Strona główna » Blog » Dana osobowa – liczba pojedyncza w użyciu

Dana osobowa – liczba pojedyncza w użyciu

Ostatnio pisałem o tym jak pomimo tego, że w sensie prawnym istnieje u nas w Polsce tylko definicja “danych osobowych” (liczba mnoga), to w sferze językowej istnieje pojęcie “danej” (liczba pojedyncza) i że ludzie się takim pojęciem posługują. Skupiłem się wówczas na języku angielskim i tamtejszym “personal datum” a tym razem chciałbym pobieżnie przeszukać polski Internet w obszarach związanych mniej lub bardziej związanych z ochroną danych.

GIODO i UODO

Słynna wypowiedź GIODO na temat “Czy adres IP komputera należy do danych osobowych?“:

(…) gdy adres IP jest na stałe lub na dłuższy okres czasu przypisany do konkretnego urządzenia, które przypisane jest z kolei konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową. (…) 
Do czasu, gdy podmiot nie uzyska pewności, że sam nie jest w stanie łączyć adresu IP z innymi danymi identyfikującymi osobę, powinien zabezpieczać adres IP tak jakby był on daną osobową.

Albo lepiej, “Czym są dane osobowe, jak interpretować art. 6 ust. 3 ustawy o ochronie danych osobowych?“:

Daną osobową będzie taka informacja, która pozwala na ustalenie tożsamości danej osoby (…). (…) danymi osobowymi nie będą pojedyncze informacje o dużym stopniu ogólności, np. nazwa ulicy i numer domu czy wysokość wynagrodzenia. Informacja ta będzie jednak stanowić daną osobową wówczas, gdy zostanie zestawiona z innymi dodatkowymi informacjami, które w konsekwencji można odnieść do konkretnej osoby. Przykładem pojedynczej informacji stanowiącej daną osobową jest natomiast numer PESEL

To są tylko dwa przykłady, GIODO wielokrotnie na swojej stronie internetowej wykorzystuje termin dana osobowa. Specjalizowane przeszukiwania serwisu GIODO z użyciem Google ujawniają następujące ilości publikacji (artykułów, sprawozdań itp.):

Następca urzędu GIODO, czyli UODO, jest dużo bardziej powściągliwy, znaleźć można zaledwie kilka publikacji z pojedynczymi użyciami terminu. Ciekawe tutaj wydają się publikacje autorstwa osób spoza UODO. Wśród nich trafiłem na ciekawy fragment “Wytycznych dotyczące zgłaszania naruszenia ochrony danych osobowych na mocy rozporządzenia 2016/679” autorstwa Grupy Roboczej Art. 29 d/s Ochrony Danych:

Większa ilość powiązanych danych osobowych jest zazwyczaj bardziej wrażliwa niż pojedyncza dana osobowa.

Jest też “Rekomendacja R (1999) 5 – Wytyczne w sprawie ochrony osób w zakresie gromadzenia i przetwarzania danych osobowych na Infostradach” z 1999 roku autorstwa Komitetu Ministrów dla Państw Członkowskich:

Pamiętajcie, że wasz adres elektroniczny jest daną osobową i że ktoś może chcieć się nim posłużyć do różnych celów.

PARP

Odejdę teraz od GIODO/UODO i spojrzę do innej instytucji państwowych, która jakkolwiek mniej powiązana z ochroną danych osobowych to jednak związana z edukacją przedsiębiorców w tym zakresie. Oto Polska Agencja Rozwoju Przedsiębiorczości opublikowała “Ochrona danych osobowych – poradnik dla małych i średnich przedsiębiorstw” a tam:

Mail kancelaria@bm.com.pl również nie będzie stanowił danej osobowej, bowiem nie wskazuje, kto w ramach prowadzonej działalności wykorzystuje skrzynkę pocztową.

