fbpx
Czym są dane osobowe

Czym są dane osobowe i jak je interpretować?

W czasach kiedy dane nazywane są “ropą naftową” współczesnej ekonomii i na kilka miesięcy przed wprowadzaniem RODO, warto zastanowić się: czym są dane osobowe?

28 stycznia obchodzony jest w Europie Dzień Ochrony Danych Osobowych. Niemal w każdej sekundzie informacje o nas są zbierane i wykorzystywane przez różnego rodzaju podmioty. Powinniśmy być tego świadomi. Tym bardziej, że dane osobowe to nie tylko adres, telefon czy numer PESEL, ale również inne cenne informacje. Jakie?

Ustawa o ochronie danych osobowych?

Zgodnie z art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2 ustawy)…

ale

…informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu i działań (art. 6 ust. 3 ustawy).

czyli

  • Danymi osobowymi będą zatem zarówno takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak i takie, które nie pozwalają na jej natychmiastową identyfikację, ale są, przy pewnym nakładzie kosztów, czasu i działań, a szczególnie przy wykorzystaniu łatwo osiągalnych i powszechnie dostępnych źródeł, wystarczające do jej ustalenia.
  • Danymi osobowymi (w świetle powyższego przepisu) nie bedą informacje, na podstawie której identyfikacja osoby wymagać będzie nieracjonalnych, nieproporcjonalnie dużych nakładów kosztów, czasu lub działań.

W świetle powyższej definicji należy przyjąć, że danymi osobowymi nie będą pojedyncze informacje o dużym stopniu ogólności, np. nazwa ulicy i numer domu czy wysokość wynagrodzenia. Informacja ta będzie jednak stanowić daną osobową wówczas, gdy zostanie zestawiona z innymi dodatkowymi informacjami, które w konsekwencji można odnieść do konkretnej osoby.

Przykłady danych osobowych

Przykładem pojedynczej informacji stanowiącej daną osobową jest numer PESEL. 11-cyfrowy symbol numeryczny, jednoznacznie identyfikującym osobę fizyczną, w którym sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), kolejne cztery – liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną służącą do elektronicznej kontroli poprawności nadanego numeru ewidencyjnego. Numer PESEL ex definitione stanowi daną osobową, a jej przetwarzanie podlega wszelkim rygorom przewidzianym w ustawie o ochronie danych osobowych.

Innym rodzajem danej osobowej może być adres IP, który jest na stałe lub na dłuższy okres czasu przypisany do konkretnego urządzenia, które przypisane jest z kolei konkretnemu użytkownikowi (Opinia Grupy Roboczej ds. Ochrony Danych, powołanej przez Parlament Europejski i Radę Europejską – rozdz. III pkt 3 przykład 15). Niemniej adres IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę (np. konkrentnym urządzeniem lub adresem e-mail).

Za dane osobowe można uznać adres e-mail oraz dane pozajęzykowe (jak np. fotografię, nagranie głosu, odciski palców, kolor oczu, nawyki ubraniowe, stanowisko służbowe czy informację o kodzie genetycznym) jeżeli pozwalają na dokonanie na ich podstawie identyfikacji osoby fizycznej bez nadmiernych kosztów, działań i czasu.

W przypadku imienia i nazwiska wydaje się oczywistym, że to naturalne dane osobowe. Ale do poprawnego zidentyfikowania Pana Kowalskiego lub Pana Nowaka prawdopodobnie będą potrzebne dodatkowe informacje.

Obawy wobec przekazywania i pozostawiania danych

Cały problem użytkownika internetu polega na tym, że ustawodawca formułując art. 6 ustawy o ochronie danych osobowych posłużył się klauzulą generalną. Tym samym nie określił zamkniętego katalogu informacji stanowiących dane osobowe. Dlatego też przy rozstrzyganiu, czy określona informacja lub informacje stanowią dane osobowe – w większości przypadków, nieuniknione jest dokonanie zindywidualizowanej oceny, przy uwzględnieniu konkretnych okoliczności, rodzaju środków oraz metod potrzebnych w określonej sytuacji do identyfikacji osoby.

Dlatego chociaż tak bardzo zależy nam dzisiaj na spersonalizowanym doświadczeniu korzystania z portali zakupowych, rozrywkowych czy finansowych, przed udostępnieniem jakiejkolwiek informacji, która w jakiś sposób nas dotyczy warto się dwa razy zastanowić.

Bezmyślność może drogo kosztować i któregoś dnia możemy się dowiedzieć, że np. mamy bardzo duży kredyt, podpisaliśmy umowę na telefon lub nawet braliśmy udział w przestępstwie – przestrzegają eksperci z Fundacji Wiedza To Bezpieczeństwo.

 

Zostaw odpowiedź