autor: Michał Faber, ABI/Audytor ODO, Audytor SZBI wg. ISO 27001 - Kancelaria Favitor sp. z o.o.
Od jakiegoś czasu promuję odmienne, niż przyjęte od lat w doktrynie prawa, podejście do definicji danych osobowych - zresztą paradoksalnie zgodne z interpretacją dyrektywy 95/46/WE, praktyką interpretacyjną GIODO w indywidualnych sprawach, opinią Grupy Roboczej art. 29 i planowanym europejskim Rozporządzeniem o ochronie danych osobowych. Zatem swoje podejście wywodzę z autorytatywnych źródeł, a nie jedynie intuicji.
Przyjęcie szerokiej, właściwej interpretacji danych osobowych ma zasadnicze znaczenie dla wypełniania obowiązków wynikających z przepisów prawa i ewentualnej odpowiedzialności - administracyjnej, karnej, cywilnej, dyscyplinarnej - związanej z ich niewypełnianiem.
TWIERDZENIE
W skrócie - twierdzę, że "wszelkie informacje", o których mówi ustawowa definicja danych osobowych, wcale nie muszą być tymi samymi informacjami, które identyfikują lub umożliwiają jej identyfikację. Zatem dane osobowe wcale nie muszą służyć do identyfikacji osoby, a mogą jej jedynie "dotyczyć".
Twierdzę, że ze względu na możliwość identyfikacji osoby można wyróżnić trzy rodzaje danych osobowych:
1/ identyfikacyjne osoby (bezpośrednio lub natychmiast),
2/ umożliwiające identyfikację osoby (pośrednio lub w późniejszym czasie np. w razie potrzeby),
3/ nieumożliwiające identyfikacji osoby, ale jej dotyczące.
Szerzej wyjaśniam poniżej.
KONTEKST HISTORYCZNY
Uważam, że obecne, historyczne podejście (dane osobowe = informacje identyfikujące lub umożliwiające identyfikację osoby) jest nieszczęśliwą zaszłością z lat 90-tych, kiedy m.in. możliwość pozyskiwania i zestawiania informacji z różnych zbiorów niewielkim kosztem oraz dostępność rozmaitych informacji była nieporównywalnie mniejsza niż obecnie, z czego wynikła obecnie funkcjonująca, zawężająca interpretacja definicji danych osobowych. Notabene funkcjonująca mimo (na przekór?) treści szerokiej definicji zapisanej w UODO oraz szerokiej definicji zarówno w starej Dyrektywie, jak i nowym, planowanym Roporządzeniu.
Przyczyny takiego stanu rzeczy, czyli uznawania za dane osobowe jedynie danych umożliwiających identyfikację, to w mojej opinii:
1/ po pierwsze dane osobowe w latach 90-tych kojarzyły się wyłącznie z danymi identyfikacyjnymi osoby, bo takie były ówczesne realia - wyobraźnia nie sięgała do ery Google i rozproszonych, wszechobecnych baz danych, które nie były przecież dostępne,
2/ po drugie trudności w odróżnieniu w anglojęzycznej warstwie językowej pojęcia "dane osobowe" (Personal Data) od "danych identyfikacyjnych osoby" (Personally Identifiable Information) - szczególnie przy amerykańskim podejściu do ochrony prywatności,
3/ po trzecie przyjęcie - moim zdaniem nieuzasadnionego - uproszczenia, że "wszelkie informacje" z ustawowej definicji to właśnie te informacje, które służą do identyfikacji osoby albo ją umożliwiają, ze względu na bezpośrednią bliskość tych fraz w zdaniu,
4/ po czwarte niezręczne sformułowanie w definicji danych osobowych zawartej w dyrektywie 95/46/WE, która brzmi następująco:
‘dane osobowe’ oznacza wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („osoby, której dane dotyczą”); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość.
Owa niezręczność polega na dodaniu sformułowania „osoby, której dane dotyczą”, sugerującego że do identyfikacji osoby mają służyć "wszelkie informacje", co wcale nie było intencją autorów dyrektywy - o czym poniżej.
Zatem skoro do elastycznego podejścia do definicji z Ustawy i przyjęcia do wiadomości ewolucji ich znaczenia zachęca nawet Pan Minister Wiewiórowski - GIODO (np. ewolucja od ochrony danych osobowych do ochrona przetwarzania danych osobowych), a ustawodawstwo europejskie dotyczące ochrony danych osobowych poddawane jest reformie, to pozwoliłem sobie zaprezentować swoją, prawidłową moim zdaniem interpretację definicji danych osobowych.
UZASADNIENIE
Argument 1.
