1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. RODO i Bezpieczeństwo Informacji
  4. RODO
  5. Dane osobowe w RODO – co naprawdę kryje się za definicją?
Wyszukiwanie...

Dane osobowe w RODO – co naprawdę kryje się za definicją?

Spis treści

Zrozumienie pojęcia danych osobowych to absolutna podstawa ochrony prywatności w Unii Europejskiej. To właśnie od tego, czy dana informacja kwalifikuje się jako dane osobowe, zależy obowiązek stosowania RODO przez firmy, urzędy czy organizacje. Błędna kwalifikacja może oznaczać ryzyko poważnych sankcji – dlatego każdy przedsiębiorca, urzędnik i administrator danych powinien znać tę definicję nie tylko „z ustawy”, ale także z praktyki.

Czym są dane osobowe według RODO?

RODO w art. 4 pkt 1 stanowi:

„dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”).

Już na pierwszy rzut oka widać, że definicja jest bardzo szeroka i otwarta. Oznacza to, że wraz z rozwojem technologii pojawiają się nowe kategorie danych, które wcześniej nie były oczywiste – np. identyfikatory internetowe czy dane biometryczne.

Aby dobrze zrozumieć tę definicję, warto rozłożyć ją na cztery elementy:

  1. „wszelkie informacje”,
  2. „dotyczące”,
  3. „zidentyfikowanej lub możliwej do zidentyfikowania”,
  4. „osoby fizycznej”.

„Wszelkie informacje” – czyli co?

To najszerszy możliwy katalog. W praktyce danymi osobowymi mogą być:

  • informacje obiektywne (np. data urodzenia, adres zamieszkania),
  • opinie i oceny subiektywne (np. „pracownik często się spóźnia”),
  • informacje nieprawdziwe lub niesprawdzone (np. błędna data w rejestrze),
  • różne formy zapisu – liczby, tekst, obraz, dźwięk, video, symbol,
  • dowolny nośnik – papier, komputer, nagranie telefoniczne.

⚠️ Ważne: Nie ma znaczenia, czy informacja została udokumentowana w oficjalnym rejestrze, czy jest tylko roboczą notatką – jeśli można ją powiązać z osobą, podlega ochronie.

„Dotyczące osoby” – jak rozumieć związek informacji z człowiekiem?

Informacja musi odnosić się do określonej osoby. Ten związek może być:

  • osobowy – bezpośrednio wskazuje osobę (np. imię i nazwisko),
  • rzeczowy – dotyczy przedmiotu lub miejsca związanego z osobą (np. numer księgi wieczystej, numer rejestracyjny samochodu).

Nie wystarczy jednak czysto statystyczny związek. Przykład: dane o tym, że w danej gminie 20% osób jest bezrobotnych, nie pozwalają na zidentyfikowanie konkretnego człowieka – więc nie są danymi osobowymi.

👉 Jak ocenić, czy informacja dotyczy osoby? Warto odpowiedzieć na trzy pytania:

  • treść – czy informacja jest o tej osobie?
  • cel – czy informacja będzie użyta do oceny lub traktowania tej osoby w określony sposób?
  • skutek – czy informacja może wpłynąć na prawa i interesy tej osoby?

„Zidentyfikowana lub możliwa do zidentyfikowania” – kluczowe rozróżnienie

  • Osoba zidentyfikowana to taka, którą można odróżnić od wszystkich innych, np. przez imię, nazwisko i adres.
  • Osoba możliwa do zidentyfikowania – jej dane jeszcze nie zostały połączone, ale przy użyciu dodatkowych informacji jest to możliwe.

Do identyfikacji mogą służyć:

  • imię i nazwisko,
  • numery identyfikacyjne (PESEL, NIP, numer dowodu),
  • dane lokalizacyjne,
  • identyfikatory internetowe (IP, cookies, loginy),
  • czynniki fizyczne, biologiczne, psychiczne, kulturowe czy ekonomiczne.

