Czym są dane osobowe – wyjaśnienie ustawowej definicji

W dniu 29 sierpnia 1997 r., w wykonaniu art. 51 ust. 5 Konstytucji Rzeczypospolitej Polskiej, uchwalona została nowa w polskim systemie prawnym ustawa – o ochronie danych osobowych (tekst jednolity: Dz. U z 2002 r. Nr 101, poz. 926 ze zm.), zwana dalej również ustawą. Obowiązuje od dnia 30 kwietnia 1998 r. Jej celem, na co wskazuje przepis jej art. 1 ust. 1, jest zapewnienie każdemu prawa do ochrony dotyczących go danych osobowych. Pojęcie danych osobowych jest w ustawie pojęciem kluczowym, wyznaczającym zakres przedmiotowy jej stosowania. Czym zatem są dane osobowe? Jak pojęcie to interpretować?

Obecnie obowiązująca definicja danych osobowych, zawarta w art. 6 ustawy o ochronie danych osobowych, jest wierną, literalną transpozycją tego pojęcia zawartego w art. 2 litera a Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz swobodnym przepływie tych danych.
 
Zgodnie z art. 6 ust. 1 ustawy o ochronie danych osobowych, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Jednocześnie ust. 2 precyzuje, iż osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiające określenie tożsamości osoby tylko wówczas, gdy wymagałoby to nadmiernych kosztów, czasu lub działań (ust. 3).
W cytowanej definicji wyróżnić można 3 elementy. Mianowicie, że dane osobowe to:
1) informacje,
2) dotyczące osoby fizycznej,
3) zidentyfikowanej lub możliwej do zidentyfikowania.
Odnośnie pierwszego z wymienionych elementów należy wskazać, iż nie ma jednej powszechnie przyjętej definicji pojęcia „informacja”. W literaturze przedmiotu jest ono definiowane w różnoraki sposób. Janusz Barta, Paweł Fajgielski, Ryszard Markiewicz stwierdzają, że „informacja” oznacza komunikaty (wiadomości, wypowiedzi, prezentacje) wyrażone i zapisane w jakikolwiek sposób – słowem, dźwiękiem, obrazem; niezależnie od sposobu, zakresu i swobody ich przetwarzania. Na zakwalifikowanie określonej informacji jako danej osobowej nie ma też znaczenia, czy jest ona prawdziwa, czy też nie, jak również to, czy odnosi się ona do tego, co istniało w przeszłości, co istnieje lub co ma lub może zaistnieć.
Chodzi przy tym zarówno o informację zrozumiałą dla każdego, jak i zrozumiałą tylko dla niektórych osób lub tylko po zastosowaniu odpowiednich procedur (np. informacja kodowana).
Wymienieni autorzy zwracają również uwagę, że użycie w cytowanej definicji zwrotu „wszelkie informacje” służy podkreśleniu, iż w grę wchodzą informacje odnoszące się do każdego aspektu osoby, jej stosunków osobistych i rzeczowych, jej życia zawodowego, prywatnego, wykształcenia, wiedzy czy cech charakteru (zob. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz. Wydanie III, Zakamycze 2004, s. 370-371).
Andrzej Drozd twierdzi natomiast, iż na potrzeby ustawy o ochronie danych osobowych można przyjąć, że informacją jest każda okoliczność mająca znaczenie w świetle przyjmowanych w społeczeństwie reguł kulturowych (A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy. Warszawa 2006, LexisNexis, s.428).
