Strona główna » Blog » dane osobowe

Tag: dane osobowe

Dana osobowa – liczba pojedyncza w użyciu

Ostatnio pisałem o tym jak pomimo tego, że w sensie prawnym istnieje u nas w Polsce tylko definicja “danych osobowych” (liczba mnoga), to w sferze językowej istnieje pojęcie “danej” (liczba pojedyncza) i że ludzie się takim pojęciem posługują. Skupiłem się wówczas na języku angielskim i tamtejszym “personal datum” a tym razem chciałbym pobieżnie przeszukać polski Internet w obszarach związanych mniej lub bardziej związanych z ochroną danych.

GIODO i UODO

Słynna wypowiedź GIODO na temat “Czy adres IP komputera należy do danych osobowych?“:

(…) gdy adres IP jest na stałe lub na dłuższy okres czasu przypisany do konkretnego urządzenia, które przypisane jest z kolei konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową. (…) 
Do czasu, gdy podmiot nie uzyska pewności, że sam nie jest w stanie łączyć adresu IP z innymi danymi identyfikującymi osobę, powinien zabezpieczać adres IP tak jakby był on daną osobową.

Albo lepiej, “Czym są dane osobowe, jak interpretować art. 6 ust. 3 ustawy o ochronie danych osobowych?“:

Daną osobową będzie taka informacja, która pozwala na ustalenie tożsamości danej osoby (…). (…) danymi osobowymi nie będą pojedyncze informacje o dużym stopniu ogólności, np. nazwa ulicy i numer domu czy wysokość wynagrodzenia. Informacja ta będzie jednak stanowić daną osobową wówczas, gdy zostanie zestawiona z innymi dodatkowymi informacjami, które w konsekwencji można odnieść do konkretnej osoby. Przykładem pojedynczej informacji stanowiącej daną osobową jest natomiast numer PESEL

To są tylko dwa przykłady, GIODO wielokrotnie na swojej stronie internetowej wykorzystuje termin dana osobowa. Specjalizowane przeszukiwania serwisu GIODO z użyciem Google ujawniają następujące ilości publikacji (artykułów, sprawozdań itp.):

Następca urzędu GIODO, czyli UODO, jest dużo bardziej powściągliwy, znaleźć można zaledwie kilka publikacji z pojedynczymi użyciami terminu. Ciekawe tutaj wydają się publikacje autorstwa osób spoza UODO. Wśród nich trafiłem na ciekawy fragment “Wytycznych dotyczące zgłaszania naruszenia ochrony danych osobowych na mocy rozporządzenia 2016/679” autorstwa Grupy Roboczej Art. 29 d/s Ochrony Danych:

Większa ilość powiązanych danych osobowych jest zazwyczaj bardziej wrażliwa niż pojedyncza dana osobowa.

Jest też “Rekomendacja R (1999) 5 – Wytyczne w sprawie ochrony osób w zakresie gromadzenia i przetwarzania danych osobowych na Infostradach” z 1999 roku autorstwa Komitetu Ministrów dla Państw Członkowskich:

Pamiętajcie, że wasz adres elektroniczny jest daną osobową i że ktoś może chcieć się nim posłużyć do różnych celów.

PARP

Odejdę teraz od GIODO/UODO i spojrzę do innej instytucji państwowych, która jakkolwiek mniej powiązana z ochroną danych osobowych to jednak związana z edukacją przedsiębiorców w tym zakresie. Oto Polska Agencja Rozwoju Przedsiębiorczości opublikowała “Ochrona danych osobowych – poradnik dla małych i średnich przedsiębiorstw” a tam:

Mail kancelaria@bm.com.pl również nie będzie stanowił danej osobowej, bowiem nie wskazuje, kto w ramach prowadzonej działalności wykorzystuje skrzynkę pocztową.

