Na pierwszy rzut oka może się wydawać, że jeśli z dokumentu usuniemy imię, nazwisko i inne oczywiste dane, to mamy sprawę załatwioną. Ale co, jeśli da się rozpoznać autora po… jego charakterze pisma? Taki właśnie przypadek trafił pod lupę Prezesa Urzędu Ochrony Danych Osobowych.
W centrum sprawy znalazł się Sąd Najwyższy, który opublikował odręcznie napisane protesty wyborcze – co prawda z częściowo zasłoniętymi danymi, ale z widocznym pismem autorów. Zdaniem Prezesa UODO to potencjalne naruszenie RODO, bo nawet sposób pisania może umożliwić identyfikację osoby. A to oznacza, że mamy do czynienia z daną osobową i trzeba ją odpowiednio chronić.
Czy charakter pisma może być daną osobową?
Zgodnie z unijnym Rozporządzeniem o ochronie danych osobowych (RODO), daną osobową jest każda informacja, która pozwala bezpośrednio lub pośrednio zidentyfikować osobę fizyczną. I choć często mamy na myśli dane takie jak PESEL, imię i nazwisko czy adres e-mail, to katalog możliwych identyfikatorów jest znacznie szerszy. Może obejmować także cechy biologiczne, genetyczne, czy – jak zauważa Prezes UODO – unikalny charakter pisma.
W praktyce oznacza to, że nawet jeśli dokument zostanie częściowo zanonimizowany (np. poprzez zamazanie danych kontaktowych), ale nadal zawiera odręczne pismo osoby, to przy odpowiednich środkach identyfikacja autora może być możliwa. A to już rodzi poważne konsekwencje prawne i etyczne.
Interwencja Prezesa UODO – o co dokładnie chodzi?
Prezes UODO, Mirosław Wróblewski, zwrócił się do dr hab. Małgorzaty Manowskiej, Pierwszej Prezes Sądu Najwyższego, z prośbą o wyjaśnienie, dlaczego na stronie internetowej SN i w kanałach społecznościowych opublikowano zdjęcia protestów wyborczych z widocznym charakterem pisma. Zasłonięto co prawda dane osobowe, ale nie zadbano o to, by wyeliminować możliwość rozpoznania autora dokumentu właśnie po piśmie odręcznym.
W piśmie prezes UODO pyta także o:
- procedury anonimizacji stosowane w SN,
- udział inspektora ochrony danych w opracowywaniu tych procedur,
- ogólne zasady publikowania dokumentów mogących zawierać dane osobowe w przestrzeni publicznej.
To ważne pytania, które mogą stać się punktem wyjścia do przeglądu praktyk nie tylko w SN, ale i w innych instytucjach publicznych.
Anonimizacja – co oznacza w praktyce?
Choć RODO nie zawiera precyzyjnych instrukcji dotyczących anonimizacji, to sam proces powinien prowadzić do jednego celu, jakim jest wyeliminowanie jakiejkolwiek możliwości identyfikacji osoby fizycznej. To nie tylko usunięcie imienia i nazwiska, ale również wszystkich elementów, które, same lub w zestawieniu z innymi,mogą prowadzić do ustalenia tożsamości.
Pomocną definicję oferuje polska ustawa o otwartych danych. Zgodnie z nią anonimizacja to przekształcenie informacji w taki sposób, by nie odnosiły się one do osoby możliwej do zidentyfikowania – ani teraz, ani w przyszłości.
W kontekście publikowanych dokumentów oznacza to konieczność zadbania o następujące kwestie:
- usunięcie lub zniekształcenie odręcznego pisma,
- ukrycie cech graficznych podpisów,
- usunięcie znaczników metadanych z plików cyfrowych (np. z plików PDF),
- uwzględnienie kontekstu – bo czasem sam temat dokumentu i miejsce publikacji mogą naprowadzić na konkretne osoby.
Administratorzy danych – na co powinni uważać?
Dla administratorów danych w instytucjach publicznych ta sytuacja powinna być przypomnieniem, że trzeba zadbać o realne zabezpieczenia przed identyfikacją.
Warto też pamiętać, że dane osobowe mogą kryć się tam, gdzie pozornie ich nie widać. Wizerunek, nagranie głosu, charakter pisma, styl wypowiedzi czy nawet dane z GPS – wszystko to może ujawniać więcej, niż się wydaje.
Co dalej?
Interwencja Prezesa UODO może pociągnąć za sobą istotne zmiany w praktykach publikacyjnych sądów i innych instytucji. Możliwe są rekomendacje, a być może także nowe wytyczne dotyczące anonimizacji dokumentów – szczególnie w kontekście publikacji cyfrowych.
To, co wydaje się drobiazgiem, jak pozostawienie charakteru pisma, może prowadzić do poważnego naruszenia przepisów o ochronie danych osobowych. Warto dbać o każdy szczegół, bo w erze cyfrowej dostępności to właśnie one decydują o bezpieczeństwie informacji.
Masz pytania dotyczące RODO? Zachęcamy do kontaktu: bok@asystahr.pl