Aby określoną informację można było zaliczyć do danych osobowych musi ona dotyczyć osoby fizycznej. Ma to znaczenie o tyle, że poza zakresem zainteresowania ustawy pozostają informacje dotyczące podmiotów innych, niż osoby fizyczne – a więc osób prawnych, jednostek organizacyjnych nie posiadających osobowości prawnej, a także osób fizycznych prowadzących działalność gospodarczą (tj. przedsiębiorców) w oparciu o przepisy ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. Nr 173, poz. 1807 ze zm.), a w uprzednim stanie prawnym – ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej (Dz. U. Nr 101, poz. 1178 ze zm.), przy czym – co należy podkreślić – chodzi o informacje w takim zakresie, w jakim identyfikują one podmiot w obrocie gospodarczym i ściśle wiążą się z prowadzoną przez niego działalnością gospodarczą. Takie stanowisko podzielił Naczelny Sąd Administracyjny, który w wyroku z dnia 28 listopada 2002 r. (sygn. akt II SA 3389/01) orzekł, że ochrona danych osobowych „nie odnosi się do danych indywidualnych dających się powiązać z podmiotem gospodarczym albo inną osobą prawną lub jednostką organizacyjną nie mającą osobowości prawnej, mimo, że dane te tworzą wspólnie z danymi osobowymi jedną kategorię danych jednostkowych”. W uzasadnieniu do tego wyroku czytamy również: „Jeżeli przedsiębiorca objął zakresem danych indywidualnych dotyczących firmy swoje dane osobowe, w sytuacji, gdy dane te pokrywają się, nie może on jako osoba fizyczna domagać się ochrony swoich danych osobowych, które są wykorzystywane nie jako dane osobowe, lecz jako dane firmy. Decydując się na utożsamianie tych danych godzi się tym samym na szersze ich ujawnianie i słabszą ochronę”.
Ponadto, zgodnie z art. 7a ust. 2 ustawy Prawo działalności gospodarczej, który zachował moc na podstawie art. 66 pkt 2 ustawy z dnia 2 lipca 2004 r. Przepisy wprowadzające ustawę o swobodzie działalności gospodarczej (Dz. U. Nr 173, poz. 1808 ze zm.) do dnia 30 czerwca 2008 r. „Ewidencja działalności gospodarczej jest jawna i dane w niej zawarte nie podlegają przepisom ustawy /…/ o ochronie danych osobowych.”
Za przedsiębiorców – zgodnie z przepisami ustawy o swobodzie działalności gospodarczej –uznaje się także wspólników spółki cywilnej w zakresie wykonywanej przez nich działalności gospodarczej, o której mowa w przepisach ustawy o swobodzie działalności gospodarczej.
Co jest istotne, i na co należy zwrócić uwagę w kontekście kwalifikowania określonych informacji jako danych osobowych to okoliczność, którą w powołanym wyżej orzeczeniu z dnia 28 listopada 2002 r. podniósł również Naczelny Sąd Administracyjny, iż ustalając, czy pewne informacje dotyczą konkretnej osoby fizycznej czy też innego podmiotu, uwzględnić należy okoliczności konkretnego przypadku, zwłaszcza zaś kontekst ich przetwarzania. Możliwe są bowiem sytuacje, gdy te same informacje dotyczące osoby fizycznej – w zależności od kontekstu, w jakim są wykorzystane – mogą być uznane za dane osobowe, jak też za takie nie sposób ich uznać.
Dla zakwalifikowania określonej informacji do kategorii danych osobowych nie ma znaczenia status prawny określonej osoby – to, czy posiada zdolność do czynności prawnych, czy przysługują jej prawa publiczne. Nie ma także znaczenia jej obywatelstwo. Ochronie, którą zapewnia ustawa o ochronie danych osobowych, w takim samym zakresie podlegają dane osobowe obywateli polskich, jak i cudzoziemców. Ustawie tej podlegają dane osobowe bez względu na wiek osoby, której one dotyczą, tj. czy jest ona pełnoletnia, czy też pełnoletności jeszcze nie osiągnęła.
