Wiele osób, z którymi pracowałem zadawało mi często jedno i to samo pytanie. Czy daną informację, rodzaj informacji można uważać za dane osobowe? Często to pytanie dotyczyło adresu poczty elektronicznej (e-mail). Czy adres e-mail jest danymi osobowymi?
I jest, i nie jest. Wszystko zależy jaki to konkretnie adres, przez kogo i w jakich okolicznościach przetwarzany.
Definicję danych osobowych znajdziemy w art. 6 ustawy o ochronie danych osobowych. Zgodnie z pierwszym ustępem tego artykułu danymi osobowymi są
wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej
Dalej - w ustępie drugim i trzecim tego artykułu - czytamy, że
osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne
oraz że
Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań..
Tutaj zwrócę przy okazji Waszą uwagę na osobny fakt, że dane osobowe dotyczą wyłącznie osób fizycznych - każdego człowieka od momentu urodzenia się, do śmierci. Czy słusznie? To już rozważanie na inny artykuł.
Z powyższej definicji wynika, że ustalając czy coś jest danymi, czy nie jest każdorazowo musimy sobie zadać kilka pytań i na podstawie udzielonych odpowiedzi dokonać interpretacji danego stanu faktycznego. Czasami będzie to trudne, ponieważ definicja posługuje się pojęciami nieostrymi. Najwięcej kłopotu sprawia zdefiniowanie nadmiernych kosztów, czasu lub działań. W mojej ocenie dla ustalenia granic tych pojęć można posługiwać się już wyłącznie tzw. zdrowym rozsądkiem. Jeden jest bogaty, drugi biedny, pierwszy ma sporo czasu, inny mało. Zakładając jednak, że bez kosztów, czasu i nadmiaru pracy mając jakieś dane, możemy w oparciu o inne dane zidentyfikować konkretną osobę fizyczną, to te pierwsze dane będą danymi osobowymi. I tutaj pojawia się kolejny problem - w różnych warunkach, różne osoby czy grupy osób będą miały dostęp do innych danych. I tak: dla pracowników firmy udostępniającej usługę poczty elektronicznej, którzy mają dostęp do imion, nazwisk, łączących adresy z danymi danymi osobowymi będzie adres zagadka@wp.pl. Dla mnie - piszącego ten artykuł - taki adres nie jest danymi osobowymi, ja go po prostu wymyśliłem. Jak więc widzimy, ocena tego czy dany adres poczty elektronicznej nie zależy tylko i wyłącznie od oceny treści tego adresu, ale od wielu innych czynników - zmiennych w miejscu i czasie. Jeśli ktoś przetwarza w swojej bazie wyłącznie adresy poczty elektronicznej, może przyjąć, że dla niego nie są to dane osobowe. Jeśli z drugiej strony, ktoś ze względu na przetwarzanie innych danych osobowych posiada wdrożone rozwiązania organizacyjno-techniczne i spełnia wymogi ustawy o ochronie danych osobowych, zaliczenie kolejnej grupy danych do kategorii danych osobowych nie będzie dla niego wyzwaniem.