Większość z nas intuicyjnie wie, co tą są dane osobowe. Jednak gdy zaczyna się dyskusja o tym, czy adres e-mail, numer telefonu, NIP, adres IP, itp. są danymi osobowymi, pojawiają się rozbieżne opinie.
Skoro interesujesz się ochroną danych osobowych, powinieneś wpierw przeanalizować ustawową definicję. Może ona trochę odbiegać od tego, co o danych osobowych mówimy „na wyczucie”. Przeanalizujmy zatem to, jak dane osobowe definiuje Ustawa o ochronie danych osobowych (dalej również UODO lub Ustawa). Ustawową definicję danych osobowych znajdziemy w artykule 6. Prześledźmy jego zapisy.
„Wszelkie informacje”
Art. 6 ust. 1 UODO mówi:
…za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Definicja dość ogólna, szeroka i w mojej ocenie jasno napisana. Na tym etapie nie trzeba chyba nic tłumaczyć. Proponuję przejść do kolejnego ustępu w artykule 6.
Co to są dane osobowe?
Wiesz już, że to „wszelkie informacje”, ale konkretnie jakie? Spójrzmy na art. 6 ust. 2 UODO:
Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Zatem posiadasz informacje i na ich podstawie możesz stwierdzić kogo one dotyczą lub opisują.
Do tych informacji możemy zaliczyć numer identyfikacyjny – na przykład numer PESEL. Każda osoba ma unikalny PESEL i na tej podstawie możemy jednoznacznie określić jej tożsamość. Jednak nie tylko numery wchodzą w grę, ale także inne „czynniki” występujące osobno lub razem. Mogą to być np. imię i nazwisko.
Mogą to być również kwestie mniej oczywiste.
Ponieważ wpis powstaje w trakcie prezydenckiej kampanii wyborczej, posłużmy się przykładami kandydatów. Zgadnij który to kandydat na prezydenta:
- Wchodzi na krzesło i przywołuje szoguna
- Ma nazwisko jak warzywo
- Piosenkarz
W przypadku pierwszego kandydata, zapewne obeszlibyśmy się nawet bez informacji, że jest kandydatem.
Daną osobową mogą być informacje, które wydają się pozornie neutralne, tak jak w przypadku „prezydenckich” przykładów.
Art. 6 ust. 2 wymienia grupy „czynników”. Istotna jest również fraza „w szczególności”, które mówi nam, że jest to katalog otwarty. Tak więc każda informacja (pozwalająca zidentyfikować osobę), jest daną osobową. No może nie każda.
Jakie dane osobowe nie są osobowe?
Art. 6 ust. 3 Ustawy mówi:
Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Zacznijmy od przykładu.
79102405710 – to numer PESEL. Załóżmy, że jesteś „zwykłym śmiertelnikiem”, który nie posiada dostępu do bazy PESEL. Czy jesteś w stanie ustalić tożsamość osoby do której ten numer jest przypisany?
Pewnie tak. Można wynająć detektywa, zakupić wszystkie dostępne na rynku bazy danych i przeszukać pod tym kątem.
Takie działania sklasyfikujemy jednak jako wymagające „nadmiernych kosztów, czasu lub działań” i nasz przykładowy PESEL trudno w tym przypadku uznać za daną osobową.
W przypadku zacytowanego wyżej ustępu Ustawy pojawia się jedna kontrowersja – co znaczą NADMIERNE koszty, czas, nakłady. W przepisach nie znajdziesz odpowiedzi na to pytanie. Musisz to ocenić sam.
Katalog danych osobowych – dlaczego go nie stworzono?
UODO dość dobrze opisuje czym są dane osobowe. Spotykam się jednak z zarzutami, że pozostawia zbyt wiele wątpliwości (moim zdaniem zmusza po prostu do myślenia :)). Nie da się stworzyć listy tego co jest, a co nie jest daną osobową. Za każdym razem bowiem w grę wchodzą dodatkowe uwarunkowania.
Dobrym przykładem jest wcześniej wspomniany przypadkowy PESEL. Mnie on niewiele powie i mało prawdopodobne, aby sam w sobie był daną osobową. Dla urzędnika posiadającego odpowiednie uprawnienie będzie. Podobną sytuację mamy w przypadku wielu innych danych np. numer telefonu, NIP, adres e-mail. To czy można je uznać za dane osobowe zależy od szeregu czynników.
Masz problem z określeniem, czy konkretne dane mają charakter osobowy. Napisz o tym w komentarzu. Postaram się pomóc.
