Z przetwarzaniem danych osobowych wiążą się określone obowiązki przedsiębiorcy. W praktyce jednak nie zawsze jednoznacznie udaje się stwierdzić, czy zawarte w posiadanej przez przedsiębiorcę bazie danych informacje są danymi osobowymi w rozumieniu przepisów ustawy o ochronie danych osobowych.
Jaka definicja
Zgodnie z art. 6 ust. 1 ustawy z 29 sierpnia 1997 o ochronie danych osobowych (dalej uodo) za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, natomiast zgodnie z ust. 2 tego artykułu osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny (np. PESEL czy NIP) albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Z takiej definicji wynikają dwie istotne kwestie. Po pierwsze, informacją w rozumieniu uodo są nie tylko znaki językowe, ale także informacje pozajęzykowe, np. dane biometryczne obejmujące biologiczne cechy poszczególnych osób, takie jak: głos, źrenice, linie papilarne, cechy twarzy czy geometria dłoni. Także Trybunał Sprawiedliwości Unii Europejskiej przyjął, że ustalenie tożsamości osoby fizycznej nie musi polegać na wskazaniu jej nazwiska. Wystarczające jest podanie innych okoliczności pozwalających na określenie tej osoby w sposób niepowtarzalny (orzeczenie TSUE z 6 listopada 2003 w sprawie C-101/01 Bodil Lindqvist przeciwko ?klagarkammaren i Jönköping, OJ C7, z 10 stycznia 2004, s. 3).
Tożsamość do ustalenia
Po drugie, aby określoną informację można było zaliczyć do danych osobowych, musi dotyczyć ona takiej osoby, której tożsamość jest ustalona lub na jej podstawie możliwa do ustalenia. W tym względzie słuszne jest przyjęte w jednym z orzeczeń (orzeczenie WSA w Warszawie z 7 grudnia 2005, IV SA/Wa 880/2005) stanowisko, zgodnie z którym pojedyncza informacja w zasadzie nigdy nie pozwala na określenie tożsamości osoby, której dotyczy. Zatem pewne informacje można zakwalifikować jako dane osobowe jedynie w połączeniu z innymi danymi lub jedynie w określonym kontekście sytuacyjnym. Za przywołanym orzeczeniem można na przykład wymienić: imię, nazwisko, stanowisko i stopień służbowy.
Nadmierne koszty
W intencji ustawodawcy ustaleniu, czy w danych okolicznościach mamy do czynienia z danymi osobowymi, miał służyć przepis art. 6 ust. 3 uodo, zgodnie z którym informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Jednak to właśnie ustalenie, czy w danych okolicznościach określone działania lub koszty byłyby „nadmierne", często nastręcza trudności w praktyce. W dokonaniu takiej oceny może być pomocna znajomość dotychczasowych rozstrzygnięć i stanowisk prezentowanych w tej kwestii.
W piśmiennictwie wskazuje się, że kwestię „nadmierności" należy rozpatrywać z uwzględnieniem możliwości wykorzystania łatwo osiągalnych i powszechnie dostępnych źródeł.
Specyfika konkretnego administratora
Jednocześnie ta sama informacja dla jednych może być wystarczająca do szybkiego, skutecznego odnalezienia konkretnej osoby fizycznej bez konieczności poniesienia znacznych kosztów, dla innych wiąże się z nieproporcjonalnymi nakładami. Konieczne jest więc uwzględnienie specyfiki konkretnego administratora danych.
Znakomitym przykładem niejednoznaczności jest numer VIN (unikatowy numer identyfikacyjny pojazdu mechanicznego). O ile bowiem dla większości osób numer ten nie będzie stanowić danych osobowych, o tyle w przypadku administratora danych, jakim jest minister właściwy do spraw administracji publicznej, jest wręcz przeciwnie. Łatwość powiązania tego numeru z innymi informacjami dotyczącymi właściciela danego pojazdu skłania do wniosku, że w tym drugim wypadku VIN będzie uznany za dane osobowe.
Urzędowa ocena
Poszukując miernika dla sił i środków niezbędnych do nadania informacji statusu danych osobowych, warto zwrócić uwagę na wypowiedź generalnego inspektora ochrony danych osobowych. Twierdzi on, że danymi osobowymi będą zarówno takie dane, które bezpośrednio pozwalają na określenie tożsamości konkretnej osoby, jak i takie, które nie pozwalają na jej natychmiastową identyfikację, ale są, przy pewnym nakładzie kosztów, czasu i działań, wystarczające do jej ustalenia. Danymi osobowymi będzie więc informacja, która pozwala na ustalenie tożsamości danej osoby bez nadzwyczajnego wysiłku i nakładów, zwłaszcza przy wykorzystaniu łatwo osiągalnych i powszechnie dostępnych źródeł.
I tak, zgodnie ze stanowiskiem GIODO, informacje o imionach, nazwiskach oraz miejscowości zamieszkania darczyńców, którzy zdecydowali się na przekazanie stowarzyszeniu 1 proc. ze swego podatku dochodowego, uzupełnione o nazwę i siedzibę urzędu skarbowego, stanowią dane osobowe podlegające ochronie wynikającej z przepisów ustawy o ochronie danych osobowych. Taki zakres danych pozwala na zidentyfikowanie osoby bez ponoszenia nadmiernych kosztów, czasu czy działań.
GIODO twierdzi także, że przepisy ustawy o ochronie danych osobowych znajdą zastosowanie do danych pochodzących z monitoringu wizyjnego, jeśli wizerunek utrwalony na taśmach z wideo monitoringu osób wchodzących do budynku należącego do spółdzielni można przypisać do konkretnych osób, np. przez połączenie z danymi znajdującymi się w rejestrze członków spółdzielni.
