Ochrona danych

osobowych i

informacji

niejawnych

Bezpieczeństwo Wewnętrzne
II ROK Studia stacjonarne
sem. zimowy 2012/2013

Ochrona informacji
niejawnych – powtórka

Czym są dane osobowe?

Dane osobowe – definicja

Dane osobowe to nie tylko imię i nazwisko.

Zgodnie z art. 6 ust. 1 ustawy o ochronie

danych osobowych

za dane osobowe

uważa się wszelkie informacje dotyczące

zidentyfikowanej lub możliwej do

zidentyfikowania osoby fizycznej.

Dane osobowe – definicja

W omawianej definicji z art. 6 ustawy o

ochronie danych osobowych wyróżnić
należy następujące elementy:

-

informacja

-

dotycząca osoby fizycznej

-

zidentyfikowanej lub możliwej do
zidentyfikowania

Definicja danych
osobowych
– Informacja



Informacja – oznacza

komunikaty

(wiadomości,

wypowiedzi, prezentacje)

wyrażone i zapisane

w jakikolwiek sposób:

znakami graficznymi,

symbolami, w języku komputerowym, na

fotografii, na taśmie magnetofonowej),

niezależnie od sposobu, zakresu i swobody ich

udostępniania, jak i niezależnie od sposobu ich

pozyskania.



Obojętny jest także sposób wyrażenia

informacji

. Może ona być zatem wyrażona

słowem, dźwiękiem, obrazem, może zawierać

formę zapisu informatycznego.

Definicja danych
osobowych
– informacja

Określenie „wszelkie informacje”

podkreśla, że

danymi osobowymi będą jakiekolwiek dane

dotyczące określonej osoby

, a więc zarówno

dotyczące jej życia zawodowego, prywatnego,

stosunków majątkowych czy też cech charakteru.

Będą nimi zarówno aspekty językowe i

pozajęzykowe, a więc nie tylko imię, nazwisko,

adres, ale też, np: linie papilarne lub wygląd.

Danymi osobowymi są zarówno informacje

rozpowszechnione lub opublikowane

(zamieszczone w publikowanych materiałach),

jak i w ogóle jeszcze nieujawnione.

Definicja danych
osobowych
– osoby fizyczne

Informacje, aby stanowiły dane osobowe, muszą

dotyczyć osoby fizycznej.

Ma to takie znaczenie, iż poza polem

zainteresowania ustawa o ochronie danych

osobowych statuuje zbiory informacji (np. ujęte

w formie rejestrów lub ewidencji) dotyczących

podmiotów innych niż osoby fizyczne, a więc

wszelkich jednostek organizacyjnych, niezależnie

od tego czy posiadają osobowość prawną,

organów administracji państwowej oraz

samorządowej i innych.

Definicja danych
osobowych – osoby
fizyczne

Zatem poza zakresem stosowania ustawy

o ochronie danych osobowych pozostają
dane dotyczące:

-

osób prawnych

-

osób zmarłych.

Definicja danych osobowych
– osoba możliwa do
zidentyfikowania

Osobą możliwą do zidentyfikowania jest
osoba, której tożsamość można określić:

-

bezpośrednio

(poprzez imię i nazwisko);

-

pośrednio

(w szczególności poprzez

powołanie się na numer identyfikacyjny albo
jeden lub kilka specyficznych czynników
określających jej cechy fizyczne, fizjologiczne,
umysłowe, ekonomiczne, kulturowe lub
społeczne - art. 6 ust. 2 ustawy).  

Definicja danych osobowych –
osoba możliwa do
zidentyfikowania



Czynnikami określającymi cechy osoby fizycznej mogą

być m. in.:

-

wygląd zewnętrzny;

-

wzór siatkówki oka;

-

Struktura kodu genetycznego;

-

Grupa krwi;

-

Status majątkowy;

-

Pochodzenie;

-

Poglądy polityczne;

-

Przekonania religijne lub filozoficzne.

Wskazane powyżej czynniki nie wyczerpują otwartego

katalogu rodzajów informacji, które mogą być przypisane

konkretnej osobie fizycznej.