Ochrona danych osobowych odnosi się wyłącznie do osób żywych. Zakresem ustawy nie są natomiast objęte informacje o osobach zmarłych. Wynika to zarówno z faktu, że pojęcie „osoba fizyczna” odnosi się w polskim prawie do osoby żyjącej (w prawie cywilnym jest to osoba posiadająca zdolność prawną, czyli zdolność do bycia podmiotem praw i obowiązków, tę zaś posiadają osoby żyjące) jak również z tego, że przepisy ustawy o ochronie danych osobowych przyznają podmiotowi danych szereg uprawnień, z których – z samej ich natury – skorzystać mogą jedynie osoby żyjące, np. prawo do uzyskania informacji, o którym stanowi art. 32 i 33. Ustawa nie stawia zatem żadnych przeszkód zarówno w uzyskiwaniu, jak i udostępnianiu informacji dotyczących osób zmarłych. Rozpowszechnianie informacji o zmarłych poddane jest natomiast ograniczeniom, które mają swoje źródło w ochronie dóbr osobistych, którą zapewniają przepisy art. 23 i 24 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93 ze zm.). Chodzi o dobro określane mianem „kultu pamięci o osobie zmarłej”, które przysługuje bliskim żyjącym zmarłego.
Informacja wtedy dotyczy osoby fizycznej, gdy przekazuje (komunikuje) coś na jej temat. Chodzi przy tym zarówno o osobę już zidentyfikowaną, jak też taką, której tożsamość – na podstawie posiadanych informacji – można ustalić w sposób bezpośredni lub pośredni. Za osobę możliwą do zidentyfikowania – jak stanowi art. 6 ust. 2 ustawy – uważana jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Numerami identyfikacyjnymi, o którym mowa w komentowanym przepisie, są np.: numer PESEL, numer NIP, numer dokumentu tożsamości – dowodu osobistego, paszportu. Czynnikami określającymi cechy osoby mogą być np. wygląd zewnętrzny, wzór siatkówki oka (tj. czynniki określające cechy fizyczne), struktura kodu genetycznego, grupa krwi (cechy fizjologiczne), status majątkowy (cechy ekonomiczne), pochodzenie, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniowa, partyjna lub związkowa (cechy te można określić jako umysłowe, kulturowe lub społeczne) (tak: J. Barta, P. Fajgielski, R. Markiewicz, Ochrona …, s. 378-379).
Jakkolwiek nie powinno sprawiać trudności zakwalifikowanie określonej informacji do kategorii danych osobowych, gdy informacja ta dotyczy zidentyfikowanej osoby fizycznej (np. znanej z imienia i nazwiska, numeru PESEL lub adresu zamieszkania), tak można postawić pytanie kiedy informacja pozwala określić tożsamość osoby?, bo przecież danymi osobowymi, w myśl ustawowej definicji – są również informacje pozwalające na zidentyfikowanie osoby? Czy do kategorii danych osobowych zakwalifikujemy np. informację o wysokości zadłużenia najemcy lub właściciela oznaczonego lokalu? Czy informacja o treści „Właściciel lokalu nr 6 w budynku położonym przy ul. Wesołej 50 w Warszawie zalega z płatnościami na kwotę 2 000 zł” ujawnia dane osobowe? Sama ona nie wskazuje wprost na konkretną osobę, nie określa jej tożsamości, niemniej jednak stwarza taką możliwość – możliwość ustalenia tożsamości osoby, z którą informacja jest związana. Nie stanowi raczej tajemnicy dla lokatorów danego budynku, kto zamieszkuje w lokalu o podanym numerze. Poza tym w przypadku np. spółdzielni mieszkaniowych identyfikacja taka jest ułatwiona o tyle, że członkowie spółdzielni, ich małżonkowie, wierzyciele członka oraz spółdzielni mają ustawowo zagwarantowane prawo wglądu do rejestru członków spółdzielni, w których znajdują się informacje w zakresie obejmującym m.in. imiona i nazwiska członków spółdzielni. Inny przykład: numer telefonu komórkowego. Dla przeciętnego człowieka informacja o numerze telefonu nie będzie stanowiła danej osobowej, bowiem nawet gdyby chciał ustalić u przedsiębiorcy telekomunikacyjnego, kto jest użytkownikiem posiadanego przez niego numeru, informacji takiej, ze względu na obowiązującą tegoż przedsiębiorcę tajemnicę telekomunikacyjną, nie uzyskałby. Nie będzie natomiast stanowiło tajemnicy, kto jest użytkownikiem danego numeru telefonu, dla przedsiębiorcy telekomunikacyjnego. Z jego punktu widzenia informacja taka będzie stanowiła daną osobową, ponieważ istnieje możliwość jej powiązania z konkretną osobą fizyczną. I kolejny przykład – numer rejestracyjny pojazdu. Informacja ta sama w sobie nie odnosi się do osoby, lecz do pojazdu. Niemniej jednak, w trybie i na zasadach określonych w przepisach ustawy z dnia 20 czerwca 1997 r. Prawo o ruch drogowym (tekst jednolity: Dz. U. z 2005 r. Nr 108, poz. 908 ze zm.), korzystając z wpisów w ewidencji pojazdów, można uzyskać informacje określające tożsamość właściciela pojazdu o posiadanym numerze rejestracyjnym.
