Najczęstsze pytania dotyczące danych osobowych

Czym jest PII?

PII (Personal Identifiable Information) to skrót od "informacje umożliwiające identyfikację osoby", które dotyczą informacji mogących samodzielnie lub w połączeniu z innymi danymi identyfikować osobę.

Dane osobowe (PII) to informacje, które mogą służyć do zidentyfikowania osoby, zarówno samodzielnie jak i w połączeniu z innymi danymi. Mogą zawierać takie informacje jak imię i nazwisko, adres e-mail lub numer karty kredytowej, lub mniej wprost identyfikujące informacje, takie jak adres IP lub lokalizacja geograficzna. Chociaż termin jest powszechnie używany przez agencje rządowe i podmioty komercyjne, nie jest to jasno zdefiniowany termin prawniczy, a jego znaczenie może być różnie interpretowane przez różne podmioty.

Co to są dane osobowe?

Zazwyczaj oznaczają to samo co PII, ale jest to określony termin prawny używany w niektórych przepisach dotyczących prywatności danych, takich jak RODO. Podobnie jak PII, mogą obejmować również kategorie wrażliwych danych osobowych, które wymagają bardziej ostrożnego postępowania z nimi.

Jakie jest rozróżnienie między PII a danymi osobowymi?

Te pojęcia są często stosowane zamiennie, ale dane osobowe nie zawsze są identyfikujące, podczas gdy informacje personalne mogą być używane do identyfikacji, lokalizacji lub kontaktu z konkretną osobą.
Dane osobowe i informacje personalne są powiązane z informacjami o osobie i mogą być poufne. Dane osobowe samodzielnie lub w połączeniu z innymi danymi personalnymi mogą jednak nie identyfikować konkretnej osoby. Natomiast informacje personalne zawsze pozwalają na identyfikację i mogą zostać użyte do zlokalizowania osoby lub nawiązania z nią kontaktu.

Zważywszy na fakt, że dane osobowe to bardziej ogólny termin, mogą one także obejmować różne rodzaje informacji. Niektóre przepisy stosują różne terminy, co również może wpływać na różnice regulacyjne. Czasami przepisy mogą używać obu terminów, ale w innych kontekstach lub opisach.

Czym są wrażliwe dane osobowe?

Wrażliwe dane osobiste to dane, które można od razu wykorzystać do identyfikacji jednostki, np. imię i nazwisko, numer paszportu lub numer karty kredytowej.

Delikatne informacje osobiste to dane, które mogą być bezpośrednio użyte do identyfikacji konkretnej osoby. Zazwyczaj są to konkretne identyfikatory, takie jak imię i nazwisko, lub są powiązane tylko z jednym konkretnym człowiekiem, jak numer paszportu lub numer karty kredytowej. Co więcej, delikatne informacje osobiste wymagają szczególnej troski, ponieważ istnieje ryzyko wyrządzenia szkody personalnej, jeśli zostaną naruszone lub niewłaściwie wykorzystane. Przykłady takiej szkody to przestępstwa lub publiczne upokorzenie. Zgodnie z wieloma przepisami dotyczącymi prywatności, delikatne dane osobowe obejmują takie informacje jak imię i nazwisko, adres zamieszkania, numer paszportu, zdjęcie twarzy, numer karty kredytowej, odciski palców oraz dokumentację medyczną.

Czym są dane powiązane?

Termin "dane powiązane" odnosi się do informacji indywidualnych, które muszą zawierać wiele różnych elementów w celu zidentyfikowania danej jednostki, takich jak jedynie imię, zakres wieku, płeć lub częściowa data urodzenia.

Dane, które można powiązać, są również określane jako niewrażliwe dane osobowe i obejmują dane osobowe, które same w sobie nie wystarczają do identyfikacji danej osoby, ale mogą to uczynić, jeśli zostaną połączone z innymi informacjami osobowymi. Dane, które można powiązać, mogą zawierać jedynie imię, nazwisko panieńskie matki, kod pocztowy lub adres, zakres wieku, częściowy adres, płeć lub nazwę pracodawcy.

Czym są dane nieosobowe?

To informacje, które nie umożliwiają identyfikacji konkretnej osoby. To dane dotyczące danej osoby lub wynikające z jej działań, które nie pozwalają na jednoznaczną identyfikację. Ten rodzaj danych może obejmować informacje częściowe, zagregowane lub anonimowe.

Informacje, które nie pozwalają na identyfikację osoby. To są dane dotyczące osoby lub jej działalności, które nie mogą być użyte do jednoznacznego zidentyfikowania jej osoby. Mogą być one dość ogólne, zanonimizowane lub pozbawione możliwości identyfikacji. Przykłady informacji niebędących danymi osobowymi to np. częściowo lub całkowicie zamaskowane adresy IP, zagregowane statystyki pochodzące od dużej grupy osób, zaszyfrowane informacje, a czasem także pliki cookie lub identyfikatory urządzeń.

Jakie są definicje PII?