W Ustawie o ochronie danych osobowych czytamy:
Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
A zatem dane osobowe to:
1/ wszelkie informacje
2/ dotyczące
3/ zidentyfikowanej lub możliwej do zidentyfikowania
4/ osoby fizycznej
Proszę zwrócić uwagę, że Ustawa wcale nie sugeruje, że powinniśmy starać się identyfikować osobę na podstawie "wszelkich informacji", o których mowa w Art. 6. ust. 1. "Wszelkie informacje" jedynie "dotyczą" osoby, którą można zidentyfikować - w pewnych przypadkach na podstawie zupełnie innych informacji.
Ponad to warto zwrócić uwagę, że "wszelkie informacje" dotyczą każdego aspektu życia osoby fizycznej, w tym jej stosunków osobistych i majątkowych, życia zawodowego i prywatnego, zachowań, wykształcenia, doświadczenia, cech osobistych, preferencji, czy danych biometrycznych.
Argument 2.
Jak czytamy w projekcie Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych, którego celem jest reforma, unowocześnienie ustawodawstwa, ale także ujednolicenie regulacji w poszczególnych krajach członkowskich:
(1) „podmiot danych” oznacza zidentyfikowaną osobę fizyczną lub osobę fizyczną, którą można zidentyfikować, bezpośrednio lub pośrednio, za pomocą wszelkich środków, które z rozsądnym prawdopodobieństwem mogą być użyte przez administratora lub inną osobę fizyczną bądź prawną, szczególnie przez odniesienie do numeru identyfikacyjnego, danych dotyczących lokalizacji, identyfikatora online lub przynajmniej jednego czynnika charakterystycznego dla fizycznej, fizjologicznej, genetycznej, umysłowej, ekonomicznej, kulturowej lub społecznej tożsamości tej osoby;
(2) „dane osobowe” oznaczają wszelkie informacje dotyczące podmiotu danych;
W przypadku Rozporządzenia nie ma już wątpliwości, że "wszelkie informacje" wcale nie muszą być informacjami służącymi do identyfikacji osoby - szczególnie, że fraza ta nie występuje w jednym zdaniu z definicją podmiotu danych.
Argument 3.
Grupa Art.29 już 5 lat temu w Opinii 4/2007 "w sprawie pojęcia danych osobowych" zapisała odnośnie definicji danych osobowych zawartej w dyrektywie 95/46/WE - zacytowanej powyżej:
Należy odnotować, że definicja ta jest ze strony prawodawcy europejskiego wyrazem woli przyjęcia szerokiej koncepcji „danych osobowych”, którą tą wolę podtrzymywano przez cały czas trwania procedury prawodawczej. W pierwotnym wniosku Komisja wyjaśniała, że „podobnie jak w Konwencji 108, przyjęto szeroką definicję uwzględniającą wszelkie informacje mogące dotyczyć danej osoby”. W zmienionym wniosku Komisja stwierdziła, że „zmieniony wniosek uwzględnia życzenie Parlamentu, aby definicja „danych osobowych” była jak najogólniejsza, tak aby uwzględnić wszystkie informacje dotyczącej osoby możliwej do zidentyfikowania”, życzenie to wzięła pod uwagę również Rada, ustanawiając wspólne stanowisko.
Jak czytamy dalej:
Nie należy więc raczej nadmiernie zawężać interpretacji definicji danych osobowych, lecz mieć na uwadze znaczną elastyczność dopuszczalną w stosowaniu przepisów do danych.
Jak sugeruje Grupa krajowe organy nadzoru, w tym GIODO, "powinny propagować wystarczająco szeroką definicję, która uwzględniałaby zmiany i wszelkie „szare strefy” w swoim zakresie, wykorzystując przy tym odpowiednio elastyczność dyrektywy.
Odnośnie poszczególnych składników definicji danych osobowych - jak czytamy w opinii Grupy:
Ogólnie rzecz biorąc, można uważać, że pewna informacja dotyczy osoby, jeżeli jest ona na temat tej osoby. […] W niektórych przypadkach dane przekazują przede wszystkim informacje o przedmiotach, a nie o osobach. Przedmioty te należą zazwyczaj do kogoś, podlegają wpływowi działania pewnych osób lub wywierają na nie pewien wpływ,
Przykład nr 5: wartość domu
Wartość danego domu stanowi informację o przedmiocie. Przepisy dotyczące ochrony danych nie znajdą zastosowania, jeżeli informacja taka zostanie wykorzystana wyłącznie w celu ilustracji poziomu cen nieruchomości w pewnej dzielnicy. Jednakże w pewnych okolicznościach taka informacja może również zostać uznana za dane osobowe. Dom jest dobrem należącym do pewnego właściciela i jako taki może zostać na przykład uwzględniony przy ustaleniu wysokości zobowiązań podatkowych tej osoby. W tym kontekście informację taką należy niewątpliwie uznać za dane osobowe.
