Czym są dane wrażliwe i czy ujawniono je w aferze podsłuchowej?

Czym są dane wrażliwe i czy ujawniono je w aferze podsłuchowej?

Przy okazji sensacyjnych wydarzeń ostatnich dni w związku z aferą podsłuchową, a właściwie z jej następstwami w postaci wycieku danych osobowych osób, wobec których toczą się postępowania, w mediach trwa ożywiano dyskusja. Przysłuchując się wypowiedziom różnych polityków i publicystów odnoszę wrażenie, że wielu z nich nie zna różnicy pomiędzy danymi osobowymi a tzw. danymi wrażliwymi. Pomyślałem, że może warto wykorzystać tę okazję, aby dokonać pewnego uporządkowania tych terminów.

Czym są dane osobowe

Jak wynika z Ustawy o ochronie danych osobowych (UoDO):

Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (Art. 6.1 UoDO).

Istotne w tym zapisie jest słowo WSZELKIE. Ustawodawca nie określa dokładnie, o które dane chodzi, ale doprecyzowuje to w kolejnych punktach artykułu 6:

6.2 Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

6.3 Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Jak wynika z powyższego zapisy ustawy w tym zakresie mają charakter ogólny i wskazują na konieczność każdorazowego rozstrzygania czy dane są osobowe czy nie.

Np. imię i nazwisko. Jeśli napiszemy tutaj „Jan Kowalski” to samo w sobie nie jest daną osobową, bo po pierwsze jest to bardzo popularne nazwisko, więc nie możemy ustalić tożsamości osoby bez nadmiernych kosztów, czasu lub działań, a po drugie nie występuje tu w żadnym kontekście. Jeśli natomiast będziemy mówili o Janie Kowalskim zamieszkałym w Warszawie przy ul. Długiej 6, to takie zestawienie danych należy już jak najbardziej traktować, jako daną osobową.

Podobne wątpliwości często budzą adresy e-mail. Czy należy je traktować, jako dane osobowe? I taki i nie.

Np. adres email misiaczek234@gmail.com raczej nie, bo nie pozwala on nam na ustalenie tożsamości osoby, ale adres jan.kowalski@firmax.pl już tak, ponieważ bez większego wysiłku możemy ustalić, że chodzi o pana Jana Kowalskiego, pracującego w firmie X.

Czym są dane wrażliwe

Zastanówmy się wreszcie czym są dane wrażliwe. Sam termin „dane wrażliwe” nie pojawia się w przepisach, więc należy go traktować jako termin potoczny lub techniczny.

Z ustawy wynika jednak jednoznacznie, że ustawodawca obejmuje pewne typy danych szczególną ochroną. Mowa o art. 27.1 UoDO, w którym czytamy:

Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

No i w ten sposób uzyskujemy odpowiedź na pytanie czym są dane wrażliwe!

Dla przykładu, jeśli nasz przysłowiowy Joe Doe zostanie skojarzony z informacjami na temat stanu zdrowia, preferencji seksualnych lub tego czy był karany, to bez wątpienia mamy do czynienia z tzw. danymi wrażliwymi.

Zresztą, najlepiej to chyba zrozumieć jeśli podejdziemy o sprawy na chłopski rozum – dane osobowe (zwykłe) są neutralne, kiedy dane wrażliwe (sensytywne) mogą wiązać się z pewnymi stanami emocjonalnymi i w efekcie prowadzić np. do dyskryminacji.

Potwierdzenie katalogu tzw. danych wrażliwych możemy również odnaleźć w rozporządzeniu ministra spraw wewnętrznych i administracji z dn. 11.12.2008 w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.

Dokładniej chodzi o cześć C punkt 9, gdzie zgłaszający zbiór do GIODO wskazuje rodzaj danych przetwarzanych w zbiorze:

czym sa dane wrazliwe

Wracając teraz do początku, czyli afery związanej z wyciekiem danych. Nie przeglądałem wszystkich ujawnionych skanów akt, więc nie wiem czy ujawniono tam akurat tzw. dane wrażliwe, o których mowa powyżej. Jednego możemy być natomiast pewni – ujawniono dane osobowe w sposób niezgodny z prawem!

Czy prokurator mógł ujawnić te dane stronom postępowania – no mógł, na mocy odrębnych przepisów, które dają stronom postępowania prawo do wglądu w akta (i bardzo dobrze). Czy prokurator mógł zabezpieczyć się przed wyciekiem danych osobowych – również mógł – i szkoda, że tego nie zrobił. Wystarczyło dokonać tzw. anonimizacji, czyli mówiąc najprościej – zamazania czarnym mazakiem danych osobowych osób trzecich. Wymagałoby to jednak trochę wysiłku i trochę wyobraźni, których w tym przypadku zabrakło.

Swoją drogą jest mi bardzo przykro, że z jednej strony tworzy się restrykcyjne prawo o ochronie danych osobowych, które dla wielu przedsiębiorców jest sporym wysiłkiem i dodatkowym obciążeniem nałożonym przez państwo. A z drugiej strony organy tego samego państwa zachowują się w tak nieodpowiedzialny sposób!

Zadaniem prokuratury jest dojście do tego, kto to zrobił, a potem sądu ustalenie czy jest winny. Jeśli tak się stanie, to osoba ta powinna ponieść zasłużoną karę.

Na zakończenie cytat z UoDO w sprawie sankcji karnych odnośnie nieuprawnionego przetwarzania (publikowania) danych osobowych i danych wrażliwych:

Art. 49. 1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.