Dokumenty lub przechowywane w systemach informacyjnych dane, które posiadają informacje osobowe na temat indywidualnych użytkowników.

Dokumenty lub informacje o użytkownikach w bazach danych, takie jak wpisy medyczne lub informacje finansowe, które dotyczą użytkowników i mogą ich zidentyfikować. Często tego rodzaju zapisy zawierają poufne informacje, takie jak dane dotyczące zdrowia lub konkretne informacje kontaktowe bądź lokalizacyjne. Przepisy regulujące ochronę prywatności danych odnoszą się do takich zapisów PII.

Czy imię i nazwisko jest traktowane jako informacja identyfikująca osobę?

Tak, imię i nazwisko zazwyczaj jest uważane za dane osobowe, ponieważ może służyć do zidentyfikowania osoby w różnych sytuacjach, ale z pewnością zidentyfikuje osobę w połączeniu z dodatkowymi informacjami, takimi jak numer telefonu lub numer karty kredytowej. Imiona i nazwiska mogą również dostarczyć większej ilości osobistych informacji o danej osobie, dlatego powinny być starannie chronione, na przykład przez pracodawców.

Czy wiek jest uznawany za dane osobowe w kontekście PII?

Sam wiek nie jest uważany za PII, dopóki nie jest łączony z konkretną osobą. Możliwe jest jednak wykorzystanie wieku jako części danych osobowych, które w połączeniu mogą prowadzić do identyfikacji danej osoby.

Aby wiek był uważany za PII, musi być połączony z innymi informacjami, ponieważ sam wiek nie jest wystarczający do identyfikacji. Mimo to, wiek jest często spotykaną daną osobową, przechowywaną w różnych rejestrach, więc istnieje prawdopodobieństwo, że może być wykorzystany do identyfikacji. RODO Unii Europejskiej jednoznacznie uwzględnia także kwestię wieku. 

 Czy numer telefonu jest daną osobową?

Zazwyczaj tak, numery telefonów są uznawane za dane osobowe (PII) z powodu możliwości powiązania z konkretną osobą.

Numery telefonów są powszechnie uważane za dane osobowe (PII), ponieważ mogą być używane do identyfikacji osoby, będąc często przypisane do niej i stanowiąc unikalny identyfikator łączący osobę z jej urządzeniem. Mogą też być wykorzystywane do namierzania osób. W pewnych przypadkach numer telefonu może stanowić wrażliwe dane osobowe, ze względu na możliwość niewłaściwego wykorzystania, które może prowadzić do spamu, naruszenia prywatności lub kradzieży tożsamości.

Czy dane biometryczne są danymi osobowymi?

Zazwyczaj tak, ponieważ obejmują unikalne cechy biologiczne lub fizyczne konkretnej osoby.

Informacje osobowe, takie jak odciski palców, rozpoznawanie twarzy, skany tęczówki, próbki głosu itp., są niepowtarzalnymi fizycznymi identyfikatorami, podobnie jak inne biometryczne identyfikatory. Wszystkie one mogą być wykorzystane do identyfikacji danej jednostki. Faktycznie, często są one wykorzystywane w celu zapewnienia bezpieczeństwa w miejscu pracy lub odblokowania telefonu. Dane biometryczne są wyraźnie uważane za dane osobowe w wielu przepisach dotyczących prywatności danych. 

Czy płaca jest uważana za dane osobowe?

To zależy od tego, czy informacje o płacy są powiązane z identyfikowalną osobą.

Płaca może być uważana za dane osobowe. Na przykład, jeśli istnieje tabela płac dla całej firmy, to nie byłaby to informacja osobista (dane osobowe), ponieważ te dane nie byłyby powiązane z konkretną osobą. Jednak, w rejestrze personalnym dane płacowe mogą być powiązane z imieniem i nazwiskiem danej osoby oraz innymi danymi osobowymi, co również czyni je danymi osobistymi. Te informacje również powinny być traktowane jako poufne. Jednak w niektórych przypadkach, takich jak określone stanowiska lub branże, informacje dotyczące płacy, w tym dla określonych osób, są publicznie dostępne, więc nie kwalifikują się one jako dane osobowe.

Czy służbowy adres poczty elektronicznej jest uznawany za dane osobowe (PII)?

To zależy od kontekstu, zastosowania i prawa obowiązującego w danym kraju, a także od tego, jak adres poczty elektronicznej identyfikuje osobę.

Można uznać, że służbowy adres poczty elektronicznej identyfikuje tożsamość zawodową, a nie osobistą. Jednak jeśli adres zawiera imię i nazwisko osoby fizycznej oraz nazwę firmy, można go uznać za dane osobowe. Konkretne przepisy dotyczące prywatności mogą wyraźnie określić, że służbowe adresy poczty elektronicznej są traktowane jako dane osobowe - szczególnie te bardziej rygorystyczne przepisy, takie jak RODO. Nie są one jednak powszechnie uznawane za dane osobowe. 

Czy służbowe wiadomości e-mail są danymi osobowymi? 

Może tak być, ale to zależy od zawartości tych wiadomości e-mail.

