8:01
23/2/2018

Nasz Czytelnik na infolinii Monedo dowiedział się, że PESEL może być przesyłany w zwykłym mailu, gdyż “nie należy do danych wrażliwych”. Nasz Czytelnik jest oburzony i ma sporo racji, ale czy na pewno pani z infolinii popełniła błąd zaliczając PESEL do danych niewrażliwych? Wyjaśnijmy to sobie raz a dobrze.

Czym są “dane wrażliwe”?

Pojęcie “danych wrażliwych” wywołuje więcej emocji niż to konieczne. Co jakiś czas Czytelnicy wytykają nam błędy polegające na tym, że nadużywamy tego pojęcia. Obserwujemy też przepychanki pomiędzy czytelnikami, albo niezrozumienie pomiędzy pracownikami różnych firm a ich klientami. Dlaczego jest tak dużo problemu z pojęciem “dane wrażliwe”?

Odpowiedź jest prosta. Termin “dane wrażliwe” jest używany przez różnych ludzi w różnych znaczeniach. To powoduje nieporozumienia.

  • Prawnicy i specjaliści od ochrony danych osobowych pod pojęciem “dane wrażliwe” rozumieją dane wymienione w art. 27 Ustawy o ochronie danych osobowych. W tym znaczeniu “dane wrażliwe” oznaczają dane związane z pochodzeniem, wyznawaną religią, poglądami politycznymi, stanem zdrowia, nałogami czy wyrokami dotyczącymi danej osoby.
  • Specjaliści od bezpieczeństwa i wielu “zwykłych ludzi” pod pojęciem “dane wrażliwe” rozumie takie dane, które generalnie należy chronić aby uniknąć różnych problemów. Tak rozumiane pojęcie “dane wrażliwe” jest często tłumaczeniem z języka angielskiego (sensitive data, sensitive information), a w różnych krajach anglojęzycznych może mieć ono nieco inne znaczenie. Ba! Pojęcie sensitive data może być różnie interpretowane np. w różnych stanach USA. Generalnie jednak będzie chodziło o takie informacje na temat danej osoby, których ujawnienie pozwala ukraść tożsamość lub przynajmniej znacznie obniżyć poziom czyjejś prywatności.

 

PESEL-i trzeba pilnować!

Czy numer PESEL jest daną wrażliwą? Ujawnia on datę urodzenia i płeć. Identyfikuje osobę jednoznacznie i może być używany przy autoryzacji różnych czynności, np. spięcia aplikacji mobilnej banku z rachunkiem klienta. To oznacza, że…

  • PESEL nie jest daną wrażliwą w rozumieniu art. 27 ustawy o ochronie danych gdyż nie ujawnia on tak intymnych spraw jak pochodzenie, poglądy czy stan zdrowia;
  • PESEL jest daną wrażliwą w rozumieniu większości ludzi, gdyż może on posłużyć do autoryzowania pewnych czynności (np. przydaje się przy wzięciu pożyczki albo dokonywaniu zmian na koncie bankowym).

PESEL powinien być szczególnie chroniony (choć dobrze wiemy, że bardzo często tak nie jest — przykładem są studenci, wspólnicy spółek i urzędnicy z kwalifikowanym podpisem elektronicznym, ponieważ ich pesele można znaleźć we właściwościach podpisu). Z punktu widzenia bezpieczeństwa, niezbyt dobrym pomysłem jest proszenie klienta o przesyłanie tej informacji e-mailem. Ale jednocześnie stwierdzenie, iż PESEL nie jest “daną wrażliwą”, może być uznane za merytorycznie poprawne choć nadal powinno ono stanowić wytłumaczenia dla niskich standardów bezpieczeństwa.

Ciekawostka

Ustawa o ochronie danych nie zawiera słów “dane wrażliwe”. Wiedzieliście?

Artykuł 27 dotyczy danych…

….ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Słowo “wrażliwe” nie występuje w ustawie ani razu (sprawdźcie sobie przez ctrl+F). Po prostu prawnicy “zawłaszczyli sobie” pojęcie “dane wrażliwe” w odniesieniu do czegoś, co właściwie powinniśmy nazywać “danymi o których mowa w art. 27 ustawy o ochronie danych” (i takie pojęcie znajduje się np. w rozporządzeniach do ustawy). Natomiast językowy nawyk prawników by dane z art. 27 nazywać “wrażliwymi”, pozwala niektórym osobom wygłaszać mądre zdania w rodzaju “PESEL nie jest daną wrażliwą”.

Tak zwany “język prawniczy” nie jest jedynym słusznym językiem na ziemi. Nie zawsze jest on tak precyzyjny jak prawnicy przekonują, a czasem jest on nawet używany do maskowania niewygodnych rzeczy. Jeśli czytają nas teraz prawnicy-puryści to bardzo ich przepraszamy, ale musimy to napisać. PESEL jest daną wrażliwą, która powinna być chroniona, a pani z infolnii Monedo używała tylko pewnego prawniczego pojęcia aby zamaskować praktykę niezalecaną.

PS. Wiemy, że oprócz prawników-purystów istnieją też inżynierowie-puryści (to jest “przewód” a nie “kabel”). Potrafią być równie irytujący.

Przeczytaj także:

127 komentarzy

Dodaj komentarz
  1. TW był kablem czy tylko przewodem, ale to chyba do elektryka pytanie :)

    • Żyłą

    • Otwieram kabel sądowy w związku z tym. he he.

    • Czym się różni żarówka od lampy?

  2. Żeby dolać oliwy do ognia upierałbym się, że zapis “a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym” dotyczy – a jakże – numeru PESEL, który wszak nie jest losowany w losowaniu JackPota tylko nadawany jest w postępowaniu administracyjnym.

    • Absolutnie się zgodzę. Zwłaszcza, że w specjalnych przypadkach osoba może dostać nowy PESEL na drodze sądowej. W dodatku moja opinia jest taka, że płeć powinna być daną wrażliwą–skoro ta ustawa ma przeciwdziałać m.in. dyskryminacji, to wręcz dziwne, że ignoruje tą najbardziej rozpowszechnioną.

    • Język jest niejednoznaczny, więc próba rozumienia dosłownego często prowadzi do absurdu. Dlatego w wykładni prawa istotne jest to co prawodawca miał na myśli, co chciał powiedzieć. Mówi się o literze prawa i o duchu. Abstrahując, w ustawie jest mowa o orzeczeniu, a nie o decyzji. Numer pesel jest nadawany decyzją.

      Rozumiem, że ustawodawca wskazuje na konieczność szczególnej ochronę danych, które mogą być w jakiś sposób krępujące, mogą przyczynić się do wywierania presji lub niesłusznej dyskryminacji, itp. a nie o dane, które choć mogą być wykorzystane ze szkodą dla podmiotu, to nie tą drogą. Nie sądzę aby chodziło o bagatelizowanie konieczności ochrony pozostałych danych, a że raczej chodzi o to, że takie dane jak pesel musi przetwarzać bardzo wiele podmiotów, natomiast już dane wymienione w katalogu tego przepisu o wiele mniejsza ich liczba, stąd można wprowadzić takie rozróżnienie choćby po to, aby bez szczególnego uzasadnienia niepotrzebnie tych danych nie gromadzono.

