kategorii danych, bowiem ma to wpływ na istnienie możliwości przetwarzania konkretnej informacji. Szczególne istotne jest przestrzeganie zakazu przetwarzania danych szczególnych (wrażliwych), choć i tutaj prawodawca unijny przewidział szereg wyłączeń. W razie wątpliwości w konkretnej sprawie warto przed podjęciem decyzji o przetwarzaniu skonsultować się z profesjonalnym doradcą w zakresie RODO, co zminimalizuje ryzyko powstania po stronie podmiotu przetwarzającego dane zapłaty administracyjnej kary pieniężnej bądź odszkodowania.

Źródła:

  1. Glumińska-Pawlic Jadwiga, Bielecka Dominika, Derela Klaudia, Grzybczyk Paulina, Hofman Artur, Markowicz Jan, Mikuła Marek, Mrozińska Agata , Oleś Artur, Orpik Klaudia, Sikorski Jakub i Zarzycki Łukasz. 4. Rozporządzenie 2016/679. W: Działalność gospodarcza w sektorze MŚP. Wolters Kluwer Polska, 2020.
  2. Fajgielski Paweł. Art. 4. W: Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz. Wolters Kluwer Polska, 2018.
  3. Kuba Magdalena. Art. 10. W: RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. Wolters Kluwer Polska, 2018.