Niebezpieczny wyrok NSA w sprawie tablic rejestracyjnych

11.07.2019

Artykuł

Naczelny Sąd Administracyjny, rozpatrując skargę warszawskiego ratusza, uznał, że tablice rejestracyjne nie stanowią danych osobowych. Głęboko nie zgadzamy się z tym wyrokiem i uważamy go za niebezpieczny precedens. Przypominamy, czym są dane osobowe i dlaczego lepiej rozumieć to pojęcie szerzej, niż zrobił to sąd.

Jak nie identyfikuje, skoro identyfikuje?

Dane osobowe to informacje o „zidentyfikowanej lub możliwej do zidentyfikowania osobie”. Jak precyzuje RODO, chodzi m.in. o osobę, którą można rozpoznać na podstawie takich informacji, jak imię i nazwisko, ale też lokalizacja, identyfikator internetowy bądź kilka szczególnych czynników określających jej cechy fizyczne czy psychiczne.

Określenie, czy informacja identyfikuje konkretną osobę, nie jest łatwe, bo zależy od możliwości osoby dysponującej informacją. Dla przykładu: pieszy widzący tablice rejestracyjne nie wie, do kogo auto należy (niektórzy są w stanie jedynie określić, w jakim mieście, a czasami dzielnicy zarejestrowano samochód). Co innego podmioty posiadające dostęp do Centralnej Ewidencji Pojazdów i Kierowców: w ewidencji do każdej tablicy przypisanych jest wiele danych, m.in. imię i nazwisko właściciela.

Dla uznania informacji za dane osobowe wystarczy faktyczna możliwość ustalenia na jej podstawie tożsamości osoby fizycznej, która w wypadku podmiotu mającego dostęp do CEPiK niewątpliwie istnieje.

Motyw 26 RODO wskazuje, że przy ocenie, czy osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby, w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane w identyfikacji osoby fizycznej. Oznacza to zatem „subiektywną przesłankę identyfikowalności” i relatywizację pojęcia danych osobowych. Relatywizacja nie polega jednak na przyjęciu kryterium „woli” czy „intencji” zbierającego dane za istotne. Relatywizm polega jedynie na uzależnieniu uznania informacji za dane osobowe od możliwości administratora danych. Takim tokiem rozumowania poszedł Trybunał Sprawiedliwości, który uznał np. numery IP za dane osobowe.

Oczywiście wśród zaparkowanych na ulicy samochodów trafiają się takie, które należą do firm (np. leasingowych) lub są zarejestrowane za granicą – wtedy CEPiK nie pomoże. Jednak jedna „nieosobowa” tablica rejestracyjna nie odbiera pozostałym charakteru danych osobowych. Podobnie jest z adresami mailowymi: z faktu, że mail „buziaczek87…” nie wiąże się dla czytelnika z konkretną osobą, nie wynika, że charakter danych osobowych traci adres mailowy składający się z imienia i nazwiska. Od lat przyjmuje się bowiem domniemanie, że jeśli spośród informacji danego typu choćby część da się powiązać z konkretnymi osobami, całość także należy traktować w ten sposób.

Niebezpieczne, bo…

Podczas internetowych dyskusji o wyroku Naczelnego Sądu Administracyjnego powracało pytanie, dlaczego ten wyrok jest tak ważny i cóż niebezpiecznego z niego wynika. Po pierwsze – okazało się, że miasta mogą zbierać informacje na temat obywateli, nie mając ku temu podstawy prawnej i w sytuacji, w której nie jest to konieczne. Naszym zdaniem jest to niezgodne nie tylko z zasadami ochrony danych osobowych, ale także z art. 51 Konstytucji RP, co doskonale wyjaśnił Wojewódzki Sąd Administracyjny w Warszawie w uchylonym przez NSA wyroku. Chodzi co prawda tylko o numery tablic rejestracyjnych, a nie o dane podlegające szczególnej ochronie (np. o stanie zdrowia czy poglądach politycznych), niemniej informacje o tym, gdzie zaparkowaliśmy, dołączają do – i tak już imponującej – listy informacji, jakie na nasz temat mają władze. I z którymi część z nich (np. służby specjalne) może robić, na co tylko ma ochotę.

Drugi problem ma charakter systemowy. NSA postawił dwie tezy: do uznania informacji za dane osobowe potrzebna jest intencja podmiotu przetwarzającego, żeby połączyć je z konkretną osobą, a jednocześnie „zaśmiecenie” zbioru przez informacje niewątpliwie „nieosobowe” oznacza, że całość nie ma takiego charakteru. Obawiamy się, że takimi argumentami zaczną się zasłaniać nie tylko podmioty publiczne, ale także prywatne firmy, których model biznesowy oparty jest na wykorzystywaniu danych osobowych. Taka argumentacja jest naszym zdaniem trudna (o ile w ogóle to możliwe) do obrony w świetle RODO i orzecznictwa Trybunału Sprawiedliwości, jednak wyrok NSA otwiera furtkę do długoletnich sporów prawnych, w których firmy będą się powoływać na to orzeczenie. Ostatecznie poszkodowani będą zwykli ludzie, których dane nie będą należycie chronione.

