Dane osobowe – niezbyt oczywiste oczywistości

Dane osobowe to pojęcie, które na stałe zagościło w naszym codziennym słowniku. Ochroną danych osobowych zasłaniają się Panie sekretarki w sądach, rodzice w szkołach, recepcjonistki w szpitalach, firmy ubezpieczeniowe czy telekomunikacyjne. Z drugiej strony na co dzień spotykam się z zupełną ignorancją tematu: w miniony weekend chcąc wypożyczyć koszyk-samochodzik dla dziecka w centrum handlowym Pani na recepcji poprosiła mnie o zostawienie dowodu osobistego pod zastaw (przyznała nawet, iż jest świadoma faktu, że działa niezgodnie z prawem). Brak spełnionych wymogów prawnych na stronach sklepów internetowych to z kolei szara rzeczywistość.
Wnioski? – z ochroną danych osobowych wiąże się dużo zagadnień, zasłaniają się nią ludzie, kiedy nie mają do tego prawa, Ci którzy powinni je chronić – jawnie się przyznają do łamania przepisów, a dużo osób i instytucji tonie w tym zakresie w morzu chaosu informacyjnego.
Postanowiłam zatem rzucić koło ratunkowe i temat trochę oswoić.

Czym są dane osobowe?

Dane osobowe to informacje, które pozwalają bez trudu zidentyfikować osobę. Daną osobową nie będzie np. sam numer telefonu, ale numer telefonu w zestawieniu z nazwiskiem daną osobową już się staje. Numer PESEL dla odmiany zawsze będzie daną osobową, gdyż jest przypisany tylko do jednej osoby.
Wątpliwości budzi często adres email – tu jednak sprawa jest prosta; adres email może mieć formę: [email protected] , w tej sytuacji znamy imię i nazwisko oraz nazwę firmy, w której człowiek pracuje, a więc bez problemu go zidentyfikujemy – zbiór adresów email będzie zatem zbiorem danych osobowych.
logo dane-osobowe.infoO ile jakaś kategoria danych może być danymi osobowymi, to już wystarczy aby zaliczyć zbiór takich danych do zbioru danych osobowych.
Zastanawiamy się czy adres IP i pliki cookies to także dane osobowe – prawo unii europejskiej więc także polskie wlicza te kategorie danych do danych osobowych i zaleca ich szczególną ochronę, choć wydaje się to podejściem mocno prewencyjnym.
Źródłem kontrowersji są niewątpliwie zdjęcia – samo zdjęcie nie jest daną osobową, jednak jeśli publikowane jest zdjęcie opatrzone dodatkowymi informacjami takimi jak np. numer szkoły, nazwa miejscowości, imię i nazwisko przy wizerunku osoby to już daną osobową się staje.

Po co ta wiedza?

Mając świadomość, które kategorie danych są danymi osobowymi, bez względu na to czy to nasze dane są przetwarzane czy sami przetwarzamy czyjeś dane, będziemy wiedzieli czy podlegają one Ustawie z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, a tym samym dowiemy się jak powinny być one chronione lub jakim obowiązkom podlegamy sami przetwarzając dane osobowe.

Ustawa – tak, ale nie zawsze!

Trzeba pamiętać, iż Ustawa o ochronie danych osobowych dotyczy zbiorów danych osobowych przetwarzanych w postaci tradycyjnej i wszystkich danych osobowych przetwarzanych w systemach informatycznych.
Tłumacząc to stwierdzenie: jeśli mamy w biurze luzem na kartkach spisane dane osobowe ale nie noszą one znamion zbioru – są zupełnie przypadkowe, logicznie niepowiązane ze sobą- to takie dane nie będą ustawowo chronione, natomiast ochronie będą podlegały wszystkie dane osobowe przetwarzane w systemie informatycznym, bez względu na to czy istnieją w uporządkowanym zbiorze czy poza nim.

