If you're seeing this message, it means we're having trouble loading external resources on our website.

Jeżeli jesteś za filtrem sieci web, prosimy, upewnij się, że domeny *.kastatic.org i *.kasandbox.org są odblokowane.

Główna zawartość

Dane osobowe

Dane osobowe to informacje o osobie fizycznej, które mogą być wykorzystane (bezpośrednio lub pośrednio) do jej identyfikacji.

Bezpośrednia identyfikacja

Następujące dane osobowe bezpośrednio identyfikują osobę:
Typ danych osobowychPrzykład
Imię i nazwiskoJan Kowalski
PESEL01234567890
Dane biometryczne
Odcisk palca

Pośrednia identyfikacja

Imię i nazwisko lub odcisk palca są oczywistymi danymi osobowymi. Nie jest to jednak zawsze tak proste.
Weźmy pod uwagę np. numer telefonu.
(408)-930-0
Czy mając tylko numer telefonu, możemy bezpośrednio zidentyfikować osobę? Zapewne nie. Jesli jednak mielibyśmy dostęp do książki telefonicznej, prawdopodonie bylibyśmy w stanie.
Innymi słowy, numer telefonu wraz z książką telefoniczną mógłby pośrednio zidentyfikować kogoś.
Jest to przykład innej formy danych osobowych: pośrednich danych osobowych, czyli danych, które wraz z innymi danymi mogą być użyte do identyfikacji.
Typowe przykłady pośrednich danych osobowych to:
Typ danych osobowychPrzykład
Wiek25
Narodowość Polak
Miejsce zamieszkaniaAleje Jerozolimskie 65/79, Warszawa
Dane medyczneWizyta: 12 marca 2020, Diagnoza: grypa

Czy X są danymi osobowymi?

Decyzja czy dana informacja się klasyfikuje jako dane osobowe jest wyzwaniem. Dla przykładu, z jednej strony adresy IP nie są danymi osobowymi, ponieważ identyfikują komputery, a nie osoby; z drugiej strony można by je uznać jako pośrednie dane osobowe, gdyż często identyfikują gdzie dany komputer się znajduje. Nie jest jasnym jaka jest poprawna decyzja.
Nawet jeśli informacja nie jest obecnie uznawana za dane osobowe, może być za nie uznawana w przyszłości. Jeżeli w przyszłości osobie zostaną prawnie nadane adresy IP, staną się one danymi osobowymi z definicji. Klasyfikacja danych jako danych osobowych lub nie może ulec z czasem zmianie.
Pośrednie dane osobowe jeszcze bardziej utrudniają tę klasyfikację. Na przykład, moglibysmy użyć znaczników czasu z postów danej osoby w mediach społecznościowych do wyznaczenia strefy czasowej, w której się znajdują. Jeśli w dodatku ta osoba zamieści zdjęcie restauracji, w której jedli, z użyciem informacji o strefie czasowej można by wyznaczyć, gdzie ta restauracja się znajduje. W tym momencie bylibyśmy w stanie stwierdzić gdzie w przybliżeniu dana osoba żyje lub kim jest! To wszystko wyłącznie z powiązania znaczników czasowych z zdjęciem restauracji.
🤔 W tym przykładzie, czy pośrednimi danymi osobowymi było zdjęcie restaruracji, czy znaczniki czasowe? Jakie inne przykłady danych można by uznać za bezpośrednie lub pośrednie dane osobowe?

Kradzież danych osobowych

Atakujący mogą ukraść dane osobowe firmom, w zdarzeniu często nazywanym wyciekiem danych.
W roku 2017, wywiadownia gospodarcza Equifax była ofiarą wycieku danych, w skutek którego atakujący uzyskali dostęp do danych osobowych 143 milionów Amerykanów. Owe dane zawierały numery Social Security oraz numery kart kredytowych. start superscript, 1, end superscript
Gdy atakujący uzyskali dostęp do tych danych, mogli oni użyć numerów Social Security do podszywania się w osoby, lub użyć numerów kart kredytowych do dokonywania nieautoryzowanych zakupów.
Skąd byś wiedział/wiedziała czy byłeś/byłaś ofiarą wycieku danych? Zaatakowane organizacje (miejmy nadzieję) powiadomią Cię, ale serwisy takie jak HaveIBeenPwned mogą też być w stanie udzielić odpowiedzi.
Oto przykłady z HaveIBeenPwned dla dowolnie wybranego adresu email:
Zrzut ekranu z HaveIBeenPwned.com. Zawiera tekst "Check if you have an account that has been compromised in a data breach" ("Sprawdź, czy masz konto, które było ofiarą wycieku danych"), a następnie pole tekstowe z emailem "hello@example.com", przycisk z napisem "pwned?" ("skompromitowane?"). Wynik poniżej to "Oh no - pwned! Pwned on 26 breached sites and found 1 paste (subscribe to search sensitive breaches)" ("O nie - skompromitowane [konto]! Skompromitowane na 26 stronach, z których wyciekły dane, i znaleziono 1 paste (subskrybuj, aby wyszukać dane szczególnie chronione)")

Przepisy prawne dotyczące danych osobowych

Ponieważ dane osobowe wpadające w złe ręce mogą skrzywdzić ich właścicieli, przepisy prawne regulują sposób, w jaki instytucje mogą przechowywać i przetwarzać dane osobowe.
Dla przykładu, w Unii Europejskiej większość form danych osobowych jest chroniona przez General Data Protection Regulation (GDPR), a w Stanach Zjednoczonych Health Insurance Portability and Accountability Act (HIPAA) chroni medyczne dane osobowe, podczas gdy Children's Online Privacy Protection Act (COPPA) chrroni dane osobowe dzieci. Jeśli byś tworzył/tworzyła stronę internetową lub aplikację, która używa danych osobowych użytkowników z tych jurysdykcji, będziesz musiał/musiała przestrzegać tych przepisów prawnych.

Zalecenia

Jako użytkownicy, najlepiej dawać nasze dane osobowe serwisom internetowym tylko wtedy, gdy jest to konieczne — a w szczególności prawie nigdy nie jest koniecznym przekazywanie identyfikatorów takich jak PESEL.
Powinniśmy również uważać na to, co zamieszczamy w mediach społecznościowych. Nawet jeśli nasze posty nie są wyraźnie danymi osobowymi teraz, mogą one zawierać informacje o których nie jesteśmy świadomi, a które mogą być użyte jako pośrednie dane osobowe w przyszłości.

🙋🏽🙋🏻‍♀️🙋🏿‍♂️Masz pytania związane z tym zagadnieniem? Możesz zadać swoje pytanie poniżej!