Dana osobowa w danych osobowych RODO

Po moim przeczytaniu GDPR/RODO i zwróceniu uwagi na istnienie pojedynczej danej osobowej  [patrz Informatyk czyta RODO] - na LinkedIn i nie tylko tam - wywiązała się na ten temat dyskusja. Dla wielu było to zbyt mocne stwierdzenie, gdyż dotychczas uważali, że mówimy zawsze o danych osobowych w liczbie mnogiej.

Ale ja jestem uparty i  po zapoznaniu się z wieloma ciekawie podanymi argumentami, powracam do stwierdzenia istnienia pojedynczej danej osobowej w RODO. Nie zamierzam przy tym kogokolwiek przekonywać do zmiany jego/jej dotychczasowych poglądów już przecież tak dopracowanych na kilka dni przed wejściem w życie RODO. Ale też mam nadzieję, że poniższy tekst będzie katalizatorem przeanalizowania dotychczasowych ustaleń i pomoże w dyskusjach co jest już, a co nie jest daną osobową.

Przypomnijmy sobie początek definicji „danych osobowych” GDPR(EN) oraz RODO(PL) :

‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’);…

„dane osobowe” oznaczają [wszelkie] informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”);…

Z tej definicji jednoznacznie wynika, że dane osobowe dotyczą jednej zidentyfikowanej lub możliwej do zidentyfikowania osoby, a dopiero uporządkowany zbiór (bo nie zestaw) danych umieszczony w systemie archiwizacji (filing system) może dotyczyć większej liczby osób. Jeżeli więc dane osobowe dotyczą jednej osoby, to naturalnym jest, że jest w nich od 1 do N pojedynczych danych – przy czym od 1 do n (n<=N) danych pozwala zidentyfikować tę osobę.

[AKTUALIZACJA 2018.09.22:

Po prezentacji  [na Seminarium UODO] zwrócono mi uwagę, że dana osobowa oznacza informację o osobie, a nie to że pozwala zidentyfikować jej tożsamość. Dlatego też skrócona wersja definicji powinna być następująca:

„dana osobowa” oznacza informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Ta definicja (również jej wersja z RODO) oznacza, że mając informację mogącą być daną osobową, a nie mogąc na jej podstawie zidentyfikować osoby do której powinna być ona przypisana, nie możemy jej dalej traktować jako danej osobowej.

W takim przypadku wraz z taką daną musimy mieć inną daną osobową identyfikującą taką osobę, a wtedy dopiero możemy tę informację właściwie przypisać do zidentyfikowanej osoby. Jest to ciekawa konstatacja.

koniec AKTUALIZACJI]

Ważnym jest pytanie ile to pojedynczych danych jest potrzebne do tej identyfikacji?

Ale na początek nieco informatyki.

Teraz możemy się zastanawiać ile pojedynczych danych jest potrzebnych do identyfikacji osoby. W odpowiedzi powracają dyskusje na przykładami informacji, które mogą być samodzielnym, unikalnym identyfikatorem osoby. Przyjrzyjmy się kilku z nich:

numer PESEL - jest pojedynczą daną pozwalającą jednoznacznie zidentyfikować osobę [patrz uwaga 1]; nie ma tutaj znaczenia, że można z tej danej przy odpowiedniej strukturze jej zapisania, można wyciągnąć datę urodzenia oraz płeć osoby – logicznie jest to jedna dana.

seria i numer dowodu osobistego – jest unikalnym numerem złożonym z 9 znaków alfanumerycznych, gdzie trzy pierwsze litery pozwalają wygenerować więcej kombinacji niż trzy cyfry i co prawda w ustawie o dowodach osobistych w art.12 jest zapisany jako dana dotycząca dowodu osobistego – to jednak pozwala jednoznacznie zidentyfikować osobę – właściciela tego dowodu [patrz uwaga 1 oraz 2].

numer rejestracyjny pojazdu – jest unikalnym identyfikatorem pojazdu pozwalającym przypisać go do jego właściciela – osoby fizycznej lub prawnej; stąd nie każdy numer rejestracyjny jest daną osobową, ale w przypadku osób fizycznych - właścicieli pojazdów jest wystarczającą daną osobową [patrz uwaga 1 i 2].

numer telefonu [komórkowego] – może być unikalnym identyfikatorem osoby – stąd może to być pojedyncza dana osobowa; problemem może być łatwość utracenia telefonu (lub jego pozostawienie, rozładowanie czy brak doładowania konta) , co powodaloby perturbacje kontaktu z daną osobą

obraz (skan) dowodu osobistego – jest również pojedynczą daną osobową pozwalającą zidentyfikować osobę fizyczną przy sprawnym programowanym rozpoznawaniu danych z obrazu skanu; oczywiście może to być również rozpoznawanie „ręczne”, bo takie też podpada pod GDPR.

Teraz możemy się zająć przykładami pojedynczych danych osobowych, gdzie pojedyncza dana osobowa tylko w części wartości przechowuje dane unikalne i stąd musi być powiązana z inną daną osobową (danymi osobowymi) dla uzyskania jednoznaczności wyboru.

nazwisko – jest pojedynczą daną osobową jeżeli  nazwiska są  unikalne (np. moje nazwisko za parę lat może nosić tylko jedna osoba płci męskiej na świecie); prawdą jest, że większość nazwisk obejmuje wiele osób tej samej płci, a również jest grupa nazwisk identyczna dla obu płci; tym samym realnie trzeba tę daną osobową powiązać z inną (innymi) danym osobowymi, aby uzyskać jednoznaczną identyfikację osoby. 