    • Marcin, jeżeli istnieje opcja dwuznacznego zrozumienia artykułu, to po wykryciu tego faktu powinien być znowelizowany w taki sposób, by tej niejednoznaczności nie było. I wcale nie oznacza to, że artykuły trzeba pisać w sposób zawiły i nie zrozumiały.
      Nie ma potrzeby tworzyć furtek do powstawania patologii. Język nie jest nieprecyzyjny per se, jest tak nieprecyzyjny, jak osoba go używająca.

    • O ile pamiętam (nie jestem prawnikiem), to PESEL jest przyznawany w drodze decyzji. Czy decyzja jest orzeczeniem?

    • We wszystkich informatycznych systemach uwierzytelniania praktycznie zawsze są dwa składniki, przykłady to login (który mogą znać osoby trzecie) oraz hasło (znane tylko właścicielowi), lub też klucz prywatny i klucz publiczny (analogicznie, choć zastosowanie jest rzecz jasna nieco innne). Natomiast nieszczęsny PESEL jest traktowany jak login i hasło jednocześnie, lub jak klucz publiczny i prywatny jednocześnie – oczekuje się udostępniania (oczywiście w postaci jawnej) na żądanie praktycznie każdemu, jednocześnie kuriozalnie zakładając, że jakimś cudem wciąż jest poufny i skoro ktoś go zna to musi nim być właściciel. Jest co całkowity absurd.

  3. W bazie KRS dostępnej dla wszystkich online są numery PESEL, oraz imiona i nazwiska.

    • Trzeba “zaorać” baze KRS, CEIDG i DNS wszedze są wrażliwe dane (bynajmniej w moim rozumieniu tego słowa)

    • *przynajmniej

    • A w księgach wieczystych jeszcze mamy imiona rodziców, jakby tej całej machinie biurokratycznej PESEL nie wystarczył!

    • Moim zdaniem CEiDG – zaorać i ustalić jakie firmy zatrudniające pracowników się tam ukrywaja lub prowadzą inna działalność zarezerwowana tylko dla firm. Nakazem sądu lub w postępowaniu administracyjnym przepisać do KRS. Skoro idziemy pracować do firmy i ktoś chce naszego peselu to niech będzie równość – on też podaje, a akurat w to co jest podane na ems.ms.gov.pl można wierzyć. Dzięki temu idąc do firmy wiemy który dokładnie Jan Kowalski ja reprezentuje.

      A po odseparowaniu ziarna od plew – CEiDG utajnić. Szczególnie działalności jednoosobowe freelancerskie typu B2B. Tam jest jasne, że reprezentować może tylko sam siebie i wystarczy delikwenta sprawdzić z dowodu osobistego.

    • @Kraina Grzybów TV
      Osoba wpisana do CEIDG to pełnoprawny przedsiębiorca taki jak podmiot wpisany do KRS (z wyjątkiem niektórych działalności, gdzie przepisy zastrzegają formę prawną). Niby dlaczego miałby nie zatrudniać pracowników? Okreśelnie “jednoosobowa” odnosi się do liczby właścicieli a nie ogółem pracujących. Myslisz, że sp. z o.o. z kapitałem zakładowym 5k i siedzibą w biurze wirtualnym jest bardzoej wiarygodna od predsiębiorcy z CEIDG prowadzącego hurtownię lub sieć restauracji?

    • Akurat CEIDG jest bardzo fajny. Nie tylko brak PESEL-u właściciela (nawet w przypadku pełnomocników są co najwyżej ich numery NIP) ale też nikt nie przegląda moich akt w czytelni, nie trzeba składać sprawozdań finansowych (ta wiedza w zupełniości wystarczy urzędowi skarbowemu) ani płacić za durne publikacje w MSiG.

  4. PESEL wielu osób można pozyskać z państwowych rejestrów, na przykład Krajowego Rejestru Sądowego. Wystarczy, że jest się (lub było) członkiem władz jakiegoś stowarzyszenia, fundacji lub przedsiębiorstwa (rejestrowanego w KRS).

    • KRS – prawidłowo – chcesz podpisać umowę z kimś kto nie ma prawa firmy reprezentować? Janów Kowalskich mamy wielu w Polsce. Księgi wieczyste i CEiDG itp. – do kasacji.

      Jeżeli prowadzi się przedsiębiorstwo (i kogokolwiek zatrudnia a nie tylko wykonuje pracę) to jak najbardziej powinien być wymagany wpis do KRS i publicznie podane dane – ktoś kto to robi – ROBI TO ŚWIADOMIE.

      Ja nie chcąc podpaść pod CEiDG po prostu po osiągnięciu w roku kwoty bliskiej, przy której trzeba mieć już działalność gospodarczą – nie biorę więcej zleceń i wyjaśniam, że dopiero od stycznia.

    • @KrainaGrzybow O konieczności założenia działalności gospodarczej nie decyduje kwota wykonanych umów zleceń, ale charakter wykonywanych czynności, sposób ich organizacji oraz regularność. Współczuję jak cię namierzą :)

    • @gość, to już idź i skarż: https://www.bankier.pl/wiadomosc/Kiedy-trzeba-a-kiedy-warto-zalozyc-dzialalnosc-gospodarcza-2644235.html

  5. #teamNiewrażliwa

  6. No właśnie, od tego trzeba zacząć: nie ma określenia i definicji “dane wrażliwe” w ustawie o odo. Dlatego każdy może sobie rozumieć przez to pojęcie co chce i nie można twierdzić, że nie ma racji.

  7. Prosta i jasna wypowiedź, która wszystko tłumaczy.

  8. No przecież jest zasadnicza różnica między kablem, a przewodem! ;)

    • Przewód i kabel to tam pikuś. Gorzej jak niektórzy uważają bezpiecznik i wyłącznik za to samo (głupio by było wpisywać niewylacznik.pl ;)), albo jeszcze jak obwody “wyłanczają” i “włanczają” :)

    • Akurat taki najczęściej spotykany bezpiecznik, jakim jest zwykły “S”, to JEST wyłącznik, więc ten błąd jest dość subtelny (oczywiście nie każdy bezpiecznik to wyłącznik, tak jak nie każdy wyłącznik jest bezpiecznikiem). Gorzej, że ludzie mylą wyłącznik z rozłącznikiem i odłącznikiem!

    • @gotar
      Mało kto ma u siebie w domu 110kV więc z odłącznikiem rzadko ma do czynienia. :)

  9. Właśnie! “Kabel doktorski” głupio brzmi :P

  10. Może skomplikujemy trochę? Ujawniając część danych – cały PESEL (część kodu genetycznego – płeć) ujawnimy dane z art 23 czy art 27, czy obu? ;)

    • To daj mi na podstawie peselu zapis czyjegoś DNA. Ale taki sensowny, a nie, że ktoś ma albo nie ma genu SRY. To tak samo można by się kłócić o wzrost czy wagę. Co innego, gdy dochodzi do ujawnienia danych o zdrowiu – czyli np. z fotki można wyczytać, że ktoś ma raka, basedova-gravesa czy toczeń lub kij wie co jeszcze.

  11. Kontynując inżynierów-purystów: to jest “otwór” a nie “dziura”! :)

    • OK. Jak zwykle jak łysy grzywką o beton. W jezdni też masz otwór? Może pomówimy o otworach bezpieczeństwa?

  12. Nie trzeba od razu zaorać całego KRS-u ani ksiąg wieczystych tylko udostępniać numery PESEL w trybie weryfikacji. Czyli w rejestrze widzimy normalnie resztę danych a przy osobach fizycznych są widoczne tylko imiona, nazwiska oraz pole do wpisania nr PESEL. W odpowiedzi system powinien zwrócić czy PESEL jest zgodny z rejestrem czy nie.

