Ochrona danych osobowych to temat, który od momentu wejścia w życie RODO budzi sporo wątpliwości. Wiele osób zadaje sobie pytanie: czy już samo podanie imienia i nazwiska to naruszenie przepisów? Aby odpowiedzieć na to pytanie, trzeba najpierw zrozumieć, jak RODO definiuje dane osobowe i w jakich sytuacjach ich ujawnienie może być problematyczne.
Imię i nazwisko jako dane osobowe
RODO traktuje dane osobowe bardzo szeroko. Zgodnie z definicją są to wszelkie informacje, które mogą prowadzić do identyfikacji osoby fizycznej. Samo imię lub samo nazwisko nie zawsze pozwalają jednoznacznie wskazać konkretnej osoby, jednak zestawienie tych dwóch elementów razem – zwłaszcza gdy dołożymy inne informacje, takie jak miejsce pracy czy adres zamieszkania – w większości przypadków umożliwia już precyzyjną identyfikację.
Warto podkreślić, że w praktyce również samo nazwisko albo samo imię może stanowić dane osobowe, jeśli w danym kontekście pozwala na identyfikację konkretnej osoby. Przykładowo w małej firmie, klasie szkolnej czy lokalnej społeczności nawet pojedyncze nazwisko wystarczy, aby bez problemu wskazać daną osobę. Oznacza to, że definicja danych osobowych nie zawsze wymaga zestawienia imienia i nazwiska – liczy się realna możliwość identyfikacji.
Dlatego należy jasno powiedzieć: imię i nazwisko łącznie to dane osobowe w rozumieniu RODO. A skoro tak, to ich przetwarzanie, przechowywanie czy publikacja muszą odbywać się na podstawie odpowiedniej przesłanki prawnej.
Kiedy podanie imienia i nazwiska nie jest naruszeniem RODO?
Podanie imienia i nazwiska nie zawsze oznacza naruszenie przepisów o ochronie danych. Kluczowe jest to, w jakim celu i w jakim kontekście dane są ujawniane. Jeśli istnieje podstawa prawna, a ujawnienie jest proporcjonalne do sytuacji, nie dochodzi do złamania RODO.
Każde przetwarzanie danych osobowych – w tym samo ujawnienie imienia i nazwiska – musi opierać się na jednej z przesłanek prawnych określonych w art. 6 RODO. Podstawami mogą być m.in. zgoda osoby, której dane dotyczą, obowiązek prawny ciążący na administratorze, wykonanie umowy, ochrona żywotnych interesów, realizacja zadania publicznego albo uzasadniony interes administratora. W praktyce oznacza to, że samo ujawnienie danych nie jest naruszeniem, o ile można je przypisać do jednej z tych podstaw i odbywa się z poszanowaniem zasad proporcjonalności oraz minimalizacji.
Przykładowe sytuacje, w których publikacja imienia i nazwiska jest dopuszczalna:
▪ na stronie internetowej kancelarii podane są nazwiska prawników świadczących usługi,
▪ w artykule prasowym podpisany jest autor tekstu,
▪ w BIP-ie (Biuletynie Informacji Publicznej) ujawniane są nazwiska osób pełniących funkcje publiczne,
▪ w rejestrze przedsiębiorców KRS widnieją nazwiska członków zarządu spółki.
We wszystkich tych przypadkach ujawnienie imienia i nazwiska ma uzasadnienie prawne lub wynika z charakteru działalności zawodowej danej osoby. Dane nie są wykorzystywane w sposób nadmierny ani nie trafiają do nieuprawnionych odbiorców.
Kiedy podanie imienia i nazwiska może być naruszeniem?
Do naruszenia RODO dochodzi wtedy, gdy imię i nazwisko zostają ujawnione w sposób nieuprawniony, bez podstawy prawnej albo w nadmiernym zakresie. Sam fakt, że są to dane powszechne, nie oznacza, że można je publikować bez żadnych ograniczeń.
Typowe sytuacje naruszeń to m.in.:
▪ ujawnienie danych w Internecie bez zgody lub podstawy prawnej – np. zamieszczenie listy uczestników prywatnego szkolenia na ogólnodostępnej stronie,
▪ powiązanie imienia i nazwiska z innymi wrażliwymi informacjami – np. publikacja danych pacjentów wraz z opisem choroby czy osób zadłużonych wraz z wysokością długu,
▪ ujawnienie danych osobom nieuprawnionym – np. wysłanie e-maila do wielu odbiorców, gdzie w polu „Do” widać pełne listy nazwisk i adresów,
▪ brak zasady minimalizacji – podanie pełnych danych osobowych w miejscu, gdzie wystarczyłoby samo imię lub inicjał, np. w publicznych wynikach konkursu.
