Czym są dane osobowe i czym jest ich przetwarzanie
W ostatnich dwóch artykułach został wyjaśniony tajemniczy skrót „RODO” oraz omówiono jego zakres podmiotowy. Wskazałem podmioty, które zobligowane są do wdrożenia w życie i przestrzegania jego postanowień. W tym wpisie z kolie skupimy się na jego zakresie przedmiotowym, a więc wyjaśnimy nie kogo, a czego dokładnie ono dotyczy.
RODO, zgodnie z literalnym brzmieniem rozporządzenia unijnego, stosuje się do przetwarzania danych osobowych. Przez przetwarzanie danych osobowych należy rozumieć operacje wykonywane na danych osobowych, takie jak np.:
- zbieranie danych,
- przechowywanie danych,
- usuwanie danych,
- opracowywanie danych,
- udostępnianie danych.
Przetwarzanie danych ustawodawca unijny rozumie więc bardzo szeroko, co podobnie jak szerokie określenie grupy podmiotów zobowiązanych do jego przestrzegania, ma na celu maksymalizację w zakresie ochrony danych osobowych.
Co niezwykle istotne, RODO obejmuje wszelkie czynności, które mają za przedmiot dane osobowe. Oznacza to, że jego zastosowanie nie ogranicza się do usługi archiwizowania dokumentów. Przeciwnie, znajduje ono zastosowanie wobec wszelkich usług, w których dochodzi do zbierania danych osobowych. W związku z tym, RODO powinni stosować nie tylko przedsiębiorcy zajmujący się przetwarzaniem danych osobowych (świadczących usługi polegające na archiwizowaniu danych osobowych, niszczeniu dokumentów zawierających takie dane), ale także przedsiębiorcy, którzy przetwarzają dane osobowe przy okazji świadczenia innych usług, np. kadrowi, księgowi, zarządcy nieruchomości itp.
Skoro już wiemy, że RODO reguluje kwestie przetwarzania danych osobowych i wiemy także co przez przetwarzanie danych osobowych powinniśmy rozumieć, czas wyjaśnić samo pojęcie danych osobowych. A zatem, dane osobowe to wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą zidentyfikowaną jest osoba, której tożsamość znamy, którą możemy wskazać spośród innych osób (np. pracownik naszej firmy). Osobą możliwą do zidentyfikowania jest natomiast taka osoba, której tożsamości nie znamy, ale jesteśmy w stanie poznać, wykorzystując środki, które posiadamy (np. nadawca listu poleconego na podstawie numeru przesyłki).
W tym miejscu warto wskazać, iż dane osobowe to wyłącznie informacje o osobach fizycznych. Informacje o osobach prawnych (np. informacje dot. spółki akcyjnej) nie są uznawane za dane osobowe. Co więcej, dla powstania obowiązku ochrony przetwarzanych danych osobowych nie mają znaczenia przymioty osoby, w której posiadaniu danych osobowych jesteśmy. Tak samo więc jesteśmy zobligowani do ochrony danych osobowych osoby dorosłej jak i 5 – letniego dziecka.
RODO wyróżnia dwa rodzaje danych osobowych:
- dane osobowe wrażliwe, które to RODO nazywa szczególnymi kategoriami danych osobowych – zaliczamy do nich dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometrycznych
w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej. - dane osobowe zwykłe – zaliczamy do nich te dane osobowe które nie należą do żadnej z w/w kategorii danych wrażliwych, w tym także dane osobowe dotyczące wyroków skazujących.