czy pesel to dane wrażliwe

Zwykłe dane osobowe, a dane wrażliwe. Ustawa o ochronie danych osobowych wyróżnia dwa rodzaje danych osobowych. Są to dane zwykłe oraz dane szczególnie chronione (zwane częściej danymi wrażliwymi lub sensytywnymi). Czym różnią się od siebie te dwa rodzaje informacji? Euro najtańsze od ponad dwóch lat. Zastrzeżenie numeru PESEL będzie możliwe od najbliższego piątku - poinformowało TVN24 Biznes biuro komunikacji Ministerstwa Cyfryzacji. Jak wyjaśniono Prawie co czwarty Polak deklaruje, że w czasie pandemii rozmawiał przez telefon z kimś, kto poprosił go o podanie numeru PESEL, serii dowodu osobistego lub danych do logowania w bankowości elektronicznej – wynika z badania serwisu ChronPESEL.pl i Krajowego Rejestru Długów pod patronatem Urzędu Ochrony Danych Osobowych. Urzędnik wrzucił wrażliwe dane do sieci. Każdy mógł je sprawdzić. W dokumencie można było sprawdzić nazwiska, numery telefonów, PESEL-e, maile oraz adresy miejsca pracy. Lista A ponieważ nie mamy czasu, to używamy tego samego loginu i hasła, jak do naszych innych kont. Dla cyberprzestępców to wystarczający zestaw, aby spenetrować wszystkie nasze konta, także te, na których podajemy tak wrażliwe dane jak PESEL - tłumaczy ekspert. naskah drama tentang pergaulan bebas 6 orang. Dane wrażliwe to potoczne określenie zakresu danych, które w RODO występują pod pojęciem szczególnych kategorii danych osobowych i w odróżnieniu od danych zwykłych są to dane osobowe, które wymagają specjalnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności osoby fizycznej. Wcześniej również w przepisach prawa istniała definicja danych wrażliwych, stąd i my będziemy jej używać w niniejszym artykule. Które dane osobowe to dane wrażliwe?Na potrzeby artykułu podzielono dane wrażliwe na 3 grupy, aby ułatwić ich zdefiniowanie i rozróżnienie danych wrażliwych od danych zwykłych. 1. Dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność́ do związków zawodowych osoby fizycznej. Zaklasyfikowanie danych ujawniających pochodzenie rasowe lub etniczne do danych szczególnych kategorii ma przede wszystkim na celu zapewnienie równego traktowania w zatrudnieniu, edukacji, opiece społecznej i prawach obywatelskich bez względu na cechy biologiczne (jak kolor skóry), kulturowe (jak zwyczaje), język czy światopogląd jest pojęciem bardzo szerokim i powinien być rozumiany jako zbiór ogólnych przekonań dotyczących natury świata, człowieka i społeczeństwa, miejsca człowieka w świecie, sensu jego życia oraz wynikających z tego wartościowań i ideałów wyznaczających postawy życiowe ludzi i sposób ich postępowań. Zatem światopogląd to także religia i poglądy kategorią danych w tym zestawieniu jest także przynależność do związków zawodowych osoby fizycznej, mająca duże znaczenie w zakresie ochrony praw pracownicznych. 2. Dane genetyczne i dane biometryczne zastosowane w celu jednoznacznego zidentyfikowania osoby fizycznej. Dane genetyczne, jak wskazuje RODO, to dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby istotne źródłem danych genetycznych jest próbka genetyczna, a dane genetyczne są to informacje uzyskane z analizy próbki biologicznej danej osoby fizycznej, w szczególności z analizy chromosomów, kwasu dezoksyrybonukleinowego (DNA) lub kwasu rybonukleinowego (RNA) lub z analizy innych elementów umożliwiających pozyskanie równoważnych na ten temat pisaliśmy w artykule: Biometria – perspektywa RODO oraz bezpieczeństwa danych. 3. Dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. O danych osobowych dotyczących zdrowia możemy mówić, kiedy dane te ujawniają informacje o stanie zdrowia osoby fizycznej. Zalicza się do nich także informacje o przeszłym, obecnym i przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Przykładami tych danych mogą być:dane zbierane podczas rejestracji do usług opieki zdrowotnej,dane pozyskane podczas świadczenia usługi opieki zdrowotnej,numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby do celów zdrowotnych,informacje pochodzące z badań laboratoryjnych lub lekarskich, w tym próbek biologicznych, informacje o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym (w tym np. o stanie i stopniu nietrzeźwości) osoby, której dane dotyczą. Informacje o zdrowiu osoby fizycznej klasyfikujemy jako dane genetyczne niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub inne (np. alkomat).Do tej kategorii zaliczamy także dane o przebywaniu na zwolnieniu lekarskim (doznane urazy, stwierdzone choroby) i dane o nałogach (w zakresie informacji o przebytym leczeniu oraz wpływu na stan zdrowia lub proces leczenia). Co więcej, informacja, że ktoś jest zdrowym i trzeźwym człowiekiem również stanowi informację o stanie drugiej strony, w momencie śmierci osoby, informacja z jakiego powodu zmarła, w tym np. dane pochodzące z sekcji zwłok, nie stanowią danych osobowych. Ochrona danych osobowych dotyczy osób fizycznych, a więc żyjących. Jednakże należy pamiętać, że bliskim zmarłego przysługuje prawo do ochrony ich dobra osobistego, jakim jest kult pamięci osoby zmarłej. Z uwagi na sytuację związaną z epidemią wirusa COVID-19 zgodność z prawem przetwarzanie danych dotyczących zdrowia budzi w ostatnim czasie wiele zainteresowania. Zatem warto przypomnieć, iż dane te mogą być przetwarzane, jeżeli odbywa się to w następujących celach związanych z ochroną zdrowia:przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego (art. 9 ust. 2 lit. h RODO),przetwarzanie jest niezbędne z uwagi na interes publiczny w dziedzinie zdrowia publicznego, taki jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych (art. 9 ust. 2 lit. i RODO). Należy podkreślić, iż w przypadku transgranicznych zagrożeń dla zdrowia chodzi o wszelkie zagrożenia, o których mowa w art. 168 TFUE, w szczególności o charakterze epidemiologicznym. Ważne jest, że ta przesłanka legalności przetwarzania danych dotyczących zdrowia dotyczy tylko zdrowia publicznego, a nie partykularnych interesów (mających na względzie tylko własną korzyść osoby, a nie ogółu) osób, których dane dotyczą. Oznacza to, iż nie możemy stosować tego przepisu do przetwarzania danych dotyczących zdrowia niezbędnych do wykonywania zdalnych zabiegów medycznych, gdy zespół innego kraju łączy się z urządzeniem zlokalizowanym w Polsce. W tym miejscu warto wspomnieć także, że motyw 46 RODO wskazuje, że przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest to niezbędne do ochrony interesu, które ma istotne znaczenie dla życia osoby, której dane dotyczą lub innej osoby fizycznej. Niektóre czynności przetwarzania mogą służyć zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą lub innej osoby fizycznej, na przykład gdy przetwarzanie jest niezbędne do celów humanitarnych w tym monitorowania epidemii i ich rozprzestrzeniania w pojęciach seksualności i orientacji seksualnej mieszczą się zachowania (w tym zaburzenia), preferencje seksualne, ale i identyfikacja płciowa czy deklarowana orientacja seksualna, deklarowana płeć oraz płeć biologiczna. Ogólnie rzecz ujmując dane wrażliwe dotykają bezpośrednio sfer prywatności czy nawet intymności osoby fizycznej oraz mogących wiązać się z wysokim niebezpieczeństwem wywołania decyzji dyskryminujących na różnych polach (zatrudnienie, ubezpieczenie, kredytowanie, stosunki międzyludzkie). Chociaż RODO wskazuje, iż – co do zasady – zabrania się przetwarzania danych wrażliwych, to w rzeczywistości jest to możliwe, ale wyłącznie po spełnieniu jednego z warunków wymienionych w art. 9 ust. 2 jakie muszą być spełnione, aby przetwarzanie szczególnych kategorii danych osobowych było zgodne z prawem omawialiśmy już w artykule: Biometria – perspektywa RODO oraz bezpieczeństwa danych. Dane wrażliwe - czym są i kiedy można z nich korzystać 29 października 2019, 14:04. 