Artykuł 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych wprost podaje definicję tego, co należy rozumieć przez dane osobowe. Z przepisu wynika, że za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Tu należałoby wyjaśnić z pozoru prosty zapis, który może jednak budzić wątpliwości.
Dane osobowe a możliwość zidentyfikowania
Kolejny ustęp cytowanego we wstępie artykułu wyjaśnia, że osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Należy zwrócić uwagę, że katalog ten nie jest katalogiem zamkniętym. Dlatego rozstrzygając kwestię tego, czy dane, które identyfikujemy, należą do kręgu danych osobowych, czy też nie, należy przeanalizować sytuację w szerszym kontekście. Aby to zrobić, trzeba do problemu podejść w sposób zindywidualizowany, ocenę sytuacji dokonać z uwzględnieniem konkretnych okoliczności, powiązań między nimi, a nawet dobranych środków czy metody potrzebnej do dokonania tej identyfikacji.
Które dane są danymi osobowymi?
Bazując na podanej przez ustawodawcę definicji, należy przyjąć, że informacjami stanowiącymi dane osobowe są niepodważalnie imię i nazwisko, adres zamieszkania danej osoby - ulica, nr domu, miejscowość czy adres e-mail, który można przypisać do konkretnej osoby. Numer PESEL jest również tą kategorią danych zakwalifikowanych do danych osobowych, gdyż sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), kolejne cztery - liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną służącą do elektronicznej kontroli poprawności nadanego numeru ewidencyjnego.
Można więc stwierdzić, że wszystkie powyżej podane kategorie danych stanowią dane osobowe, a ich przetwarzanie podlega wszelkim rygorom przewidzianym w ustawie o ochronie danych osobowych.
Jakie dane nie są danymi osobowymi?
Danymi osobowymi nie będą pojedyncze informacje o dużym stopniu ogólności, np. nazwa ulicy i numer domu czy wysokość wynagrodzenia. Informacja ta będzie jednak stanowić daną osobową wówczas, gdy zostanie zestawiona z innymi dodatkowymi informacjami, które w konsekwencji można odnieść do konkretnej osoby.
Art. 6 ust. 3 powoływanej ustawy wskazuje, że jeżeli w celu uzyskania informacji na bazie podanych danych, chcemy określić tożsamości osoby, a wymaga to nadmiernych kosztów, czasu i działań, to takie informacje nie są danymi osobowymi. Identyfikacja osoby nie może wymagać nieracjonalnych, nieproporcjonalnie dużych nakładów kosztów, czasu lub działań. Jeżeli tak jest, dane te nie stanowią danych osobowych. Będą nimi zatem zarówno takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak i takie, które nie pozwalają na jej natychmiastową identyfikację, ale są, przy pewnym nakładzie kosztów, czasu i działań, wystarczające do jej ustalenia, zwłaszcza przy wykorzystaniu łatwo osiągalnych i powszechnie dostępnych źródeł.
Przykład 1.
Czy sam numer karty miejskiej jest daną osobową?
Tak, ale tylko wtedy, gdy na jego podstawie można bez nadmiernych nakładów kosztów, czasu i działań określić tożsamość osoby, do której ta karta należy.
Przykład 2.
Czy pogotowie ratunkowe (Zakład Opieki Zdrowotnej) może odmówić wydania dokumentacji medycznej dotyczącej zmarłego członka rodziny?
Tak, jeśli zmarły nie upoważnił za życia nikogo z rodziny do wydania jego dokumentacji medycznej.