Temat: Czy hasło wymyślone przez użytkownika jest dana osobowa?
Panie Pawle,
Szczerze mówiąc byłem pewien, że wetknę kij w mrowisko ponieważ reprezentujemy dwa różne punkty widzenia Pan prawnika, ja praktyka informatyka. No ale jak się powiedziało A to trzeba i B.
Co do kwesti administratora serwisu Internetowego ponieważ jest Pan prawnikiem to posłużę Pana fachem jako przykładem.
Oczywiście ma Pan rację i administrator serwisu Internetowego może powiązać profil i hasło z treścią ogłoszenia i na tej podstawie zindentyfikować z pewnym mimo wszystko niewielkim prawdopodobieństwem ogłszeniodawcę. Ale Administrator serwisu Internetowego dla klienta jest taką samą osobą jak prawnik dla swojego. Zarówno jeden jak i drugi ma dostęp do tajemnic swojego klienta i wykorzystując to popełnia przestępstwo. To jest kwestia etyki a nie możliwości.
Co do defnicji danych osobowych to jest ona nie do końca klarowna i w sumie poza oczywistymi przypadkami (np. imię, nazwisko, NIP, adres) to czy mamy do czynienia z danymi osobowymi czy nie zalerzy od kontekstu w którym dane te występują. Przykładem jest głośno i długo dyskutowana sprawa czy adres IP stacji i adres mailowy są danymi osobowymi czy nie. Myślę, że dyskusje na ten temat będą trwały jeszcze bardzo długo.
Co do drugiego drugiej sprawy którą Pan przedstawił. Wbrew pozorom ma i to bardzo wiele. Osobą odpowiedzialną za ochronę bazy danych jest jej Adminsitrator. Czyli jeżeli adminsitrator serwisu internetowego nie ma żadnego wpływu na samą treść i wiarygodność informacji zamieszczanych w ogłoszeniu, nie weryfikuje ich również to nie jest w odniesieniu do tych danych Administratorem w rozumieniui Ustawy. Natomiast można go potraktować jako podmiot przetwarzający dane na zlecenie. Przyzna Pan, że w przypadku postępowania procesowego jest to istotna różnica.
Jeżeli chodzi o podany przez Pana przykład to jako informatyk z ponad 20 letnim doświadczeniem zawodowym stwierdzam że nie. Proszę wziąć pod uwagę samą liczbę możliwych imion na literę P i chociażby to że możemy mieć do czynienia zarówno z kobietą jak i mężczyzną np. Piotr Litwiński czy Paulina Litwiński. Może to wyglada jak lapsus językowy ale ostatnio spotkałem się z takim przypadkiem i przyznam sam byłem zaskoczony.
Zgadza się że mamy różne możliwości. W przypadku ochrony danych osobowych problemem jest jednak nie ilość możliwości ale jak duże nakłady będziemy musieli ponieść by ustalić dane osoby na podstawie posiadanchy informacji. W tym przypadku naprawdę, mając na uwadze swoje doświadczenie i wiedzę, nie jestem przekonany, że w rozsądnym czasie i przy rozsądnych kosztach udałoby się ustalić tożsamość osoby na podstawie tych danych. Oczywiście ochrona jest konieczna i tego nie podważam. Mało tego namawiam.
Rozumiem, że ma Pan swój punkt widzenia co do bazy profili i haseł ale pozostanę przy własnym ponieważ przedstawiane przez Pana argumenty na temat identyfikacji mnie nie przekonują.
Tu również się zgadzam. Więcej dodam, że dotknoł Pan czubka góry lodowej. To dlatego, że rozmawialiśmy dotychczas jedynie o danych osobowych w rozumieniu Ustawy o ich ochronie. Ale oprucz tego w Polsce mamy jeszcze przepisy wykonawcze do niej, przepisy unijne i inne ustawy w tym cytowaną przez Pana Ustawę o świadczeniu usług drogą elektroniczną.
Dodatkowo żeby "dolać oliwy do ognia" nadmienię, że istotne jest gdzie znajduje się serwer na który świadczona jest usługa. Dlaczego? Ano choćiażby dlatego, że jeżeli umieścimy do na serwerze znajdującym się w USA lub Ukrainie to polskie przepisy nie będą go już obejmowały.
Wbrew pozorom jest nie tylko możliwe ale bardzo prawdopodobne. Bardzo wiele firm umiwszcza swoje serwisy poza granicami kraju chociażby ze względu na koszty. I nawet w ramach Uni przepisy dotyczące ocrony danych osobowych są bardzo różne, oczywiście poza poza minimalnym poziomem wymaganym przez Dyrektywę Unijną.
Jeżeli chodzi o dane publiczne to tak jak napisałem muszę to dokładnie sprawdzić zanim Panu odpowiem.
Przy okazji bardzo dziękuję za merytoryczną rozmowę i cenne uwagi.