Artykuł 11.07.2019 8 min. czytania Tekst Image Naczelny Sąd Administracyjny, rozpatrując skargę warszawskiego ratusza, uznał, że tablice rejestracyjne nie stanowią danych osobowych. Głęboko nie zgadzamy się z tym wyrokiem i uważamy go za niebezpieczny precedens. Przypominamy, czym są dane osobowe i dlaczego lepiej rozumieć to pojęcie szerzej, niż zrobił to sąd. Jak nie identyfikuje, skoro identyfikuje? Dane osobowe to informacje o „zidentyfikowanej lub możliwej do zidentyfikowania osobie”. Jak precyzuje RODO, chodzi m.in. o osobę, którą można rozpoznać na podstawie takich informacji, jak imię i nazwisko, ale też lokalizacja, identyfikator internetowy bądź kilka szczególnych czynników określających jej cechy fizyczne czy psychiczne. Określenie, czy informacja identyfikuje konkretną osobę, nie jest łatwe, bo zależy od możliwości osoby dysponującej informacją. Dla przykładu: pieszy widzący tablice rejestracyjne nie wie, do kogo auto należy (niektórzy są w stanie jedynie określić, w jakim mieście, a czasami dzielnicy zarejestrowano samochód). Co innego podmioty posiadające dostęp do Centralnej Ewidencji Pojazdów i Kierowców: w ewidencji do każdej tablicy przypisanych jest wiele danych, m.in. imię i nazwisko właściciela. Dla uznania informacji za dane osobowe wystarczy faktyczna możliwość ustalenia na jej podstawie tożsamości osoby fizycznej, która w wypadku podmiotu mającego dostęp do CEPiK niewątpliwie istnieje. Motyw 26 RODO wskazuje, że przy ocenie, czy osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby, w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane w identyfikacji osoby fizycznej. Oznacza to zatem „subiektywną przesłankę identyfikowalności” i relatywizację pojęcia danych osobowych. Relatywizacja nie polega jednak na przyjęciu kryterium „woli” czy „intencji” zbierającego dane za istotne. Relatywizm polega jedynie na uzależnieniu uznania informacji za dane osobowe od możliwości administratora danych. Takim tokiem rozumowania poszedł Trybunał Sprawiedliwości, który uznał np. numery IP za dane osobowe. Oczywiście wśród zaparkowanych na ulicy samochodów trafiają się takie, które należą do firm (np. leasingowych) lub są zarejestrowane za granicą – wtedy CEPiK nie pomoże. Jednak jedna „nieosobowa” tablica rejestracyjna nie odbiera pozostałym charakteru danych osobowych. Podobnie jest z adresami mailowymi: z faktu, że mail „buziaczek87…” nie wiąże się dla czytelnika z konkretną osobą, nie wynika, że charakter danych osobowych traci adres mailowy składający się z imienia i nazwiska. Od lat przyjmuje się bowiem domniemanie, że jeśli spośród informacji danego typu choćby część da się powiązać z konkretnymi osobami, całość także należy traktować w ten sposób. Niebezpieczne, bo… Podczas internetowych dyskusji o wyroku Naczelnego Sądu Administracyjnego powracało pytanie, dlaczego ten wyrok jest tak ważny i cóż niebezpiecznego z niego wynika. Po pierwsze – okazało się, że miasta mogą zbierać informacje na temat obywateli, nie mając ku temu podstawy prawnej i w sytuacji, w której nie jest to konieczne. Naszym zdaniem jest to niezgodne nie tylko z zasadami ochrony danych osobowych, ale także z art. 51 Konstytucji RP, co doskonale wyjaśnił Wojewódzki Sąd Administracyjny w Warszawie w uchylonym przez NSA wyroku. Chodzi co prawda tylko o numery tablic rejestracyjnych, a nie o dane podlegające szczególnej ochronie (np. o stanie zdrowia czy poglądach politycznych), niemniej informacje o tym, gdzie zaparkowaliśmy, dołączają do – i tak już imponującej – listy informacji, jakie na nasz temat mają władze. I z którymi część z nich (np. służby specjalne) może robić, na co tylko ma ochotę. Drugi problem ma charakter systemowy. NSA postawił dwie tezy: do uznania informacji za dane osobowe potrzebna jest intencja podmiotu przetwarzającego, żeby połączyć je z konkretną osobą, a jednocześnie „zaśmiecenie” zbioru przez informacje niewątpliwie „nieosobowe” oznacza, że całość nie ma takiego charakteru. Obawiamy się, że takimi argumentami zaczną się zasłaniać nie tylko podmioty publiczne, ale także prywatne firmy, których model biznesowy oparty jest na wykorzystywaniu danych osobowych. Taka argumentacja jest naszym zdaniem trudna (o ile w ogóle to możliwe) do obrony w świetle RODO i orzecznictwa Trybunału Sprawiedliwości, jednak wyrok NSA otwiera furtkę do długoletnich sporów prawnych, w których firmy będą się powoływać na to orzeczenie. Ostatecznie poszkodowani będą zwykli ludzie, których dane nie będą należycie chronione. Argumentacja wskazana przez NSA może być wykorzystywana przez firmy, których model biznesowy opiera się na przetwarzaniu danych osobowych. W tej sytuacji kluczową rolę ma do odegrania Prezes Urzędu Ochrony Danych Osobowych. Aby przeciąć możliwość powoływania się przez miasta czy firmy na kontrowersyjny wyrok NSA, wydaje się, że powinien on powtórzyć – już raz wyrażone w formie decyzji administracyjnej – swoje stanowisko i potwierdzić, że tablice rejestracyjne stanowią dane osobowe. Taka decyzja podlegać będzie zapewne kontroli sądu administracyjnego, który – wobec istotnych wątpliwości – powinien zapytać o zdanie Trybunał Sprawiedliwości. Niestety, to wszystko potrwa. Wojciech Klicki Zobacz, co udało nam się osiągnąć przez 10 lat i wesprzyj nasze działania! Wojciech Klicki Autor Temat dane osobowe Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje dane i jakie jeszcze prawa ci przysługują, w Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Leave this field blank Zobacz także Artykuł Dlaczego cyfrowa suwerenność nie jest taka prosta? O problemach z platformami z USA Pamiętacie jeszcze czasy, w których prodemokratyczne ruchy zwoływały się na platformach społecznościowych? Arabska Wiosna była opowiadana jako twitterowa rewolucja – oddolny, prodemokratyczny ruch, który z pomocą „nowych technologii” obalił złego dyktatora. 06.05.2025 Tekst Artykuł Odszkodowanie za wyciek 1500 zł odszkodowania za wyciek numeru PESEL i telefonu – przyznał Sąd Okręgowy w Warszawie kobiecie, która pozwała ubezpieczyciela – poinformował Dziennik Gazeta Prawna. To prawdopodobnie pierwsza sprawa, w której RODO egzekwował nie Urząd Ochrony Danych Osobowych, a sąd cywilny. 04.02.2021 Tekst Artykuł Monitorujemy wybory nowego Prezesa Urzędu Ochrony Danych Osobowych Pod koniec kwietnia kończy się kadencja Prezes Urzędu Ochrony Danych Osobowych – Edyty Bielak-Jomaa. Jedynym kandydatem do objęcia po niej stanowiska jest zgłoszony przez posłów PiS Jan Nowak. Sprawdzamy, jakie kompetencje ma dotychczasowy dyrektor Urzędu i wieloletni radny warszawskiej Woli, żeby… 27.03.2019 Tekst