Zakwalifikowanie adresu IP jako danej osobowej wiąże się z koniecznością posiadania dodatkowych informacji umożliwiających identyfikację osoby użytkującej urządzenie

Ochrona dóbr osobistych i danych osobowych” by Piotr Waglowski:

Daną osobową będzie taka informacja, która pozwalana ustalenie tożsamości danej osoby, bez nadzwyczajnego wysiłku i nakładów, zwłaszcza przy wykorzystaniu łatwo osiągalnych i powszechnie dostępnych źródeł. Danymi osobowymi nie będą pojedyncze informacje o dużym stopniu ogólności. W zależności od współwystępowania z innymi informacjami,informacja o dużym stopniu ogólności będzie stanowić daną osobową, gdy zostanie zestawiona z innymi dodatkowymi informacjami (…)

Wiele wystąpień “danej osobowej” znajdziemy w “Ochrona danych osobowych w przedsiębiorstwie– poradnik dla MŚP“, kilka wybranych poniżej:

Co do zasady daną osobową nie będzie też pojedyncza informacja o dużym stopniu ogólności, np. nazwa ulicy,numer domu czy wysokość wynagrodzenia. Taka informacja będzie jednak stanowić daną osobową wówczas, gdy zostanie ona zestawiona z innymi dodatkowymi informacjami, które w konsekwencji będzie można odnieść do konkretnej osoby

Numer PESEL dla administracji publicznej będzie stanowił daną osobową

Ale dla firmy detektywistycznej, która na podstawie numeru jest w stanie zidentyfikować właściciela za pomocąodpowiednich instrumentów, numer rejestracyjny będzie stanowić daną osobową.

Orzeczenia WSA i NSA

Google wykazuje istnienie pewnej niewielkiej liczby orzeczeń mówiących o pojedynczej danej osobowej:

Dlatego również jako niesłuszne należy uznać stanowisko Zarządu Dróg Miejskich, zgodnie z którym numer rejestracyjny pojazdu nie stanowi danej osobowej na etapie wnoszenia opłaty za parkowanie

To jest ciekawy fragment, bo odwołujący się do definicji ustawowej UODO 1997:

Organ odwoławczy dostrzegł ponadto, że numer księgi wieczystej wypełnia ustawową definicję danej osobowej, zawartą w art. 6 ust. 1 ustawy o ochronie danych osobowych (Dz. U. z 2016r. poz. 922)

Tutaj coś może “zawierać dane” ale też “być daną”:

Warto jednakże wskazać, że ustawa o ochronie danych osobowych nie stanowi aktu prawnego z założenia uniemożliwiającego realizację prawa dostępu do informacji publicznej i w żadnym przepisie nie ustanawia zakazu udostępnienia informacji publicznej zawierającej dane osobowe, czy informacji publicznej stanowiącej daną osobową.

Książki

Google zwraca informacje o pewnej liczbie książek, ale nie mam podglądu do ich treści. Jedyne, co udało mi się podejrzeć, to “Zakres przetwarzania danych osobowych w działalności gospodarczej” Doroty Fleszer:

(…) o traktowaniu numeru telefonu jako danej osobowej przesądzają odpowiednie przepisy prawa telekomunikacyjnego.

Z ciekawszych pozycji, których nie mam jak sprawdzić, Google twierdzi, że wiele wystąpień “danej osobowej” jest w “Ochrona danych osobowych: Komentarz” Barta, Fajgielskiego i Markiewicza.

Dana wrażliwa

W trakcie moich poszukiwań trafiłem też na specjalny przypadek “danej osobowej” zwany “daną wrażliwą”. Naturalnie występuje on dużo, dużo rzadziej, ale jednak jest, co jedynie potwierdza zjawisko językowe.

“Nowe techniki gromadzenia i przetwarzania danych osobowych pracowników, a ochrona ich prywatności”, dr hab. Małgorzata Gersdorf, nie tylko korzysta z terminu “dana wrażliwa”, ale nawet z ogólnego “dana”:

daną wrażliwą, zgodnie z art. 27 ustawy o ochronie danych osobowych, jest dana ujawniająca poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową;

Dana osobowa – czy istnieje lub mogłoby istnieć takie coś?

Inspiracją do tego tekstu była dla mnie prezentacja “Informatyk czyta GDPR/RODO” dr inż. Wacława Iszkowskiego znaleziona na serwerach UODO oraz dyskusje w grupie facebookowej Forum Inspektorów Ochrony Danych Osobowych.

