Bardzo wielu przedsiębiorców zadaje sobie w kontekście RODO pytanie:  czy mnie to dotyczy? Niestety wielu z nich zakłada, że nowa regulacja ich nie dotyczy, gdyż nie przetwarzają danych osobowych. Wiele osób nadal błędnie utożsamia dane osobowe wyłącznie z takimi danymi jak imię i nazwisko, adres zamieszkania czy PESEL. Tymczasem definicja danych osobowych jest dużo szersza.

Zgodnie z RODO "dane osobowe" oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Pod rządami poprzedniej regulacji orzecznictwo wielokrotnie wypowiadało się na temat pojęcia danych osobowych. Wyroki te zachowują aktualność także obecnie, po wejściu w życie RODO, gdyż sama istota danych osobowych pozostała niezmieniona. Warto wskazać na kilka przykładów takich orzeczeń:

·         System monitoringu wizyjnego, pozwalając na identyfikację osób, jest zbiorem danych osobowych i podlega przepisom ustawy o ochronie danych (Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 9.07.2014 r., II SA/Wa 2393/13).

·         Podanie numeru telefonu i adresu poczty internetowej stanowi podanie danych osobowych w rozumieniu art. 6 ust. 1-3 u.o.d.o., ponieważ te dane pozwalają na szybkie zidentyfikowanie konkretnej osoby (Wyrok Wojewódzkiego Sądu Administracyjnego w Krakowie z dnia 11 października 2013 r., II SA/Kr 682/13).

·         Przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników są ich danymi osobowymi (Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 27 listopada 2008 r., II SA/Wa 903/08).

·         Wizerunek i rysopis mieszczą się w definicji danych osobowych (art. 6 ustawy o ochronie danych osobowych), a imiona rodziców będą obok innych danych identyfikowały nie ich, lecz stronę zawieranej umowy (Wyrok Naczelnego Sądu Administracyjnego w Warszawie z dnia 7 listopada 2003 r., II SA 1432/02).

·         Adres danej osoby jako sfera prywatności człowieka należy do danych osobowych (Wyrok Sądu Apelacyjnego w Poznaniu z dnia 13 listopada 2001 r., I ACa 1140/01).

Z motywów RODO wynika, że zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.

Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować.

Uznanie za daną osobową wymaga analizy kontekstu, w jakim dane te występują, tzn. określenia:

•       Kto przetwarza dane osobowe

•       Jakie inne dane osobowe posiada ten podmiot

•       Jakimi narządzaniu dysponuje ten podmiot, aby zidentyfikować osobę, której dane dotyczą

Ta sama informacja może być daną osobową dla jednego podmiotu, a dla innego podmiotu już nie musi mieć takiego charakteru. Nie ma uniwersalnego katalogu danych osobowych.

Niektóre dane osobowe mają szczególny charakter i określa się je mianem danych wrażliwych (pojęcie „dane wrażliwe” jest zatem węższe od terminu „dane osobowe”, choć potocznie często używa się ich zamiennie). Są to  dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej (art. 9 ust. 1 RODO).

Pamiętać należy o tym, że dane osobowe to także dane osobowe osób fizycznych prowadzących działalność gospodarczą. Z zakresu zastosowania RODO wyłączone są tylko osoby prawne, tj. przede wszystkim spółki.

Jeżeli zatem przedsiębiorca zawiera umowy z klientami i kontrahentami, którzy są osobami fizycznymi (w tym prowadzącymi działalność gospodarczą) lub zatrudnia pracowników albo współpracowników na zasadzie b2b, to z pewnością przetwarza dane osobowe i ma obowiązek wdrożenia RODO w swojej działalności.