2 min czytania Dane wrażliwe to szczególny typ danych osobowych. Wszystkie podmioty, które zbierają i przetwarzają dane osobowe - w tym firmy - muszą stosować się do przepisów dotyczących tego zagadnienia. W przeciwieństwie do zwykłych danych, które pozwalają na identyfikację konkretnych osób, te wrażliwe dotyczą strefy prywatności, a nawet intymności człowieka i wymagają szczególnej ochrony. Istnieją jednak sytuacje, w których i z takich danych można skorzystać. Dowiedz się dokładniej, które dane uważa się za wrażliwe, i w jakich sytuacjach możesz je przetwarzać. Czym są dane wrażliwe, jakie są ich rodzaje i jakie dokumenty regulują korzystanie z tego typu danych - dowiedz się tego, aby nie popełnić kosztownego błędu | Foto: BenAkiba / Getty Images Dane wrażliwe są szczególnym typem danych osobowych, które przetwarzane są między innymi w firmach Na ogół przetwarzanie wrażliwych danych osobowych jest zakazane, lecz istnieją przesłanki umożliwiające ich wykorzystanie Numer PESEL nie jest daną wrażliwą Dane wrażliwe, nazywane inaczej danymi sensytywnymi, są szczególnym typem danych osobowych i dotyczą sfery prywatnej konkretnych osób. Ich gromadzenie i przetwarzanie obwarowano większymi rygorami niż korzystanie z innych typów danych. Dane wrażliwe muszą być chronione przed nieuprawnionym dostępem. Chroni się w ten sposób prywatność i bezpieczeństwo osoby czy organizacji, których owe dane dotyczą - na przykład pracowników i kontrahentów. W przypadku braku rygorystycznej ochrony poufne informacje mogą wyciec, zostać wykorzystane do kradzieży tożsamości czy w celu nielegalnego handlu danymi, co na ogół niekorzystnie odbija się na wizerunku firmy czy instytucji. RODO a ochrona danych wrażliwych W Polsce dane wrażliwe chroni się na mocy RODO, czyli Ogólnego Rozporządzenia o Ochronie Danych Osobowych (regulacje zawarte w tym dokumencie dotyczą przetwarzania danych osobowych na terenie całej Unii Europejskiej), jak również Ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (czyli regulacji krajowych). Jej przepisy dotyczą wszystkich firm i instytucji, które gromadzą i przetwarzają dane osób fizycznych. Przedsiębiorstwa powinny więc zwrócić szczególną uwagę na to jakie dane udostępniają i komu je udostępniają. Firmie, która nie zastosuje się do wymogów RODO grożą kary, dlatego warto poznać wszystkie rodzaje danych wrażliwych, których upubliczniania należy się wystrzegać. Dane wrażliwe - rodzaje Istnieje wiele rodzajów danych wrażliwych. Zgodnie z zapisami znajdującymi się w RODO za dane wrażliwe uważane są te dotyczące: pochodzenia rasowego lub etnicznego danej osoby (przykładowo tego, czy pracownik przynależy do cygańskiej mniejszości etnicznej) ujawniające przekonania religijne lub światopoglądowe (na przykład tego, czy pracownik jest wyznawcą islamu lub buddyzmu) uwidaczniające poglądy polityczne (na przykład był związany z konserwatywnymi ugrupowaniami), obnażające przynależność do związków zawodowych, dane biometryczne (przede wszystkim odciski palców, odręczny podpis, cechy siatkówki oka), dane genetyczne (przede wszystkim o kodzie DNA i RNA) i te dotyczące zdrowia (na przykład o jego stanie, przebytych chorobach, a nawet dotyczące trzeźwości pracownika), dane dotyczące seksualności