Bezpieczeństwo

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych stanowi, że za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Ustawa nie określa dokładnie, które informacje mają status danych osobowych, lecz jedynie wskazuje, czym należy się kierować w klasyfikowaniu informacji jako dane osobowe.
W związku z rozwojem nowych technologii, w następstwie którego ich użytkownicy pozostawiają coraz więcej tzw. cyfrowych śladów, na podstawie których możliwe jest ustalenie tożsamości konkretnych osób, konieczne stało się przeanalizowanie zawartej w ustawie o ochronie danych osobowych definicji danych osobowych i ustalenie, które z informacji i w jakich sytuacjach uznać można za dane osobowe.

 

Adres IP

Kwestia uznawania publicznego adresu IP za dane osobowe jest zależna od charakteru, okoliczności i sposobu, w jaki te dane są przydzielane i przetwarzane. Biorąc jednak pod uwagę takie elementy jak:

  • sposób powiązania tych danych z innymi danymi, które wskazać mogą na osobę, której dotyczą,

  • ryzyko, że informacje te mogą być porównane z innymi informacjami dostępnymi publicznie i ich zestawienie może doprowadzić do identyfikacji osoby, której dotyczą,

  • prawdopodobieństwo pozyskania w przyszłości dodatkowych informacji, które umożliwią zidentyfikowanie osoby, której dotyczą,

  • prawdopodobieństwo, że dodatkowe dane niezbędne do identyfikacji mogą być pozyskane za pośrednictwem uprawnionych podmiotów.

Należy uznać, że adres IP jest daną, która w wielu okolicznościach może służyć do ustalenia powiązań pomiędzy urządzeniem, któremu jest przypisana i osobą, która urządzenie to wykorzystuje. Zgodnie zatem z przytoczoną definicją danych osobowych, będą to dane osobowe, które umożliwiają identyfikację osób, których dotyczą, natomiast same ich nie identyfikują.



Adres email

Za dane o charakterze osobowym należy z całą pewnością uznać wszystkie adresy poczty elektronicznej osób fizycznych, które wykupiły konto e-mail u usługodawcy, podpisując stosowną umowę na świadczenie takiej usługi. Tym bardziej wtedy, gdy w identyfikatorze adresu e-mail znajduje się jej imię i nazwisko lub dodatkowo osoba ta wykupiła nazwę domenową niosącą informację o jej nazwisku, np. imię@nazwisko.pl. Operator serwera pocztowego dysponuje w takich przypadkach pełną informacją o tym, do kogo dany adres poczty elektronicznej został przyporządkowany.

Do danych o charakterze osobowym należy również zaliczyć adresy poczty elektronicznej, które nadawca opatrzył swoim zaufanym certyfikatem niekwalifikowanym lub zawarł w nim dokumenty podpisane swoim zaufanym certyfikatem kwalifikowanym.

 

Pliki cookie

Pliki cookies („ciasteczka”) to niewielkie informacje tekstowe wysyłane przez serwer www i zapisywane po stronie użytkownika (zazwyczaj na twardym dysku komputera użytkownika). Standardowo pliki cookies są konstruowane w taki sposób, że odczytanie informacji w nich zawartych możliwe jest jedynie przez serwer, który je utworzył. Pliki cookies są stosowane najczęściej w rozbudowanych serwisach internetowych, w tym w serwisach sklepów internetowych, stron wymagających logowania oraz stron reklamowych. Informacje zawarte w tych plikach mogą być wykorzystywane do monitorowania aktywności użytkowników odwiedzających dane strony. W plikach cookies mogą być zapisane bardzo różnorodne informacje, w tym niepowtarzalny identyfikator konta danego użytkownika w sieci bądź stacji komputerowej, z której korzysta wielu logujących się na swoje konta użytkowników.

 

Login

Nazwa użytkownika (login) może w określonych okolicznościach być uznana za daną osobową. Dla potwierdzenia powyższego stanowiska niezbędne jest sprawdzenie, czy za pomocą informacji tego rodzaju można ustalić – bezpośrednio lub pośrednio (w powiązaniu z innymi informacjami) – tożsamość osoby posługującej się określonym loginem. Odwołując się do definicji danych osobowych zawartych w Dyrektywie 95/46/WE oraz uwag zawartych w Opinii 4/2007 przyjętej przez Grupę Roboczą ds. Ochrony Danych, decydujące znaczenie dla ewentualnego uznania ich za dane osobowe będzie miała możliwość identyfikacji pośredniej określonego użytkownika, a więc identyfikacja z wykorzystaniem dodatkowych informacji będących w posiadaniu administratora danych (dostawcy serwisu internetowego) lub innych osób. Jednoznaczne stwierdzenie, czy określona nazwa użytkownika serwisu internetowego może być daną osobową możliwe jest wyłącznie po dokładnym przeanalizowaniu poszczególnych przypadków oraz wszystkich związanych z nimi okoliczności, zawsze w kontekście celów przetwarzania tychże nazw.

 

Zgłoś nadużycie w przypadku podejrzenia naruszenia zasad ochrony danych osobowych.