Zainstaluj aplikację Palestra na swoim urządzeniu

en

Palestra 6/2017

Pojęcie danych osobowych – uwagi na tle orzeczenia Trybunału Sprawiedliwości UE w sprawie C-582/14 Patrick Breyer/Bundesrepublik Deutschland

Kategoria

Artykuły

Pojęcia kluczowe

dane osoboweochrona danych osobowychadres IPidentyfikacja osoby fizycznej

Udostępnij

W ydane w dniu 19 października 2016 r. orzeczenie Trybunału Sprawiedliwości UE w sprawie C-582/14 Patrick Breyer/Bundesrepublik Deutschland stanowi kolejny krok w kierunku zdekodowania pojęcia danych osobowych. Zgodnie z treścią wskazanego wyroku „adres IP zarejestrowany przez podmiot prowadzący witrynę internetową stanowi wobec tego podmiotu dane osobowe”. Rozstrzygając sprawę, Trybunał Sprawiedliwości UE odpowiedział na pytanie sformułowane przez Bundesgerichtshof – federalny trybunał sprawiedliwości w Niemczech, czy „«dynamiczne» adresy IP stanowią, wobec podmiotu prowadzącego witrynę internetową, dane osobowe i są zatem objęte ochroną przewidzianą dla takich danych”.

Wskazane rozstrzygnięcie należy ocenić pozytywnie, gdyż znajduje ono oparcie w brzmieniu przepisów oraz w praktyce dotychczasowej wykładni definicji danych osobowych. Jak zauważył Naczelny Sąd Administracyjny w wyroku z 19 maja 2011 r.: „informacją dotyczącą osoby jest zarówno informacja odnosząca się do niej wprost, jak i taka, która odnosi się bezpośrednio do przedmiotów czy urządzeń, ale poprzez możliwość powiązania tych przedmiotów czy urządzeń z określoną osobą pośrednio stanowi informację także o niej samej. Tam gdzie adres IP jest na dłuższy okres czasu lub na stałe przypisany do konkretnego urządzenia, a urządzenie to przypisane jest konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową, jest to bowiem informacja umożliwiająca identyfikację konkretnej osoby fizycznej. Internet często pozornie, a czasami faktycznie zapewnia anonimowość jego użytkownikom. Stanowi medialne forum, na którym prezentowane są treści naruszające ludzką godność, cześć i dobre imię. Dlatego też wszędzie tam, gdzie numer IP pozwala pośrednio na identyfikację konkretnej osoby fizycznej, powinien on być uznany za dane osobowe w rozumieniu art. 6 ust. 1 i 2 ustawy z 1997 r. o ochronie danych osobowych. Odmienna interpretacja byłaby sprzeczna z normami konstytucyjnymi zawartymi w art. 30 i 47 Konstytucji RP” OSK 1079/10..

