Definicja danych osobowych w dobie rozwoju technologii
W realiach gwałtownego rozwoju nowych technologii granice prywatności stają się coraz bardziej płynne. Wraz z nimi pojawia się szereg wyzwań w zakresie prawidłowej interpretacji obowiązujących przepisów o ochronie danych osobowych. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO), mimo upływu kolejnych lat stosowania w praktyce, nieustannie konfrontowane jest z nowymi formami przetwarzania danych. Jeszcze kilka lat temu stosowane dziś rozwiązania, np. mechanizmy sztucznej inteligencji, mogłyby uchodzić za niemożliwe lub co najmniej marginalne. Obecnie więc kluczowym wyzwaniem dla administratorów danych pozostaje właściwa identyfikacja tego, co stanowi „daną osobową”. Choć RODO samo w sobie definiuje pojęcie danych osobowych, w praktyce często okazuje się, że… jak zwykle to zależy. Samo istnienie definicji nie oznacza bowiem, że każda sytuacja jest oczywista. Wraz z rozwojem cyfrowego społeczeństwa, coraz bardziej zaawansowanymi metodami profilowania czy technikami łączenia i porównywania danych, częściej okazuje się, że dane, które jeszcze niedawno wydawały się wyłącznie informacją o konkretnej rzeczy, obecnie mogą mieć istotne znaczenie z punktu widzenia ochrony prywatności osób fizycznych.
Numer VIN — informacja czy już dane osobowe?
Ciekawym przykładem praktycznej trudności w zakresie prawidłowej kwalifikacji informacji jest numer identyfikacyjny pojazdu, powszechnie znany jako VIN (Vehicle Identification Number). Co do zasady VIN traktować należy jako unikalny numer, który przypisany jest do konkretnego pojazdu. Jego celem jest jednoznaczna identyfikacja pojazdu na przestrzeni całego cyklu życia technicznego. Numer ten pojawia się w dokumentach rejestracyjnych, umowach leasingowych, polisach ubezpieczeniowych, fakturach serwisowych, a także w ogłoszeniach sprzedaży samochodu. Powstaje więc pytanie: czy taka informacja, formalnie odnosząca się do pojazdu, może być kwalifikowana jako dana osobowa?
Pytanie to nie ma jedynie wymiaru teoretycznego. Posiada bowiem istotne znaczenie praktyczne, które oddziałuje na funkcjonowanie wielu branż, w szczególności motoryzacyjnej, ubezpieczeniowej czy leasingowej. Łatwy dostęp do ogólnodostępnych internetowych baz danych oraz powszechność przetwarzania informacji na temat pojazdów powoduje, że numer VIN może w określonych przypadkach stawać się elementem, który pozwala na identyfikację konkretnej osoby fizycznej. Dotyczy to szczególnie zarejestrowanego właściciela pojazdu. Problematyka właściwego definiowania numeru VIN w kontekście stosowania przepisów o ochronie danych osobowych stała się przedmiotem zainteresowania Trybunału Sprawiedliwości Unii Europejskiej (TSUE). TSUE zajął się tym istotnym zagadnieniem w sprawie C-319/22, gdzie wydał orzeczenie bezpośrednio odnoszące się do statusu numeru identyfikacji pojazdu w kontekście przepisów RODO.
Wyrok TSUE C-319/22: kiedy VIN staje się daną osobową
W wyroku z dnia 9 listopada 2023 r., w sprawie C-319/22, TSUE przesądził, że numer VIN może być uznany za daną osobową. Nie jednak w sposób bezwarunkowy, lecz przy spełnieniu określonych kryteriów. TSUE dokonał wykładni art. 4 pkt 1 RODO, gdzie przypomniał o podstawowym kryterium decydującym o zakwalifikowaniu informacji jako dana osobowa. Kryterium tym jest możliwość identyfikacji osoby fizycznej, zarówno w sposób bezpośredni, jak też – co bardzo ważne w opisywanym przypadku – pośredni. Zasadnicze znaczenie ma więc szeroko pojęty kontekst przetwarzania i dostęp do dodatkowych informacji.
TSUE w przedmiotowym orzeczeniu podkreślił, że w sytuacji, kiedy podmiot przetwarzający numer VIN posiada środki umożliwiające ustalenie właściciela pojazdu, informacja ta nabiera charakteru danej osobowej. Przykładowo, jeśli firma posiada dostęp do rejestrów pojazdów, ewidencji ubezpieczeniowej lub innych systemów, które pozwalają na powiązanie numeru VIN z osobą fizyczną, wówczas przetwarzanie numeru identyfikacji pojazdu podlegać będzie rygorom wynikającym z przepisów RODO. W tym samym orzeczeniu TSUE zwrócił uwagę, że w oderwaniu od danych stricte kontekstowych, numer VIN może być identyfikowany wyłącznie jako informacja techniczna o pojeździe, a nie o osobie fizycznej. Ostateczna kwalifikacja uzależniona jest więc od całościowego kontekstu przetwarzania, dostępnych zasobów informacyjnych oraz celów, dla których VIN jest wykorzystywany.
Praktyczne wnioski: trudna sztuka identyfikacji danych osobowych
Wyrok TSUE w sprawie C-319/22 stanowi bardzo ważną wskazówkę dla podmiotów przetwarzających dane osobowe na terytorium Unii Europejskiej. Wskazuje, jak istotna jest precyzyjna analiza, czy z pozoru neutralne informacje mogą – w ściśle określonych warunkach – prowadzić do identyfikacji osoby fizycznej. Towarzyszący przedsiębiorcom rozwój nowych technologii, w tym wykorzystanie algorytmów sztucznej inteligencji, przetwarzanie danych na dużą skalę oraz rozwiązania typu open data powodują, że granica między informacją techniczną a daną osobową jest coraz trudniejsza do uchwycenia. Mnogość źródeł, z których można pozyskiwać (i następnie porównywać, zestawiać, itp.) informacje tworzy efekt swoistej „mozaiki danych”. W ten sposób pojedyncze dane, które same w sobie nie pozwalają na identyfikację osoby fizycznej, w zestawieniu z danymi publicznymi zaczynają ją umożliwiać.
Podmioty dokonujące operacji przetwarzania muszą więc pamiętać, że popełnienie błędu we właściwej kwalifikacji informacji może przełożyć się na szereg negatywnych następstw, w tym ryzyko naruszenia przepisów RODO, skutkujące nałożeniem administracyjnych kar finansowych, a także utraty zaufania klientów. O ile bezpośrednia identyfikacja osób fizycznych poprzez typowe dane jak imię i nazwisko czy numer PESEL wydaje się już być utrwalona w świadomości administratorów danych, o tyle problematyka pośredniej identyfikacji – chociażby opisywane zagadnienie numeru VIN, ale także kwestia adresów IP czy identyfikatorów urządzeń elektronicznych – wciąż stanowią praktyczne wyzwanie dla rynku. W epoce technologicznej rewolucji szczególna uwaga powinna być przykładana do analizy ryzyk związanych z przetwarzaniem danych, a zasada „privacy by design” powinna stać się nie tylko teoretycznym postulatem, ale faktycznym elementem kultury przetwarzania informacji w każdej świadomej organizacji.