O przetwarzaniu odcisków palców pracowników
 Oceń wpis
   

Exploring Abandoned Teufelsberg

Na ciekawy wyrok Naczelnego Sądu Administracyjnego zwrócił uwagę we wczorajszym tekście Piotr Waglowski: pracodawcy nie wolno przetwarzać danych o liniach papilarnych pracowników w celu ewidencjonowania czasu pracy, nawet jeśli pracownik wyraża na to zgodę.

Klamka zapadła -- nie pierwszy raz zresztą (por. wyrok NSA z 1 grudnia 2009 r., I OSK 249/09) -- w sprawie, w której pracodawca (skądinąd Urząd Skarbowy) postanowił zainwestować w czytniki linii papilarnych, które miały mu ułatwić życie z prowadzeniem dokumentacji czasu pracy pracowników. W tym celu urząd pobrał sobie od pracowników dane o odciskach palców, przetworzył je sobie cyfrowo i wprowadził do jakiegoś tam zbioru danych osobowych. Na to wszystko przyszedł GIODO i -- pozwólcie, że będę upraszczał -- pogroził paluszkiem, wydając decyzję nakazującą zaprzestania przetwarzania danych biometrycznych pracowników ze względu na brak podstawy prawnej.

art. 22(1) kodeksu pracy:
§ 1. Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:
  1)   imię (imiona) i nazwisko,
  2)   imiona rodziców,
  3)   datę urodzenia,
  4)   miejsce zamieszkania (adres do korespondencji),
  5)   wykształcenie,
  6)   przebieg dotychczasowego zatrudnienia.
§ 2. Pracodawca ma prawo żądać od pracownika podania, niezależnie od danych osobowych, o których mowa w § 1, także:
  1)   innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy,
  2)   numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).
§ 3. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca ma prawo żądać udokumentowania danych osobowych osób, o których mowa w § 1 i 2.
§ 4. Pracodawca może żądać podania innych danych osobowych niż określone w § 1 i 2, jeżeli obowiązek ich podania wynika z odrębnych przepisów.
§ 5. W zakresie nieuregulowanym w § 1-4 do danych osobowych, o których mowa w tych przepisach, stosuje się przepisy o ochronie danych osobowych.
Naczelnik urzędu skarbowego od decyzji GIODO się odwołał, wskazując, że przecież każdy z pracowników, których dane są przetwarzane w ramach owego czarodziejskiego systemu wyraził na to zgodę. A zatem podstawą do przetwarzania danych będzie art. 22(1) par. 5 kodeksu pracy, w myśl którego w zakresie nieuregulowanym w art. 22(1) par. 1-4 do danych osobowych, o których mowa w tych przepisach, stosuje się przepisy o ochronie danych osobowych.

W pierwszej instancji warszawski WSA skargę na decyzję oddalił (II SA/Wa 151/10) wskazując, że nie można rozszerzać zamkniętego katalogu danych osobowych pracownika, które może przetwarzać pracodawca (art. 22(1) par. 1 kp) z powołaniem się na zgodę pracownika (art. 23 ust. 1 pkt 1 UoODO), a to z tej przyczyny, że prowadziłoby to do naruszenia zasady adekwatności (art. 26 ust. 1 pkt 3 UoODO).

Niezadowolony chlebodawca wniósł od niekorzystnego rozstrzygnięcia skargę kasacyjną, jednak NSA podzielił stanowisko sądu pierwszoinstancyjnego. Jak czytamy w uzasadnieniu wyroku "wyrażona na życzenie pracodawcy pisemna zgoda pracownika na pobranie i przetworzenie jego danych osobowych w opisanym zakresie narusza prawa pracownika i swobodę wyrażenia przez niego woli. Za tak sformułowanym stanowiskiem przemawia zależność pracownika od pracodawcy. Generalnie więc brak równowagi w relacji pracodawca-pracownik stawia pod znakiem zapytania dobrowolność w wyrażeniu zgody na pobieranie i przetworzenie danych osobowych (biometrycznych)". Dlatego też ograniczenie przez ustawodawcę katalogu danych osobowych pracownika, do przetwarzania których uprawniony jest pracodawca jest niemożliwe, także dlatego, że prowadziłoby do naruszenia zakazu adekwatności przetwarzania danych osobowych. Czyli: skoro kodeks pracy wprost mówi jakiego rodzaju dane osobowe chlebodawca może przetwarzać, to innych danych przetwarzać nie może -- bo to byłoby, mówiąc potocznie, przegięcie.