Warto jednak wykorzystać wyrok Trybunału Sprawiedliwości UE i potraktować go jako punkt wyjścia dla przypomnienia, czym w ogóle są dane osobowe. W dobie coraz bardziej złożonych systemów informatycznych oraz towarzyszących im wątpliwości na gruncie przepisów o ochronie danych osobowych coraz bardziej z pola widzenia znika tak kluczowe dla wszelkich ustaleń zagadnienie, jakim jest samo określenie, które informacje mogą stanowić dane osobowe, a które nie. Konwencja nr 108 Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowychDz.U. z 2003 r. nr 3, poz. 25. wskazywała, że dane osobowe oznaczają wszelką informację dotyczącą osoby fizycznej o ustalonej tożsamości albo dającej się zidentyfikować („podmiot danych”). Z kolei dyrektywa 95/46/ WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danychDz.U. UE z 23 listopada 1995 r., L 281/31. wskazywała w art. 2, że dane osobowe to „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej («osoby, której dane dotyczą»); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość. Wskazane przepisy stanowią punkt wyjścia dla obecnie obowiązującej w polskim porządku prawnym definicji danych osobowych. Zgodnie z art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowychDz.U. z 2016 r. poz. 922. w rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Posiadanie przymiotu danych osobowych zależy od okoliczności obiektywnych. Innymi słowy, określone informacje stanowią dane osobowe albo nimi nie są. Aby się nimi stać, muszą identyfikować konkretną osobę lub umożliwiać jej identyfikację bez nadmiernych kosztów, czasu lub działańWyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 3 marca 2009 r., II SA/Wa 1495/2008, Lex Polonica nr 2007854, „Rzeczpospolita” 2009, nr 53, s. C1 – tożsamość osoby, a więc także jej przeszłość, podlega ochronie prawnej. Danymi osobowymi są wszelkie informacje dotyczące konkretnej osoby, za pomocą których bez większego wysiłku można tę osobę zidentyfikować, choćby nie była ona wyraźnie wskazana.. Charakter informacji umożliwiających identyfikację określonej osoby fizycznej będą miały „informacje, które bez nadzwyczajnego wysiłku, bez nieproporcjonalnie dużych nakładów dają się «powiązać» z określoną osobą, zwłaszcza przy wykorzystaniu łatwo osiągalnych źródeł powszechnie dostępnych, również zasługują na zaliczenie ich do kategorii danych osobowych”Wyrok Naczelnego Sądu Administracyjnego z 19 maja 2011 r., I OSK 1086/10..

W wyroku z 18 listopada 2009 r. Naczelny Sąd Administracyjny wskazał, że „o zakwalifikowaniu danej informacji do kategorii danych osobowych decydują przede wszystkim obiektywne kryteria oceny, przy czym uwzględnić należy wszystkie informacje, w tym także pozajęzykowe (kontekst) do jakich dostęp mają osoby trzecie. Odmienne podejście do przedstawionego zagadnienia zmarginalizowałoby znaczenie powołanej ustawy i nie odpowiadałoby wyznaczonej jej funkcji. Internet jako źródło informacji ma coraz większy zasięg i coraz większe znaczenie. Zapewnia dostęp do określonej informacji ogromnej liczbie osób i pozwala na dowolne jej przetwarzanie w rozumieniu ustawy o ochronie danych osobowych. Równocześnie nie wykształciły się jeszcze właściwe mechanizmy dotyczące ochrony praw jednostki, jeśli prawa te zostały naruszone wskutek informacji ujawnionej w sieci internetowej. Tym większa jest rola organów ochrony prawa, w tym Generalnego Inspektora Ochrony Danych Osobowych w kształtowaniu praktyki przestrzegania obowiązujących przepisów prawa również w sieci internetowej. Nie do zaakceptowania jest sytuacja, w której jednostka domaga się usunięcia swojego wizerunku z określonego portalu internetowego, a organ administracji nie podejmuje działań zapewniających ochronę obywatelskich praw. Wizerunek jest jednym z bardzo osobistych dóbr człowieka i brak zgody na jego publikowanie, jeśli nie chodzi o osoby publiczne jest wystarczającym powodem do uznania, że działają przepisy ustawy o ochronie danych osobowych, jeśli tylko spełnione zostały przesłanki z art. 6 ust. 2 tej ustawy”Wyrok Naczelnego Sądu Administracyjnego z 18 listopada 2009 r., I OSK 667/2009. Zob. także wyrok Naczelnego Sądu Administracyjnego z 15 marca 2010 r., I OSK 756/2009 – „O tym, czy mamy do czynienia z takimi danymi oraz czy dane osobowe podlegają pełnej ochronie zagwarantowanej ustawą z dnia 29 sierpnia 1997 r. decydują obiektywne czynniki, a mianowicie to czy są to informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej oraz czy w grę nie wchodzą przepisy szczególne ograniczające stosowanie powołanej ustawy. Taka kwalifikacja informacji i zakres ochrony danych osobowych nie zależą natomiast od subiektywnego przekonania administratora danych osobowych, a więc od dysponowania przez nią wiedzą, czy są to informacje dotyczące osoby fizycznej czy przedsiębiorcy”..