Ta wiedza na początek wystarczy, w kolejnych wpisach odkryjemy z czym się wiąże przetwarzanie danych osobowych w świetle enigmatycznej Ustawy i dlaczego rejestracja zbiorów to nie wszystko.

napisał/a 5 artykułów na rzecz Bloga SEO

Certyfikowany administrator bezpieczeństwa informacji, auditor wiodący systemu zarządzania bezpieczeństwem informacji ISO 27001, od 2008 roku związana zawodowo z tematem ochrony danych osobowych. Właścicielka firmy Dane-osobowe.info – świadczącej usługi doradcze w zakresie ochrony danych osobowych dla przedsiębiorstw każdej skali: kompleksowa dokumentacja, polityki prywatności, procedury konieczne do zapewnienia bezpieczeństwa przetwarzanym informacjom a także outsourcing funkcji administratora bezpieczeństwa informacji.

Opinie i Komentarze

Dariusz Bucior 21 lutego 2013, 21:56

Co do adresów e-mail jako danych osobowych – czy trzeba rejestrować w GIODO zbiór takich adresów, jeżeli np. korzysta się z Feedburnera (własność amerykańskiego Google’a), za pośrednictwem którego czytelnicy subskrybują posty z bloga?

Monika Gierada-Sołtysek 22 lutego 2013, 13:46

Zbiór danych osobowych nie jest tym samym co zbiór rozumiany jako baza danych. Przyznam, że nie znam szczegółów działania Feedburner’a ale jeśli za jego pośrednictwem użytkownicy subskrybują danego bloga – i dostają automatyczne maile o nowych wpisach to podejrzewam, żę ich dane można włączyć do zbioru subskrybenci, którym administrator bloga administruje a FeedBurnera wskazać na liście aplikacji, które są wykorzystywane przy przetwarzaniu danych w tym zbiorze. Zbiór subskrybenci będzie podlegał obowiązkowi zarówno zabezpieczenia jak też rejestracji – chyba, że blog nie jest związany ani z działalnością zarobkową( ale uwaga, publikowanie reklam automatycznie sprawia, że blog ma charakter zarobkowy) ani zawodową ani statutową.

Dariusz Bucior 22 lutego 2013, 15:57

Zastanawiam się, czy przetwarzania danych osobowych w postaci adresów e-mail przy subskrypcji bloga nie można potraktować jako przetwarzania “w zakresie drobnych bieżących spraw życia codziennego” (art. 43 ust. 1 pkt 11 ustawy o ochronie danych osobowych). Oznaczałoby to, że takiego zbioru nie trzeba rejestrować.

Przemek 23 lutego 2013, 12:39

Dariusz, przyjrzałem się tej ustawie i jest jedna podstawowa rzecz. Chronionymi danymi osobowymi są dane, które pozwalają bez zbytniego problemu zidentyfikować osobę. Podsumowując adres email typu czarna [email protected]… nie są takimi danymi.

Monika Gierada-Sołtysek 5 marca 2013, 10:19

Z jednej strony ma Pan rację, jednak tworząc zbiór czy będzie Pan w stanie zagwarantować, że trafią tam wyłącznie adresy typu: [email protected]? – obawiam się że nie jest to możliwe.
Zatem oprócz adresów, które nie są danymi osobowymi pojawią się zapewne adresy nimi będące typu: [email protected]. Jeśli w zbiorze mamy i takie i takie adresy to niestety ale jesteśmy zobligowani przyjąć, iż jest to zbiór danych osobowych.

TomX 28 października 2014, 11:32

Witam

Wydaje mi się, że jednak adres typu: [email protected] NIE jest adresem prywatnym tyko adresem firmy – takim samym jak np. [email protected] i nie podlega ochronie z tej racji – co innego jest z adresem [email protected]

ale z drugiej strony to proszę mi powiedzieć jak ja mam zidentyfikować osobę: [email protected]? Nie wiem nawet dobrze jak ja mam się zabrać do odnalezienia tego Janka + np. adres [email protected] – są tysiące Janów Nowaków w Polsce więc nie można zidentyfikować o którego chodzi – więc nie jest możliwa identyfikacja osoby.

Skomentuj

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *