Imię, nazwisko, adres, numer telefonu – pojedyncze informacje, ale odpowiednio zestawione stają się danymi, które podlegają ustawowej ochronie. Kiedy dane uznajemy za osobowe, a kiedy nie – wyjaśnia specjalista ODO 24.
Danymi osobowymi określa się zbiór informacji o danej osobie, które pozwalają na jej identyfikację. Nie jest to jednak stały zestaw, różni się on w zależności od podmiotu. Co do zasady samo imię i nazwisko nie stanowią danych osobowych, jeśli nie są powiązane z innymi informacjami. Najczęściej nie można na podstawie samego imienia i nazwiska wskazać konkretnej osoby, bo takie same może nosić nawet kilkaset osób. Określenie danych jako osobowe oznacza, że na ich podstawie można szybko określić tożsamość osoby, której dotyczą – mówi adw. Marcin Zadrożny, specjalista ds. ochrony danych w ODO 24.
O tym czy dane są uważane za osobowe decyduje także to, kto nimi dysponuje. Przykładowo adres IP lub numer telefonu to dla większości z nas tylko ciąg cyfr, ale dla operatorów telekomunikacyjnych, którzy mogą powiązać je z konkretnym użytkownikiem są już danymi osobowymi. Numerem, który uważany jest za daną osobową jest numer PESEL, bo jest unikatowy dla każdej osoby zameldowanej w Polsce. Za dane osobowe jest również uznawany służbowy adres e-mail. Zawiera on bowiem najczęściej imię i nazwisko osoby oraz nazwę firmy lub organizacji, co pozwala na ustalenie tożsamości jego właściciela.
Gdy dane są osobowe to podlegają one regulacjom ustawy o ochronie danych osobowych. Oznacza to, że ich zbieranie i przetwarzanie musi odbywać się zgodnie z prawem. Firmy i organizacje muszą pamiętać m.in. o tym by mieć podstawę prawną przetwarzania takich informacji, spełnić obowiązek informacyjny i adekwatnie zabezpieczać zbiory – mówi adw. Marcin Zadrożny.
Przyjęte przez Unię Europejską nowe rozporządzenie o ochronie danych osobowych rozszerza definicję danych osobowych. Rozporządzenie wprowadza pojęcie pseudonimizacji danych i wskazuje w preambule, że przetworzone w taki sposób dane, które zestawione z dodatkowymi informacjami umożliwiają wskazanie konkretnej osoby, należy uznać za dane osobowe. Sama pseudonimizacja danych to nic innego jak przetwarzanie informacji, w taki sposób by nie było możliwe ich przypisanie do konkretnej osoby bez użycia dodatkowych informacji pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Dotychczas żadne regulacje prawne nie definiowały pseudoanimizacji, a przede wszystkim czy dane pseudonimizowane należy chronić tak samo jak dane osobowe – wyjaśnia specjalista ODO 24.
Warto dodać, że ochrona danych nie obejmuje informacji anonimowych, które nie pozwalają na ustalenie tożsamości konkretnej osoby. Takie dane przetwarzane są np. do celów statystycznych lub naukowych.