    • Jak zwykle jak łysy grzywką o beton. Tam nie ma (w KRS, w przeciwieństwie do CEiDG) osób prywatnych. Prowadząc firmę(!) są osobami publicznymi. Fajnie że do podpisania umowy w domu się odpowiednio przygotujesz i bedziesz wiedzieć, że to na pewno ten Dżon Kołolsky, a nie inny. Przy podpisywaniu umowy o pracę w takim przypadku nie będziesz miał możliwości weryfikacji. Nie każdy ma smartfona i nie wszędzie jest zasięg (szczególnie gdy jest zagłuszacz). A musisz wiedzieć kto jest podpisany, bo umowa z firmą zawarta przez osobę trzecią lub nie przywołana w KRS do tych czynności jest nieważna.

      Musisz też wiedzieć jaki typ prokury ma ktoś udzielony. Lepiej o tym poczytaj, bo kiedyś się zatrudnisz i zobaczysz tylko część pieniędzy lub wcale i nawet świadectwa pracy nie dostaniesz.

    • @Kraina Grzybów TV
      >Prowadząc firmę(!) są osobami publicznymi
      Reprezentant nie każdego podmiotu to osoba publiczna. Co innego piastun organu państwowego finansowanego z naszych podatków a co innego prezes prywatnej firmy finansowanej w całości z wkładu założycieli i wypracowanych zysków. Tylko ci pierwsi ewentualnie mogliby mieć publicznie widoczne PESEL-e (choć nie wiem po co).

      >bedziesz wiedzieć, że to na pewno ten Dżon Kołolsky, a nie inny
      Przed zawarciem umowy zawsze można byłoby poprosić o PESEL osoby reprezentującej i zweryfikować czy pasuje do zapytania w KRS. Ponadto nie każdy reprezentant uprawniony do zawarcia umowy musi figurować w KRS. Jeśli go tam nie ma to i tak na miejscu musisz obejrzeć wypis aktu pełnomocnictwa lub prokury i zakres jego umocowania.

    • Chcesz czy nie – będąc przedstawicielem firmy lub ją prowadząc jesteś osobą publiczną. Ja mając interes do firmy, mogę zażądać twojego dowodu przy podpisaniu umowy, lub nawet tego nie robiąc, ale mając taki zamiar mogę żądać okazania dowodu i sprawdzenia czy masz odpowiednie prawa i czy umowa będzie ważna. Przy okazji mam prawo zrobić sobie notatki z tegoż dowodu – spisując też imię i nazwisko twoich rodziców oraz zapisując numer i datę jego ważności. Nie chcesz tego – nie reprezentuj, bądź tylko zwykłym pracownikiem.

      >Przed zawarciem umowy zawsze można byłoby poprosić o PESEL osoby reprezentującej i zweryfikować czy pasuje do zapytania w KRS.

      Powodzenia w kadrach i na rozmowie kwalifikacyjnej – właśnie utraciłeś możliwość zobaczenia sporządzonej umowy, Panie Kołolsky.

      >Ponadto nie każdy reprezentant uprawniony do zawarcia umowy musi figurować w KRS.

      Z takimi “reprezentantami”, w min. 95% oszustami – nawet nie podpisuję umów.

      A co do reszty – prokurentów się wpisuje do KRS. Jeśli sa niewpisani – to osoba zawierająca umowę wiele ryzykuje. Już wielokrotnie o tym pisano na wp.pl oraz money.pl. I nie tylko tam. Szacuje się, że nawet 50% umów jest źle sporządzona (celowo tak sporządzona) by w niewygodnej sytuacji wykazać przed sadem, że cel umowy w jej mniemaniu nie został osiągnięty. Później można stwierdzić, że taka osoba działała na własną rękę lub rękę fałszywego prokurenta.

    • @KrainaGryzbow przestan pleść dyrdymaly. Osoby wpisane w KRS nie muszą być osobami publicznymi, ewidentnie nie rozumiesz pojęcia “osoba publiczna”, nie uzywaj pojęć, którego znaczenia nie rozumiesz. Wpis w KRS wraz z peselem nie jest po to by żądać przy podpisywaniu umowy dowodu osobistego do weryfikacji.

  13. Najwyższa pora przestać uważać PESEL jako “hasło”, czy furtkę do załatwiania pewnych spraw (potwierdzenia tożsamości).
    I zaorać PESEL.

    • PESEL to jednoznaczny identyfikator osoby w PL, tak jak de facto SSN w Stanach ;)

    • Doskonałe porównanie, bo oba systemy są w identyczny sposób skopane.

      Klucz prywatny per obywatel, zaorać PESEL.

    • Dokładnie tak.
      Numer pesel jako autoryzacja to jest paranoja.
      Powinien być wymagany podpis kwalifikowany.

    • I kto zaora, skoro nasz cudowny rząd ma to w głębokim poważaniu (ukryciu) i nawet na UFG.pl PESEL jest hasłem i wszystko chronione jest prawem i tajemnicą adwokackąoraz tajemnicą spowiedzi?

    • SSN-u nie można porównać z PESEL-em, bo to coś zupełnie innego.
      SSN jest traktowany przez urzędy podatkowe USA jako poufny (otrzymuje się go w zamkniętej kopercie), można go na żądanie zmienić i nie jest drukowany na paszportach, prawach jazdy i innych dokumentach ze zdjęciem.

      PESEL (tak numery, jak i cały rejestr, podobnie jak zameldowanie) istotnie należy zaorać. Raz że jest SB-ckie narzędzie zbudowane w PRL-u celem inwigilacji Polaków, dwa, to unikalny, niezmienialny numer nadawany człowiekowi jak zwierzęciu w chlewie. Jeden niezmienialny klucz do setek baz danych to zło.

    • Bezpieczny SSN – kpina
      https://www.youtube.com/watch?v=Erp8IAUouus

    • Nie jest bezpieczny, ale i tak jest wiele lepszy od PESEL-u:
      – SSN nie jest umieszczany na (prawie) każdym państwowym dokumencie ze zdjęciem, a PESEL jest,
      – SSN można zmienić, PESEL-u nie,
      – SSN nie niesie informacji o wieku danej osoby, PESEL niesie.

      PESEL to komunistyczne gówno. Zdecydowanie do likwidacji. Ale rząd w Polsce (zwłaszcza obecny) raczej się na to nie odważy, bo PESEL to skuteczne narzędzie do kontroli nad człowiekiem – przecież w tym celu powstało.

      Ale niezależnie od tego, czy PESELe są czy nie, to prywatność danych medycznych (apteki z receptami, szpitale z dokumentacją) leży i kwiczy. Ochrona danych w służbach też tragedia. Prawdziwa “dobra zmiana” wymagałaby ministra z nadzwyczajnymi uprawnieniami i żelazną determinacją, który nie ugiąłby się przed policyjnym betonem z MSW i biurokratami z NFZ.

      Policja zresztą jest bardzo zainteresowana utrzymaniem obecnej sytuacji, gdy ochrona danych w Polsce to fikcja. I to nie tylko dla obecnych celów policyjnych, ale i na przyszłość: gdy policjant przejdzie na emeryturę, to nadal będzie korzystał sobie z KSIP-u i innych systemów, które mu koledzy z “firmy” udostępnią po znajomości. Systemy te zresztą są poza jakąkolwiek kontrolą. Do pracy jako detektyw dostęp do nich jest bardzo przydatny. A że gwałci prywatność milionów ludzi? Tym nikt się w rządzie nie przejmuje.

