Opinia 4/2007 w sprawie pojęcia danych osobowych 01248/07/PL WP 136

Grupa robocza ds. Ochrony danych powołana na mocy art. 29 w opinii 4/2007 (01248/07/pl wp 136) popastwiła się nad pojęciem danych osobowych. Trzeba przyznać, bardzo ciekawie "rozłożyła na łopatki" definicję, co widać po samym spisie treści:

III. Analiza definicji „danych osobowych” według dyrektywy o ochronie danych 6

1. Pierwszy element: „wszelkie informacje”

2. Drugi element: „dotyczące”

3. Trzeci element: „zidentyfikowanej lub możliwej do zidentyfikowania” [osoby fizycznej]

4. Czwarty element: „osoby fizycznej”

Takimi danymi, którymi interesuje się grupa robocza, sa m.in. numery telefonów. Sam numer telefonu trudno uznać za daną osobową, ale...

Jak wspomniano powyżej, istotnym czynnikiem pozwalającym na ocenę „wszystkich sposobów, jakimi można się posłużyć” w celu zidentyfikowania osoby jest cel przetwarzania danych przez administratora. Krajowe organy ds. ochrony danych osobowych zetknęły się ze sprawami, w których administrator twierdził że przetwarza jedynie niekompletne informacje bez jakiejkolwiek wzmianki o nazwisku lub innym bezpośrednim czynniku identyfikującym i przekonywał, że dane nie powinny być uważane za dane osobowe i nie powinny podlegać przepisom dotyczącym ochrony danych osobowych. Jednak przetwarzanie takich informacji ma sens jedynie wtedy, jeżeli umożliwia zidentyfikowanie konkretnych osób i zastosowanie wobec nich określonego sposobu traktowania. W przypadkach gdy celem przetwarzania jest identyfikacja osób, można przypuszczać, że administratorzy lub inne zainteresowane osoby dysponują sposobami, „jakimi można się posłużyć” w celu zidentyfikowania osoby, której dane dotyczą. Twierdzenie, że osoby nie są możliwe do zidentyfikowania, podczas gdy celem przetwarzania danych jest właśnie ich identyfikacja, zawierałoby wewnętrzną sprzeczność. Dlatego informacje takie należy uważać za dotyczące osób
możliwych do zidentyfikowania, a przetwarzanie ich powinno podlegać przepisom dotyczącym ochrony danych.

Grupa robocza czasami zapomnina o tym, że pewne informacje są danymi osobowymi w pewnych okolicznościach lub dla pewnej grupy osób. Np. numer IMEI telefonu nie jest daną osobową, ale jest/może nią byc dla operatora sieci komórkowej, gdy karta jest abonamentowa (nie pre-paid). Numer konta bankowego nie jest daną osobową, ale jest nią dla banku, który prowadzi ten rachunek... i tak dalej, i tym podobnie...

Niemniej jednak warto ją przeczytać...

Link do opinii http://ec.europa.eu/justice/policies/privacy/docs/wpdo...