Ja bym od siebie dodał, że pomysł na rozszerzenie zakresu danych przetwarzanych przez pracodawców z powołaniem się na art. 22(1) par. 5 kp jest o tyle absurdalny, że przepis ten brzmi przecież "W zakresie nieuregulowanym w § 1-4 do danych osobowych, o których mowa w tych przepisach, stosuje się przepisy o ochronie danych osobowych" -- przeto stosowanie UoODO jest dopuszczalne wyłącznie posiłkowo, ale nadal przetwarzać można tylko dane wskazane w art. 22(1) par. 1 kp.
Ma to zastosowanie zarówno do danych biometrycznych osób -- sprawa pieruńsko istotna z punktu widzenia prywatności jednostek i naszej wolności osobistej -- jak też i na przykład przynoszenia przez pracowników zaświadczeń z KRK o niekaralności, chociaż żaden przepis nie daje pracodawcy prawa do przetwarzania takich danych (i nie zastąpi tego zgoda pracownika, nawet jeśli zostanie on "zachęcony do dobrowolnego przedstawienia zaświadczenia"). 

Słowem: nie da się i nie ma bata, żeby się dało.

 

PS na zdjęciu: zachodnioberlińska stacja nasłuchowa NSA Teufelsberg, fot.: Eddie Codel, CC BY-NC-SA 2.0. Można i tak szpiegować otoczenie.

Komentarze (42)
O wizerunku Polaków-szaraków w... O trzymaniu internetów krótko za...

Komentarze

2011-10-05 11:04:53 | 178.37.216.* | mmm777
Re: O przetwarzaniu odcisków palców pracowników [1]
Co nie zmienia faktu, że używanie palca jest znacznie wygodniejsze od noszenia karty.
I trudniej zgubić.
Skoro pracodawca może wymagać umieszczenia fotografii pracownika na dokumencie... skomentuj
2011-10-05 11:10:15 | *.*.*.* | olgierd
Jeśli sam chciałby sobie zostawić kopię tego zdjęcia -- to nie może. skomentuj
2011-10-05 13:14:53 | 217.79.144.* | Daniel Wieszczycki
Re: O przetwarzaniu odcisków palców pracowników [29]
Niestety, ta linia wyroków sądów administracyjnych wydaje mi się całkiem absurdalna,
a w każdym razie argumentacja, jaką stosują sądy. Jak sam tu cytujesz: "wyrażona na
życzenie pracodawcy pisemna zgoda pracownika na pobranie i przetworzenie jego danych
osobowych w opisanym zakresie narusza prawa pracownika i swobodę wyrażenia przez
niego woli. Za tak sformułowanym stanowiskiem przemawia zależność pracownika od
pracodawcy."

Idąc dalej tym tropem, każde oświadczenie woli skierowane przez pracownika do
pracodawcy jest nieskuteczne. Przecież pracownik jest zależny od pracodawcy nie
tylko, przy wyrażaniu zgody na przetwarzanie danych osobowych. Ale także, a może
nawet głównie, przy zawieraniu samej umowy o pracę, prawda? Umowa ta więc "narusza
prawa pracownika i swobodę wyrażenia przez niego woli". To samo z innymi
"komunikacjami" na linii pracownik-pracodawca. Chciałbym usłyszeć kontrargumenty sądu
na tak postawioną sprawę.

Ciekawe jest też to, że GIODO w swoich interpretacjach dopuszcza przetwarzanie przez
pracodawcę odcisków palców pracowników, ale nie w celu ewidencji czasu pracy, ale w
celu zabezpieczenia dostępu do szczególnie chronionych pomieszczeń - np. skarbca
banku, kancelarii tajnej itp. Jaka tu jest różnica i dlaczego takie przetwarzanie nie
narusza już praw pracownika, to nie wiem.

Kolejnym absurdem jest jeden z wcześniejszych wyroków z tej linii. Tam pracodawca
dawał pracownikowi wyraźny wybór - albo karta magnetyczna/chipowa, albo odcisk palca.
Nie było żadnych reperkusji związanych z używaniem karty. Sąd jednak także zabrał
pracownikom możliwość decydowania o wygodzie - ma być karta i już. skomentuj
2011-10-05 13:19:30 | *.*.*.* | olgierd
Umowa o pracę nie godzi w autonomię jednostki i swobodę wyrażania woli -- można jej
nie podpisać.

Zaś co do argumentacji: zgadzam się, że szczęśliwsze byłoby pokazanie art. 22(1) par.
5 i par. 1-2 kp i dodanie "nie bo nie", bez odnoszenia się do podległości służbowej
pracownika wobec chlebodawcy.

Natomiast wyraźne powiedzenie, że nie wolno wszystkiego tylko dlatego, że się da
bardzo mnie cieszy. skomentuj
2011-10-05 13:42:11 | 83.21.244.* | Mee
"Tam pracodawca dawał pracownikowi wyraźny wybór - albo karta magnetyczna/chipowa"

Konieczność utrzymania dwóch systemów nie jest dla pracodawcy pociągająca. Koszt
jest, więc następuje powolne wdrażanie jednego standardu. Bo po co komplikować i
mnożyć wydatki?

"Nie było żadnych reperkusji związanych z używaniem karty."

