Główny inspektor danych osobowych odpowiedział na pytania zadane przez internautów (pytania były zadawane min na Antyweb). Niestety wybrane pytania i odpowiedz mnie osobiście rozczarowały. Nadal nie wiem czy i jak traktować numer IP – jeśli jest daną to bazę trzeba rejestrować, ale może też IP daną osobową nie być. Co więc ma robić Kowalki który ma serwis internetowy i logi i numery IP??
Spodziewałem się czegoś więcej (może niepotrzebnie), może innych pytań a już na pewno nieco bardziej konkretnych odpowiedzi. Z tego co wiem ma być kolejny odcinek w którym będzie kolejna seria odpowiedz – mam nadzieję, że będzie lepiej i mniej asekuracyjnie.
Witaj, nazywam się Grzegorz Marczak i jestem autorem tego bloga. Piszę tutaj o serwisach społecznościowych, nowych technologiach i nowych trendach w internecie.
@Hazan – oczywiście IP nie jest daną osobową, ponieważ nie dotyczy osób fizycznych.
@ols
Możesz jaśniej?
Uwielbiam takie podejście. Jest IP dla Kowalika daną osobową czy nie jest? Jak Kowalik na podstawie tego IP jest w stanie dotrzeć do konkretnej osoby to jest jak nie to nie jest. No ale to w takim razie jest czy nie jest? I w kółko to samo.
BOŻE jeśli oni tak jasno i czytelnie działają jak mówią to gratulacje… A po ludzku można?
@Grzegorz Marczak:
Proszę bardzo: jeśli IP to dane osobowe to są też nimi np. numer mojego buta, numer linii autobusowej, którą jeżdżę do pracy, numer mac mojego routera i inne cyferki, które są związane z urządzeniami których używam.
@ols
No a GIODO twierdzi inaczej – jeśli po numerze IP komputera jesteśmy w stanie szybko dojść do danych to jest to dana osobowa (zaznaczam, że tylko interpretuje słowa które usłyszałem a nie żebym się zgadzał z tą logiką)
Nikt nie da jednoznacznej odpowiedzi na podstawie art. 6 ustawy o ochronie danych osobowych i nie ma co się dziwić p. Serzyckiemu.
Problem jest taki, że to czy dana informacja należy do danych osobowych zależy od kontekstu.
To co powiedział @ols…
Dane osobowe są to dane pozwalające na identyfikację konkretnej osoby (ust. 1) bez angażowania nadmiernego czasu i kosztów (ust. 2). Jak to jest z numerem IP?
Zakładamy, że osoba korzsta z sieci osiedlowej i mamy zmienne IP. W takim wypadku nie jest to dana osobowa, ponieważ bez angażowania nadmiernych finansów i czasu nie jesteśmy w stanie ustalić konkretnej osoby. Dotarcie do personaliów użytkownika jest możliwe dopiero na podstawie nakazu pokuratorskiego i przy udziale providera. Czyli dla właściciela serwisu internetowego nie jest to dana osobowa.
Inaczej sprawa wygląda w przypadku owego providera, który posiada logi czasowe, jaki mac adres posiadał o danej godzinie dany numer IP i dane abonentów, a więc może powiązać adres IP z konkretnym uzytkownikiem, więc ustalić tożsamość. Ta baza powinna być traktowana przez providera, jako baza zawierające dane osobowe z pełnymi tego konsekwencjami – czyli zabezpieczenia, gradacja uprawnień, odpowiedni backup, odpowiednia utylizacja. Baza ta nie musi być rejestrowana w GIODO, ponieważ nie jest wykorzystwana do celów marketingowych ani nie zawiera danych wrażliwych.
Więc czy baza danych zawiera dane osobowe, czy nie – zalezy od kontekstu :)
Większym problemem jest zagadnienie związane z zagadnieniami adresu e-mail jako częsci danych osobowych.
A teraz konkurs. Mam nadzieje, ze Hazan pozwoli. ;)
2 pytania – zwyciężca dostaje flaszkę Żubrówki podczas pierwszej AULI w 2010r.