  14. WG mnie sam numer PESEL nie jest daną wrażliwą gdyż jest to tylko ciąg cyfr. Zaczyna być daną wrażliwą w powiązaniu z Imieniem i nazwiskiem. Co prawda numer PESEL w 99,9% wskazuje na konretną osobę ale do takiej weryfikacji trzeba mieć dostęp do systemów. Bo niby jak mamy zindentyfikować osobę o nr pesel 12345612345? Jeżeli jej imie i znazwisko razem z PESELem nie występuje w sposób otwarty w sieci….

    • Nie możesz zweryfikować osoby w oparciu o numer 12345612345 bo to nie spełnia warunków walidacja, ma za dużo cyfr ;)

    • o ile dobrze wiem to pesel ma 11 cyfr.

    • Jak za duzo? PESEL to 11 cyfr ;) a 12345612345 chyba tyle ma nie? :P inna sprawa jest to ze walidacji nie przejdzie bo cyfra kontrolna (11) przy tym numerze (10 cyfr) powinna być 3 a nie 5 ;)

    • Czyli pewnie nie boisz się podać swojego PESELu? ;) A tak serio to jest kilka sposobów, żeby ominąć zabezpieczenia. Jeżeli podajesz nr PESEL otwartym tekstem licz się, że już jest z tobą połączony (IP/email/imię/nazwisko) nawet bez dostępu do systemu. Przez to możesz też narobić komuś kłopotu nie tylko sobie…

    • Bardzo prosto i legalnie. Wniosek o wgląd do danych z bazy dowodów osobistych/PESEL. 30 zł i masz. Szczegóły na obywatel.gov.pl. Wymyśl jakiś pretekst (np. potrzebujesz do pozwu, bo ktoś wisi ci kasę albo nasrał na wycieraczkę). Voila!

    • Opublikuj swój pesel to się przekonasz jak bardzo jest to dana wrażliwa :)

    • Lub wizerunkiem. O ile tylko nie jest czyimś loginem (durni informatycy, którzy dopuszczają pesel jako login, hasło lub “przypomnienie” hasła).

      Poza tym ile obecnie serwisów internetowych i infolinii medycznych wymaga podawania PESEL przez telefon? TO POWINNI SKOŃCZYĆ. Zakazać ustawą i pałą po łapach.

  15. Wydaje się, że artykuł Ustawy o ochronie danych osobowych jasno wskazuje że PESEL również w określonych okolicznościach może podlegać ochronie.

    Art. 6.
    1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
    2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na _numer identyfikacyjny_ albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne…

    • Dyskusja moce akademicka i w gruncie bezsensowna.
      Czy pesel to “dane wrażliwe” – nie, są to dane zwykłe
      Czy pesel powinien być chroniony – tak

      Zacznę to już rozpatrywać w RODO jako, że już za 3 miesiące zacznie obowiązywać w jej miejsce.

      Wszystkie dane powierzone, powinny być domyślnie chronione. Pesel zalicza się do danych zwykłych. Dane genetyczne czy poglądy polityczne to dane szczególnej kategorii.

      Może i w samej ustawie nie widnieje pojęcie “dane wrażliwe” ale oznaczają one dane o szczególnej kategorii

      Cytując co uwzględnia rozporządzenie o ochronie danych osobowych:

      (10) (…)Obok ogólnego, horyzontalnego prawa o ochronie danych wdrażającego dyrektywę 95/46/WE państwa członkowskie przyjęły uregulowania sektorowe w dziedzinach wymagających przepisów bardziej szczegółowych. Niniejsze rozporządzenie umożliwia też państwom członkowskim doprecyzowanie jego przepisów, w tym w odniesieniu do przetwarzania szczególnych kategorii danych osobowych (zwanych dalej „danymi wrażliwymi”)(…)

  16. wszystko super, ale “dane” nie mają liczy pojedynczej ;p

    • Język ewoluuje – zakładam że za kilka lat “dana” pojawi się oficjalnie w słownikach.

    • Dane to jakiś zbiór informacji, więc pojedynczy element tego zbioru można określić jako (jedna) informacja. Język polski jest bardzo elastyczny, trzeba tylko umieć się nim posługiwać.

  17. Wyraz “dane” nie odmienia się do liczby pojedynczej. Nie wyczuwacie że “dana” brzmi trochę głupio? Oczywiście istnieje takie słowo, trzeba je wtedy interpretować jako radosny przyśpiew tudzież okrzyk.

    Proponuję przeredagować artykuł bo następny będzie o Was :)

    • Polecam zapoznać się ze znaczeniem słowa “tudzież” Panie grammarnazi :)

  18. tl;dr: polskie prawo jest do bani

    No kto by pomyslał.

  19. PESEL jest także w każdym certyfikacie kwalifikowanym e-podpisu :)

    • No ja wybrałem NIP :)

    • Te e-podpisy powinny też zaorać. Ja tego nie potrzebuję, bo jak to złamią, a coraz bliżej tego, to się nie wypłacisz, bo zgodnie z prawem zawarto ważną umowę, nawet jak złodziej zawarł umowę lub złożył jakiś wniosek – domniemuje się i nie przeprowadza dowodu, że zrobiłeś to ty.

    • @Kraina Grzybów TV: Ciekawe skąd takie rewelacje, jakoby “niedługo już mieli złamać” kryptografię asymetryczną? Źródło?

    • @raj: Jest kryptografia asymetryczna i *kryptografia asymetryczna* e-podpisy są chronione słabymi kluczami, wkrótce przy zachowaniu prawa Moore’a łatwo będzie znaleźć kolizje bez dostępu do famry serwerów NSA.

  20. W zdaniu >Ale jednocześnie stwierdzenie, iż PESEL nie jest “daną wrażliwą”, może być uznane za merytorycznie poprawne choć nadal powinno ono stanowić wytłumaczenia dla niskich standardów bezpieczeństwa.< zabrakło chyba jedno przeczenia ;).

  21. 20 lutego br., Pani z Urzędu Pracy w stolicy zażądała ode mnie przesłania skanu dowodu osobistego. Na pytanie czy system poczty elektronicznej urzędu pracy spełnia wymagania ustawy o ochronie danych osobowych, otrzymałem odpowiedź:
    “Wszystkie systemy przetwarzające dane elektroniczne są zgłoszone do GIODO”

    Po weryfikacji na stronie, choć uważam że to było zbędne, https://egiodo.giodo.gov.pl/search_results.dhtml, wyszło mi coś odmiennego i oczywiście nie przesłałem.

    W sumie przepisy przepisami ale jak się taka uprze bo chce …

    • Ja w takich sytuacjach najczęściej proszę o przesłanie mi wiadomości podpisanej certyfikatem urzędu, by potem móc wysłać wiadomość zaszyfrowaną ;)

  22. Kontynuując inżynierów-purystów: to jest “grzejnik” a nie “kaloryfer”
    “kostka betonowa” a nie “polbruk” itp. itd. etc.

    • Wyrób więc sobie grzejnik na klacie – będziesz wyglądać “super”. A jeżeli faktycznie produkt nazywał się polbruk, to dlaczego tak nie mówić?