Jeżeli chodzi o numer IP, stanowi on z punktu widzenia dostawców usługi Internetu dane osobowe wówczas, gdy jest na stałe lub na dłuższy czas przypisany do konkretnego urządzenia, które jest z kolei przypisane konkretnemu użytkownikowi. Wynika to z faktu, że dostawcy usług internetowych mogą zidentyfikować użytkownika Internetu, któremu przypisali dany adres, przy zastosowaniu rozsądnych środków im dostępnych. Inne podmioty nie zawsze jednak będą mogły dokonać wspomnianej identyfikacji w sposób szybki i nieskomplikowany, dlatego też ten sam adres IP może dla takich administratorów danych nie stanowić danych osobowych.
GIODO przyjął, że adres poczty elektronicznej należy zaliczyć do kategorii danych osobowych jedynie wówczas, gdy zawiera on informację o imieniu i nazwisku użytkownika lub inne „podobne informacje". Jest też pogląd, który zakłada, że każdy adres poczty elektronicznej z zasady mieści się w kategorii danych osobowych. Wydaje się, że należy się opowiedzieć za tym drugim poglądem, głównie ze względu na brzmienie art. 18 ust. 1 pkt 6 ustawy z 18 lipca 2002 o świadczeniu usług drogą elektroniczną. Stanowi on, że adresy elektroniczne usługobiorców należą do kategorii danych osobowych.
Co na to sądy
Zainteresowanie budził swojego czasu wyrok NSA z 18 listopada 2009, I OSK 667/09. Sąd stwierdził w nim, że gdyby wizerunek osoby fizycznej w postaci zdjęcia zamieszczonego na portalu społecznościowym nie występował wraz z podpisem w postaci imienia i nazwiska, to bez wątpienia ustalenie tożsamości tej osoby na podstawie samego zdjęcia wymagałoby nadmiernych kosztów, czasu lub działań, o których mowa w art. 6 ust. 3 ustawy. Jednak ujawnienie imienia i nazwiska osoby wraz z numerem klasy, szkoły, do której uczęszczał, i miejscowości, w której szkoła jest położona, powoduje, że identyfikacja tej osoby jest bezpośrednio możliwa, przynajmniej przez osoby znające ją przed laty.
W tym kontekście zdjęcie (chociażby wykonane w przeszłości) umieszczone wraz z imieniem i nazwiskiem osoby na nim występującej w miejscu dostępnym dla nieograniczonej liczby podmiotów należy uznać za dane osobowe.
Ponadto, zgodnie z orzeczeniem WSA w Warszawie z 27 listopada 2008, II SA/WA 903/08, choć linie papilarne bezpośrednio nie wskazują, że mogą pochodzić od konkretnej osoby, to jednak ustalenie tożsamości takiej osoby jest możliwe przy zastosowaniu odpowiedniej metody identyfikacji. Dla spółki, która używa linii papilarnych do ewidencjonowania czasu pracy pracowników w powiązaniu z innymi danymi, będącymi w jej posiadaniu, niewątpliwie linie papilarne będą stanowiły dane osobowe.
Ponadto, zgodnie z orzecznictwem, wskazanie w ogłoszeniu spółdzielni wywieszonym na drzwiach budynku imienia i nazwiska mieszkańca pozwala na powiązanie tych danych z oznaczoną osobą bez konieczności stosowania nadzwyczajnego wysiłku lub bez nieproporcjonalnie dużych nakładów, bo dotyczy to lokatora budynku. Nie stanowi natomiast, w ocenie sądów, ujawnienia danych pracownika podanie w prasie informacji, że osoba (niewymieniona z imienia, nazwiska itd.) jest pracownikiem ujawnionego z nazwy przedsiębiorstwa. Ustalenie tożsamości pracownika wymagałoby specjalnego nakładu sił i środków. Nie jest natomiast czynnością niewymagającą żadnego nakładu sił, środków ani czasu ustalenie tych danych nawet w jawnej ewidencji działalności gospodarczej.
Zdaniem autora:
Ewa Kacperek, radca prawny w Hogan Lovells
Administrator danych musi mieć świadomość, że część danych znajdujących się w jego zbiorach w sposób oczywisty nosi charakter danych osobowych. Istnieje też duża grupa informacji, które status danych osobowych uzyskują dopiero w połączeniu z innymi informacjami znajdującymi się w gestii administratora. Wynika to z art. 6 ust. 2 uodo, który stanowi tak o bezpośrednim, jak i pośrednim ustalaniu tożsamości osoby. Jeżeli administrator posiada wystarczającą ilość danych dookreślających, pozwalających w zestawieniu ze sobą na identyfikację danej osoby, to nie znajduje zastosowania negatywna przesłanka z art. 6 ust. 3 uodo.
Taki administrator musi liczyć się z tym, że z uwagi na posiadane przez niego środki techniczne istnieje potencjalna możliwość identyfikacji osoby fizycznej na podstawie zgromadzonych przez niego danych, będących w tej konkretnej sytuacji danymi osobowymi podlegającymi ochronie. Co za tym idzie, również takich danych dotyczyć będą obowiązki przewidziane w ustawie.
Ewa Kacperek jest radcą prawnym w Hogan Lovells
Łukasz Czynienik jest aplikantem radcowskim w Hogan Lovells
Zobacz serwisy:
Firma » Dane osobowe i dobra osobiste
Prawo dla Ciebie » Twoje prawo » Dobra osobiste
nternet, prawo komputerowe » Dane osobowe i dobra osobiste