Wojewódzki Sąd Administracyjny w wyroku z 7 grudnia 2005 r. uznał, że „dane osobowe takie jak: imię, nazwisko, stanowisko i stopień służbowy nie pozwalają na zidentyfikowanie osoby, której one dotyczą. Dla ustalenia tożsamości konieczne są inne dane o charakterze osobistym, przykładowo: data i miejsce urodzenia osoby. O możliwości zidentyfikowania danej osoby fizycznej będzie decydował zakres informacji, które można uzyskać w sposób nie budzący wątpliwości na podstawie dokumentów organu bezpieczeństwa”Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 7 grudnia 2005 r., IV SA/Wa 880/2005.. Natomiast w wyroku z 18 listopada 2009 r. Naczelny Sąd Administracyjny wskazał, że: „Dane osobowe to zespół wiadomości (komunikatów) o konkretnym człowieku na tyle zintegrowany, że pozwala na jego zindywidualizowanie. Obejmuje co najmniej informacje niezbędne do identyfikacji (imię, nazwisko, miejsce zamieszkania), jednakże do tego się nie ogranicza, bowiem mieszczą się w nim również dalsze informacje, wzmacniające stopień identyfikacji. Do informacji takich z pewnością należą zdjęcia osoby fizycznej, chociażby wykonane w przeszłości, umożliwiające jej identyfikację. W sytuacji gdy zdjęcie takie jest umieszczone wraz z imieniem i nazwiskiem osoby na nim występującej w miejscu dostępnym dla nieograniczonej liczby podmiotów, należy uznać, iż stanowi ono dane osobowe podlegające ochronie na podstawie ustawy o ochronie danych osobowych. O zakwalifikowaniu danej informacji do kategorii danych osobowych decydują przede wszystkim obiektywne kryteria oceny, przy czym uwzględnić należy wszystkie informacje, w tym także pozajęzykowe (kontekst) do jakich dostęp mają osoby trzecie. Ujawnienie imienia i nazwiska skarżącego wraz z numerem klasy, szkoły do której uczęszczał oraz miejscowości w której szkoła jest położona powoduje, że identyfikacja skarżącego jest możliwa bez spełnienia warunku o którym mowa w art. 6 ust. 3 ustawy o ochronie danych osobowych wobec czego musi on otrzymać ochronę określoną w art. 1 ustawy o ochronie danych osobowych. Wizerunek umieszczony na zdjęciu klasowym wykonanym przed trzydziestoma laty wraz z opatrzeniem go imieniem i nazwiskiem, a następnie zamieszczonym na stronie internetowej stanowi dane osobowe w rozumieniu art. 6 ust. 2 ustawy o ochronie danych osobowych. Ocena tego, czy określenie tożsamości wymaga nadmiernych kosztów, czasu lub działań, powinna być dokonywana z uwzględnieniem możliwości technicznych w czasie przetwarzania danych osobowychI OSK 667/09..

W wyroku z 19 stycznia 2010 r. Naczelny Sąd Administracyjny wskazał, że: „Upublicznienie danych osobowych w zakresie imienia i nazwiska łącznie z innymi informacjami wywieszonymi na drzwiach wejściowych do budynku, którego dana osoba jest mieszkanką, pozwala na stwierdzenie bez nadmiernych kosztów, czasu lub działań, że dane te dotyczą jej osoby. Nawet gdyby w ogłoszeniu nie zamieszczono imienia i nazwiska, a np. tylko numer lokalu w którym mieszka, to taka informacja pomimo, iż nie określa tożsamości tej osoby w sposób bezpośredni oraz nie wskazuje na żadną oznaczoną osobę, również otwiera możliwość ustalenia tożsamości osoby, z którą ta informacja jest związana, chociażby poprzez dotarcie do odpowiedniego spisu lokatorów”Wyrok Naczelnego Sądu Administracyjnego z 19 stycznia 2010 r., I OSK 491/2009, http://orzeczenia.nsa.gov.pl .

Do ciekawych wniosków przy ocenie danych osobowych w kontekście nadmiernego czasu, kosztów lub działań niezbędnych do zidentyfikowania osoby fizycznej doszedł Wojewódzki Sąd Administracyjny w Krakowie w wyroku z 11 października 2013 r.II SA/Kr 682/13. Wskazał on, że podanie numeru telefonu i adresu poczty internetowej stanowi podanie danych osobowych w rozumieniu art. 6 ust. 1–3 u.o.d.o., ponieważ te dane pozwalają na szybkie zidentyfikowanie konkretnej osoby. W podobnym duchu wypowiedział się Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 9 kwietnia 2013 r. Zgodnie z jego treścią wizerunek osoby zarejestrowanej przez kamery monitoringu prowadzi do identyfikacji takiej osoby przez inne osoby, które ją znają. Nie można przyjąć, że numer rejestracyjny pojazdu nie może prowadzić do identyfikacji osoby, a zatem że nie stanowi on danych osobowychII SA/Wa 211/13..

W wyroku z 4 lutego 2014 r. Wojewódzki Sąd Administracyjny w Lublinie wskazał, że „za dane osobowe w rozumieniu u.o.d.o. należy uznać numery ksiąg wieczystych i zbiorów dokumentów, skoro w tych księgach i zbiorach są ujawnione podmioty będące właścicielami nieruchomości, dla których księgi te lub zbiory są prowadzone. Skoro treść ksiąg wieczystych i zbiorów dokumentów jest powszechnie dostępna, to ujawnienie ich numerów pozwala jednocześnie na ujawnienie danych osobowych wpisanych w tych księgach właścicieli nieruchomości oraz danych osobowych właścicieli nieruchomości ujawnionych w dokumentach złożonych do zbiorów dokumentów. Można zatem stwierdzić, że dane ewidencji gruntów i budynków dotyczące numerów ksiąg wieczystych i zbiorów dokumentów zawierają dane osobowe podmiotów, o których mowa w art. 20 ust. 2 pkt 1 ustawy – Prawo geodezyjne i kartograficzne”III SA/Lu 638/13..

Co ważne, ochrona danych osobowych dotyczy jedynie informacji na temat osób żyjących. Informacje identyfikujące lub umożliwiające identyfikację osoby zmarłej nie podlegają przepisom ustawy o ochronie danych osobowych. W takim przypadku zastosowanie znajdują jedynie przepisy Kodeksu cywilnego dotyczące dóbr osobistych, tj. art. 23 i 24 k.c. Zagrożonym lub naruszonym dobrem osobistym będzie wówczas przysługujące osobom najbliższym zmarłego prawo do kultu pamięci o osobie zmarłej http://www.giodo.gov.pl/319/id_art/974/j/pl/. Potwierdził to także Wojewódzki Sąd Administracyjny w Gdańsku w wyroku z 24 września 2008 r., w którym zauważył, że „brak jest podstaw do zastosowania w sprawie przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. nr 101 z 2002 r. poz. 926 ze zm.). Z art. 1 ust. 1 tej ustawy wynika, iż każdy ma prawo do ochrony dotyczących go danych osobowych, zgodnie z art. 6 ust. 1 w rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Uregulowania tej ustawy nie znajdują bowiem zastosowania do osób zmarłych, którym nie przysługuje przymiot osoby fizycznej”II SA/Gd 722/07..

Przepisy ustawy o ochronie danych osobowych stosuje się natomiast do informacji identyfikujących lub umożliwiających identyfikację osób fizycznych prowadzących działalność gospodarczą. W czasie funkcjonowania ustawy stan prawny dotyczący tej kwestii ulegał zmianom. Od 1 stycznia 2012 r. dane osobowe wszystkich osób fizycznych podlegają ochronie. Jest to następstwem uchylenia art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. – Prawo działalności gospodarczej, który brzmiał: „Ewidencja działalności gospodarczej jest jawna i dane osobowe w niej zawarte nie podlegają przepisom ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz. 1271)”Dz.U. z 1999 r. nr 101, poz. 1178 z późn. zm.. Konsekwencją tej zmiany było objęcie ochroną wynikającą z przepisów o ochronie danych osobowych informacji dotyczących osób fizycznych prowadzących działalność gospodarczą, ale także konieczność rozważenia zasadności zgłaszania zbiorów do rejestracji Generalnemu Inspektorowi Ochrony Danych OsobowychPor. http://www.giodo.gov.pl/1520021/.

Warto przy tym pamiętać, że kolejna zmiana przepisów dotyczących danych osobowych osób fizycznych prowadzących działalność gospodarczą weszła w życie w dniu 19 maja 2016 r. W ustawie z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczejDz.U. z 2015 r. poz. 584. został dodany art. 39b w brzmieniu: „Do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2014 r. poz. 1182 i 1662 oraz z 2015 r. poz. 1309), z wyjątkiem przepisów art. 14–19a i art. 21–22a oraz rozdziału 5 tej ustawy”Ustawa z dnia 25 września 2015 r. o zmianie ustawy o swobodzie działalności gospodarczej oraz niektórych innych ustaw (Dz.U. z 2015 r. poz. 1893).. Przepis ten rozróżnia sytuacje jawnych danych osobowych udostępnianych w CEIDG oraz innych danych osobowych dotyczących osób fizycznych prowadzących działalność gospodarczą. Pierwsza z nich nie jest chroniona przepisami ustawy o ochronie danych osobowych, z wyjątkiem przepisów dotyczących kontroli prowadzonych przez Generalnego Inspektora Ochrony Danych Osobowych (art. 14–19a oraz art. 21–22a ustawy) oraz regulacji dotyczących zabezpieczenia danych osobowych (rozdział 5 ustawy). Oznacza to, że takie dane nie podlegają zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Zwolnieniem takim objęto następujące dane:

  1. firma przedsiębiorcy oraz jego numer PESEL, o ile taki posiada; 1a) data urodzenia przedsiębiorcy;
  2. numer identyfikacyjny REGON przedsiębiorcy, o ile taki posiada;
  3. numer identyfikacji podatkowej (NIP);
  4. informacja o obywatelstwie polskim przedsiębiorcy, o ile takie posiada, i innych obywatelstwach przedsiębiorcy;
  5. oznaczenie miejsca zamieszkania i adresu zamieszkania przedsiębiorcy, adres do doręczeń przedsiębiorcy oraz adresy, pod którymi jest wykonywana działalność gospodarcza, w tym adres głównego miejsca wykonywania działalności i oddziału, jeżeli został utworzony; dane te są zgodne z oznaczeniami kodowymi przyjętymi w krajowym rejestrze urzędowym podziału terytorialnego kraju, o ile to w danym przypadku możliwe;
  6. adres poczty elektronicznej przedsiębiorcy oraz jego strony internetowej, o ile przedsiębiorca takie posiada i zgłosił te informacje we wniosku o wpis do CEIDG;
  7. data rozpoczęcia wykonywania działalności gospodarczej;
  8. określenie przedmiotów wykonywanej działalności gospodarczej, zgodnie z Polską Klasyfikacją Działalności (PKD);
  9. informacje o istnieniu lub ustaniu małżeńskiej wspólności majątkowej;
  10. numer identyfikacji podatkowej (NIP) oraz numer identyfikacyjny REGON spółek cywilnych, jeżeli przedsiębiorca zawarł umowy takich spółek;
  11. dane pełnomocnika upoważnionego do prowadzenia spraw przedsiębiorcy, wraz ze wskazaniem zakresu spraw, które obejmuje dane pełnomocnictwo, o ile przedsiębiorca udzielił pełnomocnictwa i zgłosił informację o jego udzieleniu we wniosku o wpis do CEIDG;
  12. informacja o zawieszeniu i wznowieniu wykonywania działalności gospodarczej;
  13. informacja o ograniczeniu lub utracie zdolności do czynności prawnych oraz ustanowieniu kurateli lub opieki;
  14. informacja o ogłoszeniu upadłości i ukończeniu tego postępowania;
  15. informacja o otwarciu postępowania restrukturyzacyjnego i jego ukończeniu albo uprawomocnieniu się postanowienia o zatwierdzeniu układu w postępowaniu o zatwierdzenie układu; 15a)  informacja o przekształceniu przedsiębiorcy będącego osobą fizyczną wykonującą we własnym imieniu działalność gospodarczą w jednoosobową spółkę kapitałową;
  16. informacja o zakazie prowadzenia działalności gospodarczej;
  17.  informacja o zakazie wykonywania określonego zawodu, którego wykonywanie przez przedsiębiorcę podlega wpisowi do CEIDG;
  18. informacja o zakazie prowadzenia działalności związanej z wychowaniem, leczeniem, edukacją małoletnich lub z opieką nad nimi;
  19. informacja o wykreśleniu wpisu w CEIDG.

W pozostałym zakresie dane osobowe osób fizycznych prowadzących działalność gospodarczą podlegają wszystkim przepisom ustawy o ochronie danych osobowych.

Omówienia wymaga także tak szczególna kategoria danych osobowych, jaką są dane biometryczne. Nie zostały one, co prawda, wprost wymienione w przepisach ustawy, natomiast występują często w praktyce. Biometria to nauka, która zajmuje się ilościowym badaniem zmienności populacji organizmów przy użyciu metod i twierdzeń statystyki matematycznej. Nie można jednak zapominać, że biometria to również sposób, w jaki dokonuje się identyfikacji osób na podstawie ich indywidualnych cech fizycznych.

Definicję legalną biometrii zawiera rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Zgodnie z treścią art. 4 pkt 16 rozporządzenia „dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne. Natomiast definicja zawarta w rozporządzeniu wskazuje trzy zestawy cech wchodzących w skład biometrii:

  1. fizyczne – np. tęczówka oka, linie papilarne, geometria twarzy, DNA, układ naczyń krwionośnych na dłoni lub przegubie ręki;
  2. fizjologiczne – związane z czynnościami życiowymi organizmu, np. grupa krwi;
  3. behawioralne – np. sposób mówienia, sposób składania odręcznego podpisu.

W związku z tym wyróżnić można następujące rodzaje biometrii:

  1. biometria odcisków palców;
  2. biometria twarzy;
  3. biometria tęczówki;
  4. biometrie dłoni;
  5. inne metody oparte na cechach fizycznych – metody bazujące na wzorze siatkówki i geometrii ucha;
  6. biometria podpisu odręcznego;
  7. inne metody oparte na cechach zachowania – rozpoznawanie mówiącego, wykorzystanie elektroencefalogramu (EEG).

Warto przytoczyć także Opinię 3/2012 w sprawie osiągnięć technologii biometrycznych (WP 193) przyjętą w dniu 27 kwietnia 2012 r. przez Grupę Roboczą Art. 29, w której to Opinii przyjęto, że termin ten obejmuje także zapis danych biometrycznych w postaci nieprzetworzonej, na podstawie którego dopiero powstaje wzorzec danych biometrycznych.

Co ważne, ogólne rozporządzenie o ochronie danych zalicza dane biometryczne do szczególnej kategorii danych osobowych, czyli odpowiednika obecnych danych osobowych wrażliwych. Artykuł 9 ust. 1 rozporządzenia stanowi bowiem, że zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznychArt. 4 pkt 13 ogólnego rozporządzenia o ochronie danych – „dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej., danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowiaArt. 4 pkt 15 ogólnego rozporządzenia o ochronie danych – „dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia., seksualności lub orientacji seksualnej tej osoby.