Pytanie 1. Czy imię i nazwisko to dane osobowe
Pytanie 2. Czy numer PESEL to dane osobowe.
Pierwszy poprawny wpis wygrywa.
A jesteś w stanie dojść po IP do OSOBY? Bo ja nie.
Sorki za ortografy w komentarzu… ale nie widzę już na oczy i zsypiam
@Nomad:
1. nie
2. nie
Mam wrażenie, że każda odpowiedź została tak udzielona, że rodzi kolejne ze 2 pytania:/
E, najlepiej żeby wszyscy zarejestrowali każdy swój serwis…
Ten Pan ma parcie na szkło. Poprzednio w komentarzach pisałem, że straszy użytkowników internetu. Nie lubię tego.
PESEL z założenia jest unikalny dla żyjącej populacji, bo wiem, że numery mogą się powtarzać, ale nie powinno się to zdarzać wśród osób żyjących, więc jest jak najbardziej daną osobową.
Imię i nazwisko nie, w końcu nie jednemu psu ;D
Chodzi o to, że każdy przypadek wymaga indywidualnego podejścia, a 99% osób liczy na prostą odpowiedź: “To jak jest z tym numerem IP, jakiś sobie taki wymyśliłem to muszę to zarejestrować czy nie?”.
Bardzo mi przykro ale nie ma odpowiedzi na takie pytanie ponieważ mało kto zdaje sobie sprawę ale definicja danych osobowych jest niezgodna z 2 funkcjonującymi mitami:
“Dane osobowe to: imię, nazwisko, numer telefonu, adres, PESEL może jeszcze e-mail no i może IP” – tak mniej więcej wygląda świadomość typowego polaka na temat danych osobowych. Tymczasem ustawa mówi, że dane osobowe to informacje dotyczące “MOŻLIWEJ do zidentyfikowania osoby fizycznej”, a osobą taką jest “każda osoba której tożsamość można określić bezpośrednio lub POŚREDNIO”. I tu pada pierwszy mit. Sokor POŚREDNIO to znaczy, że zawsze trzeba przeanalizować kto patrzy na dane osobowe. Jeśli np. UPC ma dane swoich abonentów i do każdego abonenta przypisane IP to jasne jest, że IP jest informacją dotyczącą zidentyfikowanej osoby, a więc jest daną osobową. Ale ja, zwykły szarak, który nie ma dostępu do systemu UPC nie mogę sprawdzić jakie IP należy do kogo, a więc dla mnie nie są to dane osobowe. Więc przestańcie głupio pytać, czy numer IP to dana osobowe bo nie da się na to odpowiedzieć po prostu tak lub nie. Idąc dalej jeśli macie system, w którym zbieracie dane posiadaczy świń i każda świnia ma swój unikalny numer w systemie oraz jest przypisana do konkretnego właściciela to sam numer świni jest dla was daną osobową, bo dotyczy konkretnej zidentyfikowanej osoby, która tą świnię posiada. I tu przechodzimy do mitu numer 2. Przez to, że w dzisiejszych systemach powiązanych jest masa różnych informacji, a do tego masę różnych informacji da się wyszukać w sieci np. przez google to właściwie dane osobowe stanowią koło 95% wszystkich informacji przetwarzanych w różnych systemach.
Co do twojego pytania Nomad.
1) Jest daną osobową jeśli istnieje jedna osoba o takim imieniu i nazwisku i da się tą osobę zidentyfikować, np. występuje w książce telefonicznej.
2) Według GIODO każdy numer PESEL jest daną osobową, ja osobiście tak nie uważam, bo nie każdy ma dostęp do bazy danych numerów PESEL.
czekam na moją żubrówkę
Co do wypowiedzi ols’a przestań proszę pisać głupoty.
@Nomad
1. W praktyce imienia i nazwiska się powtarzają. Co oznacza po prostu, że w google czy bingu znajdę masę informacji na temat osoób posiadających dane imie i nazwisko, ale posiadajac tylko imie i nazwisko to nie znajdziemy dokładnie takiej osoby.