w tym orientacji seksualnej. Uwaga! Numer PESEL (wbrew błędnym przekonaniom wielu ludzi) nie jest daną wrażliwą. Fałszywe są więc sformułowania typu "nie zbieramy danych wrażliwych takich jak twój PESEL" czy "nie podawaj numeru PESEL, bo to dana wrażliwa". Czytaj także w BUSINESS INSIDER Co grozi za ujawnianie danych wrażliwych W Polsce zakres kar związanych z bezprawnym korzystaniem z tego typu danych reguluje ustawa o ochronie danych osobowych. Do przepisów muszą dostosować się wszystkie podmioty, które zbierają i przetwarzają dane osobowe. W ustawie nie ma sformułowania "dane wrażliwe". Jednak ustawodawca wymienił konkretne rodzaje danych, pokrywających się z tymi wymienionymi w RODO, których przetwarzanie jest objęte wyższymi karami. Zgodnie z zapisami ustawy osoby, które nie mają praw do: ujawniania pochodzenia rasowego, etnicznego, poglądów politycznych, przekonań, przynależności do związków zawodowych, przetwarzania danych genetycznych, danych biometrycznych w celu zidentyfikowania danej osoby, jak również danych dotyczących zdrowia i seksualności danej osoby (w tym jej orientacji), lecz robią to, podlegają grzywnie, karze ograniczenia wolności lub mogą zostać pozbawione wolności na maksymalnie 3 lata. Ponadto Ogólne Rozporządzenie o Ochronie Danych Osobowych mówi, że organ nadzorczy (w Polsce jest nim Urząd Ochrony Danych Osobowych) ma możliwość nałożenia kar pieniężnych w wysokości do 10 mln euro lub do 2% rocznego obrotu przedsiębiorstwa za niewłaściwe zabezpieczenie danych osobowych i do 20 mln euro lub do 4% rocznego obrotu firmy za przetwarzanie danych niezgodnie z zasadami RODO (np. zasadą minimalizacji danych czy ograniczenia celu). Firmy mają się czego wystrzegać, co jednak nie znaczy, że dane wrażliwe nie mogą nigdy ujrzeć światła dziennego. W niektórych sytuacjach zarówno firma, jak i instytucja, może sobie na to pozwolić. Kiedy dane wrażliwe mogą zostać ujawnione Na ogół przetwarzanie wrażliwych danych osobowych jest zakazane. Jednak istnieją przesłanki umożliwiające ich wykorzystanie. Z tego szczególnego rodzaju danych osobowych przedsiębiorca lub instytucja mogą korzystać wtedy, gdy: osoba, której dane wrażliwe mają zostać użyte, wyraziła wyraźną zgodę na ich przetwarzanie. (przykładowo, jeśli kandydat do pracy w trakcie procesu rekrutacji z własnej inicjatywy przekazał pracodawcy dane osobowe na temat stanu zdrowia i nie wyrazi odrębnej zgody na ich przetwarzanie, wtedy właściciel firmy powinien takie dane usunąć ze swoich zasobów. Jeżeli zaś kandydat podpisał odrębne oświadczenie z wyraźną zgodą na przetwarzanie wrażliwych danych, pracodawca może zachować informacje na temat jego zdrowia w bazie firmowej), są niezbędne przy wypełnianiu obowiązków administratora danych. Dotyczy to konkretnych obszarów, takich jak prawa pracy, zabezpieczenia społeczne i ochrona socjalna (w takim przypadku dane wrażliwe pozwalają na przykład na określenie stopnia inwalidztwa i przyznanie odpowiedniej renty), wykorzystanie tych danych jest niezbędne w celu dochodzenia praw przed sądem (na przykład ustalenie, czy doszło do szykanowania pracownika ze względu na jego wyznanie), dane wrażliwe zostały upublicznione przez osobę, której dotyczą (na przykład mówi o swoim wyznaniu, pochodzeniu etnicznym czy seksualności w wywiadach dla prasy lub sam upublicznia te publiczne dane w kanałach społecznościowych w żaden sposób nie ograniczając odbiorców, do których kierowany jest post czy zdjęcie). WARTO WIEDZIEĆ: Dane osobowe to informacje, dzięki którym można zidentyfikować daną osobę fizyczną. Istnieje kilka kategorii danych osobowych, w tym te, które dotyczą sfer życia wyjątkowo osobistych i intymnych – dane osobowe danych osobowychWyróżniamy trzy rodzaje danych osobowych:dane osobowe zwykłeimię i nazwisko, adres zamieszkania (zameldowania) PESEL, numer telefonu, numer IPdane o wyrokach skazujących, czynach zabronionych i powiązanych środkach bezpieczeństwaTo grupa informacji na temat tego, czy dana osoba była objęta postępowaniem karnym lub sprawą o wykroczenia, czy popełniła taki czyn, otrzymała wyrok lub czy zastosowano wobec niej środki zapobiegawcze lub zabezpieczającedane osobowe wrażliwe (dane osobowe szczególnie wrażliwe)pochodzenie rasowe/etniczne,poglądy polityczne,wyznanie religijne,wyznawany światopogląd,członkostwo w związkach zawodowych,dane genetyczne – indywidualne informacje o fizjologii,dane biometryczne -odciski palców, tęczówka oka, kształt twarzy, głos, kształt ucha,informacje dotyczące stanu zdrowia – informacje o przebytych lub aktualnych chorobach, przebytych zabiegach,orientacji dane osobowe mogą być wykorzystane?Dane osobowe zwykłe służą do identyfikacji osoby. Są podawane często i przy różnych okazjach. Tego typu dane są potrzebne/wymagane w bankach czy w sprawach urzędowych. Część z nich wykorzystywana jest w celach komercyjnych przez szczególnie wrażliwe mogą być przetwarzane jeżeli:osoba, której dane dotyczą wyrazi na to zgodętaką decyzję podejmie sąd, w celu realizacji praw i obowiązków wynikających z wydanych orzeczeń sądowychprzetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracywiąże się to z ochroną zdrowia oraz świadczenia usług z nim osobowe szczególnie wrażliwe dotyczą sfery prywatnej. Nie są danymi ( za wyjątkiem danych biometrycznych) służącymi do identyfikacji. Wykorzystane w złej wierzą mogą służyć dodyskryminacji, hejtu czy szantażu. Dlatego tak istotne jest ich odpowiednie powinny być przetwarzane dane osobowe szczególnie wrażliwe? Audyt – ochrona danych osobowychPrzetwarzanie danych osobowych wrażliwych może mieć miejsce za zgodą osoby, której dane musi być:dobrowolnakonkretnaspecyficzna ( sposób przetwarzania powinien być tej osobie znany) przetwarzająca dane musi też umożliwić prosty sposób wycofania zgody. Jeżeli udowodnione zostaną nieprawidłowości przez przeprowadzony audyt, ochrona danych osobowych powinna zostać lepiej nieprawidłowo przetwarzanych danych szczególnie wrażliwychRODO nie operuje pojęciem „dane wrażliwe”. Taka fraza natomiast występuję w Ustawie o Ochronie Danych Osobowych. Jednak sformułowane w obu dokumentach pojęciach pokrywają się zapisów ustawy, podmiot, który bezprawnie, tj. bez zgody osoby zainteresowanej ujawnia takie dane podlega grzywnie, ograniczeniu lub nawet pozbawieniu wolności do lat Ochrony Danych Osobowych ma kilka narzędzi, za pomocą których może sprawdzić poprawność przetwarzanych danych w firmie, np. audyt. Ochrona danych osobowych, a już szczególnie dane osobowe szczególnie wrażliwe powinny być pod szczególną opieką administratora danych. Nie jest to zbyt fortunny przekład angielskiego wyrażenia sensitive data… – Potrzebowałem informacji do sporządzenia zbiorczej polisy i poprosiłem pewną osobę o przesłanie internetowo podstawowych danych osobowych, czyli informacji o miejscu zamieszkania, dacie i miejscu urodzenia, PESEL. Otrzymałem je, ale osoba ta dopisała uwagę: „Niech je Pan spisze, wykorzysta w wiadomej sprawie i szybko skasuje, gdyż są to dane wrażliwe”. Po raz pierwszy zetknąłem się z takim określeniem… (e-mail nadesłany przez internautę: dane personalne i adresowe do wiadomości mojej i redakcji). Dane osobowe to ostatnimi czasy temat niezwykle nośny i ważny. Po wejściu w życie ustawy o RODO trzeba być wyjątkowo ostrożnym w operowaniu nimi, gdyż można za to ponieść surową karę i narazić się na nieprzyjemności. Warto jednak wiedzieć, że w prawie o ochronie danych osobowych mowa jest o dwóch ich rodzajach: o danych osobowych zwykłych i właśnie o danych osobowych wrażliwych. Za dane osobowe zwykłe uważa się wszelkie informacje możliwe do powiązania z osobą fizyczną (np. imię i nazwisko, adres, data i miejsce urodzenia, PESEL, numer telefonu, a nawet numeru IP). Do owych informacji zastrzeżonych (zwykłych) nie należą zasadniczo adresy e-mailowe z loginami typu lotny2980@ czy anielicaX3@ ponieważ niemożliwe jest – na ich podstawie – ustalenie tożsamości użytkowników, którzy się nimi posługują. Ale już e-maile z większą liczbą elementów identyfikujących, a przede wszystkim z pełnym imieniem i nazwiskiem plus nazwą serwera (@ traktuje się jako dane personalne zwykłe podlegające ochronie, gdyż istnieje duże prawdopodobieństwo wskazania właściciela. A zatem osoba, która podała czytelnikowi w e-mailu dane: numer PESEL, adres, data i miejsce rodzenia, niesłusznie uznała je za dane wrażliwe. Były to dane osobowe, ale zwykłe. Dane wrażliwe są czymś zupełnie innym. To informacje o nas szczególnie poufne i nad wyraz chronione, dotyczące np. stanu zdrowia, sytuacji rodzinnej, pochodzenia, wyznawanych poglądów politycznych, przekonań religijnych czy preferencji seksualnych. Wykorzystywanie lub przetwarzanie danych osobowych wrażliwych jest zakazane. Jeśli chodzi o ocenę od strony językowej nazwy dane wrażliwe i występowania w niej przymiotnika wrażliwy, to można wnieść pod jej adresem pewne zastrzeżenia. Została ona utworzona przez analogię do angielskiego wyrażenia sensitive data i pierwotnie przetłumaczono je wprost jako dane sensytywne, nie zważając na to, że przymiotnika sensytywny używa się w polszczyźnie do opisywania cech charakterologicznych człowieka. Mówi się, że ktoś jest sensytywny, jeśli odznacza się ‘czułością, wrażliwością, zdolnością do odczuwania i doznawania wrażeń’. Nazwa dane sensytywne, czyli połączenie przymiotnika sensytywny z rzeczownikiem pospolitym, zaczęto więc poddawać krytyce. I wkrótce zastąpiono je określeniem dane wrażliwe, tłumacząc, że jest bardziej adekwatne (ujawnienie takich danych mogłoby w razie czego kogoś urazić, naruszyłoby jego prywatność). Zapomniano jednak o tym, że owo słowo również dotyczy człowieka (mówi się np. wrażliwy chłopiec), a jeśli rzeczy, to wyłącznie czegoś podatnego na bodźce (np. ktoś ma wrażliwy słuch, wrażliwy żołądek, wrażliwą skórę). Na coś wymagającego szczególnej ochrony ze względu na intymny charakter używa się innego przymiotnika – delikatny (np. delikatna sprawa). Może więc byłoby lepiej, gdybyśmy mówili i pisali dane osobowe delikatne? Nie należy rzecz jasna mówić i pisać dane drażliwe (że rzekomo 'mogą kogoś drażnić’…). Dodajmy na koniec, że słowo dane w wyrażeniu dane osobowe nie ma form l. poj., a zatem jest błędem używanie przez urzędników i dziennikarzy określenia dana osobowa (np. daną wrażliwą jest orientacja seksualna). MACIEJ MALINOWSKI Czy numer PESEL to dane wrażliwe? Czy jeśli wyciekną dane osobowe np. imię i nazwisko oraz numer PESEL to mamy podwyższony poziom ryzyka naruszenia naszych praw lub wolności? Na jednej z konfederacji w 2019 r. jeden z pracowników Urzędu Ochrony Danych Osobowych powiedział, że UODO, „zawsze będzie kwalifikował naruszenia związane z wyciekiem danych osobowych z numerem PESEL, jako naruszenie z wysokim ryzykiem naruszenia praw i wolności”. Głęboko się z tym nie zgadzam, ponieważ…. Czym jest numer PESEL? Powszechny Elektroniczny System Ewidencji Ludności czyli PESEL jest centralnym rejestrem państwowym prowadzonym na mocy przepisów dotyczących ewidencji ludności. Rejestr służy do