Co jest, a co nie jest danymi osobowymi?

W bardzo wielu tematach dotyczących polityki bezpieczeństwa pojawia się termin “dane osobowe”. Jego definicja zdaje się prosta, jednak czy każda osoba, która posługuje się tym wyrażeniem zna jego prawidłowe znaczenie? Co można uważać za dane osobowe, a co takimi danymi zdecydowanie nie jest?

  • Rafał Stępniewski
  • /
  • 24 października 2017

W bardzo wielu tematach dotyczących polityki bezpieczeństwa pojawia się termin “dane osobowe”. Jego definicja zdaje się prosta, jednak dzy każda osoba, która posługuje się tym wyrażeniem zna jego prawidłowe znaczenie? Co można uważać za dane osobowe, a co takimi danymi zdecydowanie nie jest?

Czym są dane osobowe?

Dokładna definicja tego terminu została określona w ustawie o ochronie danych osobowych (UODO) z 1997 roku. Według tego dokumentu, w artykule 6, punkcie 1:

(...) za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Czym natomiast są informacje, dzięki którym można zidentyfikować osobę? Ponownie posłużymy się cytatem z ustawy:

(...) numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Technologia — a w szczególności jej rozwój — wymusił na ustawodawcach stworzenie nowej, aktualnej definicji tego, czym obecnie są dane osobowe. Wraz z wejściem w życie RODO, będącego unijnym rozporządzeniem dotyczącym ochrony danych osobowych, zmieni się również definicja, czym te dane są.

Jak można przeczytać w art. 4, punkcie 1 RODO:

„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Wydawać by się mogło, iż termin został objaśniony niemal identycznie. Z tą różnicą jednak, że do informacji, które pozwolą zidentyfikować osobę dodano dane o lokalizacji, identyfikatory internetowe oraz informacje genetyczne.

Unijny dokument dodatkowo wyjaśnia, czym są identyfikatory internetowe:

Osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.

Jakie informacje nie są danymi osobowymi?

Żadne z wcześniej cytowanych dokumentów nie wskazują wprost, jakie informacje nie mogą być uznane za dane osobowe. Wynika to jednak z zapisów, które znaleźć można w UODO jak i nadchodzącym RODO.

Jak już bowiem wiemy, dane osobowe to informacje, które pozwalają zidentyfikować tożsamość osoby. W ustawie o ochronie danych osobowych widnieje zapis, zgodnie z którym:

Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań;

Zapis ten można zinterpretować jako wskazówkę, iż pojedyncza informacja nie może być uznawana za dane osobowe. Znajomość imienia nie pozwoli ustalić tożsamości osoby, do której ono należy, podobnie w przypadku nazwiska, cech fizycznych lub lokalizacji.

Oczywiście w przypadku podjęcia bardzo skomplikowanych, czasochłonnych i kosztownych działań prawdopodobne jest, że tożsamość osoby zostanie ustalona nawet ze znajomością tylko jednak informacji, jednak zgodnie z literą prawa — nie można jej uznać za dane osobowe.

Z kolei według RODO kwestia tego czym nie są dane osobowe wygląda bardzo podobnie. W rozporządzeniu przeczytać możemy, że:

Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.

Oraz dodatkowo:

Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.

Można więc zauważyć, że definicja jest tłumaczona w obu dokumentach niemal identycznie.

Warto jeszcze zauważyć, że dla niektórych organów — takich jak sądy lub policja — ustalenie tożsamości osoby tylko za pomocą jednej informacji (np. PESEL) będzie wymagało o wiele mniej czasochłonnych działań (ponieważ mogą one złożyć wniosek o udostępnienie danych z rejestru PESEL). W takiej sytuacji, i dla takiego podmiotu, pojedyncza informacja może być zatem uznana za dane osobowe.

 

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

O autorze

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!