Kiedy mamy do czynienia z danymi osobowymi

W świecie technologii informatycznych mamy do czynienia z szeregiem specyficznych dla tego środowiska informacji, z których część uznaje się za dane osobowe. Najprostszym przykładem są adresy e-mail, które często zawierają imię i nazwisko użytkownika. Jednak zawarta w przepisach definicja danych osobowych jest ogólna. Są to bowiem wszelkie informacje dotyczące konkretnej osoby, za pomocą których bez większego wysiłku można tę osobę zidentyfikować. Dlatego uznanie określonej kategorii informacji za dane osobowe zależy od okoliczności, w jakich są zbierane i przetwarzane.

Dobrą ilustracją interpretacji wspomnianej definicji jest opinia 1/2008 dotycząca zagadnień ochrony danych związanych z wyszukiwarkami internetowymi, przyjęta przez tzw. Grupę Roboczą artykułu 29 (pełna nazwa: Zespół roboczy ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych). Wyszukiwarki zbierają i same generują ogromne ilości danych, których analiza pozwala na ustalenie personaliów użytkowników. Dlatego należałoby uznać, że większość tych informacji stanowi dane osobowe.

Zalicza się tu przede wszystkim różnego rodzaju dane zapisane w tzw. plikach dziennika, potocznie zwanych logami. Są to rejestry operacji wykonywanych przez użytkowników wyszukiwarki, m.in. wpisywane zapytania, odwiedzane strony WWW, adresy IP czy pliki cookie (mogące zawierać unikalny identyfikator użytkownika czy informacje odnośnie systemu operacyjnego i przeglądarki WWW użytkownika).

Na tym przykładzie widać, że identyfikacja na podstawie jednego rodzaju informacji nie zawsze jest możliwa. Jednak w połączeniu z innymi informacjami określenie personaliów staje się realne. Przykładowo, znając domenę internetową, z której korzysta użytkownik, można sprawdzić w ogólnie dostępnych bazach, kto jest właścicielem danej domeny. To prowadzi do wniosku, że uznanie danej kategorii informacji należy rozpatrywać w szerszym kontekście. Co ważne, informacje same w sobie nie muszą zawierać personaliów osób, ale mogą wystarczać do ich zdobycia. Wtedy zostaną uznane za dane osobowe.

Analizując, czy określone dane mają charakter osobowy, należy wziąć pod uwagę następujące aspekty:

1. Sposób ich powiązania z innymi danymi, które mogą posłużyć do identyfikacji osoby.

2. Możliwość porównania z informacjami dostępnymi publicznie, jeśli takie zestawienie może doprowadzić do identyfikacji.

3. Szansę zdobycia w przyszłości dodatkowych informacji, które umożliwią identyfikację.

4. Prawdopodobieństwo, że dane niezbędne do namierzenia osoby mogą być pozyskane za pośrednictwem uprawnionych podmiotów.

Rozpoznanie bazy danych osobowych, jako podlegającej rejestracji, leży po stronie administratora danych (tzw. ADO). Niedopełnienie obowiązku rejestracji zbioru jest zagrożone karą grzywny (10 tys. zł dla osób prowadzących działalność gospodarczą, do 200 tys. zł dla osób prawnych), ograniczenia wolności, a nawet pozbawienia wolności do jednego roku (do 2 lat w przypadku umyślnego naruszenia przepisów). Warto podkreślić, że konsekwencje te nie grożą za zgłoszenie niekompletnego zbioru danych osobowych. Dlatego najbezpieczniej jest złożyć do GIODO wniosek o rejestrację zbioru, nawet jeśli są wątpliwości czy jest to wymagane w danym przypadku. Jeżeli zbiór nie podlega takiemu obowiązkowi, urząd odmówi rejestracji i poinformuje zgłaszającego.