Kiedy informacja pozwala
określić tożsamość osoby
fizycznej?

W tym celu posłużmy się przykładami.

1. Czy do kategorii danych osobowych zakwalifikujemy, na

przykład stwierdzenie, iż najemca oznaczonego lokalu

posiada zarobki miesięcznie przekraczające kwotę X lub

zaopatruje się w sklepie Y?

Przy czym nie podajemy imienia i nazwiska najemcy.

2. Czy do kategorii danych osobowych można

zakwalifikować informację, że samochody o określonych,

podanych numerach rejestracyjnych, zostały uszkodzone

w wypadku drogowym?

Kiedy informacja pozwala
określić tożsamość osoby
fizycznej?

W podanych przykładach same informacje nie określają

tożsamości osoby, nie wskazują na żadną oznaczoną osobę,

niemniej jednak otwierają możliwość ustalenia tożsamości

osoby, z którą dana informacja jest związana.

I tak, docierając do odpowiedniego spisu lokatorów czy do

właściwej ewidencji pojazdów samochodowych, można

powziąć informację o tożsamości osoby (najemcy lokalu,

właścicielu samochodu).

Można zatem dojść do wniosku, że w zasadzie każda wiadomość

o danym zdarzeniu, o jakiejś sytuacji z udziałem człowieka,

może zostać uznana za wiadomość zindywidualizowaną, gdyż

– przynajmniej teoretycznie- zawsze jest możliwość

określenia tożsamości człowieka.

Kiedy informacja pozwala
określić tożsamość osoby
fizycznej?

Należy zatem postawić następne pytania:

Czy danymi osobowymi są tylko takie dane, które od

razu pozwalają określić tożsamość osoby
fizycznej?

Czy danymi osobowymi są również takie dane, przez

które wprawdzie bezpośrednie odniesienie do
konkretniej osoby nie istnieje, jednak ustalenie jej
tożsamości, na podstawie tych danych jest
możliwe?

Przedstawione dylematy stara się
rozwiązać ustawa o ochronie danych
osobowych, która daje wskazówkę, iż
nie uważa się za umożliwiającą
określenie tożsamości osoby, jeżeli
wymagałoby to nadmiernych
kosztów, czasu lub działań.

Definicja danych osobowych
– osoba możliwa do
zidentyfikowania

Stosownie do ust. 3 powołanego przepisu, informacji nie uważa się

za umożliwiającą określenie tożsamości osoby, jeżeli

wymagałoby to nadmiernych kosztów, czasu i działań.

Danymi osobowymi będą zatem zarówno takie dane, które

pozwalają na określenie tożsamości konkretnej osoby, jak i takie,

które nie pozwalają na jej natychmiastową identyfikację, ale są,

przy pewnym nakładzie kosztów, czasu i działań, wystarczające

do jej ustalenia.

Danymi osobowymi będzie taka informacja, która pozwala na

ustalenie tożsamości danej osoby, bez nadzwyczajnego wysiłku

i nakładów, zwłaszcza przy wykorzystaniu łatwo osiągalnych

i powszechnie dostępnych źródeł.

Poza zakresem przedmiotowej definicji znajdzie się zatem taka

informacja, na podstawie której identyfikacja osoby wymagać

będzie nieracjonalnych, nieproporcjonalnie dużych nakładów

kosztów, czasu lub działań. 



Informacje zatem, które bez nadzwyczajnego
wysiłku, bez nieproporcjonalnie dużych nakładów
dają się „powiązać” z określoną osobą, zwłaszcza
przy wykorzystaniu łatwo osiągalnych źródeł
powszechnie dostępnych, również zasługują na
zaliczenie ich do kategorii danych osobowych.



Na przykład niekiedy nawet opisanie zachowań
czy cech charakteru „organisty z miejscowości
X”, „wieloletniego woźnego z miejscowości Y”
może uzyskać – ze względu na powiązanie z
dającą się oznaczyć osobą – kwlaifikację danych
osobowych.

A zatem….

Czy można uznać za dane
osobowe?

1.

Numer rejestracyjny pojazdu.

2.

„Jan Kowalski”, „Jan Nowak”

3.

Wywieszenie na klatkach przez

administratorów zasobów mieszkaniowych tzw.

list dłużników, które zawierają jedynie numer

lokalu, okres niepłacenia i kwotę zaległości.

4.

Adres internetowy

5.

Numer IP komputera

6.

Wizerunek umieszczony na zdjęciu klasowym

wykonanym przed trzydziestoma laty wraz z

opatrzeniem go imieniem i nazwiskiem, a

następnie umieszczony na stronie internetowej.

Odpowiadając na
pytania…

1.

Z reguły nie mają statusu danych osobowych informacje

odnoszące się do numerów rejestracyjnych samochodów.

Ustalenie bowiem właściciela samochodu po numerze

rejestracyjnym – chociaż jest możliwe - wiąże się z

nadmiernym czasem i zaangażowaniem.

Należy przy tym nadmienić i mieć świadomość, że przesłanka

„nadmierności” kosztów czasu lub działań jest

niedookreślona i rzeczywiste jej znaczenie zostanie

ukształtowane w toku konkretnej sprawy przez

rozstrzygnięcie GIODO.

2. „Jan Kowalski” – z reguły poprzez imię i nazwisko można

określić tożsamość osoby, jednak nie zawsze – dotyczy to

popularnych imion i nazwisk. Wówczas dopiero informacje

dodatkowe, kontekstowe mogą doprowadzić do sytuacji, w

której ustalenie tożsamości staje się możliwe.

Odpowiadając na
pytania…

3. Wywieszenie przez administratorów zasobów mieszkaniowych

na klatkach tzw. list dłużników, które zawierają jedynie numer

lokalu, okres niepłacenia i kwotę zaległości, stanowi

przetwarzanie danych osobowych. Pomimo braku bezpośredniej

identyfikacji, przy niewielkim nakładzie środków i czasu

jesteśmy w stanie określić tożsamość takiej osoby na podstawie

np. numeru lokalu.

4. Specyficzna problematyka powstaje w odniesieniu do

traktowania jako danych osobowych adresów internetowych,

zwłaszcza adresów poczty elektronicznej.

Wątpliwość bierze się stąd, że adres internetowy odnosi się w

istocie nie tyle do osoby, ile do komputera, z którego może

przecież korzystać wiele osób. Pojawia się zatem kwestia

możliwości pośredniej identyfikacji osoby.

Należy uznać, że adresy internetowe spełniają kryteria

przewidziane dla danych osobowych tylko wówczas, gdy w

swojej treści zawierają nazwisko i skrót imienia czy imię, bądź

łącznie z innymi przetwarzanymi wraz z adresem informacjami

pozwalają zidentyfikować osobę użytkownika.

Odpowiadając na
pytania…

5. Należy uznać, że w przypadkach, gdy adres IP jest na stałe

lub na dłuższy okres czasu przypisany do konkretnego

urządzenia, które przypisane jest z kolei konkretnemu

użytkownikowi, należy uznać, że stanowi on daną

osobową.

W praktyce możemy się spotkać jednak z sytuacjami, gdy

jednoznaczne przypisanie adresu IP do konkretnej,

zidentyfikowanej osoby nie jest praktycznie możliwe.

Sytuacja taka może wystąpić np. w kawiarenkach

internetowych, gdzie komputery udostępniane są klientom

bez odnotowywania ich danych identyfikacyjnych.

Są to jednak sytuacje wyjątkowe. W wielu przypadkach,

nawet przy korzystaniu z komputera w kawiarence

internetowej, wykorzystując dane zarejestrowane przez

system nadzoru wizyjnego w zestawieniu z innymi danymi

(np. dotyczących płatności przy użyciu karty kredytowej),

możliwe jest zidentyfikowanie osoby korzystającej

w danym czasie z danego komputera. 

Odpowiadając na pytania
…

6. Dane osobowe to zespół wiadomości (komunikatów) o

konkretnym człowieku na tyle zintegrowany, że pozwala na jego

zindywidualizowanie.

Obejmuje co najmniej informacje niezbędne do identyfikacji (imię,

nazwisko, miejsce zamieszkania), jednakże do tego się nie

ogranicza, bowiem mieszczą się w nim również dalsze

informacje, wzmacniające stopień identyfikacji.

