Ogólne rozporządzenie o ochronie danych (RODO) przyjmuje kompleksowe podejście do definicji danych osobowych. Zgodnie z art. 4 ust. 1, „dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować” (RODO, 2016). Definicja ta ma kilka kluczowych implikacji, które szczegółowo opisano poniżej:
- Identyfikatory bezpośrednie: Rozporządzenie wyraźnie obejmuje dane takie jak imię i nazwisko, adres, numer telefonu, numery identyfikacyjne oraz inne dane, które mogą jednoznacznie zidentyfikować osobę.
- Identyfikatory pośrednie: Zakres rozciąga się na informacje, które w połączeniu z innymi danymi mogą zidentyfikować osobę. Przykłady obejmują datę urodzenia, dane o lokalizacji, zawód, a nawet unikalne cechy fizyczne, fizjologiczne, genetyczne, psychiczne, ekonomiczne, kulturowe lub społeczne.
- Identyfikatory internetowe: RODO wyraźnie uznaje, że informacje cyfrowe — takie jak adresy IP, pliki cookie, identyfikatory urządzeń oraz metadane lokalizacyjne— stanowią dane osobowe, jeśli można je powiązać z daną osobą.
- Szczególne kategorie danych: Dane uznawane za szczególnie wrażliwe — w tym pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia— są klasyfikowane jako „szczególne kategorie danych” i podlegają surowszym środkom ochrony.
Wyniki najnowszych wytycznych regulacyjnych i orzeczeń sądowych potwierdzają szeroką interpretację. Na przykład:
- Trybunał Sprawiedliwości Unii Europejskiej (TSUE) orzekł, że nawet dynamiczne adresy IP mogą stanowić dane osobowe, jeżeli administrator dysponuje prawnymi środkami umożliwiającymi identyfikację osoby, której dane dotyczą, za pomocą dodatkowych informacji.
- Dane spseudonimizowane pozostają w zakresie definicji danych osobowych, dopóki istnieje możliwość ponownej identyfikacji za pomocą racjonalnych środków.
Podsumowując, zgodnie z RODO, wszelkie informacje, które można powiązać — bezpośrednio lub pośrednio — z żyjącą osobą fizyczną, wchodzą w zakres rozporządzenia. Nacisk rozporządzenia na możliwość identyfikacji oznacza, że nawet informacje, które nie wymieniają osoby z imienia i nazwiska, mogą być chronione, jeśli ponowna identyfikacja jest możliwa przy użyciu dostępnych danych. To szerokie podejście zapewnia wysoki poziom ochrony prywatności, ale wymaga od organizacji przetwarzających jakiekolwiek dane dotyczące osób fizycznych starannej oceny.