    • Bicykl a nie rower. Wymienne ostrze do maszynki do golenia a nie żyletka.

    • A co jest napisane na opakowaniu z żyletkami? Wymienne ostrze?

    • Pytam, bo jestem ciekawa, bo dawno się cięłam ;-)

    • Mój wykładowca na politechnice zapienił się jak student powiedział “piec” zamiast “kocioł”

  23. Czy narodowość to dana wrażliwa? Czy PESEL przyznawany cudzoziemcom różni się od tego przyznawanego Polakom? Jeżeli na oba pytania odpowiedź brzmi TAK to pesel jest daną wrażliwą.

    • Cudzoziemcy różnią się od obywateli polskich *obywatelstwem*, a nie narodowością. Narodowość nie zależy od obywatelstwa. Nie tylko nie jest ona kodowana w PESEL-u, ale nie jest w ogóle uwzględniana w rejestrach państwowych. Zbierane są za to informacje o narodowości w czasie spisów powszechnych.

      A odpowiedając na pytanie: PESEL-e cudzoziemców niczym nie różnią się od PESEL-i obywateli polskich.

  24. 1.Niezależnie od tego jak bardzo nr PESEL jest wrażliwy, jako dana osobowa powinien być – w świetle stanowisk zajmowanych przez GIODO – zabezpieczony przy zastosowaniu “środków kryptograficznej ochrony” podczas przesyłania przez internet.
    2. Motyw 10. rozporządzenia o długiej i skomplikowanej nazwie – znanego pod nazwami “RODO” lub “GDPR” – nazywa “danymi wrażliwymi” szczególne kategorie danych osobowych, czyli dane wskazane w art. 9 ust. 1 tego aktu. Prawnicy górą.

  25. Może ujawnić informację o zdrowiu. Rzadko ale jednak – w przypadku transseksualistów. PESEL zawiera wpis o płci a ten jet niezmienny.

    • W przypadku sądowego orzeczenia o zmianie płci bądź daty urodzenia PESEL podlega zmianie.

    • Mając dostęp do dat modyfikacji rekordów w bazie PESEL, można by wyłuskać osoby transpłciowe, adoptowane, świadków koronnych itp.

  26. Z całym szacunkiem, ale ktoś, kto napisał ten artykuł nie ma pojęcia o czym pisze i wprowadza ludzi w błąd. Chyba jedyną prawdziwą informacją w artykule jest, to że nie ma czegoś takiego jak dane wrażliwe – jest to termin równie fachowy jak nazwanie biegunki sraczką. Żaden szanujący się prawnik nie używa pojęcia dane wrażliwe, chyba że tylko w kontakcie z klientem, który jest mugolem ;-)

    Autor najwyraźniej nie przeczytał w ustawy o ochronie danych osobowych i nie rozumie, że ochronie podlegają WSZYSTKIE DANE OSOBOWE, natomiast art. 27 określa tylko dodatkowy zamknięty katalog danych, których przetwarzanie jest zabronione, z kilkoma wyjątkami określonymi w ust. 2. Metody zabezpieczenia danych osobowych zostały szczegółowo opisane w rozdziale 5 ustawy i rozporządzeniu.

    Ważne jest więc zdefiniowanie, czym są dane osobowe. Odpowiedź na to znajdziemy w art. 6 ustawy:

    Art. 6.
    1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje
    dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
    2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można
    określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer
    identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy
    fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
    3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli
    wymagałoby to nadmiernych kosztów, czasu lub działań.

    PESEL jest daną osobową, ponieważ spełnia warunki ustawowe:
    1) jest informacja pozwalającą jednoznacznie zidentyfikować osobę (nie ma dwóch osób z identycznym numerem PESEL, poza kilkoma wyjątkami związanymi z błędami)
    2) Na podstawie numeru PESEL można określić jednoznacznie tożsamość osoby i nie wymaga to nadmiernych środków. Odpowiedzcie sobie na pytanie, czy gdyby ktoś w sieci ujawnił “tylko” numery PESEL klientów burdelu, to nie byłoby to ujawnienie danych osobowych?

    PESEL jako dana osobowa, podlega ustawowej ochronie podczas przetwarzania, dlatego NIE MOŻE BYĆ przesyłany w mailu, który nie zapewnia żadnej ochrony przesyłanej informacji. Do tego jeszcze często sam adres e-mail może być jest daną osobową gdy zawiera imię i nazwisko. Program pocztowy natomiast zawiera zbiór danych, w którym takie dane osobowe są przetwarzane. Jeżeli więc nie przetwarzamy danych w takim zbiorze (programie pocztowym) wyłącznie w celach określonych w art. 2 ust. 3 lub art. 3a ustawy, to powinniśmy zarejestrować taki zbiór danych w GIODO lub zgłosić ABI.

    Mogę zrozumieć, że Pani z infolinii Monedo może nie znać ustawy o ochronie danych osobowych (choć powinna), ale redaktor Niebezpiecznika…

    • To nie “szanujący się prawnik” tylko “prawnik-baran nieszanujący swoich klientów”. Jak mi ktoś wyskakuje z czterdziestosylabowym określeniem czegoś, co posiada nazwę potoczną, to wzbudza we mnie co najwyżej śmiech – i szybko zmieniam prawnika na takiego, który szanuje także swój czas i używa terminu “samochód” zamiast “pojazd silnikowy, którego konstrukcja umożliwia jazdę z prędkością przekraczającą 25 km/h”. Ta nowomowa się szczególnie rozprzestrzeniła w urzędach – nie rozumieją BARANY, bo to jest najłagodniejsze określenie (także dla takiego “szanującego” się prawnika), że formalizm przepisów nie sluży kreowaniu języka, a jedynie precyzji legislacyjnej i jako taki nie musi, a wręcz NIE POWINIEN być używany w osadzeniu już konkretnego kontekstu, gdzie nie występują wątpliwości interpretacyjne terminów potocznych (tj. gdy mamy zgodność zapisów ustawy z wykładnią słownikową).

    • Z podanego artykułu wynika, że dane osobowe dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby. Czyli dane osobowe dotyczą tylko danych identyfikacyjnych. Najpierw musimy stwierdzić, że mamy do czynienie z konkretną osobą a później wszelkie o nie informację są danymi osobowymi.
      Imię, nazwisko, imiona rodziców to dane identyfikacyjne; sam PESEL to też dana identyfikacyjne, dopiero z nazwiskiem tworzy dane osobowe.

    • Każdy zawód ma swój specyficzny język wynikający nie z jakiejś maniery, tylko mający swoje podstawy merytoryczne. Prawnik nie będzie mówił o danych wrażliwych (bo czegoś takiego nie ma), tylko o danych osobowych. Tak samo lekarz nie powie, że pacjent ma wycięty woreczek żółciowy, tylko że pacjent jest po cholecystektomii.

      Rzeczą naturalną jest, że osoby niemające wiedzy prawniczej, czy medycznej
      będą posługiwały się sformułowaniami potocznymi, czy wręcz ludowymi co nie oznacza, że są one prawidłowe i mają podstawy prawne czy merytoryczne.

      Kolega gotar myli najwyraźniej język fachowy, z często spotykaną wśród niektórych urzędników lub funkcjonariuszy publicznych (szczególnie niższego szczebla) manierą nadmiernego opisywania prostych rzeczy i używania bez zrozumienia zwrotów występującym w języku prawniczym. Takim osobom wydaje się, że dzięki temu pismo lub opinia będzie wyglądała “profesjonalniej”. Nie ma to nic wspólnego z językiem fachowym.