Datum

W sensie prawnym istnieje u nas w Polsce tylko definicja “danych osobowych” (liczba mnoga). Natomiast tak w ogóle funkcjonuje “dana” (np. w naukach matematycznych i informatycznych dana, dana liczbowa, całkowita), słowo odziedziczone z łaciny i oznaczające “fakt”, “informację”, “przesłankę”. W języku angielskim, też z łaciny, stosowano i wciąż się stosuje, ale bardzo rzadko, pojedyncze “datum“. W angielskim wiele słów utraciło liczbę pojedynczą albo nigdy jej nie miało, a u nas ją ma – np. “information” jest rzeczownikiem niepoliczalnym a u nas policzalnym i my swobodnie mówimy “informacja” i “informacje”.

Personal datum

U nas po polsku daną osobową mogłaby być np. najmniejsza niepodzielna identyfikująca informacja np. numer PESEL. Danymi zaś nazwalibyśmy PESEL plus imię, nazwisko, adres. Wiele osób intuicyjnie tak się posługuje słowami “dana” i “dane” – można tego doświadczyć w Internecie.

Zajrzałem na szybko w Google, aby zweryfikować, czy angielskie pojedyncze “datum” jest obecnie stosowane konkretnie do danych osobowych. No i jest stosowane, aczkolwiek rzadko. Tym nie mniej można je spotkać w artykułach, książkach, regulaminach i innych typach publikacji. 

Przykłady poniżej (starałem się dobrać po jednym przykładzie publikacji innego typu).

W świeżym artykule “What If Banks Were the Main Protectors of Customers’ Private Data?” z 20 listopada 2018 roku Harvard Business Review napisało:

“A company that collects more data than it really needs is unnecessarily generating more risk because each PERSONAL DATUM is the object of a potential leak or lawsuit.”

W publikacji “Privacy, Reputation, and Trust: Some Implications for Data Protection” Giovanni Sartor z Wydziału Prawa na European University Institute we Florencji kilkukrotnie pisze o “personal datum”.

W książce “European Data Protection: Coming of Age” wydanej w 2012 roku i poświęconej tematyce ochrony danych osobowych w Europie kilkukrotnie pojawia się “personal datum”.

W 1997 roku (aby wskazać też i starsze publikacje) the Independent opublikował artykuł o znamiennym tytule “Without strong encryption, government can pretty reliably track virtually every PERSONAL DATUM we possess“.

Na stronie internetowej lotniska w Montpellier znajduję natomiast “General Terms and Conditions of Use” a tam: 

“What is that a personal datum? A personal datum is a datum which allows to identify directly or indirectly a person: name, first name, mailing address, e-mail address…(…) Montpellier Méditerranée Airport can be brought to collect personal datum during your navigation on the website”

(Montpellier jest we Francji, ale to tylko przykład – takich regulaminów z różnych stron świata mających “personal datum” widziałem więcej, ale nie wpisałem wam tutaj to, co miałem pod ręką.)

Artykuł 23 w “The Use of Nominative Data in Computer Processing Act” z 31 marca 1979 roku, Wielkie Księstwo Luksemburga, nazywa przesyłaną informację o osobie terminem “datum”.

Inny przykład: w treści patentu amerykańskiego nr US20090327420A1 zatytułowanego “Controlled sharing of personal data” znaleźć można wiele wystąpień “personal datum”.

Za pomocą Google możecie znaleźć więcej publikacji odnoszących się do “personal datum”. Niektóre dosyć ciekawe, bo różnie interpretujące to, czym jest pojedyncze “datum” – czasami jest to najmniejsza “dana” osbobowa (tak jak to zaproponowałem wyżej) a czasami zbiór danych dotyczący tylko jednej osoby (wówczas “personal data” odnosi się do zbioru danych więcej niż jednej osoby).

Dana vs szukana

Niektórzy odbierają słowo “dana” w zestawieniu ze słowem “szukana” – tak po szkolnemu.

I słusznie!

