Kiedy mamy do czynienia z danymi osobowymi

Data: 07-10-2014 r.

Jeśli są wątpliwości, czy określony zbiór faktycznie podlega obowiązkowi zgłoszenia do GIODO, rozsądnym wyjściem jest dokonanie jego rejestracji. Za ewentualny błędny wniosek nie grożą żadne konsekwencje.

W świecie technologii informatycznych mamy do czynienia z szeregiem specyficznych dla tego środowiska informacji, z których część uznaje się za dane osobowe. Najprostszym przykładem są adresy e-mail, które często zawierają imię i nazwisko użytkownika. Jednak zawarta w przepisach definicja danych osobowych jest ogólna. Są to bowiem wszelkie informacje dotyczące konkretnej osoby, za pomocą których bez większego wysiłku można tę osobę zidentyfikować. Dlatego uznanie określonej kategorii informacji za dane osobowe zależy od okoliczności, w jakich są zbierane i przetwarzane.

Dobrą ilustracją interpretacji wspomnianej definicji jest opinia 1/2008 dotycząca zagadnień ochrony danych związanych z wyszukiwarkami internetowymi, przyjęta przez tzw. Grupę Roboczą artykułu 29 (pełna nazwa: Zespół roboczy ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych). Wyszukiwarki zbierają i same generują ogromne ilości danych, których analiza pozwala na ustalenie personaliów użytkowników. Dlatego należałoby uznać, że większość tych informacji stanowi dane osobowe.

Zalicza się tu przede wszystkim różnego rodzaju dane zapisane w tzw. plikach dziennika, potocznie zwanych logami. Są to rejestry operacji wykonywanych przez użytkowników wyszukiwarki, m.in. wpisywane zapytania, odwiedzane strony WWW, adresy IP czy pliki cookie (mogące zawierać unikalny identyfikator użytkownika czy informacje odnośnie systemu operacyjnego i przeglądarki WWW użytkownika).

Na tym przykładzie widać, że identyfikacja na podstawie jednego rodzaju informacji nie zawsze jest możliwa. Jednak w połączeniu z innymi informacjami określenie personaliów staje się realne. Przykładowo, znając domenę internetową, z której korzysta użytkownik, można sprawdzić w ogólnie dostępnych bazach, kto jest właścicielem danej domeny. To prowadzi do wniosku, że uznanie danej kategorii informacji należy rozpatrywać w szerszym kontekście. Co ważne, informacje same w sobie nie muszą zawierać personaliów osób, ale mogą wystarczać do ich zdobycia. Wtedy zostaną uznane za dane osobowe.

Kryteria oceny

Analizując, czy określone dane mają charakter osobowy, należy wziąć pod uwagę następujące aspekty:

  1. Sposób ich powiązania z innymi danymi, które mogą posłużyć do identyfikacji osoby.

  2. Możliwość porównania z informacjami dostępnymi publicznie, jeśli takie zestawienie może doprowadzić do identyfikacji.

  3. Szansę zdobycia w przyszłości dodatkowych informacji, które umożliwią identyfikację.

  4. Prawdopodobieństwo, że dane niezbędne do namierzenia osoby mogą być pozyskane za pośrednictwem uprawnionych podmiotów.

Sankcje za niezgłoszenie zbioru

Rozpoznanie bazy danych osobowych, jako podlegającej rejestracji, leży po stronie administratora danych (tzw. ADO). Niedopełnienie obowiązku rejestracji zbioru jest zagrożone karą grzywny (10 tys. zł dla osób prowadzących działalność gospodarczą, do 200 tys. zł dla osób prawnych), ograniczenia wolności, a nawet pozbawienia wolności do jednego roku (do 2 lat w przypadku umyślnego naruszenia przepisów). Warto podkreślić, że konsekwencje te nie grożą za zgłoszenie niekompletnego zbioru danych osobowych. Dlatego najbezpieczniej jest złożyć do GIODO wniosek o rejestrację zbioru, nawet jeśli są wątpliwości czy jest to wymagane w danym przypadku. Jeżeli zbiór nie podlega takiemu obowiązkowi, urząd odmówi rejestracji i poinformuje zgłaszającego.

Katarzyna Kaczanowska, niezależny konsultant IT

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Polecamy kancelarię:

  • Kancelaria Prawna Iurisco Edyta Przybyłek

    ul. Zgrzebnioka 28, 40-520 Katowice

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marcin Majcherczyk

    ul. Stawowa 4 lok. 39, 41-200 Sosnowiec

    Wyświetl wizytówkę
  • Buszan Suchecka Orłowski Adwokat Radcowie Prawni Sp.p.

    ul. Armii Krajowej 22/2, 81-849 Sopot

    Wyświetl wizytówkę
  • THE N.E.W.S. LAW CENTER Kancelaria Adwokatów i Radców Prawnych

    ul. Kazachska 1/89, 02-999 Warszawa

    Wyświetl wizytówkę
  • adwokat Wojciech Rudzki - kancelaria adwokacka

    Józefa Piłsudskiego 40/4 Kraków 31 - 111

    Wyświetl wizytówkę
  • KANCELARIA ADWOKACKA Adwokat Michał Gajda

    ul. Księcia Bogusława X 1/3, 70-440 Szczecin

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Robert Dudkowiak

    ul. Jana Pawła II 11 lok. 5, 62-300 Września

    Wyświetl wizytówkę
  • Kancelaria Adwokacka Adwokata Piotra Sęka

    ul. Narutowicza 44 lok. 20, 90-135 Łódź

    Wyświetl wizytówkę
  • Kancelaria Radców Prawnych ARVE M.Kusztan & R.Ponichtera Sp. K.

    ul. Czysta 4, 50-013 Wrocław

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marek Foryś

    ul. Słupecka 9/1, Gdynia

    Wyświetl wizytówkę
  • Kancelaria MERITUM

    ulica Westerplatte 13/5, 31-033 Kraków

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Radosław Tymiński

    Łukowska 9 Lok. 126, 04-133 Warszawa

    Wyświetl wizytówkę
Array ( [docId] => 35835 )
Array ( [docId] => 35835 )

Array ( [docId] => 35835 )