Definicja pojęcia
Definicja pojęcia dane osobowe znajduje się w art. 4 pkt 1 RODO. Zgodnie z jego treścią są to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”).
Przepis ten wskazuje, że możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatorów takich jak:
- imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy;
- jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Definicja została rozbudowana w porównaniu z definicją zawartą w UODO (art. 6 ust. 1 i 2). Unijny prawodawca wprost wskazał, że dane o lokalizacji, identyfikator internetowy i informacja genetyczna to czynniki, które na pewno należy traktować, jako umożliwiające identyfikację.
Zgodnie z motywem 26 GDPR:
- aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądne prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej;
- aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych i postęp technologiczny.
Dotychczasowa regulacja UODO przyjmuje, że informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu i działań. GDPR takiego kategorycznego zastrzeżenia nie zawiera, ale podobny sens mają wskazówki interpretacyjne zawarte w motywie 26 GDPR. Brzmienie ww. przepisów GDPR wskazuje, że po ich wejściu w życie nie stracą na aktualności wskazówki GIODO co do interpretacji pojęcia „dane osobowe” tworzone w oparciu o przepisy UODO. GIODO wskazuje, że informacja może stanowić daną osobową samodzielnie (np. numer PESEL) lub dopiero w zestawieniu z innymi informacjami, które jedynie razem sprawią, że będzie możliwe określenie tożsamości danej osoby fizycznej. Wobec tego daną osobową może być również informacja bardzo ogólna (np. wiek), jeżeli pozwoli określić tożsamość, bo jest zestawiona z innymi informacjami.
Informacje niepodlegające przepisom GDPR
Zgodnie z motywami 26 i 27 GDPR informacjami, do których nie będą miały zastosowania przepisy GDPR, są:
- informacje anonimowe – czyli informacje, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną;
- dane osobowe zanonimizowane w taki sposób, że osób, których dotyczą w ogóle nie można zidentyfikować lub już nie można zidentyfikować;
- dane osób zmarłych.
Identyfikatory internetowe jako dane osobowe
Identyfikator internetowy, zgodnie z art. 4 pkt 1 GDPR, jest jedną z informacji na podstawie których można zidentyfikować osobę fizyczną. Poświęcenie tej informacji odrębnego motywu (motyw 30 GDPR) świadczy o tym, że jest ona uznawana przez prawodawcę unijnego za istotną. Z motywu 30 GDPR wynika, że przypisywanie osobom fizycznym identyfikatorów internetowych – takich jak adresy IP, identyfikatory plików cookie – generowanych przez ich urządzenia, aplikacje, narzędzia i protokoły, może skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery, mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.
W sprawie C-582/14 Breyer Trybunał Sprawiedliwości UE został zapytany czy adres protokołu internetowego (adres IP), który usługodawca rejestruje w związku z wejściem na jego stronę internetową, stanowi dla niego dane osobowe już wtedy, gdy osoba trzecia (tu: dostawca dostępu) dysponuje dodatkową wiedzą wymaganą do identyfikacji danej osoby. Trybunał przychylił się do zdania skarżącego. Stwierdził on, że skoro w konkretnych okolicznościach nawet zmienny adres IP pozwala na pośrednią identyfikację użytkownika strony, to stanowi on daną osobową. Wyrok ten przesądza zatem, że już samo zarejestrowanie adresu IP przez usługodawcę, może być gromadzeniem danych osobowych, jeżeli usługodawca będzie w stanie zidentyfikować posługującego się nim internautę. Mimo, że wyrok oparty jest o interpretację przepisów dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, niewątpliwie będzie miał wpływ również na stosowanie przepisów RODO.