      Tak więc “baranem” można nazwać prawnika, który posługuje się błędnymi sformułowaniami takimi jak “dane wrażliwe” zamiast “dane osobowe”.

    • @razar:

      Przeczytaj ze zrozumieniem: ” W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.”. I jeszcze to “Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny”, a więc właśnie na podstawie numeru PESEL można zidentyfikować konkretną osobę (a nie np. plamy na słońcu), dlatego PESEL jest daną osobową.

      Ponadto w większości przypadków PESEL przesyła jego posiadacz z adresu e-mail o konstrukcji imię.nazwisko@example.pl i/lub podpisuje się pod wiadomością swoim imieniem i nazwiskiem, więc masz all-inclusive.

  27. PESEL jest daną taką, że można pozyskać inne dane także wrażliwe.

    • Kowalski z ulicy nie może. Instytucje publiczne owszem, ale to trzeba mieć dostęp do rejestru ;)

  28. >Identyfikuje osobę jednoznacznie i może być używany przy autoryzacji różnych czynności
    Czyli jest czymś w rodzaju “loginu” i “hasła” jednocześnie (“wiemy kto bo jest unikalny, i wiemy że to ta osoba bo zakładamy że osoby postronne nie znają tego numeru”). Niestety tkwi tu gruba sprzeczność – biorąc pod uwagę że musimy go podawać w postaci jawnej w wielu miejscach jako rzeczonego “loginu i hasła w jednym”, domniemanie jego poufności jest kompletnie nieuprawnione. To tak jakbyśmy w celu uwierzytelnienia siebie przekazywali stronom trzecim nasz klucz prywatny – przestałby on w ten sposób być prywatny.

  29. Jasne pesel daną osobową. Podobno GIODO tak mówi. Zamierzam spytać się go czy muszę rejestrować plik z wszystkimi możliwymi peselami wygenerowanymi z automatu. Pesel bez nazwiska i imienia to tylko duża liczba. O tu można sobie wygenerować komplet danych.
    http://generatory.roberturbanski.eu/

    • Nie masz pojecia o czym piszesz. ZERO. Najpierw zadaj sobie pytanie co jest zakodowane w numerze PESEL – i nie, nie jest on robiony przez generatory.

      BTW: moge poprosic o Twoj PESEL (skoro jest tylko duza liczba), chetnie dowiedzialbym sie kto tak pitoli o rzeczach, o ktorych nie ma pojecia.

    • Owszem wiem. Pesel zawiera datę urodzenia i oznaczenie płci. Nie jest to daną osobową. Nie podam Ci mojego peselu, bo wiele osób ma jednak dostęp do bazy w której umieszczane są pesele z resztą danych i może sobie sprawdzić kim jestem. Pesel staje się daną osobową jeżeli połączy się go z innymi danymi. Ktoś kto posiada samą bazę peseli, a nie posiada dostępu do systemu gdzie są pesele, nazwisko, imię, adresy itp. to ma tylko dużą liczbę. Niepubliczna baza danych z peselami, bez reszty danych osobowych nie jest zbiorem danych osobowych, a zbiorem cyferek spełniających warunek matematyczny. Tak jak baza imion i nazwisk. Możesz sobie wygenerować sporą bazę fikcyjnych danuch i trzymać ją na dysku bez obaw.

    • Wybierz sobie.
      78020266672,77061883895,80030962312,77030196456,80010336153,79022513434,78070571119,77071865298,80040147552,80103077499,79010789337,78071158531,78050215754,80030912799,76022874518,79012047479,78121525412,80031863438,78111426712,77070739853
      Przez przypadek udostępniłem też wrażliwe dane nieznanych mi osób
      Tak to rozumiesz? Te liczby bez kontekstu to po prostu liczby.

  30. Artykuł 9 (RODO) – Przetwarzanie szczególnych kategorii danych osobowych
    1. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

    2. Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków: (…)

  31. Rocznie (strzelam) kilkadziesiąt milionów recept trafia do aptek. Na każdej recepcie – nazwisko, imię, wiek (nie wiem po co) pełny adres z kodem pocztowym, i oczywiście: PESEL.
    Od 20 lat znakomite oprogramowanie apteczne kilku znanych firm komputerowych, gromadzi te dane, umożliwia analizy w wielu przekrojach danych, rozlicza apteki w NFZ, pozwala na analizę przepisywania danych lekarstw przez określonych lekarzy. Pozwala na analizę “zużycia” leków przez grupy pacjentów w rozbiciu na wiek, płeć, miejsce zamieszkania, czas przeżycia.
    Bazy danych zgromadzane w komputerowych systemach aptek warte są miliardy.
    Trochę zbyt późno wzdychać, czy Pesel jest informacją wrażliwą.
    Pesel jest informacją powszechnie znaną. Przynajmniej w aptekach.
    Pamiętajmy, że prawie wszystkie apteki w Polsce są własnością prywatną.
    Po co ja to piszę…

    • Wypisz wymaluj opisałeś profilowanie ;)
      (za https://edbms.pl/profilowanie-danych-rodo/)
      Profilowanie zostało opisane wprost w następujących przepisach RODO:
      4 pkt 4 – zawarta tam jest definicja profilowania;
      13 ust. 4 pkt f – w zakresie objęcia profilowania obowiązkiem informacyjnym;
      15 ust. 1 lit h – w zakresie prawa do informacji o dokonywanym profilowaniu;
      21 – w zakresie prawa do sprzeciwu względem profilowania
      22 – w zakresie prawa do żądania niepodlegania decyzji opartych na profilowaniu.

    • Ha ha. i właśnie z tego MC chce wyłączyć MŚP. By dalej bylo profilowanie i gnębienie ludzi i by coraz większy % społeczeństwa chorował na depresję. Według obecnych szacunków jest to już aż 10 do 30% populacji – tak dobrze nam się żyje i przez dobrobyt i przez dobre prawo chroniące przestępców i przez to, że wszędzie jesteśmy szpiegowani.

      Pora by GDPR zakończyło przynajmniej część tych rzeczy i by bały się firmy a nie bali obywatele. Podejmują przedsiębiorstwo – niech biorą ze wszelkimi zobowiązaniami w tym do informowania o wycieku i zakazem jakiegokolwiek profilowania – nikt o zdrowych zmysłach nie podpisze klauzuli, gdy będzie oznaczone, że jest nieobowiązkowe i nie będzie nagabywania jak w Tauronie.

    • Tylko wyniesie to takie spółki spoza EOG. Przepisy nie mają zastosowania przecież do firm z siedzibami poza państwami-sygnatariuszami umów o EOG. Takie locatefamily czy inna spółka wyniesie się na Liberland, Seszele albo Wyspy Zielonego Przylądka i wiśta wio.