Obecnie obowiązująca ustawa o ochronie danych osobowych posługuje się pojęciem danych osobowych określonych w art. 27 ust. 1 ustawy. W literaturze spotkać można ich określenia takie, jak dane osobowe wrażliwe, sensytywne czy delikatneDanymi osobowymi wrażliwymi są: 1) dane ujawniające: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, 2) dane o: stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym, 3) dane dotyczące: skazań, orzeczeń o ukaraniu i mandatów karnych, innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.. Co ważne, ustawa o ochronie danych osobowych zawiera zamknięty katalog danych osobowych uznanych za wrażliwe, a także wprowadza ogólny zakaz ich przetwarzania, chyba że zaistnieje jedna z przesłanek wskazanych w art. 27 ust. 2 ustawy. Konstrukcja przepisów oznacza, że wszelkie wyjątki opisane w art. 27 ust. 2 ustawy powinny być interpretowane ściśle. Jak zauważył Naczelny Sąd Administracyjny w wyroku z 18 grudnia 2014 r., katalog określony w art. 27 ust. 2 u.o.d.o. ma charakter ścisłego wyjątku. Jako taki, w myśl zasady exceptiones non sunt extendendae, powinien być wykładany możliwie ściśle, a wszelkie wątpliwości przesądzane na rzecz zakazu przetwarzania danych, określonych w art. 27 ust. 1 u.o.d.o.I OSK 900/13.

Zestawienie powyższych rozstrzygnięć prowadzi do wniosku, że samo pojęcie danych osobowych jest nad wyraz pojemne. W orzecznictwie sądów można znaleźć potwierdzenie, że wystarczy możliwość powiązania określonej informacji bez nadmiernych kosztów, czasu lub działań z osobą fizyczną, aby mieć do czynienia z danymi osobowymi, a co za tym idzie – z koniecznością ich należytego zabezpieczenia. Najlepszym przykładem takiego – dynamicznego – rozumienia jest, będące punktem wyjścia dla niniejszych rozważań, orzeczenie w sprawie Patrick Breyer. Pomijając faktyczne i proceduralne aspekty postępowania, należy się skupić na poczynionej w sprawie ocenie prawnej i kolejnej próbie sądowego uzupełnienia pojęcia danych osobowych.

Trybunał Sprawiedliwości UE, rozstrzygając sprawę, przypomniał treść motywu 26 dyrektywy 95/46, który nakazuje „w celu ustalenia, czy daną osobę można zidentyfikować, wziąć pod uwagę wszystkie sposoby, jakimi może posłużyć się administrator danych lub inna osoba w celu zidentyfikowania owej osoby”. Nadto, jak podkreślił, w sprawie jest bezsporne, że adresy IP, do których odnosi się sąd odsyłający, są „dynamicznymi” adresami IP, czyli tymczasowymi adresami, które są przydzielane każdemu połączeniu z Internetem i zastępowane podczas kolejnych połączeń, a nie „statycznymi” adresami IP, które są niezmienne i umożliwiają stałą identyfikację urządzenia podłączonego do sieci. W związku z tym kluczowe jest założenie, „zgodnie z którym z jednej strony dane obejmujące dynamiczny adres IP oraz datę i godzinę przeglądania strony internetowej z tego adresu IP, zarejestrowane przez dostawcę usług medialnych online, nie dają same w sobie temu dostawcy możliwości zidentyfikowania użytkownika, który przeglądał tę stronę internetową w trakcie danej sesji, a z drugiej strony dostawca dostępu do Internetu dysponuje dodatkowymi informacjami, które w połączeniu z tym adresem IP umożliwiają identyfikację danego użytkownika”. W takim rozumieniu, wbrew medialnym interpretacjom omawianego wyroku, nie każdy adres IP, a zwłaszcza dynamiczny adres IP, stanowi dane osobowe w rozumieniu ustawy. Jak bowiem zauważył Trybunał: „bezsporne jest, iż dynamiczny adres IP nie stanowi informacji odnoszącej się do «zidentyfikowanej osoby fizycznej», jako że taki adres nie ujawnia bezpośrednio tożsamości osoby fizycznej będącej właścicielem komputera, z którego była przeglądana strona internetowa, ani tożsamości innej osoby, która mogłaby korzystać z tego komputera”.