Przykład nr 6: rejestr serwisu samochodu
Rejestr serwisu samochodu prowadzony przez mechanika lub warsztat zawiera informacje o samochodzie, przebiegu, datach przeglądów technicznych, usterkach technicznych i stanie materialnym. Informacje te są powiązane w rejestrze z numerem tablicy rejestracyjnej i numerem silnika, które z kolei mogą zostać powiązane z właścicielem. Jeżeli warsztat powiąże pojazd z jego właścicielem w celu wystawienia faktury, informacje „dotyczą” właściciela lub kierowcy. Jeżeli powiąże się informacje z mechanikiem, który pracował przy samochodzie, w celu ustalenia wydajności jego pracy, informacja ta będzie również „dotyczyła” mechanika.
Jak czytamy dalej w opinii Grupy:
Ogólnie rzecz biorąc, można uważać osobę fizyczną za „zidentyfikowaną”, jeśli w grupie osób można ją odróżnić od wszystkich pozostałych członków grupy. Osoba fizyczna jest też „możliwa do zidentyfikowania”, jeżeli, mimo że nie została jeszcze zidentyfikowana, taka identyfikacja jest możliwa (na co wskazuje słowo „możliwa”). […] Identyfikacji dokonuje się zazwyczaj dzięki poszczególnym informacjom, które można nazwać „czynnikami identyfikującymi” i które wiążą się w sposób szczególny i bliski z daną osobą.
Dalsze wyjaśnienia znajdują się w komentarzu do artykułów zmienionego wniosku Komisji: „tożsamość osoby można ustalić bezpośrednio poprzez jej nazwisko lub pośrednio poprzez jej numer telefonu, numer rejestracyjny samochodu, numer ubezpieczenia społecznego, numer paszportu lub poprzez zestawienie istotnych kryteriów, które umożliwią odróżnienie tej osoby poprzez zawężenie grupy, do której ona należy (wiek, zajęcie, miejsce zamieszkania, itp.)”.
[…] Motyw 26 dyrektywy zwraca szczególną uwagę na pojęcie „możliwa do zidentyfikowania”, stwierdzając, że „w celu ustalenia, czy daną osobę można zidentyfikować, należy wziąć pod uwagę wszystkie sposoby, jakimi może posłużyć się administrator danych lub inna osoba w celu zidentyfikowania owej osoby”.
Przykład nr 16: szkody będące skutkiem graffiti
Pojazdy służące do przewozu osób należące do firm transportowych ponoszą regularnie szkody na skutek graffiti. Aby oszacować szkody i ułatwić dochodzenie roszczeń przeciwko ich sprawcom, firmy tworzą rejestr zawierający informacje o okolicznościach powstania szkody, jak również zdjęcia zniszczonych obiektów i „tagów” lub „podpisu” sprawcy. W momencie wpisywania informacji do rejestru sprawcy szkody nie są znani, nie wiadomo też, do kogo należy „podpis”. Może się zdarzyć, że pytania te pozostaną bez odpowiedzi. Jednakże celem przetwarzania informacji jest właśnie zidentyfikowanie osób, których informacje dotyczą, jako sprawców szkody, aby ułatwić dochodzenie roszczeń prawnych przeciwko nim. Przetwarzanie takich danych ma sens wtedy, gdy administrator danych spodziewa się, że pewnego dnia będą istniały sposoby, którymi będzie „można się posłużyć” w celu zidentyfikowania osoby. Informacje pochodzące ze zdjęć należy uważać za dotyczące osób „możliwych do zidentyfikowania”, zaś informacje figurujące w rejestrze – za „dane osobowe”; przetwarzanie takich danych powinno podlegać przepisom dotyczącym ochrony danych, które pozwalają na takie przetwarzanie pod pewnymi warunkami i z zachowaniem pewnych środków ostrożności.
PODSUMOWANIE
W świetle powyższych rozważań należy przyjąć, że za dane osobowe należy uznać "wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej", której identyfikacja może się odbyć na podstawie "czynników identyfikacyjnych" nie związanych z "wszelkimi informacjami", o których mowa w definicji danych osobowych.
Zatem ze względu na możliwość identyfikacji osoby można wyróżnić trzy rodzaje danych osobowych:
1/ identyfikacyjne osoby (bezpośrednio lub natychmiast),
2/ umożliwiające identyfikację osoby (pośrednio lub w późniejszym czasie np. w razie potrzeby),
3/ nieumożliwiające identyfikacji osoby, ale jej dotyczące.
Przyjęcie szerokiej interpretacji danych osobowych, zaprezentowanej powyżej, ma zasadnicze znaczenie dla wypełniania obowiązków wynikających z przepisów prawa i ewentualnej odpowiedzialności - administracyjnej, karnej, cywilnej, dyscyplinarnej - związanej z ich niewypełnianiem.
Slajd 22 z prezentacji szkoleniowej Kancelarii Favitor:
Slajd 24 z prezentacji szkoleniowej Kancelarii Favitor:
Załączniki:
1/ Wniosek ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych)
2/ Opinia 4/2007 w sprawie pojęcia danych osobowych - GRUPA ROBOCZA DS. OCHRONY DANYCH POWOŁANA NA MOCY ART. 29