  32. Być może warto rozważyć, czy istnieje niepusty zbiór i co zawiera, takich danych, które nie są danymi osobowymi (np dotyczą zmarłych), a są wrażliwe w potocznym rozumieniu, dla osób żyjących. Np. ale nie tylko wyznanie rodziców, historia chorób przodków lub nieżyjącego rodzeństwa.
    To tak, by zbyt prosto nie było:)
    I oczywiście, pesel, nazwisko panieńskie matki, i równie “tajne” informacje nie powinny być nigdzie do potwierdzenia tożsamości używane

  33. Trochę z innej beczki… niektórzy moi przedmówcy tak bardzo chcą, żeby chronić ich prywatność, a gro problemów ma źródło wlaśnie w tym, że nie wiemy nic o drugiej stronie. Dlaczego ransmoware jest takie problematyczne? Bo kasa wysyłana jest na “konta”, których nie można ustalić właściciela. Nawet gdyby był to słup to można by takie konto zablokować i zwrócić pieniądze. Oczywiście organy Państwowe i międzynarodowe znajdą tysiące problemów prawnych, bo atak był z Rosji, a może Ukrainy albo jakiś egzotycznych wysp i tam prawo nie jest skuteczne – no ale może prościej ujednolicić tą kwestie niż tworzyć ustawy w stylu RODO (podobnie jak z cookies – wszyscy muszą to zamieszczać bezsensowe informacje, wydać kasę na dostosowanie infrasktury). Powinien być zapis, że dane można wykorzystywać w zakresie niezbędnym do wykonania czynności np. służbowych. Jeżeli dostajesz e-maila z jakąś reklamą i nadawca nie uzyskał Twojej zgody i pomimo Twojego sprzeciwu dalej wysyła niezamówione treści zgłaszasz problem do organu typu GIODO i oni z urzędu sprawdzają firmę, która Cię nęka. Nie widzę problemu, że takich firm jest za dużo i jak zablokujesz jedną to na jej miejsce jest 100 innych. Takie firmy będą nękać setki ofiar, więc nawet jeśli znikomy procent zgłosi nadużycia to dość szybko uda się wyeliminować “setki”. Jeśli takie GIODO stwierdzi podczas kontroli, że firma postępuje niezgodnie z prawem i są skargi blokuje/karze taką firmę.
    CEDIG jest bardzo pożyteczny, często z niego korzystam w prowadzeniu firmy chociażby po to, żeby prawidłowo wystawić fakturę. Mam wrażenie, że cześć komentarzy jest od osób, które w praktyce nie muszą korzystać z tych rejestrów i mnożą problemy.
    Gdyby w Internecie był wymóg podpisania się prawdziwym imieniem i nazwiskiem albo peselem pod swoją wypowiedzią byłoby zdecydowanie mniej komentarzy.

    • Nie GIODO, tylko PUODO wylanemu z kąpielą. Ustawa być musi i musi być powiedziane jakie dane są gdzie obowiązkowe i to ustawowo, bo zaraz powiedzą, że do rejestracji czasu pracy wymagają fotografii twarzy (czy oby ty to ty) oraz skanu siatkówki oka i skanu odcisku palca. Musi być bo powiedzą, że nie mogą bez tego funkcjonować. GDPR jest więc potrzebne, a formularze przygotowuje się raz. Raz przygotowana mówke można też odegrać po połączeniu na centralę… A by nie bylo wycieków, PESEL, imię, nazwisko i adres zamieszkania nigdy nie powinny trafiać do systemu elektronicznego. Od tego jest papier. A w przypadku sklepów internetowych – do tej pory istnieje instytucja przedpłaty i pod danym adresem/paczkomatem powinien móc odebrać każdy jeżeli nie chce by jego dane trafiały do systemów i taka opcja powinna być widoczna na pierwszym ekranie płatności. Właściwie to powinni stworzyć na nowo sklepy internetowe tak, by działały jak te analogowe albo najbardziej podobnie. W sklepie nikt nie pyta o nazwisko.

    • Mi nie przeszkadza, żeby były te dane elektronicznie. Chciałbym np. jadac samochodem mieć tylko dowód tożsamości ze zdjeciem w postaci ksiazeczki lub karty (forma fizyczna). Przy kontroli identyfikuja mnie i widza, że w rejestrze elektronicznym mam potwierdzone prawo jazdy/uzbezpieczenie/informacje o tym czy jestem poszukiwany itd.itp.
      Obecnie płace mandat tylko dlatego, że ich nie mam przy sobie.
      Prawo dostępu do tych danych oczywiscie musi być na zasadzie uprawnien, ale nie przeszkadzałoby mi to, że jest to urzednik/policjant czy Pan z ubezpieczalni. W wielu rejestrach mam tak, że widać kto podgladał dany rekord, kto modyfikował, kto usuwał itd. Jeżeli moje dane wypływaja to można zobaczyć kto się do tego przyczynił i to wyjaśnić. Jeżeli ktoś wykorzystał dane logowania innego użytkownika to takie rzeczy się zdarzaja i jak raz user zmoczy tyłek to kolejny raz już tego pilnuje, żeby hasło było bezpieczne/zmieniane i nie zamieszczane na monitorze :)

  34. Ogólnie z danym wrażliwymi z art. 27 :) także dochodzimy do paranoi. Mam w klubie książeczki 100 dzieciaków na których lekarz medycyny sportowej przykłada pieczątkę pisząc, że zawodnik zdolny i podając datę do kiedy. Nie ma w tym żadnych wyników, pomiarów, tylko data do kiedy jest dopuszczony – 6 miesięcy, bo tak wynika z przepisów. I teraz dochodzimy do absurdu, bo sędziowie mają obowiązek przed zawodami zweryfikować czy zawodnik ma ważne badania lekarskie. Czyli muszę udostępnić “dane wrażliwe” osobie trzeciej :P Pomijam kwestię dodatkowych zabezpieczeń tych dokumentów: a mam w klubie kilku trenerów, którzy muszą zabierać te dokumenty na zawody

    • art. 27 jakiej ustawy – dodaj te kolejne 5 słów ;-) Myślę, że tam nie masz danych wrażliwych do przekazania, bo udostępniasz tylko książeczki dzieci zdrowych. Te które mają przeciwwskazania – informujesz chyba rodziców dziecka (czyli dziecko same według prawa bo sa ich prawnym opiekunem) – i chyba książeczek, gdzie stwierdzono chorobę dyskwalifikującą nie przekazujesz? Możesz chyba ten przypadek potraktować tak jakby badanie się nie odbyło i nie było ważnego badania, co da ten sam efekt.

  35. A co z centralną bazą ksiąg wieczystych?? Jak mamy numer księgo to możemy poznać Imię i Nazwisko oraz nr pesel posiadacza nieruchomości … no i adres.. a jak dana księga została wyodrębniona z innej księgo to możemy poznać numer tej księgi i na podstawie tego numeru możemy poznać numery ksiąg a co za tym idzie Pesele, imiona i nazwiska, adresy, hipoteki osób nam nie znanych.. i to za friko…

    • Tak, dzięki Ministerstwu sprawiedliwości i prawdopodobnie cyfryzacji (o którym mowa tu na niebezpieczniku też była – nie widzą nigdzie problemu – są ślepi) – możesz grabić imiona, nazwiska, adresy zamieszkania stamtąd do woli wra z PESEL-ami. Wszystko jest zabezpieczone prawem i kapciem do wpisania, ale jak umiesz, kapcia ominiesz, a są nawet boty, które go rozwiążą za ciebie.

      Nie wiem tylko na ile legalne jest odsprzedawanie tych danych tak jak robią to 3 serwisy – obstawiam, że bezprawne, ale jak stwierdzono – od 20 lat orzeczono ZERO kar pozbawienia wolności mimo, że w teorii jest kara do 3 lat.