imię i nazwisko – pisane łącznie może być pojedynczą daną osobową na podobnej jak dla samego nazwiska zasadzie, przy czym tutaj znacznie częściej możemy mieć unikalną identyfikację tej samej osoby (np. wacław iszkowski jest tylko jeden na świecie); w praktyce jednak trzeba tę daną powiązać jeszcze z inną daną identyfikującą osobę. 

adres mejlowy – jest pojedynczą daną osobową i dla znaczącej liczby wartości jest unikalny (np. waclaw@iszkowski.eu ; waclaw.iszkowski@piit.org.pl ) i co więcej możemy wymusić unikalność adresów mejlowych w określonym zbiorze danych osobowych (np. w organizacji, zakładzie pracy czy uczelni); Tutaj wzorem Niemiec i Estonii Państwo mogłoby wygenerować każdemu Obywatelowi unikalny adres mejlowy poprzez który by się z nim komunikowało w sprawach administracyjnych – wtedy mogłaby to być unikalna dana osobowa.

numer IP – przez niektórych jest traktowany jako dana osobowa, gdyż może być w wielu przypadkach unikalny; ja bym nie popierał tego ustalenia, gdyż przede wszystkim osoby z dużymi trudnościami mogą poznać akurat używany numer IP, numery te mogą się dynamicznie zmieniać, a i użytkownik może używać różnych numerów IP w różnych miejscach logowania się do systemu.

Uwaga 1. Przy pojęciu identyfikacji osoby zaznacza się, że taka identyfikacja powinna być łatwa bez ponoszenia specjalnych kosztów. Zawsze przy tym powinno być sprecyzowane dla kogo ma to być łatwe, gdyż w większości przypadków odpowiednie urzędy i służby mogą bardzo łatwo dowiedzieć się kto ma taki numer Pesel, DO, Paszportu, dokumentu ZUSu, rej. pojazdu, itp.

Uwaga 2. Praktycznie dla każdej informacji – danej  - konieczne jest uwzględnienie okresu jej ważności. Nazwisko, numer dowodu, paszportu, telefonu, samochodu, adres mejlowy może być zmienione – ba nawet płeć i numer Pesel  też. Dlatego też istotnym jest notowanie czasu, kiedy było dokonywana operacja, aby można było potwierdzić jej z zgodność z aktualnymi danymi. 

Komentarz do ostatniego komentarza Pana Tomasza Izydorczyka zamieszczonego w dyskusji LinkedIn

Pan Tomasz Izydorczyk pisze - … Porównywanie matematycznego świata binarnego z naukami społecznymi, w mojej ocenie nie ma najmniejszego sensu (przynajmniej nie tym językiem, którym się posługujemy obecnie). To co w matematyce można oznaczyć "jest / nie ma" w naukach społecznych, a tym bardziej w prawie, nie da się zastosować. Po to każda nauka ma swoje zasady, swoją siatkę pojęć, aby w ramach konkretnej dziedziny rozumieć podobnie znaczenie określonych słów, pojęć. Dla mnie nie ma w prawie "danej osobowej", jest tylko liczba mnoga, bo na podstawie pojedynczej informacji nie da się ustalić tożsamości osoby fizycznej….

W mojej odpowiedzi…. Każda nauka ma oczywiście swoje zasady, ale nie może ona abstrahować od zasad innych nauk. Tutaj zasady prawne określone przez GDPR/RODO będą realizowane w systemach teleinformatycznych (również nie w zautomatyzowanych) gdzie od zawsze występuje pojęcie pojedynczej danej przechowującej informację (wg Collinsa: datum – a piece of information) w odpowiednio zdefiniowanej strukturze danych, albo pojedyncza karta z informacją włożona do teczki folderu w kartotece. Co więcej w dużej liczbie przypadków ta pojedyncza dana, często o złożonej strukturze, mogąca być pojedynczym bajtem lub nawet megabajtowym obrazem lub plikiem wystarcza do zidentyfikowania danej osoby. I jak to wyżej zostało pokazane takimi pojedynczymi danymi osobowymi są: numer PESEL, NIP, nr świadczenia w ZUS, numer DO i paszportu, numer rejestracyjny pojazdu, telefonu komórkowego, itp. Również istnieją pojedyncze dane osobowe, które tylko częściowo mogą zawierać informacje unikalne identyfikujące (rozróżniające) osoby, co powoduje konieczność skorzystania z innych pojedynczych danych osobowych dla całkowitej identyfikacji danej osoby. Taka interpretacja jest zgodna z podaną definicją personal data (GDPR) oraz z jej niezbyt udanym polskim tłumaczeniem (RODO) i jestem zdziwiony dlaczego tak wielu prawników zajmujących się tym tematem nie zwróciło uwagi, że dane osobowe dotyczące jednej osoby składają się z pojedynczych danych osobowych.

I jeszcze odpowiednia ilustracja ze świata prawniczego. W rozprawie przed sądem istotnym elementem jest przedstawienie przez każdą ze stron zebranych dowodów rzeczowych mających udowodnić winę lub niewinność oskarżonego. Dowodów może być wiele, ale każdy z nich rozpatrywany jest pojedynczo i często ten jeden ma decydujące znaczenie dla rozstrzygnięcia sprawy, ale też czasem dopiero kilka wzajemnie uzupełniających się dowodów może wskazać kierunek dalszego postępowania.

I właśnie w prawie stosuje się tutaj zasadę jest dowód/nie ma dowodu. Jak bardzo to jest zbliżone koncepcyjnie do danych osobowych.

AKTUALIZACJA: Ciekawy esej o pojęciu danej [datum]

Zapraszam do przeczytania: Grzegorz Kowalski, Dana osobowa – czy istnieje lub mogłoby istnieć takie coś?