Ekspert ochrony danych osobowych z 10 letnim doświadczeniem. Realizował projekty związane z ochroną danych osobowych dla takich marek jak eObuwie.pl, Shoper, KKS Lech Poznań, Carry, Akademickie Inkubatory Przedsiębiorczości. Członek Stowarzyszenia Inspektorów Ochrony Danych (SABI) i Stowarzyszenia Praktyków Ochrony Danych (SPOD). Absolwent Politechniki Poznańskiej. Informatyk, inżynier systemów zarządzania. Absolwent studiów podyplomowych z zakresu systemów zarządzania opartych o normy ISO (Politechnika Poznańska) oraz bezpieczeństwa danych w systemach komputerowych (Collegium DaVinci). Współtwórca autorskiej metody wdrażania RODO.
Zawsze gdy zamawiam telefonicznie pizzę, proszą mnie o podanie mumeru telefonu i adres pod który mają dostarczyć pizzę. Czy tym samym powierzam pizzeri swoje dane osobowe?
To o czym piszesz nie jest powierzeniem.
Z powierzeniem mamy do czynienia, gdy jeden podmiot (administrator danych) przekazuje dane osobowe drugiemu w celach nazwijmy to technicznych. Drugi podmiot przetwarza te dane tylko i wyłącznie w takim celu i zakresie na jaki zezwala mu administrator danych.
W Twoim przykładzie o powierzeniu moglibyśmy mówić, gdyby pizzeria (jako administrator Twoich danych) prowadziła np. kampanie marketingową przez SMS. Korzystała by w tym celu z usług firmy, która udostępnia narzędzia do takiej wysyłki. W takim narzędziu umieściłaby Twój (i inne) numery telefonu i wysyłała za jego pomocą wiadomości. Wtedy pizzeria (administrator danych) powierzyłaby dane firmie, która udostępnia aplikację do masowej wysyłki SMS.
czyli moje dane w postaci numeru telefonu i adresu, które ma pizzeria i wykorzystuje je tylko do dostawy (bez kampanii marketingowej), nie sa danymi osobowymi? Jeśli moja ulubiona pizzeria sprzeda interes wraz z komputerami, w których jest mój telefon i adres i nowy wlasciciel będzie korzystał z tych danych tyllko do realizowania dostaw, to także nie ma tu mowy o sprzedazy danych osobowych? Dobrze to rozumiem?
Jeśli na podstawie danych, które podałeś można ustalić Twoją tożsamość bez „nadmiernych kosztów, czasu lub działań”, to będą to dane osobowe. Jeśli nie da się, to nie będą.
Kwestia sprzedaży przedsiębiorstwa wraz z danymi Klientów, to bardzo indywidualna sprawa. Jest wiele form prowadzenia działalności i zależne od nich sposoby przekształcenia, czy sprzedaży przedsiębiorstw. Dane osobowe mogą zostać w takiej sytuacji legalnie przekazane, ale nie zawsze w sposób legalny są.
No właśnie, to jest tak miękkie kryterium : „ustalić Twoją tożsamość bez „nadmiernych kosztów, czasu lub działań”, że nikt jednoznacznie nie może udzieliś odpowiedzi na pytanie czy: numer telefonu klienta wraz z adresem gdzie trzeba dostaczyc pizzę stanowia dane osobowe okreslone przez odpowiednią ustawę…
Można udzielić jednoznacznej odpowiedzi i miękkie kryterium w tym nie przeszkadza. Trzeba jedynie odnieść je indywidualnie do każdego przypadku.
Sytuacja A – zamawiam pizze, podaje swój numer telefonu i adres, przyjeżdża dostawca, na drzwiach widzi tabliczkę „Rafał Tochman”. Ustalił tożsamość na podstawie dwóch danych, które otrzymał – OWSZEM.
Sytuacja B – jestem w Warszawie na konferencji i strasznie zgłodniałem. Restauracja w hotelu strasznie droga, a ja bardzo lubię pizzę. Dzwonię, podaję numer telefonu, adres i dostawca przywozi mi pizzę. Dostał te same dane, a tożsamości nie ustalił.
witam, a czy podanie osobą nie uprawnionym danych dotyczacych nowo nabytego mieszkania i nr księgi wieczystej oraz adresu tego mieszkania jest naruszeniem prawa? z góry dziękuje za odp.
Jeśli ktoś umożliwia dostęp do danych osobowych osobie nieupoważnionej, to jest to naruszenie prawa.
Co w sytuacji gdy w mojej firmie chcemy zmienić Towarzystwo Ubezpieczeniowe oferujące ubezpieczenie grupowe? TU aby stworzyć ofertę potrzebuje liczby pracowników zatrudnionych w firmie, liczbę pracowników obecne ubezpieczonym w obecnym TU oraz ich płeć. Czy to jest przekazanie danych osobowych? Nasz prezes nie chce podać tych danych.
Dzień dobry. A jak oceniasz te dane w kontekście zacytowanych we wpisie art. 6 ust. 1-3 UODO?
Sądzę, że nie da się na podstawie tych danych nikogo zidentyfikować bez podjęcia „nadmiernych kosztów, czasu lub działań”. Powinnam przesłać prezesowi ten artykuł.
Polecam 🙂