Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Podziel się...

Konferencja „Przeszłość dla...

10 Lipiec 2019 
10 czerwca 2019 r. w Warszawie odbyła się konferencja „Przeszłość dla przyszłości....

Projekt nowego pzp przyjęty

10 Lipiec 2019 
19 czerwca 2019 r. Stały Komitet Rady Ministrów przyjął projekt nowej ustawy – Prawo...

Mosty zero waste

10 Lipiec 2019 
W Krakowie trwa budowa mostów kolejowych przez Wisłę. Nowe przeprawy zastąpią użytkowany...

Błędne rozumienie pojęcia „dane osobowe”

Data publikacji: 10-07-2019 Autor: Maciej Kołodziej
Tagi:    dane osobowe

Od ponad 20 lat w Europie funkcjonuje pojęcie ochrony danych osobowych, pierwotnie definiowane przez krajowe implementacje dyrektywy 95/46/WE. Czy na pewno wiemy, co oznacza termin „dane osobowe”?

 

Polski ustawodawca w przepisach ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. DzU z 2016 r., poz. 922 ze zm.) w art. 6 wskazywał, że za dane osobowe uznaje się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (także osoby wykonującej działalność gospodarczą), przy czym istniało ograniczenie polegające na zakreśleniu kryterium skutecznej identyfikacji bez ponoszenia nadmiernych kosztów, czasu, działań w celu ustalenia tożsamości osoby.

Prawodawca unijny w rodo kontynuował przyjęte w dyrektywie 95/46/WE kryteria, doprecyzowując definicję danych osobowych poprzez wskazanie otwartego katalogu typów i cech, które należy brać pod uwagę przy identyfikacji podmiotu danych (osoby, której dane dotyczą).

Komisja Europejska ponad 2 lata po ogłoszeniu rodo zauważyła pojawiające się wątpliwości interpretacyjne i błędy w ogłoszonej treści rodo, dlatego 19 kwietnia 2018 r. został opublikowany dokument ST-8088/18 zawierający sprostowanie treści rozporządzenia. Wśród skorygowanych zapisów znalazła się także sprawa fundamentalna dla ochrony danych osobowych, czyli definicja terminu „dane osobowe”. Sprostowanie wprowadziło, oczywiste dla polskiego administratora danych osobowych (dalej: ADO, administrator), doprecyzowanie zakresu stosowania definicji (uzupełniono zapis o „wszelkie” informacje) i utwierdziło ADO w przekonaniu, jakie dane, którymi dysponują, objęte są regulacją rodo i należy je uwzględnić, gdy analizuje się proces przetwarzania danych osobowych.

Sprawa tylko z pozoru wydaje się nieskomplikowana i odpowiednio wyjaśniona w przepisach i wieloletnim piśmiennictwie branżowym. Za dane osobowe należy uznać każdą będącą w dyspozycji ADO informację dowolnego typu i rodzaju, która pozwala wskazać konkretną osobę fizyczną (podmiot danych, czyli np. klienta, stronę, pracownika, kontrahenta) lub na podstawie której ADO może taką osobę bezpośrednio lub pośrednio zidentyfikować. Właściwe zrozumienie i wskazanie przez ADO zakresu tych informacji stanowi podstawowe i najważniejsze wymaganie w zakresie stosowania przepisów o ochronie danych osobowych. Należy podkreślić, że obecna definicja danych osobowych niewiele różni się od tej obowiązującej przez ostatnie dwie dekady, dziwi więc fakt pojawiających się coraz częściej wątpliwości ADO i ich doradców, w tym inspektorów ochrony danych (dalej: IOD) co do zakresu informacji, które powinny być uznawane za dane osobowe. Decyzje podejmowane przez wielu ADO, często mające uzasadnienie mocno biznesowe, w tym finansowe, powodują, że nie wszystkie informacje, które przepisy określają jako dane osobowe, podlegają odpowiednim procedurom ochrony i właściwego przetwarzania.

