Artykuł

#1 Ekspert radzi

Inspektor Ochrony Danych Osobowych Łukasz Doliński odpowiada na nasze pytania

Poprosiliśmy Inspektora Ochrony Danych Osobowych Łukasza Dolińskiego by odpowiedział nam na kilka pytań związanych z danymi osobowymi.

----------------------------------------------------------------------------------------------------

Adwokat Łukasz Doliński

właściciel kancelarii adwokackiej w Stalowej Woli, Inspektor Ochrony Danych osobowych

----------------------------------------------------------------------------------------------------

  • Na początek chcieliśmy, aby wytłumaczył nam Pan, jak w ogóle powinniśmy interpretować DANE OSOBOWE i czym one tak naprawdę są.

Odnoszę wrażenie, że ludzie nie wiedzą do końca czym są dane osobowe. Często słyszę jak ludzie błędnie posługują się tym terminem.

Słyszymy często słynne usprawiedliwienie: „Bo RODO” np.  nie podam Ci tej informacji, bo RODO itd. Czasem ludzie mówią to w żartach, czasami na poważnie. Rozwiejmy więc wszelkie wątpliwości.

Po pierwsze przepisy nie podają jednego zamkniętego katalogu danych osobowych. RODO zawiera definicję danych osobowych. I tak zgodnie z art. 4, pkt 1 RODO:

„Dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”);

 Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

  • W takim razie czy imię i nazwisko są już danymi osobowymi?

Jeśli powiem Pani, że mam pewne informacje na temat Jana Kowalskiego na tej podstawie nie jesteśmy w stanie zidentyfikować konkretnej osoby. Nie ustalimy jej tożsamości, ponieważ takie samo imię i nazwisko nosi w Polsce wiele osób. Wobec tego powiedzenie, że imię i nazwisko to dana osobowa jest błędne. Sytuacja jest zupełnie inna, jeśli ktoś nosi bardzo charakterystyczne imię i nazwisko, które możemy przypisać tylko jednej osobie.

  • Racja, imiona i nazwiska się powtarzają a co, jeśli chodzi o PESEL?

Już tłumaczę, numer PESEL to przykład pojedynczej informacji, która jednocześnie jest daną osobową Zgodnie z art. 15 ust. 2 ustawy z dnia 24 września 2010 r. o ewidencji ludności (Dz.U. z 2015 r. poz. 388) PESEL jest 11-cyfrowym symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną, w którym sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), kolejne cztery – liczbę

  • A co w przypadku, gdy pojawią się wątpliwości co do tego, czy mamy do czynienia z daną osobową?

Dużo zależy od tego kto dysponuje informacją. Dla jednego podmiotu wystarczająca jest pojedyncza informacja, aby dzięki niej ustalić tożsamość danej osoby. Ktoś inny musiałby ponieść znaczne nakłady finansowe, aby ustalić taka tożsamość. Dla przykładu numer tablicy rejestracyjnej samochodu dla Policji będzie przeważnie daną osobową, ponieważ bez znacznych problemów będzie można na jej podstawie ustalić właściciela pojazdu. Dla zwykłego Kowalskiego numer rejestracyjny nie powie zbyt wiele.

Adres e-mail raz będzie daną osobową a innym razem nie. Jeśli w treści adresu e-mail znajdzie się imię i nazwisko oraz np. nazwa firmy, mamy już konkretną informację. Rzadko się zdarza, aby dwóch pracowników w jednej firmie miało takie samo nazwisko i imię oraz taki sam e-mail. Wobec tego na podstawie samego tylko adresu e-mail możemy zidentyfikować daną osobę.

Na kursach i szkoleniach dotyczących RODO proponuję następujący test. Zawsze, kiedy macie wątpliwości odpowiedzcie sobie na trzy pytania:

 

  1. Czy zawarte w informacji dane dotyczą identyfikowanej lub możliwej do zidentyfikowania osoby?
  2. Czy jest to osoba fizyczna?
  3. Czy identyfikacja tej osoby fizycznej na podstawie informacji, które posiadamy, jest możliwa bez narażania się na nadmierne koszty, nakład pracy czy czasu?

 

Jeśli odpowiedzi są twierdzące, mamy do czynienia z daną osobową.

 

  • Numer PESEL jednoznacznie identyfikuje osobę fizyczną, ale czy numer IP komputera jednoznacznie identyfikuje jego użytkownika?

 

Numer IP naszego komputera, numer identyfikatora plików cookies- są to rzeczy, które pozostawiają ślad w Internecie. Jeśli połączymy te ślady z innymi informacjami na nasz temat (np. kliknięcia na konkretne strony, śledzenie konkretnych reklam, kanałów) możemy stworzyć profil danej osoby.

Nadmienię, że w swojej praktyce spotkałem się z procesami o zniesławienie, pomówienie, gdzie Policji udało się namierzyć komputer i adres po numerze IP. Jednak w większości przypadków sądy karne umarzają tego typu postępowania bowiem sam adres IP to za mało. Przecież z takiego komputera może korzystać wiele osób a zgodnie z prawem karnym zarzut można postawić, kiedy mamy stuprocentową pewność.

Podsumowując uważam, że IP jest daną osobową, ale tylko pod warunkiem, kiedy oprócz niego dysponujemy dodatkową informacją, jak np. adres mailowy tak aby dzięki tym informacjom mieć możliwość zidentyfikowania konkretnej osoby fizycznej. Bez tych dodatkowych informacji numer IP nie jest daną osobową.  Imię i nazwisko też nie zawsze może być daną osobową.

 

Jeśli masz jakieś pytanie do naszego eksperta @Łukasza Dolińskiego dotyczące RODO czy tematów z tym związanych to pisz śmiało! 
>> pomoc@bsafer.pl <<


Masz ciekawy temat?

Chcesz, żebyśmy opisali Twoją historię albo zajęli się jakimś problemem?

Napisz do nas!

wspolpraca@bsafer.pl

Wyszukiwanie informacji w bazie danych