::
::
W systemie ochrony danych istnieją sporne tematy, które dzielą także ekspertów. Takim tematem jest określenie, czy dane dane są już osobowe, czy jeszcze nie. A jak to jest w przypadku numeru rejestracyjnego?
Jednym z takich odwiecznych tematów jest numer rejestracyjny auta. Zacznijmy jak zwykle od definicji z RODO:
„dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
W tym artykule skupię się na początku definicji:
„dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej […]
i pojawia się pytanie – możliwej do zidentyfikowania przez kogo? Mamy tu do czynienia z dwoma możliwymi podejściami:
Podejście obiektywne – osoba ma być możliwa do zidentyfikowania w ogólności.
Podejście subiektywne – osoba ma być możliwa do zidentyfikowania w konkretnej sytuacji.
W podejściu pierwszym sprawa jest jasna. Numer rejestracyjny figuruje w bazie urzędowej, na jego podstawie policja, prokuratura i inne urzędy są w stanie zidentyfikować właściciela, więc numer rejestracyjny to dane osobowe identyfikujące, a co za tym idzie, tworzenie np. internetowych rejestrów zdjęć źle zaparkowanych samochodów to już przetwarzanie danych osobowych, choć autor rejestru ani osoba wgrywająca doń te zdjęcie, nie są w stanie rozpoznać, kto jest ową osobą fizyczną.
Zdecydowanie przyjemniejsze byłoby podejście subiektywne, wg którego ten numer to nie są dane, gdyż zidentyfikować osobę może tylko wąski krąg uprawnionych. Tylko czy takie podejście się obroni w zetknięciu z rodzimym Urzędem Ochrony Danych Osobowych, lub jego zagranicznymi odpowiednikami? Motyw 26 RODO niewiele tu wyjaśnia, mówiąc:
Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.
Wspomina się tu bowiem o innej osobie, a więc zdjęcie źle zaparkowanego samochodu może zostać wykorzystane czy to przez policję czy to przez sąsiada, który może połączyć zdjęcie z internetu z realnym naszym pojazdem. Obydwie te osoby (policjant i sąsiad) wcale nie używają jakiś nierozsądnych i nieprawdopodobnych metod.
Nieraz zresztą w internecie widywałem komentarze: Nie zamazujcie numerów, dopadniemy dzbana. Skoro tak, to komentujący jednak zakładają, że go zidentyfikują.
Czy więc obiektywne podejście nie jest jednak bezpieczniejsze? Jeśli numer nie pozwala na identyfikację, to czy został zamazany czy nie, odbiorca zdjęcia czy filmu nie odczuje różnicy. A jeśli odczuje różnicę, to może jednak ten numer pozwala na identyfikację i należy go potraktować jak identyfikujące dane osobowe?
Zachęcam Państwa do dyskusji na ten temat. Czy to w komentarzach pod artykułem, czy to na facebookowym Forum Inspektorów Ochrony Danych.
Jednym z takich odwiecznych tematów jest numer rejestracyjny auta. Zacznijmy jak zwykle od definicji z RODO:
„dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
W tym artykule skupię się na początku definicji:
„dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej […]
i pojawia się pytanie – możliwej do zidentyfikowania przez kogo? Mamy tu do czynienia z dwoma możliwymi podejściami:
Podejście obiektywne – osoba ma być możliwa do zidentyfikowania w ogólności.
Podejście subiektywne – osoba ma być możliwa do zidentyfikowania w konkretnej sytuacji.
W podejściu pierwszym sprawa jest jasna. Numer rejestracyjny figuruje w bazie urzędowej, na jego podstawie policja, prokuratura i inne urzędy są w stanie zidentyfikować właściciela, więc numer rejestracyjny to dane osobowe identyfikujące, a co za tym idzie, tworzenie np. internetowych rejestrów zdjęć źle zaparkowanych samochodów to już przetwarzanie danych osobowych, choć autor rejestru ani osoba wgrywająca doń te zdjęcie, nie są w stanie rozpoznać, kto jest ową osobą fizyczną.
Zdecydowanie przyjemniejsze byłoby podejście subiektywne, wg którego ten numer to nie są dane, gdyż zidentyfikować osobę może tylko wąski krąg uprawnionych. Tylko czy takie podejście się obroni w zetknięciu z rodzimym Urzędem Ochrony Danych Osobowych, lub jego zagranicznymi odpowiednikami? Motyw 26 RODO niewiele tu wyjaśnia, mówiąc:
Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.
Wspomina się tu bowiem o innej osobie, a więc zdjęcie źle zaparkowanego samochodu może zostać wykorzystane czy to przez policję czy to przez sąsiada, który może połączyć zdjęcie z internetu z realnym naszym pojazdem. Obydwie te osoby (policjant i sąsiad) wcale nie używają jakiś nierozsądnych i nieprawdopodobnych metod.
Nieraz zresztą w internecie widywałem komentarze: Nie zamazujcie numerów, dopadniemy dzbana. Skoro tak, to komentujący jednak zakładają, że go zidentyfikują.
Czy więc obiektywne podejście nie jest jednak bezpieczniejsze? Jeśli numer nie pozwala na identyfikację, to czy został zamazany czy nie, odbiorca zdjęcia czy filmu nie odczuje różnicy. A jeśli odczuje różnicę, to może jednak ten numer pozwala na identyfikację i należy go potraktować jak identyfikujące dane osobowe?
Zachęcam Państwa do dyskusji na ten temat. Czy to w komentarzach pod artykułem, czy to na facebookowym Forum Inspektorów Ochrony Danych.
Jest to odcinek podkastu:
Kącik inspektora
Podkast prowadzony przez Inspektora Ochrony Danych uprawiającego swoje rzemiosło od 2011 roku.