W myśl bowiem art. 6 ust. 1 ustawy o ochronie danych osobowych (tekst jedn. DzU. z 2002 r. nr 101, poz. 926 ze zm.) za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2). Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ust. 3).
Danymi osobowymi będą zatem zarówno takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak i takie, które nie pozwalają na jej natychmiastową identyfikację, ale są, przy pewnym nakładzie kosztów, czasu i działań, wystarczające do jej ustalenia.
W świetle tych definicji należy przyjąć, że danymi nie będą pojedyncze informacje o dużym stopniu ogólności. Informacja taka będzie jednak stanowić daną osobową wówczas, gdy zostanie zestawiona z innymi dodatkowymi informacjami, które w konsekwencji można odnieść do konkretnej osoby. Tym samym nie powinno być wątpliwości, że podanie nazwiska wraz z informacją o stanowisku pracy w konkretnej firmie, pozwala na identyfikację osoby i to bez specjalnego nakładu kosztów, czasu i działań. Z kontekstu sprawy wynika, że przetwarzanie tych danych odbyło się bez zgody zainteresowanego. Czy zatem było nielegalne?
Gdy brak zgody
Zgodnie z przepisami wymienionej ustawy przetwarzanie danych jest procesem legalnym, jeżeli odbywa się w oparciu o jedną z przesłanek wymienionych w art. 23 ust. 1 pkt 1–5 ustawy (w przypadku przetwarzania danych osobowych zwykłych), bądź w art. 27 ust. 2 pkt 1–10 ustawy (w przypadku przetwarzania danych osobowych szczególnie chronionych, tzw. danych wrażliwych). Ponieważ w tym konkretnym przypadku chodzi o imię, nazwisko i miejsce pracy, można te informacje uznać za dane zwykłe. Tym samym kwestię legalności ich przetwarzania rozpatrywać w kontekście pierwszego z tych artykułów. Ponieważ przesłankę zgody od razu można wykluczyć, najistotniejsza będzie ta wskazana w pkt 5, która stanowi, że przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. I właśnie kwestia naruszenia prawa i wolności osoby jest tutaj najistotniejsza. O tę ochronę tutaj bowiem chodzi, a nie o samo prawo do ochrony danych osobowych.
Liczy się wolność
Tym samym warunkiem dopuszczalności przetwarzania danych na gruncie powołanego przepisu jest to, aby przetwarzanie nie naruszało żadnego z praw czy wolności konstytucyjnych. Innymi słowy, przetwarzanie danych osobowych przez administratora nie może naruszać prawa do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym (w myśl art. 47 konstytucji). Ponieważ w opisywanym przypadku dane osobowe udostępniane na portalu dotyczyły wyłącznie życia zawodowego skarżącego, nie doszło do naruszenia jego prawa do ochrony życia prywatnego. Jednocześnie po stronie administratora istniał „usprawiedliwiony cel". A jest nim udostępnianie użytkownikom portalu informacji o działaniach firm reprezentujących określoną branżę oraz umożliwianie wymieniania o niej informacji. A jak było zauważone, firma, w której pracuje skarżący właśnie w tej branży działała. I właśnie dlatego GIODO uznał, że w opisywanym przypadku nie doszło do naruszenia ustawy o ochronie danych osobowych.
Zdaniem eksperta:
Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych
