Po krótkim namyśle postanowiłem poświęcić swoją pierwszą, powitalną notkę podstawowej dla ochrony danych osobowych kwestii. Wychodzę z prostego założenia – pisząc o danych osobowych i ich ochronie w pierwszej kolejności warto wyjaśnić, czym dane osobowe są i czego dotyczy całe to zamieszanie z ich ochroną.

Choć nie o przepisach miała być dziś mowa, a o danych osobowych – jednak jak zawsze ma to miejsce w przypadku analizy kwestii prawnych, treść odpowiednich przepisów stanowić musi dla nas punkt wyjścia. Zgodnie z przepisami ustawy o ochronie danych osobowych, za dane osobowe uznaje się „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Już więc na pierwszy rzut oka widzimy, że polskie prawo chroni jedynie dane dotyczące osób fizycznych, a co dodatkowo precyzują przepisy – dane żyjących osób fizycznych. Inaczej więc niż w niektórych państwach UE, dane dotyczące jednostek organizacyjnych, w tym np. spółek prawa handlowego, fundacji i stowarzyszeń, nie są w Polsce objęte tą szczególną ochroną.

Z analizy przywołanej definicji wynika również wyraźnie, że osoba, której dane dotyczą, musi być za ich pomocą możliwa do zidentyfikowania. Kiedy jednak możemy mówić, że określona osoba jest identyfikowalna? Jakie kryterium oceny należy w tym przypadku zastosować? Przyjąć trzeba, że przez możliwość zidentyfikowania rozumieć należy stan, w którym administrator danych (więcej na temat pozycji administratora danych osobowych już niebawem) ma możliwość dokonania, pośrednio lub bezpośrednio, identyfikacji określonej osoby, bez potrzeby angażowania w tym celu nadmiernych środków, w tym podejmowania bardziej złożonych działań lub działań wymagających czasu.

Przykładowo więc: czy imię i nazwisko, nie zestawione z innymi informacjami, stanowią dane osobowe w rozumieniu prawa? Ile osób nosi nazwisko Jan Kowalski? Sporo… Powoduje to, że dane te same w sobie jako zbyt ogólne, nie będą chronione, o ile nie zostaną zestawione z innymi informacjami – adresem, numerem telefonu itp. Informacje o wysokim stopniu ogólności, w tym właśnie pojedyncze adresy nie stanowią danych osobowych chronionych polskim prawem.W kolejnej notce przedstawię kilka mniej oczywistych przykładów danych osobowych przetwarzanych niemal w każdym przedsiębiorstwie, a które podlegają ochronie prawnej. Sprawdzę też, czy te same informacje mogą by odmiennie klasyfikowane, w zależności od tego, jaki podmiot je przetwarza.