W takich przypadkach naruszane są podstawowe zasady przetwarzania danych: legalności, adekwatności oraz minimalizacji. Ujawnienie danych nieuprawnionym odbiorcom może rodzić konsekwencje nie tylko dla administratora (np. konieczność zgłoszenia incydentu do UODO), ale także dla osoby, której dane dotyczą – narażając ją na utratę prywatności czy nawet kradzież tożsamości.
Przykład z życia
Wyobraźmy sobie firmę, która organizuje konkurs dla pracowników i publikuje listę zwycięzców w wewnętrznym intranecie (intranet to prywatna, wewnętrzna sieć). Podanie imion i nazwisk w takiej sytuacji jest zgodne z prawem, bo odbywa się w zamkniętym gronie, a podstawą jest regulamin konkursu.
Natomiast gdyby ta sama lista została opublikowana w publicznym serwisie internetowym – już bez zgody pracowników – doszłoby wtedy do naruszenia RODO. Dane zostałyby bowiem udostępnione nieuprawnionemu kręgowi odbiorców.
Obowiązki administratora danych
Jeśli dojdzie do nieuprawnionego ujawnienia imienia i nazwiska, administrator danych ma obowiązek zareagować. Po pierwsze, musi ocenić, czy zdarzenie stanowi naruszenie ochrony danych. Po drugie, jeśli istnieje ryzyko dla praw i wolności osoby, powinien zgłosić to naruszenie do Urzędu Ochrony Danych Osobowych w ciągu 72 godzin. W poważniejszych przypadkach trzeba także poinformować osoby, których dane wyciekły.
Znaczenie dla obywatela
Zasada ochrony danych osobowych nie jest wymysłem biurokratów, lecz realnym mechanizmem chroniącym jednostkę. Dzięki niej obywatel ma gwarancję, że jego dane nie będą używane bez jego wiedzy ani narażane na niepotrzebne ryzyko. W praktyce oznacza to, że każdy ma prawo do kontroli, kto, w jakim celu i w jakim zakresie korzysta z jego danych osobowych.
Co trzeba zapamiętać?
Imię + nazwisko = dane osobowe
Imię i nazwisko razem to dane osobowe w rozumieniu RODO, bo co do zasady pozwalają zidentyfikować konkretną osobę.
Kontekst, cel i podstawa prawna
Samo podanie imienia i nazwiska nie jest jeszcze naruszeniem – liczy się kontekst ujawnienia, cel oraz istnienie podstawy prawnej do przetwarzania.
Ujawnienie bez podstawy = naruszenie
Naruszeniem będzie sytuacja, w której dane są ujawnione bez podstawy prawnej lub trafiają do osób nieuprawnionych (albo w nadmiernym zakresie).
Reakcja na incydent RODO
Administrator ma konkretne obowiązki w razie naruszenia – w tym ocenę ryzyka oraz ewentualne zgłoszenie do UODO w 72 godziny i poinformowanie osoby, której dane dotyczą.
Najczęściej zadawane pytania
Czy imię i nazwisko zawsze są danymi osobowymi?
Tak. Zestawienie imienia i nazwiska w większości przypadków pozwala na identyfikację osoby fizycznej, a więc spełnia definicję danych osobowych w rozumieniu RODO.
Czy podanie imienia i nazwiska w artykule prasowym narusza RODO?
Nie, jeśli istnieje podstawa prawna. Publikacja danych osób pełniących funkcje publiczne, autorów tekstów czy ekspertów cytowanych w artykułach mieści się w ramach wolności wypowiedzi i obowiązków informacyjnych.
Czy wrzucenie nazwiska prywatnej osoby do Internetu to naruszenie?
Tak, jeśli brak jest zgody lub innej podstawy prawnej. Upublicznienie danych osoby prywatnej w Internecie bez uzasadnienia narusza RODO, zwłaszcza gdy towarzyszą temu dodatkowe informacje (np. adres, numer telefonu).
Czy imię i nazwisko pracownika można umieścić na stronie firmowej?
Tak. Jeśli dane są związane z wykonywaniem obowiązków zawodowych (np. kontakt do prawnika, konsultanta, handlowca), ujawnienie imienia i nazwiska ma podstawę prawną i jest zgodne z RODO.
Czy administrator musi zgłosić każdy wyciek danych imię + nazwisko do UODO?
Nie. Administrator ma obowiązek ocenić, czy incydent powoduje ryzyko naruszenia praw lub wolności osoby. Jeśli tak – musi zgłosić naruszenie w ciągu 72 godzin. Jeśli ryzyka nie ma (np. dane były już publiczne), zgłoszenie nie jest wymagane.
Jakie kary grożą za nieuprawnione ujawnienie danych osobowych?
Kary mogą być bardzo wysokie – od kar administracyjnych nakładanych przez UODO (nawet do 20 mln euro lub 4% globalnego obrotu firmy) po odpowiedzialność cywilną wobec osoby, której dane zostały ujawnione.
Dodaj komentarz