gromadzenia podstawowych informacji identyfikujących tożsamość i status administracyjno-prawny obywateli polskich oraz cudzoziemców zamieszkujących na terenie Polski. Dlaczego „dane osobowe” a nie „dane osobowa”? PESEL jest 11-cyfrowy symbolem numerycznym jednoznacznie identyfikujący konkretną osobę fizyczną. Składa on się z następujących informacji: data urodzenie osoby (cyfry od 1 -6) liczba porządkowa (cyfry od 7-10) składająca się z numerem serii oraz płci (cyfra 10) cyfra kontrolna (11) oraz fakt, że numer PESEL należy do rejestru państwowego Zatem numer PESEL niesie za sobą, nie jedną, a aż cztery informacje, dlatego można mówić o numerze PESEL jako „danych osobowych”. Kto jest w posiadaniu mojego numeru PESEL? Całkiem prawdopodobne jestem, że następujące podmioty, czy rodzaje podmiotów dysponują naszym numerem PESEL: minister właściwy ds. informatyzacji, urzędy stanu cywilnego, organy gminy, szpitale i inne zakłady opieki zdrowotnej udzielające świadczeń medycznych, ZUS, oświata (od szkoły podstawowej, średniej po uczelnie wyższe), banki, zakłady ubezpieczeń, wszyscy pracodawcy, większość zleceniodawców, organy podatkowe, zakłady gospodarki komunalnej, starostowie, dostawcy usług powszechnych takich jak: wodociągi, zakłady energetyczne, zakłady szkodnictwa, operatorzy telekomunikacyjni (czy dostawcy usług telefonicznych i internetowych) oraz wiele przedsiębiorców, z którymi zawieraliśmy umowy cywilne (głównie zakupu usług czy towarów). Jak widać, krąg administratorów jaki jest uprawniony do przetwarzania naszych numerów PESEL jest ogromny i praktycznie nieskończony. Do tego (jeszcze nie wielka to część społeczeństwa), ale coraz więcej z nas dysponuje numerami PESEL osób których nie znamy lub możemy nie znać. Jest on zawarty w podpisie elektronicznym z kwalifikowanym certyfikatem zaszyty w plikach elektronicznych jakie często przechowujemy na naszych komputerach. Co można zrobić mając numer PESEL? W sumie, to nie za wiele możemy zdziałać będąc w posiadaniu samego numeru PESEL. Mówi on nam tylko, że mamy do czynienia z osobą fizyczną (nawet nie wiemy czy ona żyje), kiedy się urodziła i jakiej jest płci. Oczywiście numer PESEL zazwyczaj nie występuje sam. Przeważnie towarzyszą mu inna dane takiej jak: imię, nazwisko, adres zamieszkania lub zameldowania, nr dokumentu tożsamości. Powyższy zestaw danych, wystarczający, aby przygotować pisemną umowę cywilną z osobą fizyczną. Specjalnie napisałem „przygotować” umowę, a nie zawrzeć umowę. Bo jak można zawrzeć skutecznie umowę z „danymi osobowymi” nie znając lub nie mając pewności co do tożsamości, która się tymi danymi posługuje? Zmiana paradygmatu To w tym miejscu powinien nastąpić przełomowy punkt w myśleniu o numerze PESEL. Nie fakt posiadania, czy wycieku tego numeru powinno być złem i ryzykiem samym w sobie. To nierzetelni przedsiębiorcy, czy pracownicy podmiotów publicznych, którzy nienależycie weryfikują tożsamość osoby, która się posługuje tym numerem PESEL, powinny być „ścigani” przez organy do tego powołane (w tym Prezesa UODO). Weryfikacja tożsamości osoby, szczególnie w Internecie, przy korzystaniu z usług drogą elektroniczną, usług publicznych czy zawieraniu umów na odległość, jest najważniejszym procesem przetwarzania danych osobowych. A stopień głębokości tej weryfikacji powinien być adekwatny do ryzyka dla osoby, jakie może wiązać się z błędnym zweryfikowaniem jej tożsamości. Stawiam więc pytanie retoryczne: który z administratorów w swoich ogromnych RCP’ach, czy systemach zarządzania, naprawdę zarządza procesami weryfikacji tożsamości? Tomasz Izydorczyk Tomasz Izydorczyk redaktor naczelny i wydawca

czy pesel to dane wrażliwe