Nie muszą być od początku stosowane żadne oficjalne programy kar i nagród. Ten
proces, zachęcania, zniechęcania, aluzji czy nieoficjalnych plotek, może trwałby
chwilę, ale zapewne w końcu doprowadziłby do monopolu palucha. Jasne, nie u
wszystkich pracodawców. Ale ja jednak wolę, kiedy moi zwierzchnicy mogą mniej niż
więcej. skomentuj
2011-10-05 13:50:31 | 46.170.162.* | homo homini
Wyniki badań neurofizjologicznych wskazują, że tzw. "wolna wola" nie istnieje. Jest
to przyjemne złudzenie kulturowe. Oczywiście trudno zupełnie wyrzucić wolną wolę z
stosunków międzyludzkich, gdyż naruszyłoby to podwaliny cywilizacji zachodniej i
przez to - byłoby nieroztropne. Warto jednak mieć na uwadze tę niezgodność pomiędzy
rzeczywistością, a naszym przekonaniem. skomentuj
2011-10-05 14:03:15 | 80.48.97.* | nfj
@homo homini - a gdzie jakaś definicja wolnej woli? Podałbyś też linki do tych
wyników, opisu metody badań itp. Bez tego można porównać takie rewelacje do "a w
Radomiu wylądowało UFO". ;] skomentuj
2011-10-05 14:10:24 | 46.170.162.* | homo homini
@nfj: odpowiedzi na swoje wątpliwości wyguglasz sobie bez trudu i zweryfikujesz.
Oczywiście - jeśli masz taką wolę ;) skomentuj
2011-10-05 14:12:42 | *.*.*.* | Systemy Biometryczne
Re: O przetwarzaniu odcisków palców pracowników [0]
Chodzi oczywiście o Urząd Skarbowy w Zawierciu lub Siemianowicach Śląskich. Te
czytniki są już tam jakieś 5 lat. skomentuj
2011-10-05 14:13:16 | *.*.*.* | olgierd
jasne, że lepiej jeśli mniej, niż więcej

dodam, że raczej nie byłoby pozytywnych komentarzy, gdybym napisał o projekcie
ustawy, w której rząd *nakazywałby* takie czynności -- bo jak władza, to źle (to już
hipotetyczne 98% Czytelników LA wie), ale jak biznes, to dobrze... skomentuj
2011-10-05 14:53:59 | *.*.*.* | dancop
To ja Jarząbek, znaczy się Daniel Wieszczycki :) Postanowiłem się w końcu
zarejestrować.

Biznes rządzi się własnymi prawami ;) Niestety my, prawnicy, często jesteśmy
postrzegani jako ci, co tłamszą rewolucyjne i wyjątkowe pomysły zarządu, marketingu
itp. Szczególnie, jeśli pokazujemy niezgodność jakichś planów z takim "duperelem" jak
ochrona danych osobowych.

Ale wracając do zgody pracownika. Dość dawno temu miałem klienta, który chciał
przetwarzać dane pracowników w USA. Mimo, że zalecałem wystąpienie o zgodę do GIODO,
z jakichś tam powodów nie chcieli tego zrobić. Zbieraliśmy więc zgody pracowników na
transfer. Ładnych kilka tysięcy zgód. Zgoda była świadoma, pracownicy w pełni
poinformowani o celach transferu, zakresie przekazywanych danych itp. Część z
pracowników zgody nie wyraziła. Ich dane przetwarzane były wyłącznie w Polsce.

Klientowi i tak się to opłacało, bo nie musiał inwestować w duży system do
przetwarzania danych wszystkich pracowników, tylko główne operacje "wyoutsourcował"
do USA. Dane tych kilkudziesięciu pracowników, którzy zgody nie wyrazili, były
przetwarzane lokalnie, można by powiedzieć na piechotę, i dorzucane jakoś potem do
raportów. Nie widzę tu naruszenia prawa, a sąd mógłby się dopatrzyć i byłaby mała
wojna.

A propos art. 22(1) KP. Mam zadanie domowe dla czytelników - proszę znaleźć podstawę
prawną przetwarzania przez pracodawcę numeru rachunku bankowego pracownika, na który
to rachunek ma być przelewane wynagrodzenie. Da się? Jak nie, to ludu - do kas, bo
przelewanie wynagrodzenia na konto jest nielegalne. skomentuj
2011-10-05 15:03:55 | *.*.*.* | olgierd
A numer rachunku bankowego to dana osobowa? ;-) skomentuj
2011-10-05 15:14:00 | *.*.*.* | dancop
Jasne, że tak. Szczególnie, dla pracodawcy. Skoro wzrost, kolor oczu, numer
kołnierzyka, rozmiar buta to dane osobowe, to tym bardziej numer rachunku bankowego.
Nie mówiąc już o nieszczęsnym numerze IP.