Jednak posiadajac imię i nazwisko i np. pewne cechy danej osoby, to można wyniki przefiltrować i znaleźć konkretną osobę pasującą do tego, wówczas jest to już dana osobowa.
2. Numer PESEL z założenia jest dla każdego unikalny, z samym numerem PESEL jednak nic nie możemy w praktyce zrobić. Posiadając imię, nazwisko i numer PESEL można już tego użyć, do weryfikacji, także PESEL zależnie od sytuacji jest, ale nie sam. Sam PESEL nie wystarczy do identyfikacji danej osoby, bedz dostępu do bazy PESEL’ów.
A więc wniosek jest taki, że każda rzecz może być daną osobą, nawet to sporne IP, ale jak posiadamy tylko samo IP to nie ma możliwości łatwej identyfikacji tego, więc nie należy do danych osobowych.
@Adam
Propos mitu 1, to nie do końca jest nieprawdziwy. Gdyż, jak mamy grupę tych danych, co wymieniałeś, gdy są w grupie to wszystkie wymienione stają się daną osobową pozwalającą identyfikacje danej osoby.
Oj, jak dobrze Adamie, żeś po ludzku napisał to co starałem się wydukać.
Natomiast nie mogę dać Ci flaszki… szkoda.
Jak to wygląda.
Najprościej jest z pyt 2., ponieważ tu się zgadzamy. numer PESEL to od zawsze jest dana osobowa. Tu niedowiarkom zalecam zapoznać się z np. artukułem:
http://www.giodo.gov.pl/317/id_art/2912/j/pl/
i tam jest bardzo fajna informacja:
Tak, ponieważ już sam numer PESEL stanowi dane osobowe w rozumieniu ustawy o ochronie danych osobowych.
oraz
W tym miejscu wskazać należy, że numer PESEL – zgodnie z art. 31a ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych – jest 11-cyfrowym, stałym symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną.
Natomast nie zgodzę się z Tobą w przypadku pytania 1. Imię i nazwisko (samo, bez połączenia z innymi danymi identyfikacyjnymi) to nie są dane osobowe. Niestety nie mogą znaleźć żadnej opinii na ten temat. Ale o tym, że nie jest to dana osobowa dowiedziałem się na szkoleniach z odo i z któreś opinii GIODO. Samo imię i nazwisko bez kontekstu i innych danych identyfikacyjnych nie jest daną osobową. Możemy poprosić o opinię GIODO w tej sprawie :)
Tak więc flaszkę powinien otrzymać RomeoAD :) i jego proszę o kontakt na adres e-mail: rafal@skarzynski.net :)
Natomiast wszystkim polecam zapoznanie się z decyzją GIODO:
http://www.giodo.gov.pl/plik/id_p/1189/j/pl/
dość ciekawa opinia obrazująca sytuację przedstawioną przez Adama i moją skromną osobę. :)
Tak jeszcze małe dygresje na temat numerów PESEL
Pesel przypisany jest do końca zycia do osoby. Znam 2 wyjątki, kiedy PESEL w ciągu zycia ulega zmianie:
- błędnie nadany PESEL (są 2 osoby o tym samym numerze) – sytuacja dość częsta na początku nadawania numeró PESEL obywatelom
- zmiana płci – ponieważ w numerze PESEL zakodowana jest płeć, to z momentem zmiany płci zmienia sięteż numer
PESEL to bardzo zły klucz główny w bazach danych. Ponieważ (patrz góra) czasem ulega zmianom, (patrz góra) zdażają się duplikaty, pobierając PESEL od razu łapiecie się na przetwarzanie danych osobowych. :)
A ja będę czepialskim purystą i poproszę, szczególnie ciebie Grzegorzu, o poprawne posługiwanie się nazewnictwem. W przypadku IP mówimy o ADRESIE, a nie o jakimś numerze. :)
@Adam – a gdzież to pieprzę? co do tego, że IP oznacza coś innego (dane osobowe) dla providera, który ma w garści umowę z użytkownikiem a co innego dla nie-providera to pełna zgoda. choć i provider nie ma danych innych niż abonent osób korzystających z jego łącza.
mit numer dwa to już sprowadzanie tematu do absurdu – każda informacja o mnie (miejsce gdzie przebywam, kogo spotykam albo czym się zajmuję) umieszczona w internecie to w takim razie dane osobowe. nawet ten numer autobusu którym jeżdżę
@Nomad – z tym peselem to dopóki w numeracji są dublety (a są), to nie można mówić o “jednoznacznej identyfikacji osoby fizycznej”. ale oczywiście to już czepianie się słówek ;-)
@ols
Tu własnie ukazuje się problem kontekstu. Nie można jednoznacznie określić czy pewne rzeczy są danymi osobowymi, jeżeli nie znasz okoliczności ich przetwarzania. Tak samo jest ze sporą częścią przepisów – interpretaja zalezy od okoliczności.
PESEL – tak, z Twojej strony jest to czepianie się słówek. Dublety są anomalią i nie możemy przestać stosować przepisów w przypadku anomalii. Tu opieramy się na definicji z ustawy o ewidencji ludności.
No! I jest tak jak mówiłem. Tego się wżyciu nie dowiemy, bo oni sami nie wiedzą co jest danymi osobowymi a co nie.
Wiedzą, wiedzą… tylko większość nie jest w stanie pojąć tego typu niuansów. ;)
W sumie to nie wiem czego się czepiacie. Dla mnie wypowiedź była jasna, choć zabrakło odpowiedzi na pytanie, czy blox ma prawo publikować adresy IP. Bo że ma prawo je gromadzić, to zostało wyjaśnione.
@Nomad:
No chyba nie do końca przeczytałeś to co napisałem:
“Jest daną osobową jeśli istnieje jedna osoba o takim imieniu i nazwisku i da się tą osobę zidentyfikować, np. występuje w książce telefonicznej.”
Jeśli występuje w książce telefonicznej to jest w danym kontekście i jest daną osobową. Ale żeby jeszcze zagmatwać to podam przykład kiedy samo nazwisko jest daną osobową. Wpisz w google takie nazwisko Cypslabozyps. Dziękuję, a flaszkę jednak chcę dostać bo pierwszy udzieliłem poprawnej odpowiedzi. Zresztą możesz ją przekazać na forum ABI Kubie R. :)
Ups, mała poprawka, chodzi o nazwisko Cypsalbozyps:
http://www.fotosik.pl/pokaz_obrazek/us6zzre8nvvgelw4.html
Ups mała pomyłka, poprawnie nazwisko pisze się Cypsalbozyps:
http://www.fotosik.pl/pokaz_obrazek/us6zzre8nvvgelw4.html
[...] antyweb.pl/giodo-odpowiada-i-nadal-nie-wiele-wiadomo wzbudza zainteresowanie! Pokaż reakcje /* */ inne strony z tej witryny + obserwuj co pisze [...]
[...] reklama tomaszs przed chwilą antyweb.pl/…dpowiada-i-nadal-nie-wiel… [...]
@Adam
Nie zgodzę się z tą interpretacją. Tak jak w przypadku PESELU chodzi o zasadę.
Książki telefoniczne nie zawierają adresu, tylko ulicę. :) Poza wszytskim potrzebna jest nam też informacja o mieście, w którym mieszka owa osoba. :)
A i z informacji telefonicznej nie otrzymamy telefonu ani adresu na podstawie podania samego nazwiska. :)
Mister Cyps Albo Zyps to anomalia, a ze względu na rozgłos medialny może być traktowany jako osoba publiczna.
Nie możemy tak podchodzić paranoidalnie, bo jeżeli np. ja pojawię się w TV i podpiszą to moim nickiem, to każda baza w której jest mój nick stanie się bazą przechowującą dane osobowe??
Tak czy inaczej flaszkę możemy wypić na najbliższej auli :)