Do informacji takich z pewnością należą zdjęcia osoby fizycznej,

chociażby wykonane w przeszłości, umożliwiające jej

identyfikację.

W sytuacji gdy zdjęcie takie jest umieszczone wraz z imieniem i

nazwiskiem osoby na nim występującej w miejscu dostępnym dla

nieograniczonej liczby podmiotów, należy uznać, iż stanowi ono

dane osobowe podlegające ochronie na podstawie ustawy o

ochronie danych osobowych. O zakwalifikowaniu danej informacji

do kategorii danych osobowych decydują przede wszystkim

obiektywne kryteria oceny, przy czym uwzględnić należy

wszystkie informacje, w tym także pozajęzykowe (kontekst) do

jakich dostęp mają osoby trzecie.
wyrok NSA z 18 listopada 2009 sygn. akt I OSK 667/09

Dane osobowe –
przykłady



Numer identyfikacyjny osoby (PESEL)



Zdjęcie



Adres IP komputera



Adres e-mail (w szczególności jeżeli
składa się z imienia i nazwiska)



Linie papilarne

Dane osobowe a dobra
osobiste

Dobra osobiste

Stanowią chronione prawem dobra o

charakterze niemajątkowym przysługujące

każdemu człowiekowi (osobie fizycznej) a

także osobom prawnym.

Ścisłej i wyczerpującej definicji tych dóbr

nie da się sformułować, gdyż konstrukcja

prawna tych dóbr odwołuje się do wartości

moralnych, które mogą być różne oceniane

i które ulegają ciągłym zmianom

Dobra osobiste



mają charakter niemajątkowy, a zatem nie dają

się wyrazić wprost w kategoriach ekonomicznych,



nie mogą być przenoszone (są niezbywalne),

wynika to z tego, że jako ściśle związane z

danym podmiotem, nie dają się oddzielić od

podmiotu, któremu przysługują,



nie można się ich zrzec,



gasną wraz ze śmiercią podmiotu uprawnionego.

Kodeks cywilny nie zawiera definicji dóbr

osobistych poprzestając na przykładowym ich

wyliczeniu

Kodeks cywilny w art. 23 dokonuje przykładowego

wyliczenia dóbr osobistych, wśród których

wymienia:



zdrowie,



wolność,



cześć (godność i dobre imię),



swobodę sumienia,



nazwisko lub pseudonim,



wizerunek,



tajemnicę korespondencji,



nietykalność mieszkania,



twórczość naukową, artystyczną, wynalazczą i

racjonalizatorską.

Wśród innych można
jeszcze wymienić…..



Stan cywilny (obejmuje przynależność do

określonej płci, której ujawnienie może się

domagać zainteresowany w aktach stanu

cywilnego, odnosi się do relacji rodzinnych )



Życie



Nietykalność cielesna



Kult po bliskiej osobie zmarłej



Integralność seksulana



Prawo do prywatności



Korzystanie z wartości środowiska naturalnego

Prawo do prywatności

Art. 47. ”Każdy ma prawo do ochrony prawnej życia prywatnego,

rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu

osobistym”

Zbieranie danych osobowych oraz informacji na temat danej osoby

oraz ich przetwarzanie wkraczać będzie w obszar szeroko

rozumianego prawa do prywatności.

Prawo do prywatności

Przepisy o ochronie danych osobowych związane są

z realizacją powszechnego prawa do

prywatności, którego istotą jest eliminowanie

ingerencji w życie osobiste, gwarantowanie

każdemu człowiekowi pozostawienia go w

spokoju, zapewnienie mu możliwości

decydowaniu o ujawnianiu, udostępnianiu i

wykorzystywaniu elementów swego szeroko

rozumianego wizerunku.

Podstawowe dane osobowe człowieka (imię i

nazwisko) są jego dobrem osobistym, ale

jednocześnie są dobrem powszechnym w tym

znaczeniu, iż istnieje publiczna zgoda na

posługiwanie się nimi w życiu społecznym.

Dziękuję za uwagę