Słowo “dane” pochodzi od określania w zadaniach matematycznych tego, co jest znane, przyjęte, “podane” – w odróżnieniu od tego, co jest nieznane, “szukane”. To jest matematycznie antyczna tradycja nazewnicza. Jest dziełko Euklidesa z II wieku p.n.e., które nazywa się po grecku “Dedomena”, co się tłumaczy na angielski (i widziałem też tak przetłumaczone na polski!) jako właśnie “Data“, ci znaczy dosłownie “dane”. Nazwa jest stąd, że tam dosłownie co drugie zdanie Euklides opisuje, ze coś jest właśnie “dane” 
(czytałem przekład angielski, tam jest wszędzie “given”): “kąt między liniami jest dany”, “koło ma daną pozycję i rozmiar”. W języku polskim “dany”, “dana”, “dane” stało się rodzajem przymiotnika podczas gdy w języku np. angielskim był to rzeczownik, odpowiednik naszego “faktu” albo “przesłanki”.

Piękne matematyczne słowniki sprzed lat można znaleźć w Google Books, które opisują i tłumaczą pojęcia datum i data. Polecam znaleźć i poczytać!

Pracodawcy nie wolno weryfikować dokumentów kandydata u ich wystawcy

Ciekawostka z opublikowanego w zeszły czwartek przez Urząd Ochrony Danych Osobowych “Poradnika dla przedsiębiorców“: otóż, pracodawcy NIE WOLNO sprawdzać dokumentów przedłożonych przez kandydata do pracy dzwoniąc do podmiotów, które te dokumenty wystawiły. Czyli NIE WOLNO mu dzwonić do uczelni, aby zweryfikować dyplom, czy do poprzedniego pracodawcy, aby zweryfikować referencje.

To, co pracodawca może, to ewentualnie “mieć podejrzenia” i na ich podstawie złożyć zawiadomienie o możliwości popełnienia przestępstwa z tytułu art. 270 Kodeksu Karnego (“Fałszowanie dokumentu i używanie go za autentyczny”).

Konsekwencje uznania adresu e-mail za dane osobowe

Dane osobowe to kłopotliwa sprawa, bo wymagają szczególnej ochrony, gdy są przetwarzane w celach zarobkowych, zawodowych lub statutowych (czyli innych niż prywatne). W związku z tym ich istnienie lub też nagłe zaistnienie w systemie informatycznym pociąga za sobą rozmaite konsekwencje – pojawia się obowiązek wdrożenia zabezpieczeń i funkcjonalności wymaganych przez prawo. Z perspektywy informatyka-wykonawcy oznacza to przede wszystkim dodatkowe nakłady pracy a dla klienta przekłada się to na wzrost kosztu wykonania systemu oraz konieczność prowadzenia wymaganej prawem dokumentacji, ewidencji, nadawania upoważnień. Jak się okazuje, uniknięcie komplikacji jest wcale niełatwe zważywszy na to, że według Głównego Inspektora Ochrony Danych Osobowych już sam adres e-mail może być danymi osobowymi a system przetwarzający adresy e-mail przetwarza właśnie dane osobowe:

„Specyfiką Internetu jest to, że aby zamówić newsletter danego serwisu należy wpisać na jego stronie swój adres e-mail, który w rozumieniu ustawy o ochronie danych osobowych stanowi dane osobowe.” [źródło]


Można znaleźć znacznie szerszy opis zagadnienia klasyfikacji adresów poczty elektronicznej jako danych osobowych w rozmaitych innych publikacjach – np. w „ABC Zagrożeń Bezpieczeństwa Danych Osobowych w Systemach Informatycznych” (rozdział 2.5). Polecam tę lekturę, bo zawiera ona także ciekawe wypowiedzi na temat traktowania adresów IP, loginów i pseudonimów jako danych osobowych.

W wielkim skrócie: adres e-mail dosyć często może być danymi osobowymi, chociaż w wielu przypadkach tak nie jest. W każdym przypadku konieczne jest indywidualne podejście i analiza. Może być też tak, że pewien adres e-mail stanie się danymi osobowymi po upływie czasu – np. gdy korzystający z niego użytkownik tak dalece go rozpowszechni w Internecie, że ktokolwiek posiadając ten adres poczty i korzystając z wyszukiwarki internetowej będzie w stanie w ciągu minut albo nawet sekund dotrzeć do tożsamości jego właściciela.