Również realizacja praw i obowiązków dotyczących danych osobowych wielu ADO nastręcza kłopotów. Błędy interpretacyjne mogą doprowadzić do sytuacji, w której ADO części posiadanych informacji nie nada statusu danych osobowych i w związku z tym nie będzie właściwie przetwarzał wszystkich danych, do których ochrony jest zobowiązany. Problemy mogą pojawić się także w przypadku realizacji praw i obowiązków wynikających z rodo, jeśli ich zakresem objęty będzie niewłaściwy lub niepełny zestaw danych osobowych. Zaniechania lub zaniedbania bywają dość niepokojące i mogą doprowadzić do postawienia ADO zarzutów naruszenia przestrzegania przepisów o ochronie danych.

Zdarzają się administratorzy, którzy za dane osobowe uznają jedynie tzw. dane identyfikacyjne osoby (np. tylko dane z kart identyfikacyjnych klienta: imię, nazwisko, PESEL, datę i miejsce urodzenia, dane adresowe i kontaktowe, w tym numery telefonu i adresy e-mail) oraz ewentualnie wykaz produktów i usług świadczonych dla klienta. Pozostałe, posiadane w organizacjach informacje traktowane są jako dane techniczne, niestanowiące zdaniem przetwarzających danych osobowych, mimo że są powiązane z konkretnymi klientami i ich aktywnością w procesach biznesowych lub obsługowych u tego ADO.

W obecnych realiach funkcjonowania organizacji (każdego typu, w biznesie i w administracji publicznej) jedynie niewielka ilość informacji nie ma żadnego powiązania, bezpośrednio lub pośrednio, z osobami uczestniczącymi w funkcjonowaniu lub korzystającymi z procesów przetwarzania danych. Większość informacji wskazuje na konkretne osoby fizyczne i dość odważne jest nieuznawanie tych informacji za dane osobowe.

Dane podane, dostarczone, modyfikowane przy pozyskaniu, rejestracji, zmianach profilowych

Dane na temat osoby fizycznej trafiają do ADO różnymi drogami (osobiście, korespondencyjnie, za pomocą systemów teleinformatycznych), na różnych nośnikach (w formie analogowej lub cyfrowej) i z wielu źródeł. Nie ma znaczenia, czy podaje je lub modyfikuje osoba, której dane dotyczą, czy są pozyskiwane od innych podmiotów, zawsze należy zdecydować, czy dla ADO są danymi osobowymi, i gdy test ten będzie pozytywny, uwzględnić je w procedurach przetwarzania.

Zakres danych i ich typ (np. dane identyfikacyjne, ewidencyjne, dotyczące zamieszkania, kontaktu lub innych cech, które można przypisać osobie, której dane dotyczą) ma znaczenie jedynie do właściwego przyporządkowania danych, nie wpływając na ocenę, czy są to dane osobowe, ponieważ są one powiązane z konkretną osobą, wypełniają więc kryteria uznania ich za dane osobowe. W toku przetwarzania większość danych uzupełniana jest o atrybuty takie, jak wskazanie czasu oraz sposobu pozyskania i dane wprowadzane są do systemów zautomatyzowanego przetwarzania danych lub podlegają uporządkowaniu w zbiorach nieinformatycznych, przez co zachowane są cechy danych osobowych i ma do nich zastosowanie rodo.

Warto zwrócić uwagę na możliwość kopiowania treści danych na różnych nośnikach (dane pozyskiwane ustnie mogą trafić na papier lub zostają nagrane jako zapis audio; dokumenty są skanowane, odczytywane przez operatorów lub treść jest rozpoznawana automatycznie i dane trafiają do systemów informatycznych; powstają kopie zapasowe i archiwalne; dane mogą być drukowane lub przesyłane z wykorzystaniem różnych nośników, cyfrowych lub analogowych itp.), przez co liczba i rodzaj miejsc, w których dane są przetwarzane, powinny być nadzorowane i ewidencjonowane, aby w odpowiedni sposób powiązać wszystkie miejsca i procesy, w których dane osobowe występują w organizacji. 

 

[...]

 

Maciej Kołodziej
wiceprezes SABI – Stowarzyszenia Inspektorów Ochrony Danych, konsultant ds. ochrony danych osobowych, bezpieczeństwa informacji i systemów IT oraz specjalista informatyki śledczej 

Artykuł pochodzi z miesięcznika: Przetargi Publiczne

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

All rights reserved © 2019 Presscom / Miesięcznik Przetargi Publiczne