Argumentacja wskazana przez NSA może być wykorzystywana przez firmy, których model biznesowy opiera się na przetwarzaniu danych osobowych.

W tej sytuacji kluczową rolę ma do odegrania Prezes Urzędu Ochrony Danych Osobowych. Aby przeciąć możliwość powoływania się przez miasta czy firmy na kontrowersyjny wyrok NSA, wydaje się, że powinien on powtórzyć – już raz wyrażone w formie decyzji administracyjnej – swoje stanowisko i potwierdzić, że tablice rejestracyjne stanowią dane osobowe. Taka decyzja podlegać będzie zapewne kontroli sądu administracyjnego, który – wobec istotnych wątpliwości – powinien zapytać o zdanie Trybunał Sprawiedliwości. Niestety, to wszystko potrwa.

Wojciech Klicki

Zobacz, co udało nam się osiągnąć przez 10 lat i wesprzyj nasze działania!

prywatność

dane osobowe

orzecznictwo

Komentarze

Kiedyś popełniłem taki tekst

Skaner.
•
– Zgłaszam kradzież prywatności.

– Obywatelu uspokójcie się przecież nic wam nie zginęło, wszyscy widzą że macie wszytko to co mieliście.
O popatrzcie tu, stan waszego konta nie zmienił się od godziny 16.20 kiedy to robiliście zakupy w osiedlowej sklepie na rogu jest zresztą na tą waszą tam obecność potwierdzenie z monitoring osiedlowego, popatrzcie tu kamera numer 23.456 widać jak wchodzicie o 16.08 i wychodzicie o 16.25,.. no, no znów pięć minut zagadywaliście sklepową, nawet wam wasz czarujący uśmiech nie zginą jak z nią rozmawialiście co widać na monitoringu wewnętrznym. Zresztą wasze komplementy o jej oczach były całkiem dobre, rozwijacie się my to widzimy a wy mówicie że coś wam ukradziono,.. no na prawdę nie ładnie tak kłamać…o i paragonu się nie wzięło…
Wasz samochód stoi na parkingu pod domem waszej kochanki już trzeci dzień więc tez wam nie zginął, a jej mąż wraca dopiero za dwa dni (to nawet nie ma się co dziwić, że odwiedziliście sklep) o,.. a on jest teraz na granicy belgijskiej ,.. o jak widać zresztą nie sam – no ale nie to jest tematem tego wyjaśnienia.
Mówicie, że zginęła wam prywatność, wy pomyślcie co wy chcecie zgłosić ..może następnym razem przyjdziecie i zgłosicie, że zginęły wam te dwa skręty co to je trzymacie już drugi tydzień w schowku pod parapetem?
Czy wy naprawdę nie rozumiecie, że to co chcecie zgłosić podlega karze? Że ta wasza prywatność to narzędzie terrorystów, czy chcecie być uznani za terrorystę?
Czy wy nie rozumiecie, że usiłujecie zgłosić coś czego nie ma, coś co nie istnieje, a takie zgłoszenie to już akt wrogi państwu i partii. To akt wrogi prawu i sprawiedliwości społecznej, bowiem zabieracie nam nasz cenny czas, czas który moglibyśmy poświęcić na przykład na skanowienie waszych myśli.
Mówicie że to niemożliwe? Że to wasza głowa i wasze myśli? Dobrze, dobrze niech wam się tak zdaję jak z tą waszą prywatnością…powiem wam tylko tyle, że Egipcjanie też podobno nie mogli zbudować piramid.
No widzę na skanerze, że już nic nie chcecie powiedzieć … Możecie odejść Obywatelu.

23.01.2016
villk
--

Coraz bardziej skłaniam się do tezy że jedynym sposobem opanowania tego informacyjnego smoka jest wyłączenie prądu.
Wyrok NSA praktycznie wyłącza RODO, Tablice rejestracyjne to tylko przykład , furtki a właściwie DZIURY prawne do wycieku naszych danych z sytemu są wszędzie . A my ładujemy ten system informacjami o sobie bez opamiętania. Łączymy wszytko ze wszystkim, telefon z komputerem , bank z telefonem , płatności z danymi biometrycznymi itd itp... a wszystko wrzucamy na FB ,....z samych tych poważań można zbudować model naszego społeczeństwa . Ja nie wiem czy jesteśmy tak do przodu czy raczej jesteśmy tak głupi , podejrzewam raczej to drugie bo mam nieodparte wrażenie że polegamy jakiemuś eksperymentowi jako kraj .Może mam paranoję ale jako kraj jesteśmy wdzięczymy terenem testów modelowania społecznego a zbiory informacji jakie tworzymy (a jesteśmy chyba jednym z liderów w tej dziedzinie w Europie) są narzędziem tego modelowania, narzędziem budującym system w którym nie będą potrzebne demokratyczne wybory Obywateli bowiem SYSTEM i tak będzie wszytko widział i zdecyduje LEPIEJ.

