Blog o ochronie danych osobowych

Kiedy mamy do czynienia z danymi osobowymi?

Często zadaję sobie to pytanie, pomimo iż definicję danych osobowych znam prawie na pamięć. Odpowiedź nie zawsze jest jednak prosta, a jedynym w takiej sytuacji słusznym stwierdzeniem wydaje się być: to zależy od kontekstu.


Ale od początku, czym w ogóle są dane osobowe?

Zgodnie z definicją ustawową (art. 6 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - tekst jednolity Dz.U. z 2015 r. poz. 2135 z późn. zm.) za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Natomiast osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Ustawa przewiduje również jeden wyjątek: informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.


Danymi osobowymi będą więc wszelkie informacje o Janie Kowalskim, Irenie Krawczyk czy Krzysztofie Wiśniewskim. Kiedy informacje dotyczą osoby już zidentyfikowanej, odpowiedź na zadane na wstępie pytanie jest oczywista. Trudniej jednak określić informację jako daną osobową, gdy nie znamy tożsamości osoby, której informacja dotyczy. Czy informacja o płci, wzroście, kolorze włosów i oczu osoby umożliwia nam jej identyfikację? Raczej nie, na świecie wydaje się być wiele wysokich, niebieskookich blondynek. Co innego, jeśli informacje te odnoszą się do osoby pracującej w zakładzie fryzjerskim, z którego usług korzystam. Bez problemu wtedy zidentyfikuję Panią Krysię jako osobę, której dane dotyczą. Dlatego przy ustalaniu czy konkretne dane są lub nie są danymi osobowymi, tak istotny jest kontekst otrzymanych informacji. Mówiąc krótko, jeśli informacja pozwala nam na zidentyfikowanie osoby, której dotyczy, należy wtedy do kategorii danych osobowych.


Dodać koniecznie należy, że proces identyfikacji nie może wymagać nadmiernych kosztów, czasu lub działań. Pracownik sklepu internetowego posiadający numer zamówienia, jest w stanie na jego podstawie zidentyfikować klienta, który ten towar zamówił za pomocą "kilku kliknięć". Nie wydaje się być to zbyt kosztowną czynnością skoro cała operacja potrwać może nie więcej niż parę minut. Jeśli natomiast ten sam numer zamówienia wszedłby w ręce przeciętnego obywatela RP, nie mającego nic wspólnego ze wspomnianym sklepem ani zamówieniem, miałby on spory problem z określeniem tożsamości osoby, której ten numer dotyczy.  Musiałby w tym celu, na przykład zatrudnić się w przedmiotowym sklepie albo nabyć legalnie bazę klientów sklepu, nie wspominając już o nielegalnym uzyskaniu dostępu do tej bazy danych, co we wszystkich wspomnianych przypadkach uznać należy za wymagające nadmiernego czasu, kosztów lub działań.


Podsumowując, danymi osobowymi będą dane pozwalające na określenie tożsamości konkretnej osoby zarówno natychmiastowe, jak i wymagające podjęcia pewnych działań, jednak bez angażowania w nie nadzwyczajnego wysiłku i nakładów. Nie są natomiast danymi osobowymi informacje wymagające podjęcia nieracjonalnych działań albo poniesienia niewspółmiernie wysokich kosztów lub poświęcenia  przesadnej ilości czasu.

Autor:  Piotr Betiuk - Prawnik, Koordynator Bezpieczeństwa Informacji PIN Consulting.


Instytucja powierzania przetwarzania danych.Przykłady z życia.

Kim jest administrator danych osobowych. Kiedy jesteśmy administratorem, a kiedy nie?