Dane osobowe
Zgodnie z brzmieniem artykułu 6 ust 1 Ustawy o ochronie danych osobowych dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Powyższa definicja wymaga wyjaśnienia kilku pojęć w niej zawartych tj. informacji, osoby fizycznej, identyfikowalności.
Informacja nie posiada swojej definicji legalnej jednak zgodnie z definicją przyjętą w słowniku języka polskiego PWN jest to wiadomość o czymś lub zakomunikowanie czegoś. Uważa się także, że informacja jest niematerialna, jest nieprzenaszalnym dobrem zmniejszającym niepewność Dane osobowe zmniejszają zatem niepewność co do cech (właściwości) określonej osoby, pozwalając na jej charakterystykę w węższym lub szerszym zakresie. . Informacja może mieć charakter językowy lub pozajęzykowy. Informacja dotyczy osoby fizycznej wtedy, gdy przekazuje jakąś wiedzę na jej temat Przykładem takiej informacji może być imię nazwisko, płeć, adres zamieszkania itp.
Osobą fizyczną jest każdy człowiek od urodzenia aż do śmierci. Ustawa nie przyznaje ochrony osobom prawnym, także osoby fizyczne prowadzące działalność gospodarczą nie mogą domagać się tej ochrony. Uważa się w takim przypadku że dane tej konkretnej osoby fizycznej nie są traktowane jako dane osobowe ale dane firmy . Ustawa nie przyznaje także ochrony dzieciom poczętym lecz nienarodzonym, osobom zmarłym oraz osobom prawnym .
O tym czy mamy do czynienia z danymi osobowymi decyduje nie ich treść ale to, czy można je łatwo powiązać z konkretną osobą – czy ta osoba jest możliwa do wskazania Osoba której dane dotyczą nie musi być skazana wprost (przez podanie imienia i nazwiska) . Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne np. PESEL (numer identyfikacyjny), kolor oczu (cechy fizyczne), znajomość języka fińskiego (cechy umysłowe). Nie zawsze jednak ta sama informacja może być uznana za dane osobowe. Powołane się na czynniki charakteryzujące osobę fizyczną może identyfikować ją w jej środowisku, a nie pociągnąć takiego skutku na forum publicznym. Przyjmuje się, że to czy dana cecha zostanie uznana za dane identyfikujące rozstrzyga się biorąc pod uwagę zasób wiadomości przeciętnego człowieka np. prezydent Rzeczypospolitej Polskiej (identyfikacja powszechna), mama Jurka (identyfikacja środowiskowa).
W środowisku internetowym wyodrębniły się nowe rodzaje danych takiej jak adres IP, numer Gadu Gadu czy adres e-mail. Nie zawsze jednak moją one charakter danych identyfikujących. Adres email tylko wtedy można uznać za dane osobowe jeśli alias adresu będzie zamierał np. imię i nazwisko np. robert.klusowski@xyz.pl Trudno natomiast uznać za dane osobowe dres IP (tylko wtedy gdy jest przypisany do komputera konkretnego użytkownika) oraz nick, pseudonim, jakim posługuje się użytkownik Internetu np. tulipan33@xyz.pl .
W ustawie odniesiono się także do klauzuli nadmierności tzn. że informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Jeżeli więc pozyskanie danych wymaga zgromadzenia większej sumy pieniężnej lub zajęłoby np. wiele tygodni nie uważa się wtedy takiej informacji za dane osobowe. Np. numery rejestracyjne pojazdów nie są danymi osobowymi dla ogółu społeczeństwa ale dla organu rejestrującego mają one taki charakter ponieważ można je na podstawie dokumentacji przypisać do konkretnej osoby fizycznej. Ważny jest zatem kontekst przetwarzania danych.
Dostępność informacji dla przeciętnego odbiorcy ocenia się uwzględniając:
- możliwości techniczne w zakresie przetwarzania danych osobowych,
- dostępności informacji na zwykłej dozwolonej prawnie drodze,
- przynależności informacji do tajemnic prawnie chronionych .
Bez znaczenia pozostaje więc okoliczność, że administrator danych osobowych nie podjął środków w celu identyfikacji osoby, której dotyczą przetwarzane przez niego informacji – jeżeli tylko takie środki były dozwolone przez prawo ich podjęcie leżało w zakresie obiektywnych możliwości administratora
-----------------------------------------------------------------------------------------------------------------------------------
S. Hoc, T. Szewc, Ochrona danych osobowych, Warszawa 2014, CH Beck, s. 3
J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Kraków 2004, s. 377 i 385
Wyrok NSA z 28. 11.2002 r. (II SA 3389/01, MoP 2003, Nr 3, s 99)
Por. J. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2015, CH Beck, s. 77-78
Zob. A. Mednis, Dyrektywa 95/46 w świetle orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej – wybrane zagadnienia [w:] Prywatność a ekonomia. Ochrona danych osobowych w obrocie gospodarczym red. A Mednis, Warszawa 2013, s. 130
A. G. Harla, Termin „dane osobowe” – uwagi de lege lata i de lege ferenda na gruncie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Pal. 2001, Nr 1-2, s. 39
G. Sibiga, Postępowanie w sprawach ochrony danych osobowych, Warszawa 2003, s. 15
M. Brzozowska, Ochrona danych osobowych w sieci, Wrocław 2012, s 33 i n.; J. Ożegalska – Trybalska, Adresy e-mailowe a dane osobowe, ODO Biuletyn ABI 2001, Nr 23, s 10 i n.
Por. A. Drozd, Ustawa o ochronie danych osobowych. Komentarz, wzory pism, przypisy, Warszawa 2004, s. 41
Por. A. Drozd, op. cit., Warszawa 2004, s. 49