pozdrawiam Villk

Z wyrokiem można sie nie

Z wyrokiem można sie nie zgadzać, ale warto to uzasadnić.
Gdyby kogoś to interesowało- wyrok nie jest wydany na podstawie RODO, dostęp do CEPiK jest udzielany tylko w określonych wypadkach a "tezy" zostały przytoczone przez Panoptykon przed przygotowaniem przed sąd pisemnego uzasadnienia- nie wiadomo na jakiej podstawie.

A mi tam z 15 lat temu na

A mi tam z 15 lat temu na prawie gospodarczym mówiono że tablice nie są danymi osobowymi ponieważ do powiązania ich z konkretną osobą potrzeba znacznych środków (np wiedzy policyjnej) i nie każdy od tak sobie sprawdzi kogo to samochód.
Jak dla mnie jest to bardzo wiarygodne wytłumaczenie

@... - tezy sądu zostały

@... - tezy sądu zostały przytoczone na podstawie ustnego uzasadnienia, czekamy na ich pisemne rozwinięcie.

@Dobek - owszem, tablice rejestracyjne nie dla każdego są danymi osobowymi, zależy to od możliwości sprawdzenia, do kogo należy samochód.

@ Wojciech Klicki- no właśnie

@ Wojciech Klicki- no właśnie nie do końca :) także proszę poczekać do pisemnego uzasadnienia.

Ale nawet jeżeli z kimś idzie

Ale nawet jeżeli z kimś idzie powiązać daną tablicę rejestracyjną, to na pewno nie zrobi tego byle urzędas - dostęp do CEPiK mają działy wydające dokumenty transportowe (prawa jazdy, dowody rejestracyjne itp.), policjanci i stacje diagnostyczne. Kropka.
Dodatkowo to są personalia właściciela pojazdu, a nie kierowcy!

Niestety, w artykule widzę

Niestety, w artykule widzę ten sam błąd co w orzeczeniu. Bo dane osobowe to nie tylko dane identyfikujące osobę, ale wszelkie dane dotyczące zidentyfikowanej (lub możliwej do zidentyfikowania) osoby. Czyli gdy widzę osobę w samochodzie o nr WRE D2I0L, to od razu mam zidentyfikowaną osobę fizyczną i daną jej dotyczącą (tj. nr rejestracyjny samochodu, którym się porusza). Oczywiście, RODO będziemy stosować tylko jeżeli dane mają się znaleźć w zbiorze lub są przetwarzane w sposób zautomatyzowany.

Podobnie nietrafiony jest nagminnie powtarzany przykład wiadomości z adresu „buziaczek87…”, bo wystarczy, że osoba poda identyfikujące ją dane w treści wiadomości (albo odbiorca już jej posiada) i już adres dotyczy zidentyfikowanej osoby.

Moim zdaniem, mówienie o tym, że osoba może być zidentyfikowana na podstawie nr rejestracyjnego tylko przez wybrane osoby, a w niektórych przypadkach będzie to trudne, jest sprzeczne z orzeczeniem TSUE w sprawie Patricka Breyera, gdzie trybunał wskazał w jaki sposób należy do takiego problemu podchodzić.

Proszę pamiętać, że w Polsce

Proszę pamiętać, że w Polsce nie ma prawa precedensowego. Jest to normalny wyrok określonego składu NSA, który wiąże ten skład w konkretnej sprawie. Konstytucja RP w katalogu źródeł prawa nie zawiera wyroków sądowych.

Jestem informatykiem. Mówimy

Jestem informatykiem. Mówimy o potencjalnym przypadku. Czy nie słyszeliście o przeciekach danych z baz policyjnych? Chodzi o to, że istnieje realne zagrożenie. Poza tym im mniej wie o mnie policja czy ktokolwiek, tym lepiej. Pan Wojciech jest słusznie oburzony decyzją sądu, ja też. Można apelować?

@Wujo,

mówimy o wyroku Naczelnego Sądu Administracyjnego, a więc wydanego na skutek rozpatrywania skargi kasacyjnej. To wyrok ostatniej instancji, od którego nie przysługują żadne środki odwoławcze. Ale - jak napisał @Zibi - sąd w innym składzie może mieć inny pogląd w tej sprawie.