Często dopiero połączenie kilku elementów tworzy unikalny zestaw, pozwalający jednoznacznie wskazać osobę.

Identyfikacja bezpośrednia i pośrednia

  • Bezpośrednia – np. imię i nazwisko. Jednak gdy nazwisko jest bardzo popularne („Jan Nowak”), potrzebne są dodatkowe dane.
  • Pośrednia – np. numer dowodu osobistego, adres IP, „prezes zarządu spółki w Lublinie”.

👉 Czasem wystarczy sama informacja (np. nazwisko w małej wsi), a czasem potrzeba wielu danych (nazwisko w dużym mieście).

Zgodnie z motywem 26 RODO, przy ocenie bierzemy pod uwagę:

  • koszt identyfikacji,
  • czas,
  • dostępne technologie.

To tzw. relatywizacja danych osobowych – ta sama informacja w różnych warunkach może być (lub nie być) daną osobową.

Praktyczne przykłady identyfikacji

✔ Numer klienta banku – dane osobowe dla banku, ale nie dla osoby postronnej.
✔ Adres IP – dane osobowe dla dostawcy internetu (bo ma dodatkowe informacje), ale nie zawsze dla zwykłego użytkownika.
✔ Numer księgi wieczystej – dane osobowe, bo pozwala ustalić imię, nazwisko, PESEL właściciela nieruchomości.

Adresy IP jako dane osobowe

Adres IP przez długi czas budził kontrowersje. Wątpliwości dotyczyły tego, czy sam w sobie pozwala na identyfikację osoby.

🔹 Trybunał Sprawiedliwości UE rozstrzygnął tę kwestię w kilku ważnych orzeczeniach:

  • Sprawa C-70/10, SABAM (Société belge des auteurs, compositeurs et éditeurs) – uznano, że statyczny adres IP jest daną osobową dla dostawcy internetu, ponieważ można go powiązać z konkretnym użytkownikiem.
  • Sprawa C-582/14, Patrick Breyer – Trybunał potwierdził, że także dynamiczny adres IP może być daną osobową, jeżeli podmiot przetwarzający ma możliwość powiązania go z innymi danymi (np. informacjami posiadanymi przez dostawcę internetu).

👉 W praktyce: dla administratora strony internetowej adres IP użytkownika może nie zawsze być daną osobową. Ale dla operatora telekomunikacyjnego – już tak.

Numery telefonów – dane osobowe czy nie?

W polskim orzecznictwie pojawił się pogląd, że sam numer telefonu nie stanowi danych osobowych, bo nie identyfikuje wprost abonenta. Bez dodatkowych danych (np. z rejestru operatora) nie można wskazać osoby, do której numer należy.

Jednak należy uważać ⚠️: w praktyce numer telefonu bardzo często występuje w połączeniu z innymi informacjami (np. w formularzu kontaktowym, profilu klienta czy aplikacji mobilnej). W takich sytuacjach bez wątpienia stanowi dane osobowe.

Numery rejestracyjne pojazdów – spór interpretacyjny

Pogląd Naczelnego Sądu Administracyjnego

NSA w jednym z wyroków stwierdził, że numer rejestracyjny samochodu nie jest daną osobową, ponieważ identyfikuje pojazd, a nie właściciela. Do ustalenia osoby konieczny byłby dostęp do rejestrów administracyjnych (np. CEPiK).

Pogląd Prezesa UODO i organów zagranicznych

W praktyce organy ochrony danych osobowych (w tym Prezes UODO) często przyjmują szersze stanowisko. Skoro numer rejestracyjny w połączeniu z ogólnodostępnymi bazami danych lub innymi źródłami pozwala ustalić właściciela, to powinien być traktowany jako dana osobowa.

👉 Ostatecznie każdy administrator powinien przyjąć ostrożne podejście i traktować numery rejestracyjne jako dane osobowe, zwłaszcza gdy są przetwarzane w celu oceny zachowań (np. w systemach opłat za parkowanie, autostradach płatnych).