  36. Ostatnio chciałem dziecko (polroczne) zapisać na zajecia dla niemowlakow na basen we Wroclawiu w pewnym hotelu. Wymagali wpisania w formularzu nr PESEL. Powiedzieli, ze bez niego nie moga zapisac dziecko na zajecia. Zapytalem wiec do czego im ten PESEL jest potrzebny. W odpowiedzi kobieta powiedziala, ze PRAWNIK z Poznania powiedzial, ze jest wymagany do zapisu dziecka.

    • Było poprosić o podanie podstawy prawnej, nazwy ustawy i jej artykułu – najlepiej o to zapytać na piśmie. Wtedy ten sam prawnik stwierdzi, że wystarczy data urodzenia w celu określenia wieku dziecka i przydzielenia do odpowiedniej grupy. W końcu nie każde dziecko musi mieć PESEL – turyści nie maja prawa? Wyraźnie na odpowiedź dać termin odpowiedź udzielić niezwłocznie, w nieprzekraczalnym terminie 30 dni.

    • A jaką wskażesz podstawę prawną owego 30-dniowego terminu? Chcesz KPA stosować do prywatnej firmy?

  37. Ustawa o ochronie danych nie zawiera słów “dane wrażliwe”. A prawo o ruchu drogowym nie zawiera słowa “rondo”. Wiedzieliście? ;-)

    • Szkoda tylko, że nie w temacie. Co ma rondo czy ruch kołowy czy jak to zwał do “danych wrażliwych”? Takie określenia powstają wtedy, gdy zbyt długie jest określenie “dane o których mowa w artykule 27 Ustawy o Ochronie Danych Osobowych” – czy poza sądem wyobrażasz sobie rozmowę prawników między sobą – całe szczęście w GDPR jest określenie na takie dane i nie będzie trzeba już przelewać 14 słów tam gdzie powinny być góra 2.

      Dla mówienia “otwór” zamiast “dziura” nie znam uzasadnienia – zapewne określenie czysto gwarowe, zaś każ kobiecie (nietechnicznej) odróżnić wkręt od śruby – nie dziwię się, że mylą, ponieważ konstrukcja elementu w niektórych przypadkach utrudnia prawidłower zakwalifikowanie.

      A z danymi wrażliwymi po prostu historia jest taka, że nikt nie będzie mówił o na co dzień rozpatrywanych sprawach 14 słów zamiast słusznych 2 i akurat takie określenie się utarło w języku prawniczym (nie myląc z prawnym, stosowanym np. na rozprawie sądowej i w rozporządzeniach). Tak to jest jak ustawodawcę nie stać na zdefiniowanie pojęć.

  38. W GDPR jest, ale 4 słowa: “szczególne kategorie danych osobowych”. I wcale nie jest łatwiej. Bo weź to skróć – dane szczególne? A zamiana “szczególne” na “wrażliwe” to jednak nie jest ‘uproszczenie’, ale zmiana pojęcia jednak.

    PS wszystkie dane osobowe są wrażliwe, z naszego punktu widzenia.

  39. To tak jak tłumaczyć czym się zajmuje większość osób czytająca ten serwis. “Informatyką” zajmuje się “INFORMATYK” a nie jakiś “BEZPIECZNIK”.
    HIHI

  40. “choć nadal powinno ono stanowić wytłumaczenia dla niskich standardów bezpieczeństwa.”
    NIE zgubione w najgorszym możliwym miejscu. Fix dat.

    • +1

  41. PESEL jest daną osobową ale nie należy do kategorii wrażliwych lub szczególnej kategorii (w rozporządzeniu UE). Jest to kwestia obowiązującego prawa a nie subiektywnych definicji i będzie skutkować m.in. różną karą więzienia w razie naruszeń ale dopiero od 25 maja. Jak wiadomo rozporządzenie UE jest nadrzędne wobec prawa krajowego więc w ustawie niektórych zapisów może nie być.

    • Najwyższy czas skończyć z ponadnarodowym echelonem ZSRE.

  42. Umowa o najem mieszkania zawiera PESEL i serie dowodu. Obie strony – najmujący i wynajmujący mają te informacje. W takim przypadku, każda ze strom może wziąć kredyt na tą drugą (np. po złości za podwyższenie czynszu). I co teraz? Jak się bronić???

    • Nie wpisywać PESEL-u, jest przecież zupełnie niepotrzebny: numer dowodu jednoznacznie identyfikuje osobę fizyczną.

      Z danych osobowych wpisać numery dowodów oraz imiona i nazwiska. Żadnych adresów zamieszkania/zameldowania, żadnych dat urodzenia i innych niezmienialnych danych.
      Ewentualnie ustalić adresy do korespondencji, pod którymi będzie odbierana korespondencja związana z wynajmem.

      Jeżeli doszłoby do procesu sądowego (bardzo mało prawdopodobne przecież) to numer PESEL wymagany do pozwu ustali się w urzędzie na wniosek strony, na podstawie numeru dowodu osobistego.

      W ten sposób zabezpieczone są i interesy stron, i ich prywatność.

      A numer PESEL na dłuższą metę jest do zaorania.

  43. Witam.
    Pytanie do mojej historii.
    Były pracodawca wysyła PIT-y do swoich pracowników pocztą bez potwierdzenia odbioru, bez rejestracji listu. Mój PIT przepadł w eterze… do kolegi doszedł z złym adresem ( bez podania mieszkania w bloku), na szczęście listonosz go znał.
    Co teraz jest tam tyle danych, że zaczynam się trochę tego obawiać.

  44. Język prawniczy, przynajmniej w Polsce, w ogóle nie jest precyzyjny. Te wszystkie “szczególne przypadki” czy “wyjątkowe okoliczności”, które można odczytać “zawsze gdy ma się takie widzimisię”…

  45. W Szwecji istnieje (przynajmniej istniał) ciekawy patent na zdobywanie informacji. Możesz się dowiedzieć o zarobkach dowolnego urzędnika państwowego, ale ten urzędnik dostanie informację o twoim zapytaniu.
    Podobnie powinna wyglądać sprawa w KRS. Powinienem mieć prawo sprawdzenia PESEL wspólnika czy prokurenta spółki prawa handlowego, lecz informacja o zapytaniu i osobie zapytującej powinna być dostępna dla tegoż wspólnika.

  46. Kabel jest szczególnym przypadkiem przewodu, który dostarcza potencjał elektryczny. Tak zwany przewód elektryczny.
    Poza kablem istnieją inne rodzaje szczególnych przypadków przewodów, np:
    – przewód pneumatyczny (ciśnienienie gazu)
    – przewód gazowy (przewodzi gaz)

    Ale i kable mają swoje szczególne rodzaje, np:
    – kabel koncentryczny, który jest tak naprawdę falowodem (przekaz fali elektromagnetycznej).

    Przewód nie musi być kablem!

  47. “…..tylko pewnego prawniczego pojęcia aby zamaskować praktykę niezalecaną”.
    : praktykę niezalecaną :) Te dwa słowa to też “bełkot prawniczy”. Albo coś jest zgodne albo niezgodne z przepisami.

  48. Ustawa o ochronie danych osobowych przewidywała pojecie “danych wrażliwych”. Została zastąpiona przez RODO, które nie posługuje się taką nazwą. No i co z tego? Nic. PESEL jest daną osobową i podlega ochronie.
    Nie rozdzierajcie szat jeśli nie rozumiecie przepisów. Nie trzeba być “purystą prawniczym”, wystarczy poczytać jakiś artykuł o tym w necie.
    To są naprawdę podstawy RODO.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.