Dane osobowe

Ochrona danych osobowych to ostatnio temat niezwykle popularny. Dotyczy on zarówno osób fizycznych, które często godzą się na przetwarzanie swoich danych osobowych,  jak i przedsiębiorców, którzy niejednokrotnie dane osobowe gromadzą. W dobie Internetu, coraz bardziej popularne jest zbieranie danych osobowych klientów do celów promocyjnych i marketingowych – wysyłanie SMS-ów czy newsletterów z informacjami o nowościach i promocjach. Zdarza się, że osoby prowadzące działalność na niewielką skalę, są zdziwione, że zbiór danych powinny zarejestrować, że powinny dysponować stosownymi zgodami na przetwarzanie danych etc. Dlatego też na blogu, pojawi się seria artykułów dotyczących przepisów z zakresu ochrony danych osobowych. Zaczniemy jednak od podstaw, czyli od wyjaśnienia czym są dane osobowe.

Dane osobowe

Pojęcie danych osobowych definiuje nam ustawa o ochronie danych osobowych. Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Dalej ustawa precyzuje nam, czym jest osoba możliwa do zidentyfikowania. Jest to osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Jednocześnie ustawa wskazuje, że informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Informacje pozwalające na określenie tożsamości konkretnej osoby

Danymi osobowymi będą zatem, mówiąc potocznie, takie dane (informacje), które pozwalają nam na określenie tożsamości konkretnej osoby, bez nadzwyczajnego wysiłku i nakładu czasu, kosztów, działań. Warto zwrócić uwagę na to, że pojęcie danych osobowych nie jest pojęciem ostrym i jednoznacznym, bowiem ta sama informacja może stanowić informację wystarczającą dla ustalenia tożsamości danej osoby, na przykład w zależności od tego z jakimi informacjami zostanie zestawiona, albo, kto tą informacją dysponuje.

Warto wspomnieć o tym, że danymi osobowymi są też dane, które wprawdzie nie pozwalają na natychmiastową identyfikację danej osoby, ale są wystarczające do jej zidentyfikowania przy zastosowaniu pewnych środków – pod warunkiem, że nie wymaga ona angażowania nadmiernych kosztów, czasu lub działań. Jeżeli to wszystko wydaje się póki co dość enigmatyczne, zaraz przejdziemy do przykładów.

Dane osobowe –  przykłady

Przede wszystkim za przykład danych osobowych podaje się imię i nazwisko czy adres zamieszkania. Dane osobowe to również nasze numery PESEL . PESEL to nic innego jak jedenastocyfrowy numer identyfikacyjny Powszechnego Elektronicznego Systemu Ewidencji Ludności. Przytoczona powyżej definicja danych osobowych wprost wymienia numery identyfikacyjne, jako jedne z informacji służących zidentyfikowaniu danej osoby. Każdy obywatel ma nadany swój indywidualny PESEL, zatem już przy pomocy samego PESEL-u istnieje możliwość zidentyfikowania danej osoby.

Warto wspomnieć również o tym, że za dane osobowe nie będą uznane takie informacje, które cechują się dużym stopniem ogólności, na przykład sama nazwa dużego miasta, sama nazwa ulicy (np. „ ul. Kwiatowa”) bez podania nazwy miejscowości. Te same informacje mogą jednak stanowić dane osobowe w zestawieniu z innymi danymi, jeżeli połączenie tych danych doprowadzi do tego, że będzie je można odnieść już do konkretnej osoby.

Dobrym przykładem są również inicjały. GIODO uznał, że inicjały same w sobie nie stanowią danych osobowych. Jeżeli jednak, zestawimy inicjały, chociażby z nazwą miasta i ulicy, na której mieszka tylko jedna osoba o określonych inicjałach, to bez trudu będziemy mogli ją zidentyfikować.

“Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Stąd też same inicjały nie pozwalają zidentyfikować określonej osoby, gdyż dotyczyć mogą nieograniczonego kręgu osób charakteryzujących się konkretnymi inicjałami. “(Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 28 sierpnia 2013 r.DOLiS/DEC 865/13/54646)

Numer karty miejskiej

Dobrym przykładem na to, że pewne informacje mogą stanowić dane osobowe w zależności od sytuacji, jest numer karty miejskiej. Karty miejskie przeważnie wyposażone są w konkretny numer przypisany do karty. Po numerze tym, w systemie informatycznym można przeważnie ustalić tożsamość właściciela karty, przy założeniu, że jest to karta imienna. Przewoźnik, który ma dostęp do danego systemu informatycznego, może bez problemu zidentyfikować właściciela karty. Dla osoby niemającej dostępu do systemu, sam numer karty może okazać się natomiast informacją niewystarczającą dla ustalenia tożsamości właściciela, bez podjęcia pewnych działań, pewnych nakładów czasu.

