Prawdopodobieństwo identyfikacji - czyli kiedy dane nie mają statusu danych osobowych

Marcin Sarna

Autor: Marcin Sarna

Dodano: 20 grudnia 2018
Kradzież danych osobowych

W poprzednio obowiązujących przepisach informacje nie były danymi osobowymi, jeżeli wymagałyby nadmiernych kosztów, czasu lub działań. Podobne rozwiązanie można znaleźć w RODO. Jak zatem ustalić granicę, za którą dane tracą charakter danych osobowych?

Jak było …

W istocie w art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych wskazano, że za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Przy czym zgodnie z ust. 3 informacji nie uważano za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

… i jak jest

Obecnie obowiązujące przepisy także biorą wzgląd na te względy.

Zgodnie z motywem 26 RODO zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Dane osobowe poddane pseudonimizacji, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej.

Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Uwzględnione muszą być wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz technologia dostępną w momencie przetwarzania danych, jak i postęp technologiczny.

Uwaga

Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować.

Uzasadnione prawdopodobieństwo identyfikacji

Wskazane wyżej odniesienia zawarte w motywie 26 RODO należy naturalnie odnieść do definicji danych osobowych zawartej w art. 4 pkt 1 RODO. Zgodnie z nią dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej a możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Ta możliwość identyfikacji powinna być oceniana wg kryteriów wskazanych w motywie 26, tj. przede wszystkim „wszelkich obiektywnych czynników, takich jak koszt i czas potrzebne do jej zidentyfikowania”. Tym samym danymi osobowymi nie będą informacje, które nie pozwalają zidentyfikować osoby fizycznej. biorąc pod uwagę „uzasadnione prawdopodobieństwo” wyznaczone tymi obiektywnymi czynnikami.

Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x