Imię i nazwisko jako dane osobowe i.. nie tylko…
Temat jest w sumie głębszy, bo dotyczy wszelkich identyfikatorów, czy danych nadanych osobom. A więc numerom PESEL, imieniu i nazwisku, pseudonimowi, numerom kadrowym i innym.
Gdzie leży błąd?
Błędem w interpretacji co jest daną osobową, a co może być daną jest tutaj kwestia identyfikacji, którą wielu specjalistów uznaje za być albo nie być danych osobowych. A tymczasem to nie tak, bo mamy art. 11 RODO, który brzmi:
Artykuł 11
Przetwarzanie niewymagające identyfikacji
- Jeżeli cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do niniejszego rozporządzenia.
- Jeżeli w przypadkach, o których mowa w ust. 1 niniejszego artykułu, administrator może wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, w miarę możliwości informuje o tym osobę, której dane dotyczą. W takich przypadkach zastosowania nie mają art. 15–20, chyba że osoba, której dane dotyczą, w celu wykonania praw przysługujących jej na mocy tych artykułów dostarczy dodatkowych informacji pozwalających ją zidentyfikować.
Przepis ten oznacza, że w praktyce mogą występować dane osobowe, które nie identyfikują osoby. Dodatkowo administrator nie ma obowiązku pozyskać dodatkowych informacji (danych) tylko po to, aby spełnić wymagania RODO. Tak jest między innymi z numerem PESEL, który bezsprzecznie jest daną osobową, jak i imieniem i nazwiskiem.
Artykuł ten dotyczy fundamentów ochrony danych osobowych, który łączy się z wcześniej napisanym artykułem o identyfikatorach rzeczy, w tym o tablicach rejestracyjnych. Po tamtym artykule było wiele dyskusji w social mediach o rozumieniu danych osobowych. Dlatego podsumowując ten mikro-cykl dwa zdania wyjaśnienia czy tez klasyfikacji.
Dane osobowe występują w różnych formach i w związku z tym wymagają konkretnych działań. Mogą to być dane:
- Dotyczące zidentyfikowanej osoby, ale administrator nie zawsze ma obowiązek ją identyfikować w swoich procesach (PESEL, imię i nazwisko),
- Umożliwiające identyfikację osoby, w tym np. identyfikatory osoby (PESEL, imię i nazwisko) oraz identyfikatory rzeczy (np. numer rejestracyjny) występujące łącznie jako dane identyfikujące.
- Dane dotyczące zidentyfikowanej osoby, nie będące bezpośrednio danymi osobowymi samoistnymi (identyfikatorami osoby) takie jak auto służbowe, miejsce wykonywania pracy, zakres zadań.
Podsumowanie
Zrozumienie tych fundamentów jest niezbędne do poprawnego zabezpieczenia danych osobowych. Pojawia się tutaj np. odpowiedź na „peselozę” Urzędu Ochrony Danych Osobowych, który wprost nakazuje ochronę numeru PESEL, niezależnie od różnych okoliczności. Wynika to z faktu, że numer PESEL jest numerem nazwijmy to o charakterze publicznym. Zastosowanie anonimizacji jako zabezpieczenia nie odniesie takiego skutku, jak w przypadku np. danych kadrowych i nadanego numeru SAP-143456_pl. Odczytanie numeru kadrowego wymaga dostępu do sieci przedsiębiorstwa i systemu, który wiąże te numery, podczas gdy numer PESEL występuje w wielu różnych miejscach i nie zawsze jest to tylko baza PESEL. Z tego powodu wyłączeniu z art. 11 podlegają tylko prawa osoby (informowanie, sprzeciw, ograniczenie, zapomnienie), pozostałe przepisy RODO należy stosować, aby nie doszło do sytuacji, w której wyciek danych numeru PESEL z określoną transakcją da się powiązać z osobą za pomocą wpisu do KRS.