Edukacyjne - zgodnie z ustawą dane osobowe to: "wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej." Dla pracodawcy
pracownik jest jak najbardziej już zidentyfikowany, a więc wszelkie informacje
"dotyczące" pracownika to dane osobowe. skomentuj
2011-10-05 15:18:44 | *.*.*.* | olgierd
Aha, czyli żartujemy :) skomentuj
2011-10-05 15:26:39 | *.*.*.* | dancop
Olgierdzie, w jakim sensie żartujemy? GIODO sobie z tego nie żartuje. Miałem duże
problemy z zarejestrowanie zbioru danych osobowych zawierającego numer kołnierzyka.
Pytano mnie o podstawę prawną i cel przetwarzania jakże to istotnej dla prywatności
danej osobowej. skomentuj
2011-10-05 15:48:11 | *.*.*.* | olgierd
Numer kołnierzyka? A jaka był cel przetwarzania? skomentuj
2011-10-05 16:32:54 | *.*.*.* | dancop
Banalny - przydzielenie nagród w konkursie, którymi to nagrodami były koszule.
Wyobrażam sobie, że i pracodawca może potrzebować takich danych - np. w przypadku
eleganckich strojów służbowych, bo ja wiem, w banku? skomentuj
2011-10-05 16:36:05 | 217.96.0.* | bibong
Dancop, a jeśli rachunek jest prowadzony na podstawie umowy zawartej przez bank z
małżeństwem, to do zgody pracownika na przetwarzanie numeru konta konieczna jest
zgoda współmałżonka?
A jeśli rachunek należy tylko do żony, lecz mąż prosi o przelewanie wynagrodzenia
właśnie na to konto? Jest to wtedy informacja z zakresu danych osobowych czy nie?
Numer takiego rachunku da się połączyć z pracownikiem, czyli możliwa jest
identyfikacja osoby, ale w podobny sposób można zidentyfikować pracownikai (lub
zawęzić grupę) na podstawie oświadczeń typu: o używaniu szczotki do usunięcia śladów
kupy z sedesu, o zostawianiu łyżeczek na blacie, o przyklejaniu kóz z nosa to foteli
w sali konferencyjnej itp. skomentuj
2011-10-05 16:56:55 | *.*.*.* | dancop
O to właśnie chodzi. Kodeks Pracy zezwala na przetwarzanie przez pracodawce tylko
bardzo ściśle określonego katalogu danych osobowych. Skoro definicja danych osobowych
jest jaka jest, a jest po prostu bardzo szeroka i skutecznie można pod nią podciągnąć
wszelkie informacje na powiązane w jakikolwiek sposób z daną osobą, to pracodawca
takich informacji nie może przetwarzać zgodnie z prawem.

I ja mówię, że to złe. Nie ja wymyśliłem taką definicję danych osobowych, ja tylko
staram się ją stosować nie narażając na zbyt duże ryzyko moich klientów. I jest to
trudne przy odgórnej delegalizacji zgody w stosunkach pracownik-pracodawca. skomentuj
2011-10-05 22:09:09 | *.*.*.* | olgierd
Ale jeśli tak, to również pracodawca, który ma strzeżony parking i prosi pracowników
o podanie numeru tablic aut, żeby wydać przepustki -- naruszałby.

Otóż moim zdaniem w Twoim rozumowaniu błąd jest u podstawy: ani numer rachunku
bankowego, ani tym bardziej numer kołnierzyka nie jest daną osobową. Nie
zidentyfikujesz po tym osoby, nie określa to jej tożsamości. Bez przesady. skomentuj
2011-10-06 12:53:59 | 212.160.173.* | sjs
Tak samo jak numer IP. :) skomentuj
2011-10-06 13:38:46 | *.*.*.* | olgierd
No właśnie IP-ek jest w stanie b. dużo powiedzieć o człowieku. A jeśli ktoś ma
"własny" imienny serwer to w zasadzie wszystko. Podobnie jak w odniesieniu do mnie
wystarczy informacja "abonent domeny legeartis.org.pl" -- whois powie Ci wszystko. skomentuj
2011-10-06 16:43:35 | *.*.*.* | pieniadze
Ale w domyśle godzisz się na to rejestrując nie na "osobę prywatną" -gdzie można to
ukryć. Nie da się aż tak szczegółowo prawa tworzyć aby ciężar, waga i kolor każdego
ziarnka piasku na pustyni opisać paragrafem. skomentuj
2011-10-06 17:04:55 | *.*.*.* | dancop
Olgierdzie - przeczytaj definicję danych osobowych, która tu przytaczałem, ale może
zrobię to jeszcze raz:
"1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić
bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer
identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy
fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne."