Dane anonimowe a pseudonimizowane

W praktyce często myli się te dwa pojęcia.

  • Dane anonimowe – zostały nieodwracalnie przetworzone w taki sposób, że nie można ich już przypisać do osoby fizycznej. Przykład: statystyki oparte na pełnej anonimizacji pacjentów, gdzie nie istnieje możliwość cofnięcia procesu. Takie dane nie podlegają RODO.
  • Dane pseudonimizowane – zostały zastąpione identyfikatorami (np. numerami kodowymi), ale wciąż istnieje możliwość przypisania ich do osoby przy użyciu dodatkowych kluczy. Przykład: baza pacjentów, gdzie imiona zastąpiono kodami, ale szpital posiada tabelę pozwalającą przywrócić powiązanie.

⚠️ Pseudonimizacja to metoda zabezpieczania danych, ale nie wyłącza ich spod RODO.

Dane osobowe a osoby fizyczne

RODO chroni wyłącznie dane dotyczące osób fizycznych.
Oznacza to:

  • chronione – dane każdej osoby fizycznej od chwili narodzin do śmierci (nie ma znaczenia obywatelstwo, miejsce zamieszkania ani zdolność do czynności prawnych),
  • poza zakresem RODO – dane:
    • osób prawnych (np. spółek kapitałowych),
    • jednostek organizacyjnych bez osobowości prawnej,
    • osób zmarłych.

Przykład:

Kluczowe przykłady z praktyki

✔ Adres IP dynamiczny – dane osobowe dla operatora internetu, ale nie zawsze dla właściciela strony.
✔ Numer telefonu – może być danymi osobowymi, jeśli pozwala na identyfikację osoby (np. w zestawieniu z innymi informacjami).
✔ Numer rejestracyjny auta – spór interpretacyjny, ale w praktyce warto go traktować jako dane osobowe.
✔ Anonimizacja vs pseudonimizacja – tylko dane anonimowe wypadają poza zakres RODO.

Najważniejsze wnioski dla praktyki 📌

  1. Definicja danych osobowych jest bardzo szeroka.
    Każda informacja, która pozwala zidentyfikować osobę fizyczną – bezpośrednio lub pośrednio – jest objęta ochroną RODO.
  2. Nie zawsze ta sama informacja będzie daną osobową.
    To, czy dana informacja pozwala na identyfikację, zależy od kontekstu (motyw 26 RODO). Przykładowo: adres IP lub numer telefonu w jednych warunkach stanowią dane osobowe, a w innych – nie.
  3. Orzecznictwo jest niejednolite.
    • Trybunał Sprawiedliwości UE uznał, że adresy IP (statyczne i dynamiczne) mogą być danymi osobowymi.
    • NSA uznał, że numer rejestracyjny samochodu nie identyfikuje osoby, ale Prezes UODO i organy zagraniczne prezentują inne podejście.
    • W praktyce warto przyjmować interpretację ostrożniejszą i traktować wątpliwe dane jako osobowe.
  4. Dane osobowe a osoby fizyczne.
    RODO chroni dane osób fizycznych – od urodzenia do śmierci – bez względu na obywatelstwo czy zdolność prawną. Nie obejmuje danych osób prawnych, jednostek organizacyjnych ani osób zmarłych.
  5. Anonimizacja ≠ pseudonimizacja.
    • Dane anonimowe nie podlegają RODO, bo nie można już powiązać ich z osobą.
    • Dane pseudonimizowane wciąż pozostają danymi osobowymi, ponieważ istnieje możliwość przywrócenia powiązania.

Podstawa prawna

  • art. 4 pkt 1, motyw 26, motyw 30 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO)

Tematy porad zawartych w poradniku

  • definicja danych osobowych RODO
  • przykłady danych osobowych w praktyce
  • adres IP jako dane osobowe
  • anonimizacja i pseudonimizacja danych
  • osoby fizyczne a ochrona danych

Przydatne linki urzędowe

Ostatnia aktualizacja: 17.08.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: