Strona główna » dane osobowe

Tag: dane osobowe

Czy adres IP stanowi dane osobowe?

Ten problem wraca co jakiś czas przy okazji internetowych rozmów. Istniał on w czasach poprzedniej Ustawy o ochronie danych osobowych i istnieje dzisiaj w czasach RODO. Skąd w ogóle bierze się to pytanie? W kontekście RODO można je zadać po lekturze definicji danych osobowych oraz Motywu 30:

„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Art. 4 pkt 1) RODO

Osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.

Motyw 30 RODO

Zanim przedstawię cytaty z wyroku Trybunału Sprawiedliwości UE, które wiele wyjaśniają, przedstawię moją wypowiedź z jednej z internetowych dyskusji w której mniej prawniczym żargonem argumentowałem czemu adres IP w przytłaczającej większości wypadków nie stanowi danych osobowych:

[A]dres IP jest adresem urządzenia a nie użytkownika. Jeżeli jakiś użytkownik “przychodzi z pewnego adresu IP”, to ten adres IP może być adresem każdego z sieciowych urządzeń pośredniczących. W przypadku adresu IP widzianego z perspektywy Internetu niemalże na 100% będzie to adres jakiegoś routera obsługującego setki lub tysiące użytkowników. Dotarcie do konkretnego komputera wymaga nakazów sądowych wobec operatorów internetowych, który odczytują dalsze dane z tego routera podając kolejny adres IP, który być może prowadzi do czyjegoś urządzenia a być może… do kolejnego routera, i do kolejnego routera, i do kolejnego.

Praktycznym przykładem tego, że IP nie stanowi danych osobowych, jest to, że Policja czasami zawzięcie namierza różnego rodzaju złoczyńców (ostatnio modna jest “mowa nienawiści”, groźby przez Internet) aż do konkretnego komputera w konkretnym budynku i… sprawa jest umarzana. Dlaczego? W danym budynku może pracować 10 osób albo mieszkać 5 osobowa rodzina, wszyscy korzystają z tego samego komputera i nikt się nie przyznaje. Mogliby wtedy zadziałać, gdyby mieszkał tam jakiś samotnik, który miałby komputer ORAZ router domowy zabezpieczony tak, że tylko ona sam mógłby się tam zalogować.

Przywołałeś przykład sieci w jednym pokoju. Ten przykład jest o tyle korzystny dla Twojej tezy, że ludzie w jednym pokoju, gdy są podłączeniu do jednej sieci, będą prawdopodobnie widzieć swoje “bezpośrednie IP”, nie będzie widać urządzeń pośredniczących. W dalszym ciągu jednak żadna z osób, gdyby jej przedstawić numer IP, nie potrafiłaby powiedzieć, do którego urządzenia ono należy ani tym samym do jakiej osoby. Dodatkowo że końcowi użytkownicy zazwyczaj mają zmienne IP.

Wobec tego kiedy adres IP ma możliwość być danymi osobowymi? W połączeniu z dodatkowymi informacjami – najlepiej z loginem czy adresem e-mail użytym w którymś momencie podczas korzystania z Internetu. Wówczas adres IP rozszerza możliwości śledzenia działań danej osoby, aczkolwiek i tak jest w tym zupełnie kiepski. Stąd rozwijają się techniki tzw. internetowego fingerprintingu, które próbują skonstruować w sposób matematyczny unikalny numer identyfikacyjny użytkownika biorąc pod uwagę właściwości karty graficznej, rozdzielczości monitora i wiele, wiele innych informacji, które uzyskać można na temat internauty. Dużym problemem dla podmiotów śledzących jest śledzenie pracowników firm, bo Ci przeważnie nie tylko mają wspólny adres IP, ale zazwyczaj też identyczne komputery (firma zakupuje np. 200 sztuk identycznych w ramach przetargu). Nawet na to jednak znajduje się sposoby, np. wykorzystując błędy w protokole WebRTC do przechwycenia dodatkowych wewnętrznych adresów IP.


Teraz kilka cytatów z wyroku TSUE z dnia 19 października 2016 r. w sprawie C‑582/14. Sprawa dotyczyła zbierania adresów IP w logach serwerowych.

Trybunał uznał zasadniczo, że adresy IP użytkowników Internetu stanowią chronione dane osobowe, jako że pozwalają na precyzyjną identyfikację tych użytkowników. Niemniej powyższe twierdzenie Trybunału odnosiło się do przypadku, w którym gromadzenie i identyfikacja adresów IP użytkowników Internetu są dokonywane przez dostawców dostępu do Internetu.

Czyli adresy IP same w sobie są danymi osobowymi, gdy są przetwarzane przez operatorów telekomunikacyjnych. Wynika to z tego, że mają oni możliwości dochodzenia tożsamości użytkowników, której nie ma nikt inny. Dla nikogo innego nie są one danymi osobowymi same w sobie.

bezsporne jest, iż dynamiczny adres IP nie stanowi informacji odnoszącej się do „zidentyfikowanej osoby fizycznej”, jako że taki adres nie ujawnia bezpośrednio tożsamości osoby fizycznej będącej właścicielem komputera, z którego była przeglądana strona internetowa, ani tożsamości innej osoby, która mogłaby korzystać z tego komputera.

Czyli dynamiczny adres IP sam w sobie nie stanowi danych osobowych.

Należy jednak ustalić, czy możliwość połączenia dynamicznego adresu IP z owymi dodatkowymi informacjami będącymi w posiadaniu tego dostawcy dostępu do Internetu stanowi sposób, który może, racjonalnie rzecz biorąc, zostać zastosowany w celu zidentyfikowania osoby, której dane dotyczą.

Czyli adresy IP mogą stać się danymi osobowymi jeżeli ten, kto je przetwarza, dysponuje dodatkowymi informacjami.

dynamiczny adres IP zarejestrowany przez dostawcę usług medialnych online przy okazji przeglądania przez daną osobę strony internetowej, którą dostawca ten udostępnia publicznie, stanowi wobec tego dostawcy dane osobowe w rozumieniu tego przepisu, w sytuacji gdy dysponuje on środkami prawnymi umożliwiającymi mu zidentyfikowanie osoby, której dane dotyczą, dzięki dodatkowym informacjom, jakimi dysponuje dostawca dostępu do Internetu dla tej osoby.

To jest bardzo interesująca wypowiedź. Dotyczy ona sytuacji takiej, w której “dostawca usług medialnych” (np. serwis internetowy) może w świetle prawa zwrócić się do operatora telekomunikacyjnego (np. Netia, Orange etc.) o uzyskanie dodatkowych informacji o danym adresie IP celem np. wszczęcia postępowania karnego. Jeżeli takie coś jest możliwe prawnie w danym kraju, to wówczas można mówić o tym, że adres IP – nawet dynamiczny – stanowi dane osobowe.

Czy w Polsce w takim razie jest to możliwe? Wedle mojej obecnej wiedzy: nie. Operator może współpracować w tej sprawie np. z Policją, ale nie ze zwykłym “dostawcą usług”. Innymi słowy, dynamiczny adres IP nie jest wtedy daną osobową.

Co jednak w przypadku adresów IP pochodzących spoza Polski? Jeżeli byłyby kraje, z których operatorzy udzielaliby takich informacji wobec ludzi, których obsługują, wówczas naturalnie mielibyśmy dane osobowe.

Rozmaite uzupełniające rozważania na ten temat znalazłem też tutaj i polecam:

Dla kompletności wspomnę tutaj jeszcze o interpretacji GIODO zza czasów poprzedniej ustawy:

adres IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę. Do czasu, gdy podmiot nie uzyska pewności, że sam nie jest w stanie łączyć adresu IP z innymi danymi identyfikującymi osobę, powinien zabezpieczać adres IP tak jakby był on daną osobową.

Zagrożenie wynikające z generowania numerów PESEL

Pewna pani za pomocą online-owego generatora numerów PESEL zaciągała pożyczki w bankach. Wyciągnęła 400 tys., złapali ją i teraz ma ponad 600 zarzutów. Przypadek jest ciekawy dlatego, że w zasadzie każdy może w każdej chwili sobie wygenerować jakiś PESEL za pomocą online-owych generatorów i posługując się nim zaciągać jakieś zobowiązania kosztem przypadkowych osób. Dodatkowo, ponieważ PESEL według RODO stanowi dane osobowe (Art. 2 pkt 1, Art. 87), to jeżeli ktoś sobie wygeneruje np. w Excelu wszystkie 1,826,210,000 kombinacje, to formalnie będzie miał bazę danych osobowych wszystkich Polaków. 😉

(Z ciekawostek: wiecie, że konstrukcja numeru PESEL narzuca ograniczenie na liczbę dzieci urodzonych danego dnia? Każdego dnia w całej Polsce może urodzić się maksymalnie 5000 chłopców i 5000 dziewczynek.)

Nagrania i prezentacje PDF z konferencji “po RODO we PRZYPADKI” 13 grudnia

Otwarcie konferencji – Jarosław Feliński, Prezes SIODO

“po RODO we PRZYPADKI” – Jarosław Feliński, Prezes SIODO

“Po RODO wa rzeczywistość” – Przemysław Kuczkowski r.pr., SIODO

“RODO nie RODeO” – Natalia Bender, Wiceprezes SIODO

“RODO a Kultura Bezpieczeństwa” – Prof. Marian Cieślarczyk, WAT

“RODO EDUKACJA” – Jarosław Feliński, Prezes SIODO

“RODO PRZYPADKI” – Justyna Aniszewska, SIODO

“RODO a UODO i prawo resortowe” – Katarzyna Staśkowiak, SIODO

“RODOWANIE” – Przemysław Kanikowski, SIODO

Dana osobowa – liczba pojedyncza w użyciu

Ostatnio pisałem o tym jak pomimo tego, że w sensie prawnym istnieje u nas w Polsce tylko definicja “danych osobowych” (liczba mnoga), to w sferze językowej istnieje pojęcie “danej” (liczba pojedyncza) i że ludzie się takim pojęciem posługują. Skupiłem się wówczas na języku angielskim i tamtejszym “personal datum” a tym razem chciałbym pobieżnie przeszukać polski Internet w obszarach związanych mniej lub bardziej związanych z ochroną danych.

GIODO i UODO

Słynna wypowiedź GIODO na temat “Czy adres IP komputera należy do danych osobowych?“:

(…) gdy adres IP jest na stałe lub na dłuższy okres czasu przypisany do konkretnego urządzenia, które przypisane jest z kolei konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową. (…) 
Do czasu, gdy podmiot nie uzyska pewności, że sam nie jest w stanie łączyć adresu IP z innymi danymi identyfikującymi osobę, powinien zabezpieczać adres IP tak jakby był on daną osobową.

Albo lepiej, “Czym są dane osobowe, jak interpretować art. 6 ust. 3 ustawy o ochronie danych osobowych?“:

Daną osobową będzie taka informacja, która pozwala na ustalenie tożsamości danej osoby (…). (…) danymi osobowymi nie będą pojedyncze informacje o dużym stopniu ogólności, np. nazwa ulicy i numer domu czy wysokość wynagrodzenia. Informacja ta będzie jednak stanowić daną osobową wówczas, gdy zostanie zestawiona z innymi dodatkowymi informacjami, które w konsekwencji można odnieść do konkretnej osoby. Przykładem pojedynczej informacji stanowiącej daną osobową jest natomiast numer PESEL

To są tylko dwa przykłady, GIODO wielokrotnie na swojej stronie internetowej wykorzystuje termin dana osobowa. Specjalizowane przeszukiwania serwisu GIODO z użyciem Google ujawniają następujące ilości publikacji (artykułów, sprawozdań itp.):

Następca urzędu GIODO, czyli UODO, jest dużo bardziej powściągliwy, znaleźć można zaledwie kilka publikacji z pojedynczymi użyciami terminu. Ciekawe tutaj wydają się publikacje autorstwa osób spoza UODO. Wśród nich trafiłem na ciekawy fragment “Wytycznych dotyczące zgłaszania naruszenia ochrony danych osobowych na mocy rozporządzenia 2016/679” autorstwa Grupy Roboczej Art. 29 d/s Ochrony Danych:

Większa ilość powiązanych danych osobowych jest zazwyczaj bardziej wrażliwa niż pojedyncza dana osobowa.

Jest też “Rekomendacja R (1999) 5 – Wytyczne w sprawie ochrony osób w zakresie gromadzenia i przetwarzania danych osobowych na Infostradach” z 1999 roku autorstwa Komitetu Ministrów dla Państw Członkowskich:

Pamiętajcie, że wasz adres elektroniczny jest daną osobową i że ktoś może chcieć się nim posłużyć do różnych celów.

Pół żartem można wspomnieć edukacyjną grę komputerową “Wyścig z danymi“, w której gracz musi odpowiedzieć na pytania takie jak:

Czy numer IP jest daną osobową?
Czy numer PESEL jest daną osobową?

PARP

Odejdę teraz od GIODO/UODO i spojrzę do innej instytucji państwowych, która jakkolwiek mniej powiązana z ochroną danych osobowych to jednak związana z edukacją przedsiębiorców w tym zakresie. Oto Polska Agencja Rozwoju Przedsiębiorczości opublikowała “Ochrona danych osobowych – poradnik dla małych i średnich przedsiębiorstw” a tam:

Mail kancelaria@bm.com.pl również nie będzie stanowił danej osobowej, bowiem nie wskazuje, kto w ramach prowadzonej działalności wykorzystuje skrzynkę pocztową.

Zakwalifikowanie adresu IP jako danej osobowej wiąże się z koniecznością posiadania dodatkowych informacji umożliwiających identyfikację osoby użytkującej urządzenie

Ochrona dóbr osobistych i danych osobowych” by Piotr Waglowski:

Daną osobową będzie taka informacja, która pozwalana ustalenie tożsamości danej osoby, bez nadzwyczajnego wysiłku i nakładów, zwłaszcza przy wykorzystaniu łatwo osiągalnych i powszechnie dostępnych źródeł. Danymi osobowymi nie będą pojedyncze informacje o dużym stopniu ogólności. W zależności od współwystępowania z innymi informacjami,informacja o dużym stopniu ogólności będzie stanowić daną osobową, gdy zostanie zestawiona z innymi dodatkowymi informacjami (…)

Wiele wystąpień “danej osobowej” znajdziemy w “Ochrona danych osobowych w przedsiębiorstwie– poradnik dla MŚP“, kilka wybranych poniżej:

Co do zasady daną osobową nie będzie też pojedyncza informacja o dużym stopniu ogólności, np. nazwa ulicy,numer domu czy wysokość wynagrodzenia. Taka informacja będzie jednak stanowić daną osobową wówczas, gdy zostanie ona zestawiona z innymi dodatkowymi informacjami, które w konsekwencji będzie można odnieść do konkretnej osoby

Numer PESEL dla administracji publicznej będzie stanowił daną osobową

Ale dla firmy detektywistycznej, która na podstawie numeru jest w stanie zidentyfikować właściciela za pomocąodpowiednich instrumentów, numer rejestracyjny będzie stanowić daną osobową.

Orzeczenia WSA i NSA

Google wykazuje istnienie pewnej niewielkiej liczby orzeczeń mówiących o pojedynczej danej osobowej:

Dlatego również jako niesłuszne należy uznać stanowisko Zarządu Dróg Miejskich, zgodnie z którym numer rejestracyjny pojazdu nie stanowi danej osobowej na etapie wnoszenia opłaty za parkowanie

To jest ciekawy fragment, bo odwołujący się do definicji ustawowej UODO 1997:

Organ odwoławczy dostrzegł ponadto, że numer księgi wieczystej wypełnia ustawową definicję danej osobowej, zawartą w art. 6 ust. 1 ustawy o ochronie danych osobowych (Dz. U. z 2016r. poz. 922)

Tutaj coś może “zawierać dane” ale też “być daną”:

Warto jednakże wskazać, że ustawa o ochronie danych osobowych nie stanowi aktu prawnego z założenia uniemożliwiającego realizację prawa dostępu do informacji publicznej i w żadnym przepisie nie ustanawia zakazu udostępnienia informacji publicznej zawierającej dane osobowe, czy informacji publicznej stanowiącej daną osobową.

Książki

Google zwraca informacje o pewnej liczbie książek, ale nie mam podglądu do ich treści. Jedyne, co udało mi się podejrzeć, to “Zakres przetwarzania danych osobowych w działalności gospodarczej” Doroty Fleszer:

(…) o traktowaniu numeru telefonu jako danej osobowej przesądzają odpowiednie przepisy prawa telekomunikacyjnego.

Z ciekawszych pozycji, których nie mam jak sprawdzić, Google twierdzi, że wiele wystąpień “danej osobowej” jest w “Ochrona danych osobowych: Komentarz” Barta, Fajgielskiego i Markiewicza.

Dana wrażliwa

W trakcie moich poszukiwań trafiłem też na specjalny przypadek “danej osobowej” zwany “daną wrażliwą”. Naturalnie występuje on dużo, dużo rzadziej, ale jednak jest, co jedynie potwierdza zjawisko językowe.

“Nowe techniki gromadzenia i przetwarzania danych osobowych pracowników, a ochrona ich prywatności”, dr hab. Małgorzata Gersdorf, nie tylko korzysta z terminu “dana wrażliwa”, ale nawet z ogólnego “dana”:

daną wrażliwą, zgodnie z art. 27 ustawy o ochronie danych osobowych, jest dana ujawniająca poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową;

Dana osobowa – czy istnieje lub mogłoby istnieć takie coś?

Inspiracją do tego tekstu była dla mnie prezentacja “Informatyk czyta GDPR/RODO” dr inż. Wacława Iszkowskiego znaleziona na serwerach UODO oraz dyskusje w grupie facebookowej Forum Inspektorów Ochrony Danych Osobowych.

Datum

W sensie prawnym istnieje u nas w Polsce tylko definicja “danych osobowych” (liczba mnoga). Natomiast tak w ogóle funkcjonuje “dana” (np. w naukach matematycznych i informatycznych dana, dana liczbowa, całkowita), słowo odziedziczone z łaciny i oznaczające “fakt”, “informację”, “przesłankę”. W języku angielskim, też z łaciny, stosowano i wciąż się stosuje, ale bardzo rzadko, pojedyncze “datum“. W angielskim wiele słów utraciło liczbę pojedynczą albo nigdy jej nie miało, a u nas ją ma – np. “information” jest rzeczownikiem niepoliczalnym a u nas policzalnym i my swobodnie mówimy “informacja” i “informacje”.

Personal datum

U nas po polsku daną osobową mogłaby być np. najmniejsza niepodzielna identyfikująca informacja np. numer PESEL. Danymi zaś nazwalibyśmy PESEL plus imię, nazwisko, adres. Wiele osób intuicyjnie tak się posługuje słowami “dana” i “dane” – można tego doświadczyć w Internecie.

Zajrzałem na szybko w Google, aby zweryfikować, czy angielskie pojedyncze “datum” jest obecnie stosowane konkretnie do danych osobowych. No i jest stosowane, aczkolwiek rzadko. Tym nie mniej można je spotkać w artykułach, książkach, regulaminach i innych typach publikacji. 

Przykłady poniżej (starałem się dobrać po jednym przykładzie publikacji innego typu).

W świeżym artykule “What If Banks Were the Main Protectors of Customers’ Private Data?” z 20 listopada 2018 roku Harvard Business Review napisało:

“A company that collects more data than it really needs is unnecessarily generating more risk because each PERSONAL DATUM is the object of a potential leak or lawsuit.”

W publikacji “Privacy, Reputation, and Trust: Some Implications for Data Protection” Giovanni Sartor z Wydziału Prawa na European University Institute we Florencji kilkukrotnie pisze o “personal datum”.

W książce “European Data Protection: Coming of Age” wydanej w 2012 roku i poświęconej tematyce ochrony danych osobowych w Europie kilkukrotnie pojawia się “personal datum”.

W 1997 roku (aby wskazać też i starsze publikacje) the Independent opublikował artykuł o znamiennym tytule “Without strong encryption, government can pretty reliably track virtually every PERSONAL DATUM we possess“.

Na stronie internetowej lotniska w Montpellier znajduję natomiast “General Terms and Conditions of Use” a tam: 

“What is that a personal datum? A personal datum is a datum which allows to identify directly or indirectly a person: name, first name, mailing address, e-mail address…(…) Montpellier Méditerranée Airport can be brought to collect personal datum during your navigation on the website”

(Montpellier jest we Francji, ale to tylko przykład – takich regulaminów z różnych stron świata mających “personal datum” widziałem więcej, ale nie wpisałem wam tutaj to, co miałem pod ręką.)

Artykuł 23 w “The Use of Nominative Data in Computer Processing Act” z 31 marca 1979 roku, Wielkie Księstwo Luksemburga, nazywa przesyłaną informację o osobie terminem “datum”.

Inny przykład: w treści patentu amerykańskiego nr US20090327420A1 zatytułowanego “Controlled sharing of personal data” znaleźć można wiele wystąpień “personal datum”.

Za pomocą Google możecie znaleźć więcej publikacji odnoszących się do “personal datum”. Niektóre dosyć ciekawe, bo różnie interpretujące to, czym jest pojedyncze “datum” – czasami jest to najmniejsza “dana” osbobowa (tak jak to zaproponowałem wyżej) a czasami zbiór danych dotyczący tylko jednej osoby (wówczas “personal data” odnosi się do zbioru danych więcej niż jednej osoby).

Dana vs szukana

Niektórzy odbierają słowo “dana” w zestawieniu ze słowem “szukana” – tak po szkolnemu.

I słusznie!

Słowo “dane” pochodzi od określania w zadaniach matematycznych tego, co jest znane, przyjęte, “podane” – w odróżnieniu od tego, co jest nieznane, “szukane”. To jest matematycznie antyczna tradycja nazewnicza. Jest dziełko Euklidesa z II wieku p.n.e., które nazywa się po grecku “Dedomena”, co się tłumaczy na angielski (i widziałem też tak przetłumaczone na polski!) jako właśnie “Data“, ci znaczy dosłownie “dane”. Nazwa jest stąd, że tam dosłownie co drugie zdanie Euklides opisuje, ze coś jest właśnie “dane” 
(czytałem przekład angielski, tam jest wszędzie “given”): “kąt między liniami jest dany”, “koło ma daną pozycję i rozmiar”. W języku polskim “dany”, “dana”, “dane” stało się rodzajem przymiotnika podczas gdy w języku np. angielskim był to rzeczownik, odpowiednik naszego “faktu” albo “przesłanki”.

Piękne matematyczne słowniki sprzed lat można znaleźć w Google Books, które opisują i tłumaczą pojęcia datum i data. Polecam znaleźć i poczytać!

Ciąg dalszy

Zobacz też kolejne moje wpisy w tej tematyce:

Pracodawcy nie wolno weryfikować dokumentów kandydata u ich wystawcy

Ciekawostka z opublikowanego w zeszły czwartek przez Urząd Ochrony Danych Osobowych “Poradnika dla przedsiębiorców“: otóż, pracodawcy NIE WOLNO sprawdzać dokumentów przedłożonych przez kandydata do pracy dzwoniąc do podmiotów, które te dokumenty wystawiły. Czyli NIE WOLNO mu dzwonić do uczelni, aby zweryfikować dyplom, czy do poprzedniego pracodawcy, aby zweryfikować referencje.

To, co pracodawca może, to ewentualnie “mieć podejrzenia” i na ich podstawie złożyć zawiadomienie o możliwości popełnienia przestępstwa z tytułu art. 270 Kodeksu Karnego (“Fałszowanie dokumentu i używanie go za autentyczny”).

Konsekwencje uznania adresu e-mail za dane osobowe

Dane osobowe to kłopotliwa sprawa, bo wymagają szczególnej ochrony, gdy są przetwarzane w celach zarobkowych, zawodowych lub statutowych (czyli innych niż prywatne). W związku z tym ich istnienie lub też nagłe zaistnienie w systemie informatycznym pociąga za sobą rozmaite konsekwencje – pojawia się obowiązek wdrożenia zabezpieczeń i funkcjonalności wymaganych przez prawo. Z perspektywy informatyka-wykonawcy oznacza to przede wszystkim dodatkowe nakłady pracy a dla klienta przekłada się to na wzrost kosztu wykonania systemu oraz konieczność prowadzenia wymaganej prawem dokumentacji, ewidencji, nadawania upoważnień. Jak się okazuje, uniknięcie komplikacji jest wcale niełatwe zważywszy na to, że według Głównego Inspektora Ochrony Danych Osobowych już sam adres e-mail może być danymi osobowymi a system przetwarzający adresy e-mail przetwarza właśnie dane osobowe:

„Specyfiką Internetu jest to, że aby zamówić newsletter danego serwisu należy wpisać na jego stronie swój adres e-mail, który w rozumieniu ustawy o ochronie danych osobowych stanowi dane osobowe.” [źródło]


Można znaleźć znacznie szerszy opis zagadnienia klasyfikacji adresów poczty elektronicznej jako danych osobowych w rozmaitych innych publikacjach – np. w „ABC Zagrożeń Bezpieczeństwa Danych Osobowych w Systemach Informatycznych” (rozdział 2.5). Polecam tę lekturę, bo zawiera ona także ciekawe wypowiedzi na temat traktowania adresów IP, loginów i pseudonimów jako danych osobowych.

W wielkim skrócie: adres e-mail dosyć często może być danymi osobowymi, chociaż w wielu przypadkach tak nie jest. W każdym przypadku konieczne jest indywidualne podejście i analiza. Może być też tak, że pewien adres e-mail stanie się danymi osobowymi po upływie czasu – np. gdy korzystający z niego użytkownik tak dalece go rozpowszechni w Internecie, że ktokolwiek posiadając ten adres poczty i korzystając z wyszukiwarki internetowej będzie w stanie w ciągu minut albo nawet sekund dotrzeć do tożsamości jego właściciela.

Dla informatyka-wykonawcy może oznaczać to komplikacje, gdy jego klient zażyczy sobie, aby jego serwis internetowy zawierał np.:

  • Zapis do newslettera;
  • Obsługę newsletterów lub inną funkcjonalność związaną z mass-mailingiem – np. różnego rodzaju wysyłka powiadomień;
  • Rejestrację kont dla użytkowników, którzy dzięki temu będą mieli dostęp do dalszych funkcjonalności, jeżeli wymagany będzie adres e-mail;
  • Mechanizm potwierdzania decyzji użytkownika poprzez wysyłanie e-mailem linków potwierdzających, tymczasowych haseł, kodów lub tokenów;
  • Mechanizm przypominania hasła wysyłający nowe hasło e-mailem;
  • Wymuszanie podania adresu e-mail jako rodzaj zabezpieczenia przy np. komentowaniu artykułów.

