Pomiędzy danymi osobowymi a informacjami niemającymi statusu takich danych bywa dość cienka i trudna do określenia granica. Tymczasem rozróżnienie to jest niezwykle istotne, ponieważ decyduje o konieczności stosowania RODO przez daną organizację. Sprawdź, według jakich kryteriów rozróżnić dane osobowe od innych informacji. Dowiedz się, jaka jest definicja danych osobowych i na czym polega identyfikacja osoby fizycznej (jakie kryteria brane są pod uwagę).
Zgodnie z motywem 26 RODO zasady ochrony danych osobowych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych czyli umożliwiających określenie tożsamości osoby.
Nawet takie dane , które poddano pseudonimizacji, a przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za dane osobowe.
Przypomnijmy, że zgodnie z art. 4 pkt 1 RODO za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (podmiocie danych czyli osobie, której dane dotyczą). Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.
Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy:
Przepisy o ochronie danych osobowych nie powinny więc mieć zastosowania do:
Takich informacji nie uważa się za dane osobowe.
Wskazane wyżej odniesienia zawarte w motywie 26 RODO należy naturalnie odnieść do definicji danych osobowych zawartej w art. 4 pkt 1 RODO. Zgodnie z nią dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej a możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak:
Ta możliwość identyfikacji powinna być oceniana wg kryteriów wskazanych w motywie 26, tj. przede wszystkim „wszelkich obiektywnych czynników, takich jak koszt i czas potrzebne do jej zidentyfikowania”.
Danymi osobowymi nie będą informacje, które nie pozwalają zidentyfikować osoby fizycznej biorąc pod uwagę „uzasadnione prawdopodobieństwo” wyznaczone tymi obiektywnymi czynnikami.
Nazwisko i pierwsza litera imienia w połączeniu z informacją o pracodawcy tej osoby będzie daną osobową. Najczęściej bowiem taki zestaw danych będzie pozwalał na identyfikację konkretnej osoby. Rzadko przecież zdarza się aby w danej firmie pracowały dwie osoby o identycznym nazwisku i pierwszej literze imienia. Nawet gdyby na 50 przekazanych nazwisk zdarzyły się dwie takie osoby to i tak mamy do czynienia z 48 innymi parami nazwisko i pierwsza litera imienia a więc danymi osobowymi.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