Czytajmy razem pierwszą część definicji: _WSZELKIE_ informacje dotyczące
_zidentyfikowanej_ osoby. W przypadku pracownika i pracodawcy, pracownik jest jak
najbardziej zidentyfikowany, a więc dla pracodawcy WSZELKIE informacje o pracowniku,
nawet to jak często idzie do toalety na siusiu, będą danymi osobowymi. Nie ma tu
żadnego ograniczenia, jakiego typu są to informacje i czy nie znając tożsamości
osoby, której dotyczą, jej identyfikacja byłaby możliwa na podstawie tych danych.

Nieco inaczej jest w przypadku osoby jeszcze niezidentyfikowanej. Wtedy wchodzi w grę
drugi ustęp definicji i wyjaśnienie, kto to jest taka osoba możliwa do
zidentyfikowania. I tu też trzeba zwrócić uwagę, że do definicji tej trzeba podejść
subiektywnie. To znaczy, że pewna informacja dla jednego podmiotu może być daną
osobową, a dla innego już nie. Weźmy numer telefonu komórkowego. Dla przeciętnego
przedsiębiorcy nie będzie to dana osobowa, bo nie ma możliwości zidentyfikowania
osoby, do której telefon należy. Dla operatora telekomunikacyjnego obsługującego ten
numer jest on natomiast daną osobową bez wątpienia.
W jednej mojej sprawie GIODO uznało, że sam numer telefonu jest daną osobową dla
firmy zajmującej się windykacją należności, bo windykatorzy już mają swoje sposoby,
by ustalić, do kogo numer należy :) skomentuj
2011-10-06 22:16:16 | *.*.*.* | olgierd
Jeśli chodzi o numer rachunku bankowego jak i numer rejestracyjny pojazdu (a także
kolor, marka i rocznik, bo jak rozumiem Twoim zdaniem te dane też mogą identyfikować
osobę) -- pozwolę się nie zgodzić.
Art. 6 ust. 1 UoODO nie bez kozery mówi (upraszczając) o wszelkich informacjach
dotyczących zidentyfikowanej osoby. Owszem, kiedyś (do nowelizacji, która weszła w
życie akurat 10 lat temu) było o tyle prościej, że ta informacja musiała być pomocna
do określenia tożsamości tej osoby. Dziś nie jest to wymagane.

Ale nadal przepis mówi o informacji dotyczącej osoby, co w orzecznictwie tłumaczy się
np. tak "Dane osobowe to zespół wiadomości (komunikatów) o konkretnym człowieku na
tyle zintegrowany, że pozwala na jego zindywidualizowanie. Obejmuje co najmniej
informacje niezbędne do identyfikacji (imię, nazwisko, miejsce zamieszkania),
jednakże do tego się nie ogranicza, bowiem mieszczą się w nim również dalsze
informacje, wzmacniające stopień identyfikacji" (wyrok NSA z 18 listopada 2009 r., I
OSK 667/09, o którym zresztą tu pisałem na bieżąco).

Ani numer rachunku bankowego pracownika, ani numer kołnierzyka nie pozwala na
zindywidualizowanie (nie: zidentyfikowanie) żadnej osoby -- ten pierwszy, jasne, jest
indywidualny, i mając listę rachunków pracowników możesz sobie powiedzieć "o to jest
rachunek tego faceta", ale w zasadzie nie powiesz w ten sposób nic o człowieku -- nie
zindywidualizujesz go.

Z kołnierzykiem jest, co ciekawe, większy problem -- w pewnym sensie można go nawet
zakwalifikować do danych wrażliwych (nadwaga albo nadmierna szczupłość jako stan
zdrowia). Ale na podstawie informacji: ten facet nosi koszulę 42 i buta też 42 nie
zindywidualizujesz nikogo (nawet mnie -- to akurat moje parametry).

Polecam zresztą komentarz Barty, który pisze nawet o tych tablicach rejestracyjnych
;-) skomentuj
2011-10-06 22:17:55 | *.*.*.* | olgierd
PS na marginesie: jeśli się mylę, to tylko lepiej :) bo im mniej wolno (w tym
zakresie) tym lepiej ;-) skomentuj
2011-10-06 22:27:50 | *.*.*.* | olgierd
A jeśli -- cały czas mówię o tym rachunku bankowym -- przekonasz mnie, że jego numer
to też dane osobowe, to powiem, że przetwarzanie go będzie dopuszczalne na podst.
art. 23 ust. 1 pkt 3 UoODO w zw. z art. 22(1) par. 4 i art. 86 par. 3 kp --
oczywiście tylko wówczas, jeśli pracownik sobie zażyczy wypłaty w innej formie, niż
przelew na konto, albo tako rzeknie UZP. skomentuj
2011-10-07 01:52:07 | *.*.*.* | dancop
Sam dodajesz mi argumentów i nie muszę zaglądać do orzeczenia: "Obejmuje co najmniej
informacje niezbędne do identyfikacji (imię, nazwisko, miejsce zamieszkania),
jednakże do tego się nie ogranicza, bowiem mieszczą się w nim również dalsze
informacje, wzmacniające stopień identyfikacji". Czyli, także informacje
uzupełniające, wzmacniające stopień identyfikacji, jak to określił sąd. Nie niezbędne
do samej identyfikacji, tylko jeszcze konkretyzujące.

Nie wiem, czy masz praktykę w stosowaniu ustawy i bieżące kontakty z GIODO. Z mojej
praktyki, już 13sto letniej (kurde szmat czasu swoją drogą i to głównie w ODO)
wynika, że GIODO uznaje za dane osobowe wszystko, wszystko, wszystko. Nie ma
informacji, która wpisana do zgłoszenia zbioru do rejestracji nie zostałaby
zaakceptowana. Numery rachunków, numery kart kredytowych, kolor oczu itp.

Powiedz, czym się różni Twoim zdaniem np. wyznanie od numeru rachunku bankowego?
Wyznanie jest daną osobową i to wrażliwą. Czym się różni taki zestaw danych: imię i
nazwisko oraz wyznanie od imienia i nazwiska oraz numeru rachunku. Dlaczego wyznanie
jest daną osobową, a numer rachunku nie? skomentuj
2011-10-07 09:44:03 | 217.96.0.* | bibong
Niestety, dancop, ma więcej racji (niestety, bo w pierwszej chwili uznałem włączenie
numeru konta do zbioru danych osobowych za głupotę) - ale tylko ze względu na
definicje i cel ustawy. Ustawa nie jest " o danych osobowych - czym one są i jak je
zapisywać", ale o "ochronie danych" - a to znaczy chyba, że daną osobową jest każda
informacja o człowieku, która pozwala zidentyfikować go przez osoby niepowołane
(czyli inne niż te, którym dane zostały przekazane) i/lub wykorzystać ją w celach
niedozwolonych (czyli innych niż te, dla których dane zostały przekazane). Numer
samochodu lub numer telefonu są w takim rozumieniu danymi osobowymi, bo w przypadku
przekazania ich ludziom cwanym, można stać się obiektem informacyjnego ataku o
ubezpieczeniach, promocjach lub ogólnym dobrobycie związanym z wyborem pana
Dutkiewicza na kogoś tam.
Mam jednak jedno zastrzeżenie względem poglądów dancopa - dane te muszą mieć
charakter obiektywny, co znaczy, że muszą wynikać lub być stwierdzone jakimś aktem
prawnym (i tu wpada płeć, nazwisko, pesel, adres, numer konta, samochodu, telefonu)
lub być mierzalne (tutaj: kolor oczu, odciski palców, znamiona). Numer kołnierzyka
czy ulubiony kolor to dane subiektywne i wynikające jedynie z oświadczenia, które
może być całkowicie fałszywe.
I jeszcze dodałbym, że dane te są niezmienialne w takim sensie, że pozorna zmiana
danej oznacza usunięcie starej danej i zastąpienie jej nową (na przykład nowym
samochód lub nowe nazwisko). Ewentualnie zmiana jest usankcjonowana aktem prawnym lub
również jest mierzalna (tu dane biometryczne). skomentuj
2011-10-07 10:09:44 | *.*.*.* | olgierd
Numer rachunku nie, bo zasadniczo nic nie mówi o człowieku -- nie ma nic wspólnego z
prywatnością. Stan tego rachunku -- tak, numer -- nie.
Wyznanie -- wiadomo.

Ale jeśli jest inaczej, to rozumiem, że w zdaniu "lubię żółty ser, jazdę na rowerze i
kurtki z windstoppera" też czają się dane osobowe. Z czym ja się nie zgadzam.
Co do obiektywności tych danych -- w sumie dobra teza, ale nie do końca ;-) w sprawie
wyznania też mogę kłamać: "lubię żółty ser, jazdę na rowerze i kurtki z windstoppera,
a ponadto jestem Sikhem, a mój numer rachunku bankowego to 12 2345 6789 0123 etc.
etc."

Że GIODO coś jakoś traktuje to dla mnie jest argument dobry praktycznie, ale czasem
nietrafny. GIODO -- zwłaszcza poprzedni -- miał tendencje do różnych tez, nie zawsze
trafnych. Zresztą ustawa obrosła tak idiotycznymi faktoidami, że czasem nie chce mi
się nawet o tym myśleć (vide niedawne strachy w Wyborczej: 200 tys. zł kary za
niezarejestrowaną bazę w postaci listy kontaktów w komórce.

Doświadczenie mam, mówiąc wprost, takie sobie -- parę razy się coś tam rejestrowało,
raz pisało się ws. jakiegoś postępowania -- nigdy nie było żadnych problemów. skomentuj
2011-10-07 12:02:31 | 217.96.0.* | bibong
Ale dane osobowe nie tyle mają mówić coś o człowieku, co pozwalać na jego
identyfikację poprzez to, co o nim mówią. Numer rachunku - w połączeniu z umową lub
innym papierkiem/zapisem, w którym jest zestawiony z nazwiskiem, peselem, adresem -
pozwala zidentyfikować właściciela.
A Twoim oświadczenie o tym, co lubisz jest całkowicie subiektywne i poza tym
niejednoznaczne, bo możliwa jest interpretacja: lubię zapach stóp uczestników Tour de
Pologne po całym dniu wyścigu (co można zrobić z windstopperem?). A dana osobowa musi
być obiektywna i - dodatkowa cech - jednoznaczna (nazwisko to nazwisko, konto to
konto) i weryfikowalna (nazwisko w dowodzie osobisty, numer rachunku w umowie).
I jeszcze a propos idiotyzmów (gdyby uznać wszystkie możliwe oświadczenia za dane
osobowe): czy posiadacz autobiografii żyjącej osoby powinien zarejestrować zbiór
danych osobowych (w ekstremalnym rozwinięciu: czy jakakolwiek książka żyjącego
pisarza nie jest takim zbiorem, skoro pełna jest oświadczeń różnego rodzaju).
A jeśli już o biografiach (lub nawet biogramach): czy nieautoryzowana biografia
(zawierająca takie niezaprzeczalne dane osobowe jak nazwisko, datę i miejsce
urodzenia, czasem wizerunek w postaci zdjęć) nie jest przykładam wykorzystania danych
osobowych wbrew woli danej osoby i czy nie można się powołać w sądzie na odnośną
ustawę? skomentuj
2011-10-07 13:13:44 | *.*.*.* | olgierd
Na tym papierku zidentyfikuje Cię nazwisko i adres. Numer rachunku jest po prostu
jakiegoś rodzaju informacją (techniczną).

Weryfikowalna jest także waga ciała: dziś ważę 76 kg (mam nadzieję ;-) ale po
weekendzie może mnie być 3 kg więcej ;-) skomentuj
2011-10-07 15:34:45 | 217.96.0.* | bibong
Daną techniczną jest w takim razie także numer dowodu osobistego. A co jeśli na
papierku jest tylko adres i numer rachunku?

Poza tym, cała rzecz rozbija się o cel ustawy, którym jest ochrona danych - nie tylko
przed wykorzystaniem ich w celu zidentyfikowania jakiejś osoby, ale także w celu
zapobieżenia przestępstwom (lub u**************-jak spam mailowy lub telefoniczny),
przy których ten, kto się ich dopuszcza, ma głęboko w zadku, kim jesteś (inaczej: nie
zamierza nikogo identyfikować).

Co do wagi: to dane biometryczna, mierzalna i obiektywna. Inaczej niż rozmiar
kołnierzyka, który zależy od preferencji koszulowego nosiciela, poniekąd jedynie
związany z obwodem szyi w jej najniższej części - jest to zatem informacja
niemierzalna i subiektywna. skomentuj
2011-10-08 08:28:22 | 188.33.143.* | RyszardP
Re: O przetwarzaniu odcisków palców pracowników [7]
Fajna dyskusja, zwłaszcza dla nieprawnika - czyli dla mnie. Na mój rozum GIODO musi
się zachowywać "nadmiarowo", jest to logiczne i bezpieczne. Niektóre informacje,
związane ściślej lub luźniej, z osobą są przedmiotem zainteresowania innego podmiotu.
Skoro tak - uważam, że to ów podmiot, mając w tym interes, powinien wykazać przed
sądem, że informacja nie jest objęta ochroną. Jeśli nie wykaże - trudno, łapy precz. skomentuj
2011-10-09 16:40:31 | *.*.*.* | olgierd
Dobra, przyznaję się. W komentarzach celowo przyjąłem pozycję advocatus diaboli --
czasem dobrze robi (na głowę) popróbować z całym przekonaniem i w przemyślany sposób
spróbować popierać i uzasadniać pogląd, którego się nie popiera :)

Numer rachunku bankowego, adres zamieszkania, numer PESEL, numer paszportu, numer
telefonu, adres poczty elektronicznej czy prawa jazdy oczywiście są danymi osobowymi.
Wiedziałem to zarówno tydzień temu, miesiąc temu jak i rok temu :)

Dziękuję za komentarze :) skomentuj
2011-10-09 19:44:06 | 113.106.234.* | osp
Eee tam, nikt w to nie uwierzy. Bo nieraz juz bylo widac, ze Olgierd nie potrafi
przyznac sie do bledu. Tak jak kiedys kandydowal do Senatu, pozniej sie okazalo, ze
to kandydowanie jest za trudne / skomplikowane i sobie odpuscil, ale zamiast napisac,
ze tylko z tego powodu dal sobie z tym spokoj, to zaczal czarowac, ze to niby byl
zart. Blaga, Olgierd, blaga. Nie obrazaj inteligencji swoich czytelnikow takimi
numerami. Nawet jesli kiedys rzeczywiscie bedziesz gral role adwokata diabla to po
tym wszystkim nikt Ci juz nie uwierzy, tak jak w tej anegdocie, ktora kazdy zna, jak
to dowcipniś krzyczy co godzinę, że się pali, wszyscy stają na równe nogi biegną z
językiem na brodzie i słyszą pusty śmiech żartownisia. Takie akcje dowcipniś może
powtórzyć góra trzy razy, po czwartym nikt się już nie ruszy. Za 10 i przy prawdziwym
pożarze, kawalarz może się drzeć wniebogłosy, a nikt nie zareaguje. skomentuj
2011-10-09 19:47:53 | 113.106.234.* | osp
Dziwne jest, ze numer IP przyjmuje sie za dana osobowa, pomimo ze w przypadku
polaczen z domu identyfikuje on tylko osobe, ktora wykupila abonament na dostep do
internetu, a nie osobe, ktora siedzi przed komputerem. Dlaczego zatem numer IP uwaza
sie za dana osobowa? skomentuj
2011-10-10 09:38:37 | *.*.*.* | olgierd
Senat miał być żartem bez względu na to, czy zebrałbym podpisy, czy też nie -- a
nawet bez względu na to czy ew. objąłbym mandat ;-)

A co ja sobie o tym myślę... ja jeden wiem. A ile mnie obchodzi kto coś sobie o tym
pomyśli... też ja jeden wiem ;-) skomentuj
2011-10-10 13:50:45 | 113.106.234.* | osp
No to co sobie w takiej sytuacji pomysla o Tobie Twoi czytelnicy to tez oni tylko
beda wiedziec... ;-) A co z IP jako dana osobowa - co o tym myslisz? Na powaznie. skomentuj
2011-10-10 14:04:12 | *.*.*.* | olgierd
Słowem każdy coś sobie myśli ;-)

Natomiast co do adresu IP to wydaje mi się, że skoro dopiero na samym końcu możesz
sprawdzić czy chodzi o Ciebie czy o jakiegoś innego abonenta, to tak czy inaczej są
to jakieś tam dane osobowe.

Identycznie jak z tym jeśli bym podał w jakimś formularzu Twoje dane: imię, nazwisko,
PESEL. Jeśli miałbym się martwić tym, że to jest czyjś inny IP-ek, to i Twoim
PESEL-em nie będę się martwił. skomentuj
2011-10-10 19:44:03 | 113.106.234.* | osp
Rzecz w tym, ze tak samo jak rozmowa z jakiegos okreslonego telefonu, do ktorego jest
przypisany jakis abonent, nie identyfikuje jeszcze kto z niego rozmawial, jak
przypisanie rejestracji samochodu do okreslonego kierowcy, nie identyfikuje jeszcze
kto go w danych okolicznosciach prowadzil, tak samo IP nie identyfikuje kto przy
komputerze w danym czasie siedzial, a jednak czasem sie odnosi wrazenie (czytajac
artykuly prasowe/vaglowe/olgierdowe), ze IP jest traktowany inaczej niz w
analogicznych przypadkach z telefonem i pojazdem. Nie rozumiem dlaczego.
Rozwazam to wszystko z ciekawosci, bo zadnych problemow z tym zwiazanych nigdy nie
mialem i nie mam. skomentuj
2011-10-26 11:33:06 | *.*.*.* | bank_
O przetwarzaniu odcisków palców pracowników [0]
Cieszy ten wyrok, bo bez tego podejrzewam w pierwszej kolejności pracownicy banków
tak byliby kontrolowani. skomentuj

bezczelna reklama:

Firma Prawnicza Lege Artis
www.LegeArtis.org

O mnie
Olgierd Rudak
Jesteś na stronie czasopisma internetowego "Lege Artis", które ukazywało się od 17 listopada 2006 r. do 16 maja 2014 r.
Najnowsze komentarze
2017-10-13 06:09
Gina Acampora:
O ochronie wizerunku złodziei
Nazywam się Gina Acampora i rozmawiam dzisiaj jako najszczęśliwszy człowiek na całym dzikim[...]
2017-10-10 01:40
jance:
Uważajcie na oszustów sprzedających samochody z UK
Witam wszystkich, Nazywam się Ketesha Frank, jestem z Alabama, Stanów Zjednoczonych, jestem tu,[...]
2017-10-05 19:48
ArturZpl:
Rekordowe odszkodowanie za spam
Teraz to też my będziemy mogli starać się o odszkodowanie. Szukając informacji na ten temat -[...]
2017-10-02 10:03
CARO CATO:
Uważajcie na oszustów sprzedających samochody z UK
¿Necesita dinero para iniciar un negocio propio ...? ¿Necesita dinero también pagar[...]
2017-09-04 13:15
Walls:
Uważajcie na oszustów sprzedających samochody z UK
Dobry dzień,   Jesteśmy prawowitym, renomowanym rządowym pożyczkodawcą. Jesteśmy firma[...]