Dane osobowe to pojęcie, które na stałe zagościło w naszym codziennym słowniku. Ochroną danych osobowych zasłaniają się Panie sekretarki w sądach, rodzice w szkołach, recepcjonistki w szpitalach, firmy ubezpieczeniowe czy telekomunikacyjne. Z drugiej strony na co dzień spotykam się z zupełną ignorancją tematu: w miniony weekend chcąc wypożyczyć koszyk-samochodzik dla dziecka w centrum handlowym Pani na recepcji poprosiła mnie o zostawienie dowodu osobistego pod zastaw (przyznała nawet, iż jest świadoma faktu, że działa niezgodnie z prawem). Brak spełnionych wymogów prawnych na stronach sklepów internetowych to z kolei szara rzeczywistość.
Wnioski? – z ochroną danych osobowych wiąże się dużo zagadnień, zasłaniają się nią ludzie, kiedy nie mają do tego prawa, Ci którzy powinni je chronić – jawnie się przyznają do łamania przepisów, a dużo osób i instytucji tonie w tym zakresie w morzu chaosu informacyjnego.
Postanowiłam zatem rzucić koło ratunkowe i temat trochę oswoić.
Czym są dane osobowe?
Dane osobowe to informacje, które pozwalają bez trudu zidentyfikować osobę. Daną osobową nie będzie np. sam numer telefonu, ale numer telefonu w zestawieniu z nazwiskiem daną osobową już się staje. Numer PESEL dla odmiany zawsze będzie daną osobową, gdyż jest przypisany tylko do jednej osoby.
Wątpliwości budzi często adres email – tu jednak sprawa jest prosta; adres email może mieć formę: jacek.kaliniak@jakasfirma.pl , w tej sytuacji znamy imię i nazwisko oraz nazwę firmy, w której człowiek pracuje, a więc bez problemu go zidentyfikujemy – zbiór adresów email będzie zatem zbiorem danych osobowych.
O ile jakaś kategoria danych może być danymi osobowymi, to już wystarczy aby zaliczyć zbiór takich danych do zbioru danych osobowych.
Zastanawiamy się czy adres IP i pliki cookies to także dane osobowe – prawo unii europejskiej więc także polskie wlicza te kategorie danych do danych osobowych i zaleca ich szczególną ochronę, choć wydaje się to podejściem mocno prewencyjnym.
Źródłem kontrowersji są niewątpliwie zdjęcia – samo zdjęcie nie jest daną osobową, jednak jeśli publikowane jest zdjęcie opatrzone dodatkowymi informacjami takimi jak np. numer szkoły, nazwa miejscowości, imię i nazwisko przy wizerunku osoby to już daną osobową się staje.
Po co ta wiedza?
Mając świadomość, które kategorie danych są danymi osobowymi, bez względu na to czy to nasze dane są przetwarzane czy sami przetwarzamy czyjeś dane, będziemy wiedzieli czy podlegają one Ustawie z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, a tym samym dowiemy się jak powinny być one chronione lub jakim obowiązkom podlegamy sami przetwarzając dane osobowe.
Ustawa – tak, ale nie zawsze!
Trzeba pamiętać, iż Ustawa o ochronie danych osobowych dotyczy zbiorów danych osobowych przetwarzanych w postaci tradycyjnej i wszystkich danych osobowych przetwarzanych w systemach informatycznych.
Tłumacząc to stwierdzenie: jeśli mamy w biurze luzem na kartkach spisane dane osobowe ale nie noszą one znamion zbioru – są zupełnie przypadkowe, logicznie niepowiązane ze sobą- to takie dane nie będą ustawowo chronione, natomiast ochronie będą podlegały wszystkie dane osobowe przetwarzane w systemie informatycznym, bez względu na to czy istnieją w uporządkowanym zbiorze czy poza nim.
Ta wiedza na początek wystarczy, w kolejnych wpisach odkryjemy z czym się wiąże przetwarzanie danych osobowych w świetle enigmatycznej Ustawy i dlaczego rejestracja zbiorów to nie wszystko.
Co do adresów e-mail jako danych osobowych – czy trzeba rejestrować w GIODO zbiór takich adresów, jeżeli np. korzysta się z Feedburnera (własność amerykańskiego Google’a), za pośrednictwem którego czytelnicy subskrybują posty z bloga?
Zbiór danych osobowych nie jest tym samym co zbiór rozumiany jako baza danych. Przyznam, że nie znam szczegółów działania Feedburner’a ale jeśli za jego pośrednictwem użytkownicy subskrybują danego bloga – i dostają automatyczne maile o nowych wpisach to podejrzewam, żę ich dane można włączyć do zbioru subskrybenci, którym administrator bloga administruje a FeedBurnera wskazać na liście aplikacji, które są wykorzystywane przy przetwarzaniu danych w tym zbiorze. Zbiór subskrybenci będzie podlegał obowiązkowi zarówno zabezpieczenia jak też rejestracji – chyba, że blog nie jest związany ani z działalnością zarobkową( ale uwaga, publikowanie reklam automatycznie sprawia, że blog ma charakter zarobkowy) ani zawodową ani statutową.
Zastanawiam się, czy przetwarzania danych osobowych w postaci adresów e-mail przy subskrypcji bloga nie można potraktować jako przetwarzania „w zakresie drobnych bieżących spraw życia codziennego” (art. 43 ust. 1 pkt 11 ustawy o ochronie danych osobowych). Oznaczałoby to, że takiego zbioru nie trzeba rejestrować.
Dariusz, przyjrzałem się tej ustawie i jest jedna podstawowa rzecz. Chronionymi danymi osobowymi są dane, które pozwalają bez zbytniego problemu zidentyfikować osobę. Podsumowując adres email typu czarna 77@… nie są takimi danymi.
Z jednej strony ma Pan rację, jednak tworząc zbiór czy będzie Pan w stanie zagwarantować, że trafią tam wyłącznie adresy typu: fifi23@o2.pl? – obawiam się że nie jest to możliwe.
Zatem oprócz adresów, które nie są danymi osobowymi pojawią się zapewne adresy nimi będące typu: janek.migucin@jakasfirma.pl. Jeśli w zbiorze mamy i takie i takie adresy to niestety ale jesteśmy zobligowani przyjąć, iż jest to zbiór danych osobowych.
Witam
Wydaje mi się, że jednak adres typu: janek.migucin@jakasfirma.pl NIE jest adresem prywatnym tyko adresem firmy – takim samym jak np. biuro@jakasfirma.pl i nie podlega ochronie z tej racji – co innego jest z adresem janek.migucin@wp.pl
ale z drugiej strony to proszę mi powiedzieć jak ja mam zidentyfikować osobę: janek.migucin@gmail.com? Nie wiem nawet dobrze jak ja mam się zabrać do odnalezienia tego Janka + np. adres jan.nowak@wp.pl – są tysiące Janów Nowaków w Polsce więc nie można zidentyfikować o którego chodzi – więc nie jest możliwa identyfikacja osoby.