W poprzednim wpisie na kilku prostych przykładach starałem się wyjaśnić, czym właściwie są dane osobowe. Dziś chciałbym kontynuować ten wątek, bo jak już poprzednio wspominałem, uświadomienie sobie przez przedsiębiorcę, które spośród będących w jego posiadaniu informacji podlegają rygorom ustawy o ochronie danych osobowych, jest kluczem do skutecznego i zgodnego z prawem zarządzania procesami przetwarzania tych informacji.
O ile w przypadku zestawienia takich danych jak imię i nazwisko, adres czy zajmowane stanowisko, nie ma wątpliwości, że do czynienia mamy z danymi osobowymi, to pojawiają się one, gdy zaczynamy mówić np. o numerach IP komputera, numerach kart kredytowych lub adresach poczty e-mail, szczególnie gdy te ostatnie nie wskazują jednoznacznie, do kogo należą.
Czy takie dane są danymi osobowymi? Czy w każdym przypadku? Jak już wspominałem ostatnio, danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Każda więc informacja, na podstawie której możemy w sposób nie wymagający podjęcia szczególnych środków (takich jak np. zwrócenie się w toku postępowania, za pośrednictwem sądu, z wnioskiem o identyfikację abonenta usługi internetowej posługującego się określonym numerem IP) zidentyfikować określoną osobę, musi być chroniona jako dane osobowe!
Jak jednak wiadomo, dla niektórych podmiotów, w tym np. operatora usług internetowych, numer IP komputera jest informacją pozwalającą na łatwe zidentyfikowanie przypisanego do tego numeru abonenta. Czy w takim przypadku mówimy więc o danych osobowych? To zależy… Przedsiębiorca dysponujący środkami umożliwiającymi mu łatwe powiązanie określonej informacji dotyczącej osoby, z konkretną osobą fizyczną, musi traktować tę informację jak dane osobowe. Tak jest właśnie w przypadku dostawców usług telekomunikacyjnych, instytucji finansowych lub uczelni wyższych, którzy dysponując odpowiednio: numerem IP komputera, numerem karty kredytowej lub rachunku bankowego i numerem legitymacji lub indeksu, są w stanie w prosty sposób zidentyfikować osoby powiązane z tymi numerami. Mając bowiem dostęp do systemu informatycznego, w którym przetwarzane są kompletne dane dotyczące ich klientów, przedsiębiorcy ci w łatwy sposób, po jednym z w/w numerów, mogą dotrzeć do konkretnej osoby. Przedsiębiorca taki zobowiązany jest zabezpieczenia informacji stanowiących, choć wyłącznie dla niego, dane osobowe, w taki sam sposób jak czyni to z danymi „klasycznymi”. Dostęp do tych danych i systemu informatycznego, w którym są one przetwarzane musi być ograniczony. Stanowisko to podziela również Generalny Inspektor Danych Osobowych, uznając np. że w określonych sytuacjach danymi osobowymi mogą być numery VIN pojazdów, tablice rejestracyjne i szereg innych.
Powyższe pokazuje, że każdy przedsiębiorca musi dokładnie przeanalizować strukturę danych przetwarzanych w jego przedsiębiorstwie i zastanowić się, które z tych informacji musi traktować jak dane osobowe. Jak bowiem widać, sytuacja dwóch różnych podmiotów, przetwarzających te same dane, może się znacznie różnić.