Co jednak istotne, analizując pochodzenie innych informacji, które w zestawieniu z dynamicznym adresem IP dają możliwość ustalenia tożsamości określonej osoby fizycznej, Trybunał wskazał, że nie muszą one znajdować się w posiadaniu administratora danych – „nie jest wymagane, by wszystkie informacje umożliwiające identyfikację osoby, której dane dotyczą, musiały znajdować się w rękach tylko jednej osoby”. Decydujące jest, aby „możliwość połączenia dynamicznego adresu IP z owymi dodatkowymi informacjami będącymi w posiadaniu tego dostawcy dostępu do Internetu stanowiła sposób, który może, racjonalnie rzecz biorąc, zostać zastosowany w celu zidentyfikowania osoby, której dane dotyczą”.

Z powyższych względów Trybunał orzekł między innymi, że „artykuł 2 lit. a) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych należy interpretować w ten sposób, że dynamiczny adres protokołu internetowego zarejestrowany przez dostawcę usług medialnych online przy okazji przeglądania przez daną osobę strony internetowej, którą dostawca ten udostępnia publicznie, stanowi wobec tego dostawcy dane osobowe w rozumieniu tego przepisu, w sytuacji gdy dysponuje on środkami prawnymi umożliwiającymi mu zidentyfikowanie osoby, której dane dotyczą, dzięki dodatkowym informacjom, jakimi dysponuje dostawca dostępu do Internetu dla tej osoby”.

Omawiane rozstrzygnięcie stanowi przykład dynamicznej wykładni pojęcia kluczowego dla ochrony danych osobowych, jakim są „dane osobowe”. Tym razem Trybunał Sprawiedliwości UE poszerzył jego zakres o dynamiczne adresy IP. Co jednak umyka przy pierwszej lekturze orzeczenia, nie każdy adres IP stanowić może dane osobowe. Dotyczy to wyłącznie sytuacji, w której adres IP w połączeniu z innymi informacjami umożliwi identyfikację określonej osoby fizycznej. Jednocześnie, niejako przy okazji, Trybunał przypomniał o dorobku interpretacyjnym dotyczącym pojęcia „dane osobowe”.

Zaloguj się/utwórz konto, aby zdobyć punkty szkoleniowe
0%

In English

The concept of personal data – the verdict of the EU Court of Justice in Case C-582/14 Patrick Breyer/Bundesrepublik Deutschland

Technological development and the legal arrangement attempting to follow it pay more attention to privacy. The verdict of the EU Court of Justice in Case C-582/14 Patrick Breyer/Bundesrepublik Deutschland significantly interferes in scope. It broadens the concept of personal data on dynamic IP addresses. This is, however, only if the dynamic IP address in conjunction with other information relating to a natural person enables its identification. The verdict is a basis for the understanding what constitutes personal data.

Tags

personal data personal data protection IP adress identification of a natural person
Przejdź do Palestra 6/2017

Informacja o plikach cookies

W ramach Strony stosujemy pliki cookies. Korzystanie ze Strony bez zmiany ustawień dotyczących cookies oznacza zgodę na ich zapis lub wykorzystanie. Możecie Państwo dokonać zmiany ustawień dotyczących cookies w przeglądarce internetowej w każdym czasie. Więcej szczegółów w "Polityce Prywatności".