Zakwalifikowanie adresu IP jako danej osobowej wiąże się z koniecznością posiadania dodatkowych informacji umożliwiających identyfikację osoby użytkującej urządzenie

Ochrona dóbr osobistych i danych osobowych” by Piotr Waglowski:

Daną osobową będzie taka informacja, która pozwalana ustalenie tożsamości danej osoby, bez nadzwyczajnego wysiłku i nakładów, zwłaszcza przy wykorzystaniu łatwo osiągalnych i powszechnie dostępnych źródeł. Danymi osobowymi nie będą pojedyncze informacje o dużym stopniu ogólności. W zależności od współwystępowania z innymi informacjami,informacja o dużym stopniu ogólności będzie stanowić daną osobową, gdy zostanie zestawiona z innymi dodatkowymi informacjami (…)

Wiele wystąpień “danej osobowej” znajdziemy w “Ochrona danych osobowych w przedsiębiorstwie– poradnik dla MŚP“, kilka wybranych poniżej:

Co do zasady daną osobową nie będzie też pojedyncza informacja o dużym stopniu ogólności, np. nazwa ulicy,numer domu czy wysokość wynagrodzenia. Taka informacja będzie jednak stanowić daną osobową wówczas, gdy zostanie ona zestawiona z innymi dodatkowymi informacjami, które w konsekwencji będzie można odnieść do konkretnej osoby

Numer PESEL dla administracji publicznej będzie stanowił daną osobową

Ale dla firmy detektywistycznej, która na podstawie numeru jest w stanie zidentyfikować właściciela za pomocąodpowiednich instrumentów, numer rejestracyjny będzie stanowić daną osobową.

Orzeczenia WSA i NSA

Google wykazuje istnienie pewnej niewielkiej liczby orzeczeń mówiących o pojedynczej danej osobowej:

Dlatego również jako niesłuszne należy uznać stanowisko Zarządu Dróg Miejskich, zgodnie z którym numer rejestracyjny pojazdu nie stanowi danej osobowej na etapie wnoszenia opłaty za parkowanie

To jest ciekawy fragment, bo odwołujący się do definicji ustawowej UODO 1997:

Organ odwoławczy dostrzegł ponadto, że numer księgi wieczystej wypełnia ustawową definicję danej osobowej, zawartą w art. 6 ust. 1 ustawy o ochronie danych osobowych (Dz. U. z 2016r. poz. 922)

Tutaj coś może “zawierać dane” ale też “być daną”:

Warto jednakże wskazać, że ustawa o ochronie danych osobowych nie stanowi aktu prawnego z założenia uniemożliwiającego realizację prawa dostępu do informacji publicznej i w żadnym przepisie nie ustanawia zakazu udostępnienia informacji publicznej zawierającej dane osobowe, czy informacji publicznej stanowiącej daną osobową.

Książki

Google zwraca informacje o pewnej liczbie książek, ale nie mam podglądu do ich treści. Jedyne, co udało mi się podejrzeć, to “Zakres przetwarzania danych osobowych w działalności gospodarczej” Doroty Fleszer:

(…) o traktowaniu numeru telefonu jako danej osobowej przesądzają odpowiednie przepisy prawa telekomunikacyjnego.

Z ciekawszych pozycji, których nie mam jak sprawdzić, Google twierdzi, że wiele wystąpień “danej osobowej” jest w “Ochrona danych osobowych: Komentarz” Barta, Fajgielskiego i Markiewicza.

Dana wrażliwa

W trakcie moich poszukiwań trafiłem też na specjalny przypadek “danej osobowej” zwany “daną wrażliwą”. Naturalnie występuje on dużo, dużo rzadziej, ale jednak jest, co jedynie potwierdza zjawisko językowe.

“Nowe techniki gromadzenia i przetwarzania danych osobowych pracowników, a ochrona ich prywatności”, dr hab. Małgorzata Gersdorf, nie tylko korzysta z terminu “dana wrażliwa”, ale nawet z ogólnego “dana”:

daną wrażliwą, zgodnie z art. 27 ustawy o ochronie danych osobowych, jest dana ujawniająca poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową;