Co to jest dane osobowe?

Osobowa wartość danych to każda informacja, która pozwala na wyodrębnienie danej osoby. Obejmuje to m.in. imię i nazwisko, adres, ale także inne dane, które jednoznacznie identyfikują lub mogą odróżniać daną osobę.

Kiedy dana osoba uważa się za zidentyfikowalną?

Osoba jest identyfikowalna, jeśli obiektywnie jest możliwe, aby zidentyfikować ją na podstawie danych. Może to nastąpić w wyniku śledztwa, przynależności do grupy lub innych okoliczności, nawet jeśli w danym momencie dana osoba nie jest zidentyfikowana.

Co oznacza „personenbezogen” w kontekście danych?

Zasadniczo, termin „osobowy” w odniesieniu do danych oznacza, że mogą one bezpośrednio lub pośrednio odnosić się do konkretnej osoby. Dotyczy to niezależnie od tego, czy zbiór danych sam w sobie zawiera informacje dotyczące danej osoby, czy nie.

Dlaczego nawet anonimizowane wartości ciasteczek, takie jak 'xyz123', są uważane za dane osobowe?

Nawet jeśli wartość ciasteczka, taka jak 'xyz123', wydaje się anonsymiczna, jest traktowana jako danych osobowych, ponieważ zawsze jest powiązana z adresem IP. Adresy IP są z definicji danymi osobowymi, co oznacza, że cały zestaw danych jest uznawany za dane osobowe.

Co oznaczają „dane osobowe” w kontekście artykułu?

Dane osobowe to informacje, które pozwalają na zidentyfikowanie danej osoby, nawet jeśli odbywa się to pośrednio. Może to być na przykład adres IP użytkownika powiązany z numerem telefonu.

Czy ciasteczko może być również uważane za dane osobowe?

Tak, nawet jeśli wartość ciasteczka nie odnosi się bezpośrednio do danej osoby, ciasteczka mogą być uznane za dane osobowe, ponieważ często są powiązane z adresem IP użytkownika. Może to prowadzić do powiązania z osobą w przypadku dużych zbiorów danych.

Kiedy dane nie są rozpatrywane jako dotyczące osób?

Dane, które nie są zindywidualizowane, jeżeli nie są powiązane z osobą lub jeżeli jest obiektywnie niemożliwe dla organu X uzyskanie tych dodatkowych danych. Dotyczy to w szczególności danych, które znajdują się poza ich kontekstem i nie są powiązane z właściwym organem.

Ochrona danych osobowych: Co to są dane osobowe?

Które dane są osobowe i dlaczego ciasteczka zawsze są osobowe, niezależnie od wartości ciasteczek, jest tematem tego wpisu. Zbyt często istnieje związek z danymi osobowymi. Dane osobowe kolorują tak naprawdę inne dane i czynią je danymi osobowymi.

Wprowadzenie

Dane osobowe to takie dane, które pozwalają na ustalenie tożsamości osoby. Zatem np. imię i nazwisko osoby wraz z jej adresem (ulica, nr domu, kod pocztowy, miasto, kraj, nazwa planety, oznaczenie galaktyki) jest przykładowym danym osobowym. Warto dodać, że często mówi się od data zamiast danych. Data to liczba mnoga od danych.

Imię osoby wraz z jej adresem stanowi bezpośredni związek z osobą. Ale dane, które pozwalają na wniesienie wniosku o tożsamość osoby, są również danych osobowych. To wynika z Art. 4 nr 1 RODO. Rozporządzenie o ochronie danych nie mówi o bezpośrednim lub pośrednim związku z osobą, ale o identyfikowalnych lub identyfikowanych osobach.

Osoba jest identyfikowalna, gdy obiektywnie możliwe jest, aby sam lub przy pomocy innych osób można było ustalić związki z osobą. Inni mogą być na przykład dostawcami usług telekomunikacyjnych, służb specjalnych lub organami państwowymi. Nie ma znaczenia, czy ci inni są aktualnie proszeni o dane osobowe. Wystarcza możliwość obiektywnie przewidziana. Na przykład taką możliwość może otworzyć ściganie przestępców. To potwierdził Trybunał Sprawiedliwości Unii Europejskiej w orzeczeniu z 19 października 2016 r. – C-582/14 ("Breyer", adresy IP są danymi osobowymi).

Obok tego Grupa Art. 29 UE stwierdziła, że osoba uważana jest za identyfikowalną również wtedy, gdy można ją odróżnić od innych osób w grupie. To zostało sformułowane w tzw. Opinion 4/2007. Grupa Art. 29 to poprzednik Europejskiego Komitetu Ochrony Danych (EDSA) i jest nawet wspominana w Art. 94 RODO. Ma więc istotne znaczenie.

Kiedy osoba jest bezpośrednio identyfikowalna?

Wyżej już podałem przykład z nazwiskiem i adresem osoby. Dane te pozwalają na pełną, bezpośrednią identyfikację osoby. Wszystkie dane, które wskazują bezpośrednio na osobę, czynią ją bezpośrednio identykowalną.

Jeśli w grupie samopomocy anonimowych alkoholików ma kogoś z białych włosów a inni nie mają, to ta osoba jest od innych rozpoznawalna przez następujący dane: „Ta osoba jest w tej grupie i ma białe włosy”.

Osoba mogłaby być zidentyfikowana w ten sposób, ale niekoniecznie bezpośrednio. Bo kiedy widzę kogoś przed sobą, nie wiem, kim jest ta osoba, jak się nazywa i gdzie mieszka.

Zreszta może być tak, że ktoś doznaje szkody z powodu złamania danych przez kogoś, bez tego aby wiedzieć gdzie mieszka ta osoba. Wtedy pojawia się pytanie czy nie wystarczy mieć tę osobę przed sobą, aby mieć bezpośredni związek z nią. Na to pytanie nie będę tu odpowiadał. Byłoby to badanie wartym samodzielnego podejścia, które może być lepiej napisane przez prawnika.

Co to jest bezpośredni związek z osobą?

Jeżeli więc odmówić zostanie bezpośredni związek z osobą, istnieje często indirektywny związek. Jest on do przyjęcia wtedy, gdy istnieje obiektywna możliwość identyfikacji osoby w całości.

Przykładowy wypadek osoby z białymi włosami w grupie anonimowych alkoholików pokazuje, że istnieje co najmniej jeden pośredni odniesienie do osób. Ponieważ kiedy osoba z białymi włosami popełnia przestępstwo, można w ramach ścigania sprawcy ustalić, kim jest dokładnie ta osoba z białymi włosami. W ten sposób data "Osoba w grupie ma białe włosy" to data osobowa (oczywiście w tym wymienionym kontekście). Ponieważ istnieje obiektywny możliwość, że

Osoba z białymi włosami popełni przestępstwo i
W Niemczech możliwości ścigania przestępców pozwalają na pełną identyfikację osoby podejrzanej o popełnienie przestępstwa.

Mógłby się również bez przestępstwa identyfikować szarym włosom, np. wtedy, gdy osoba prowadzi samochód uprawniony do jej użytku i z nim jechała na spotkanie grupy wsparcia. Na samochodzie musi być zgodnie z przepisami o ruchu drogowym umieszczony numer rejestracyjny (możliwe, że nie dotyczy to wszystkich pojazdów, ale o tym tu nie chodzi). Numer rejestracyjny jest ponownie związany z osobą, jej imieniem i adresem. Urząd komunikacji wiedział o tej przyporządkowaniu. Gdy samochód zaangażuje się w wypadek, można zidentyfikować właściciela. Wypadek jest zazwyczaj nieprzestępstwem. Może nawet być tak, że szara włosa prowadząca grupę wsparcia nie była winna wypadku. Przestępcą musiałby się okazać sprawca wypadku i dałby się zobowiązać do przeprowadzenia prawidłowej procedury po wypadku. Nawet takie rzeczy jak ucieczka od kierowania mogłaby uniknąć sprawca i wpisałby numer rejestracyjny poszkodowanego, jeśli nie byłoby go znaleźć przy swoim samochodzie.

Jeśli ktoś jednak teoretycznie może być zaangażowany w wypadek, to każda osoba, z którą się spotyka, jest w efekcie identyfikowalna. W ten sposób każdy daneowy wartość do osoby fizycznej blisko Ciebie byłoby osobiste dane. W każdym razie dotyczy to osób korzystających z Internetu. Zobacz tutaj sekcję „pliki cookies” niżej. Jeśli rozmawiasz z kimś przez telefon i ten ktoś rozmawia z Tobą ze swojego prywatnego połączenia lub własnego smartfona, to wszystkie dane do Twojego rozmówcy są osobiste. RODO dotyczy jednak tylko danych przechowywanych lub częściowo automatyzowanych przetwarzania (patrz Art. 2 nr 1 RODO). Wiedziałem, że transmisja sygnału w telefonach jest automatyzowana.

Jednocześnie jest prawdopodobnie możliwe śledzenie osoby w ramach legalności, aby dowiedzieć się gdzie jechała, może nawet do swojego miejsca zamieszkania. To tylko na celu inspirowania.

Także lokalizacja osoby może ją uczynić rozpoznawalną. Myśl tylko o sygnale GPS telefonu komórkowego. Kiedyś gdzieś przeczytałem, że kobieta popełniająca przestępstwo została ujęta, gdyż jej konto Google zostało przeanalizowane. W moim telefonie komórkowym jest zawsze wyłączone sygnał GPS (ale nie dlatego, że planowałabym popełnić przestępstwo, lecz dlatego, że nie podoba mi się, gdy ktoś wie, gdzie jestem lub byłam, na podstawie sygnałów elektronicznych).

Ciasteczka

Tekst źródłowy: Laut Richtlinia ochrony danych osobowych w ramach komunikacji elektronicznej nie ma znaczenia, czy pliki cookies przechowują dane osobowe lub nie. ePrivacy-Richtlinia jednak zastosowanie znajduje. W Niemczech jest ona przede wszystkim realizowana przez § 25 TTDSG. TTDSG to specjalne prawo dotyczące RODO. Jeśli TTDSG obowiązuje, wywiera ono blokadę wobec RODO. Dopiero po przeprowadzeniu prawnej oceny zgodnie z § 25 TTDSG odnośnie plików cookies i innych dostępów do urządzeń, zostaje przeprowadzona ocena zgodnie z RODO.

Aktualizacja maj 2024: TTDSG teraz nazywa się TDDDG. Ponieważ wielu czytelników znają jedynie TTDSG, tutaj nadal używana jest oryginalna nazwa.

Zapisywanie plików cookies w Twoim urządzeniu końcowym (np. telefonie komórkowym lub komputerze osobistym) oraz dostęp do plików cookies zapisanych w urządzeniu jest tylko bezwarunkowy, jeśli pliki cookies są nieodzowne. Większość plików cookies nie jest nieodzowna. Tutaj nie ma znaczenia, czy wartości w pliku cookie dotyczą osoby fizycznej lub nie. Nie ma znaczenia, jakie dane są przechowywane w pliku cookie; zawsze obowiązuje tu ustawa o ochronie danych osobowych (TTDSG).

Nun zapisuje się plik cookie na urządzeniu i czyta go później ponownie. Następnie chcemy bezpiecznie pracować z wartością cookies, bo w przeciwnym razie można by było go usunąć od razu. Ta praca z wartością cookies podlega regulacjom RODO. RODO dotyczy jednak tylko danych osobowych, do których należą również dane osobowo-łączne. Jak wyżej napisano, są to wszystkie dane, które bezpośrednio lub pośrednio mogą odnosić się do osoby.

Co się stanie, jeśli wartość ciastka nie jest związana z konkretną osobą? Weźmy przykład takiego wartości jak „xyz123”. Nawet wtedy wartość ciastka jest związana z konkretną osobą. Niektórzy nie chcą tego uznawać lub twierdzą, że to przeciwnie, ponieważ byłoby to dla ich klientów korzystne. Dla mojej argumentacji, dlaczego wartości ciastek są zawsze związane z konkretną osobą, muszę się trochę rozwijać.

Wszystkie dane, które występują wraz z danymi osobowymi, są danych osobowych i przez to osobowymi.
Szczegóły w artykule.

Adresy IP są danymi osobowymi. To potwierdził Europejski Trybunał Sprawiedliwości i Federalny Trybunał Karny w swoich orzeczeniach z lat 2016 i 2017 (patrz powyżej dla odniesień do wyroków). Zastosowanie się to również do dynamicznych adresów IP.

Ciasteczka są nieumyślnie zawsze wysyłane razem z adresem IP użytkownika strony internetowej do strony internetowej. Adres IP jest danych osobowych, więc każdy inny (potencjalnie ważny) wartość danych, która pojawia się wraz z adresem IP, jest również danych osobowych.

Wartości ciasteczek są zawsze indywidualne. Zatem dla przetwarzania wartości ciasteczek zawsze obowiązuje RODO, chociażby niektórzy to chcieliby wydyskutować.

Wnioski

Dane są osobowe, jeśli odnoszą się bezpośrednio lub pośrednio do osoby. Zgodnie z definicją prawną dane osobowe należą do kategorii danych osobowych.

Wartość danych występująca razem z danymi osobowymi staje się automatycznie danych osobowych i tym samym danych osobowych. Może być to prawdą tylko wtedy, gdy wartości danych nie ma żadnego znaczenia, ani obiektywnego, ani subiektywnego. Subiektywne oznacza, że wartość danych nie ma dla wszystkich możliwych odbiorców danych żadnego znaczenia. Jednak wtedy pojawia się pytanie, dlaczego wartość danych istnieje w ogóle. Może być to przykład sensowny; yes nie mogę sobie teraz przypomnieć żadnego.

Jest wątpliwości, jak długo wartość danych X jest współistniejąca z danymi osobowymi, aby wartość danych X była uważana za dane osobowe. To nawet nieznanego ze swej surowości irlandzkiego organu ochrony danych w postępowaniu przeciwko WhatsApp ustalono.

Jest również bez znaczenia, czy dane są przechowywane lub nie, pod warunkiem, że dane są częściowo lub całkowicie automatyzowane. Jeśli dane są osobiste w momencie ich istnienia, to są one osobiste. Obrobka danych zaczyna się już od obiektywnej „zamierzonej” możliwości pozyskania informacji, co określa się jako pozyskiwanie danych.

Oto tłumaczenie: Wszystko jest adresami IP dla Google, z powodu ich związku z osobą, które mogą być potencjalnie zawsze związane z konkretną osobą, prawdopodobnie na całym świecie i niezależnie od możliwości karnej odpowiedzialności w danym kraju. Ponieważ użytkownik może być identyfikowany obiektywnie, jeśli korzysta z usługi Google takiej jak Gmail lub posiada telefon Android, który ma numer telefonu. Ten numer jest (przynajmniej w niektórych krajach) zarejestrowany na konkretną osobę. W Niemczech musi być tak (przynajmniej wiem to odnośnie prywatnych telefonów, a ten artykuł dotyczy osób prywatnych i nie firm). Gmail jest usługą pocztową. Są ludzie, którzy otrzymują listy na swoją adresę Gmail, w których znajduje się imię i adresa osoby posiadającej tę adresę Gmail.

Ta pytanie miało już miejsce w ramach Abmahnungen od Google Fonts, aby pokazać, że adres IP dla Google również w Austrii potencjalnie zawsze ma związek z osobą.

W wątpliwości dane należy traktować jako dotyczące osoby. Wątpliwość często wynika z braku wyobraźni, że wartość danych może odnosić się do konkretnego człowieka. W aplikacjach AI pytanie o to, czy dana wartość dotyczy osoby, nie jest tak proste do rozwiązania. Jeśli dla 100 punktów danych brakuje jeszcze związku z osobą, może być inaczej w przypadku 100 milionów punktów danych.

Oto tłumaczenie źródłowego tekstu na język polski: Przez przypadek nie zawsze powstaje problem lub przypadek dotyczący Danych Osobowych. Jeśli dwie osoby na ulicy rozmawiają, to ich rozmowa nie podlega RODO, ponieważ nie jest automatycznie przetwarzana ani przechowywana w systemie plików. Zastosowanie się do informacji dostępnych publicznie jest często możliwe w ramach uzasadnionego interesu. Jeśli brakuje dodatkowych danych, aby z personowych danych utworzyć dane osobowe, a dla jednostki X nie jest obiektywnie możliwe ich uzyskanie, to dla tej jednostki X nie są to dane osobowe i tym samym nie są to dane osobowe. Ten przypadek występuje szczególnie wtedy, gdy dodatkowe dane znajdują się poza kontekstem jednostki X, np. u firm z którymi jednostka X nie ma żadnego związku i które mogą być jednostce X zupełnie nieznane.