Dla informatyka-wykonawcy może oznaczać to komplikacje, gdy jego klient zażyczy sobie, aby jego serwis internetowy zawierał np.:

  • Zapis do newslettera;
  • Obsługę newsletterów lub inną funkcjonalność związaną z mass-mailingiem – np. różnego rodzaju wysyłka powiadomień;
  • Rejestrację kont dla użytkowników, którzy dzięki temu będą mieli dostęp do dalszych funkcjonalności, jeżeli wymagany będzie adres e-mail;
  • Mechanizm potwierdzania decyzji użytkownika poprzez wysyłanie e-mailem linków potwierdzających, tymczasowych haseł, kodów lub tokenów;
  • Mechanizm przypominania hasła wysyłający nowe hasło e-mailem;
  • Wymuszanie podania adresu e-mail jako rodzaj zabezpieczenia przy np. komentowaniu artykułów.

Niektóre z wymienionych wyżej funkcjonalności są, niestety, nie tylko popularne, ale mocno wbudowane w dostępne oprogramowanie open-source, co od razu utrudnia informatykowi-wykonawcy bazowanie na gotowych rozwiązaniach. Musiałby on bowiem zadbać o to, aby dany system lub komponent przystosować do zapewniania poufności, integralności i rozliczalności. Te dwa ostatnie atrybuty w szczególności mogą generować tutaj pracę. W kwestii poufności współczesne systemy raczej zapewniają rozmaite formy zabezpieczeń oraz kontroli dostępu, chociaż i tak trzeba w tym zakresie wszystko sprawdzić i doszlifować. Oprócz tego wymogi prawne nakazują nie tylko zbierać pewne dodatkowe informacje (np. data pierwszego wprowadzenia, data sprzeciwu), ale też wymagają, aby system informatyczny oferował funkcjonalność tworzenia stosownych raportów.

Możliwe są jednak takie rozwiązania, które być może ograniczą do pewnego stopnia koszty czasowe i finansowe przystosowywania systemu i jego komponentów. Po pierwsze, korzystając z zapisów Rozporządzenia MSWiA z 29 kwietnia 2004 roku, możliwe jest stosowanie wielu systemów w takim układzie, w którym niektóre z delegują części obowiązków i wymogów do innych – być może lepiej przystosowanych do ich spełnienia. Jeżeli więc klient posiada już u siebie jakieś systemy, które już korzystają z tej samej bazy danych osobowych albo nawet z bazy szerszej wobec której nowy system będzie zawierał jedynie podzbiór, wówczas jest możliwość ograniczenia prac. Przykładem takiej optymalizacji może być ograniczenie prac w zakresie zarządzania użytkownikami w nowo tworzonym systemie jeżeli klient korzysta z serwera LDAP albo Active Directory (pod warunkiem, że te usługi są odpowiednio zabezpieczone). Chodzi tutaj jednak tylko o niektóre obowiązki i wymogi – w dalszym ciągu trzeba włożyć sporo dodatkowej pracy.

Drugi sposób uzyskania optymalizacji kosztów wiąże się ze świadomym porzuceniem pewnych funkcjonalności oraz maksymalnym usunięciu danych osobowych z systemu. Przykładem niech ponownie będzie baza użytkowników serwisu, która zamiast loginu stosuje adres e-mail (dosyć często spotykane rozwiązanie) – możliwe jest przechowywanie takich loginów w postaci wyniku funkcji skrótu (podobnie jak przechowywane są hasła). W takiej formie login/e-mail nie stanowi już danych osobowych. Konsekwencją tego jest jednak to, że takie funkcjonalności jak mechanizm przypominania hasła czy też mass-mailing do użytkowników serwisu albo będą musiały być zmodyfikowane (np. przypominanie hasła poprzez odpowiedź na pytanie a mass-mailing tylko w wewnętrznych systemie komunikatów), albo będą musiałby być zwyczajnie usunięte lub nie wdrożone. Być może da się tutaj uzyskać różne kompromisowe rozwiązania, które jednak musiałby wcześniej ocenić prawnik – np. rozwiązanie takie, że użytkownik chcąc odzyskać hasło wprowadza swój adres e-mail, którego hash jest porównywany z tym w bazie danych i w przypadku zgodności wprowadzony adres jest jednorazowo używany do operacji wysłania hasła (nie jest on jednak nigdzie zapisywany).