Niektóre z wymienionych wyżej funkcjonalności są, niestety, nie tylko popularne, ale mocno wbudowane w dostępne oprogramowanie open-source, co od razu utrudnia informatykowi-wykonawcy bazowanie na gotowych rozwiązaniach. Musiałby on bowiem zadbać o to, aby dany system lub komponent przystosować do zapewniania poufności, integralności i rozliczalności. Te dwa ostatnie atrybuty w szczególności mogą generować tutaj pracę. W kwestii poufności współczesne systemy raczej zapewniają rozmaite formy zabezpieczeń oraz kontroli dostępu, chociaż i tak trzeba w tym zakresie wszystko sprawdzić i doszlifować. Oprócz tego wymogi prawne nakazują nie tylko zbierać pewne dodatkowe informacje (np. data pierwszego wprowadzenia, data sprzeciwu), ale też wymagają, aby system informatyczny oferował funkcjonalność tworzenia stosownych raportów.

Możliwe są jednak takie rozwiązania, które być może ograniczą do pewnego stopnia koszty czasowe i finansowe przystosowywania systemu i jego komponentów. Po pierwsze, korzystając z zapisów Rozporządzenia MSWiA z 29 kwietnia 2004 roku, możliwe jest stosowanie wielu systemów w takim układzie, w którym niektóre z delegują części obowiązków i wymogów do innych – być może lepiej przystosowanych do ich spełnienia. Jeżeli więc klient posiada już u siebie jakieś systemy, które już korzystają z tej samej bazy danych osobowych albo nawet z bazy szerszej wobec której nowy system będzie zawierał jedynie podzbiór, wówczas jest możliwość ograniczenia prac. Przykładem takiej optymalizacji może być ograniczenie prac w zakresie zarządzania użytkownikami w nowo tworzonym systemie jeżeli klient korzysta z serwera LDAP albo Active Directory (pod warunkiem, że te usługi są odpowiednio zabezpieczone). Chodzi tutaj jednak tylko o niektóre obowiązki i wymogi – w dalszym ciągu trzeba włożyć sporo dodatkowej pracy.

Drugi sposób uzyskania optymalizacji kosztów wiąże się ze świadomym porzuceniem pewnych funkcjonalności oraz maksymalnym usunięciu danych osobowych z systemu. Przykładem niech ponownie będzie baza użytkowników serwisu, która zamiast loginu stosuje adres e-mail (dosyć często spotykane rozwiązanie) – możliwe jest przechowywanie takich loginów w postaci wyniku funkcji skrótu (podobnie jak przechowywane są hasła). W takiej formie login/e-mail nie stanowi już danych osobowych. Konsekwencją tego jest jednak to, że takie funkcjonalności jak mechanizm przypominania hasła czy też mass-mailing do użytkowników serwisu albo będą musiały być zmodyfikowane (np. przypominanie hasła poprzez odpowiedź na pytanie a mass-mailing tylko w wewnętrznych systemie komunikatów), albo będą musiałby być zwyczajnie usunięte lub nie wdrożone. Być może da się tutaj uzyskać różne kompromisowe rozwiązania, które jednak musiałby wcześniej ocenić prawnik – np. rozwiązanie takie, że użytkownik chcąc odzyskać hasło wprowadza swój adres e-mail, którego hash jest porównywany z tym w bazie danych i w przypadku zgodności wprowadzony adres jest jednorazowo używany do operacji wysłania hasła (nie jest on jednak nigdzie zapisywany).