W tym kontekście – tj. możliwości ustalenia na podstawie określonych informacji tożsamości osoby, której one dotyczą, rozważenia wymaga, czy nakład kosztów, czasu lub działań zmierzających do osiągnięcia tego celu, nie jest nadmierny. Za dane osobowe uznaje się bowiem wyłącznie takie informacje, które pozwalają na ustalenie tożsamości osoby bez ponoszenia nieproporcjonalnie dużych nakładów (czasu, kosztów, działań), bez nadmiernego wysiłku. Innymi słowy, chodzi o takie informacje, przy których określenie tożsamości jest proste, względnie nie przysparza znacznych trudności, i jest dostępne dla przeciętnej osoby, zwłaszcza przy wykorzystaniu łatwo dostępnych źródeł. Podkreślenia przy tym wymaga, że przesłanka „nadmierności” kosztów, czasu lub działań jest niedookreślona (nie ma obiektywnych kryteriów pozwalających określić, kiedy koszty, czas lub działania zmierzające do ustalenia na podstawie określonych informacji tożsamości osoby, są nadmierne) i nabiera rzeczywistego znaczenia dopiero przy rozstrzyganiu konkretnej sprawy.
Warto w tym miejscu wskazać na kilka orzeczeń sądów administracyjnych i powszechnych, które odnoszą się do interpretacji pojęcia danych osobowych. I, na co należy zwrócić uwagę, są wśród nich takie, które wywoływać mogą kontrowersje. Zaliczyć można do nich orzeczenie Naczelnego Sądu Administracyjnego z dnia 17 listopada 2000 r. (sygn. akt II SA 1860/2000), w którym Sąd ten uznał, iż „Danymi osobowymi w rozumieniu ustawy są informacje, pozwalające na określenie tożsamości osoby, czyli: imię, nazwisko, adres, numer PESEL i NIP. Pozostałe dane, jak np. dane z rejestru urzędu pracy zawierają natomiast informacje o osobie”. Tym samym Sąd przyjął, iż informacja o tym, że ktoś jest bezrobotny, nie stanowi danych osobowych i nie jest objęta ustawą o ochronie danych osobowych. W wyroku z dnia 14 listopada 2003 r. (sygn. akt I ACa 1062/2003) Sąd Apelacyjny w Poznaniu orzekł natomiast, iż stan majątku konkretnej osoby fizycznej i dane o tym majątku podlegają ochronie na podstawie ustawy o ochronie danych osobowych. Za dane osobowe podlegające ustawowej ochronie – w orzecznictwie sądów administracyjnych – uznana została również informacja o występowaniu w roli strony postępowania karno-skarbowego (zob. wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 1 grudnia 2005 r., sygn. akt II SA/Wa 917/2005). W wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 7 grudnia 2005 r. (sygn. akt II SA/Wa 880/2005), w zakresie dotyczącym ustalenia tożsamości funkcjonariuszy, pracowników i współpracowników organów bezpieczeństwa na podstawie informacji znajdujących się w dokumentach Instytutu Pamięci Narodowej, czytamy natomiast: „(…) takie dane jak imię, nazwisko, stanowisko służbowe i stopień (…) nie pozwala na zidentyfikowanie osoby, której one dotyczą. Możliwe jest bowiem, istnienie dwóch bądź więcej osób, które nosiły to samo nazwisko i imię, posiadały takie samo stanowisko służbowe i stopień. W ocenie Sądu do ustalenia tożsamości osoby konieczne są dodatkowe dane (…) o charakterze osobistym, nie zaś służbowym. Dotyczy to chociażby daty i miejsca urodzenia osoby. Im większy będzie zakres tych danych, tym większa możliwość identyfikacji osoby”. Zatem – jak stwierdził Sąd – „O możliwości (…) zidentyfikowania danej osoby fizycznej będzie decydował zakres informacji, które można uzyskać w sposób niebudzący wątpliwości na podstawie dokumentów organu bezpieczeństwa. Dopiero bowiem, jak wskazuje ustawa o ochronie danych osobowych – informacja dotycząca osoby, której tożsamość jest ustalona lub możliwa do ustalenia, może być zaliczona do danych osobowych”.
Biorąc powyższe pod uwagę sformułować można tezę, iż w świetle cytowanej na początku definicji, danymi osobowymi są zarówno takie informacje, które odnoszą się wprost do zidentyfikowanej osoby (tj. osoby o ustalonej tożsamości), jak też informacje, które wprawdzie nie odnoszą się do osoby zidentyfikowanej, lecz na ich podstawie można ustalić – w sposób bezpośredni lub pośredni – tożsamość osoby, do której się one odnoszą.
Nie będą natomiast danymi osobowymi takie informacje, na podstawie których nie można ustalić tożsamości osoby, do której informacje te mogą się odnosić, jak też takie, w oparciu o które wprawdzie można byłoby ustalić jej tożsamość, lecz wiązałoby się to z nadmiernymi kosztami, czasem lub działaniami.
Podkreślenia wymaga, iż ustawa nie zawiera katalogu informacji, które stanowią dane osobowe. Taki charakter – jak wynika z definicji – posiadać mogą bowiem wszelkie informacje, o ile tylko istnieje możliwość powiązania ich z określoną osobą. Do danych osobowych zaliczyć można m.in. informacje:
a.       o zasadniczo „niezależnych okolicznościach”, jak – imię, nazwisko, miejsce i data urodzenia, adres zamieszkania, płeć, wzrost, znaki szczególne, obywatelstwo, układ linii papilarnych, cechy dokumentu tożsamości, numer PESEL;
b.      o cechach nabytych, jak – wykształcenie, znajomość języków obcych, posiadane uprawnienia zawodowe i kwalifikacje, przebieg pracy, stan cywilny, sytuacja rodzinna;
c.       o cechach osobowościowych, psychologicznych, w tym o przekonaniach, zainteresowaniach, światopoglądzie, upodobaniach, sposobie spędzania wolnego czasu;
d.      o sytuacji majątkowej, stanie posiadania, w tym o posiadanych dobrach, zgromadzonych oszczędnościach, kontach bankowych, o wysokości płaconych podatków i wszelkiego rodzaju zobowiązaniach finansowych;
e.       o przejawach działalności, jak np. o podróżach, uczestniczeniu w życiu kulturalnym;
f.       dotyczące aktywnego lub biernego uczestnictwa w różnego rodzaju wydarzeniach. (tak: J. Barta, P. Fajgielski, R. Markiewicz, Ochrona …, s. 382).

Ustawa o ochronie danych osobowych dzieli natomiast dane osobowe na dwie kategorie – dane, które można określić mianem zwykłych i dane szczególnie chronione. I jakkolwiek, o czym wyżej była mowa, ustawa nie precyzuje katalogu informacji stanowiących dane osobowe, to jednak w art. 27 ust. 1 wymienia w sposób enumeratywny informacje zaliczane do kategorii danych szczególnie chronionych. Należą do nich dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Wszelkie inne informacje stanowiące dane osobowe w rozumieniu art. 6 ustawy, nie wymienione w art. 27 ust. 1, uznać należy za dane osobowe zwykłe.

About Redakcja 245 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.