Adresy e-mail używane w celach służbowych, jeśli są dołączone do wiadomości e-mail, mogą być uznawane za dane osobowe w niektórych przypadkach. Zależy to również od treści samej wiadomości. Krótka wiadomość e-mail, która nie zawiera innych danych osobowych czy informacji osobistych, najprawdopodobniej nie zostanie uznana za dane prywatne. Jednakże, wiadomość e-mail wysłana do działu kadr lub od niego może zawierać dane osobowe. 

Czy numer rachunku jest uznawany za dane osobowe?

Tak, gdyż numer rachunku zazwyczaj jest powiązany z konkretną osobą, a na rachunkach mogą znajdować się informacje identyfikacyjne.

Tak, numer konta zazwyczaj jest powiązany z konkretną osobą fizyczną, co czyni go danymi osobowymi. Ponadto, konta często zawierają dodatkowe informacje identyfikujące, z których część może być poufna. Wiele przepisów dotyczących ochrony prywatności danych podaje konkretne przykłady typów numerów kont, takich jak karty bankowe lub kredytowe, numery ubezpieczenia społecznego itp. Jednakże, mogą również obejmować numery kont członkowskich lub klientów. 

Czy adres IP jest uważany za PII?

Czasami tak, ale to zależy od kontekstu i prawa obowiązującego w danym kraju.

To zależy. Chociaż sam adres IP niekoniecznie jest uważany za PII, ponieważ nie identyfikuje bezpośrednio konkretnych osób. Jednak gdy jest łączony z innymi danymi lub wykorzystywany w określonych sytuacjach, może być używany do identyfikacji lub śledzenia osób, i wtedy jest traktowany jako PII. Niektóre przepisy dotyczące prywatności również wyraźnie klasyfikują adresy IP jako PII.

Czy zawsze można uznać dane osobowe za poufne informacje?

Tak, szczególnie gdy zawierają wrażliwe dane osobowe, informacje PII są uważane za poufne.

Tak, dane osobowe zwykle są uważane za poufne. Dlatego należy podjąć dodatkowe środki w celu zapewnienia bezpieczeństwa i poufności danych osobowych. Wiele przepisów dotyczących ochrony prywatności jasno określa wymogi dotyczące ochrony i bezpieczeństwa informacji PII ze względu na ich poufny charakter i ryzyko związane z ich ujawnieniem. 

Czy wszystkie regulacje dotyczące ochrony prywatności danych obejmują dane podatne na identyfikację osobową?

Tak, wszystkie nowoczesne regulacje ochrony prywatności danych zawierają definicje danych osobowych i powiązanych pojęć, takich jak poufne informacje osobowe. Również zawierają informacje na temat sposobów wykorzystania danych podatnych na identyfikację osobową, sposobów ich ochrony oraz wiedzy, jaką osoby fizyczne powinny mieć na temat zbierania i wykorzystywania takich danych. Większość przepisów dotyczy również praw jednostek do wycofania zgody na zbieranie lub wykorzystywanie ich danych osobowych. 

Jakie informacje są uznawane za dane osobowe zgodnie z przepisami RODO?

RODO używa terminu "dane osobowe", który jest tożsamy z terminem PII. Obejmuje to także informacje dotyczące poufności i procesu anonimizacji.

Przepisy ogólne UE dotyczące ochrony danych (RODO) obejmują PII, ale określają je jako "dane osobowe". Obejmują one również dane osobowe o charakterze czułym oraz ogólniejsze dane osobowe, które mogą obejmować dane, które zostały zanonimizowane. Zgodnie z RODO niektóre rodzaje PII obejmują informacje dotyczące osób, takie jak imię i nazwisko, adres czy numer telefonu, ale także informacje techniczne, takie jak identyfikatory urządzeń, informacje o plikach cookie w przeglądarce czy adres IP. 

Czym są przypadki naruszania prywatności informacji osobistych?

Naruszenia prywatności informacji osobistych (danych osobowych) to gromadzenie lub wykorzystywanie danych w sposób, który jest niezgodny z przepisami dotyczącymi prywatności danych lub niezapewnianie odpowiedniego bezpieczeństwa i poufności danych.

Naruszenia ochrony danych osobowych mogą obejmować m.in. gromadzenie danych osobowych w sposób, o którym nie poinformował administrator danych lub wykorzystywanie tych informacji w sposób, który nie jest uzasadniony prawnie ani o którym właściciel danych nie został poinformowany. Może także występować nieuprawniony dostęp lub wykorzystanie danych osobowych, takie jak naruszenie lub kradzież danych, wykorzystanie danych w celach, o których nie powiadomiono, udostępnienie danych osobom, o których nie powiadomiono, przechowywanie danych, gdy są one już zbędne, lub udzielenie dostępu do danych osobom, które nie mają takiej potrzeby. Istnieje wiele przepisów dotyczących naruszeń prywatności informacji osobistych, w tym przepisy dotyczące ochrony zdrowia, finansów lub dzieci.