Co obejmują dane osobowe w świetle RODO?

Analiza definicji RODO pokazuje, że dane osobowe obejmują „wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej” (art. 4 ust. 1 RODO). Szeroki zakres tego pojęcia potwierdza Europejski Trybunał Sprawiedliwości, który interpretuje „możliwą do zidentyfikowania” jako obejmującą zarówno bezpośrednią, jak i pośrednią identyfikację za pomocą identyfikatorów lub cech.

Kluczowe ustalenia ujawniają:

• Identyfikatory bezpośrednie:
  Imię, nazwisko, numer telefonu, adres, adres e-mail oraz osobiste numery identyfikacyjne (np. SSN, paszport, prawo jazdy).
• Identyfikatory pośrednie:
  Adres IP, identyfikator cookie, identyfikatory reklamowe, identyfikatory urządzeń.
• Dane lokalizacyjne:
  Adres domowy, geolokalizacja na żywo i wzorce podróży.
• Dane biometryczne:
  Odciski palców, wizerunki/geometria twarzy, skany siatkówki.
• Cechy osobiste:
  Zdjęcia (w tym zdjęcia twarzy), nagrania głosu.
• Informacje finansowe:
  Numery kont bankowych lub kart kredytowych.

Grupa Robocza Artykułu 29 podkreśla podejście kontekstowe — informacja staje się osobistą, jeśli może wyodrębnić, skontaktować się lub wyśledzić osobę, nawet w połączeniu z innymi danymi [WP29 Guidelines, 2017].

Orzecznictwo potwierdza, że „identyfikatory internetowe”, takie jak adresy IP, identyfikatory urządzeń i pliki cookie, stanowią dane osobowe, gdy są powiązane z innymi elementami, które pozwalają na identyfikację.

RODO rozszerza ochronę również na szczególne kategorie danych (art. 9), w tym dane biometryczne i dane dotyczące zdrowia, wzmacniając szeroki zakres obowiązywania rozporządzenia. Taka interpretacja jest zgodna z literaturą przedmiotu, która uznaje RODO za jedne z najsurowszych ram prawnych dotyczących prywatności na świecie.

Podsumowanie:

• Definicja RODO jest celowo szeroka.
• Zarówno bezpośrednie, jak i pośrednie identyfikatory są chronione.
• Kontekst decyduje o możliwości identyfikacji.
• Szczególną uwagę poświęca się danym biometrycznym i wrażliwym.