Na temat tego czy numery kart miejskich stanowią dane osobowe znajdziemy następujące informacje na stronie Generalnego Inspektora Ochrony Danych Osobowych :

„(…) mając na uwadze, ww. definicję danych osobowych uznać należy, że nr karty miejskiej jest daną osobową w rozumieniu ustawy o ochronie danych osobowych, ale tylko dla tych osób, które na jego podstawie mogą ustalić tożsamość jej właściciela. Będą to np. pracownicy przewoźnika upoważnieni do przetwarzania informacji zawartych w systemie informatycznym związanym z  funkcjonowaniem karty miejskiej. Natomiast dla zwykłego obywatela, który miałby dostęp do karty miejskiej z samym tylko jej numerem ustalenie tożsamości jej właściciela wymaga jednak pewnego czasu i działań. Dlatego dla niego sam numer karty miejskiej nie będzie stanowił danej osobowej.” GIODO ( Całość wypowiedzi znajduje się tutaj)

Adresy e-mail jako dane osobowe

Zagadnienie bardzo na czasie, w dobie tworzenia list mailingowych i rozsyłania newsletterów. Czy adresy e-mail stanowią dane osobowe? Można się spotkać z różnymi odpowiedziami na to pytanie. Czasami podaje się, że adres e-mail stanowi dane osobowe, jeżeli zawiera imię i nazwisko. Jeżeli go nie zawiera, to tych danych już nie stanowi. Nie jest to stanowisko do końca prawidłowe.

Oceniając czy adres e-mail stanowi dane osobowe, zawsze należy spojrzeć na konkretny przypadek. Jakkolwiek sam adres poczty elektronicznej, bez dodatkowych informacji umożliwiających ustalenie tożsamości osoby, wcale nie musi stanowić danych osobowych, to w konkretnych przypadkach, jeżeli elementy tego adresu pozwolą nam na ustalenie tożsamości danej osoby bez nadmiernych kosztów, czasu lub działań to wtedy można uznać go za dane osobowe. Tymi elementami może, ale nie musi być tylko imię i nazwisko. Może to być również, na przykład, unikalny pseudonim, który jest na tyle rozpoznawalny, że od razu pozwoli na ustalenie osoby się nim posługującej.

Dla bezpieczeństwa, polecamy uznawać adresy e-mail za dane osobowe. Na stronach GIODO znajdziemy jednoznaczną informację na temat tego, że zbiór danych zawierający adresy e-mail osób zamawiających newsletter należy zgłosić GIODO do rejestracji, jako zbiór danych osobowych.  Na temat newslettera i zgłoszenia zbioru danych, będziemy jeszcze pisać na blogu.

System monitoringu

Warto pamiętać również o tym, że dane osobowe, to informacje mogące występować w różnej formie. Za dane osobowe można również uznać wizerunek osób. GIODO uważa, że ustawa o ochronie danych osobowych powinna znaleźć zastosowanie do monitoringu, jeżeli jego używanie łączy się z przetwarzaniem danych. Wskazuje się, że jeżeli monitoring nie służy jedynie do podglądu danego miejsca, ale nagrania są zapisywane np. na dysku komputera, to wtedy  mamy do czynienia z przetwarzaniem danych osobowych. W tej materii wypowiadał się m.in. Wojewódzki Sąd Administracyjny w Warszawie, który stwierdził, że :

“System monitoringu wizyjnego, pozwalający na identyfikację osób, jest zbiorem danych osobowych i podlega przepisom ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182).” (Wyrok Wojewódzkiego Sądu Administracyjnego siedziba w Warszawie z dnia 9 lipca 2014 r. II SA/Wa 2393/13)

 

Zagadnienia związane z danymi osobowymi i ich ochroną, to tematyka bardzo rozległa.  To również zagadnienie, którym warto się zainteresować, zwłaszcza w kontekście Rozporządzenia Parlamentu Europejsiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), które przewiduje m.in. możliwość nakładania wysokich kar pieniężnych na przedsiębiorców za naruszenie jego postanowień.

Na temat rozporządzenia i innych regulacji prawnych dotyczących tematyki danych osobowych, będziemy z pewnością jeszcze pisać na blogu. Informację o najnowszych wpisach pojawiają się zawsze na stronie kancelarii na Facebooku.