Niepokojące przykłady można znaleźć praktycznie w każdej branży. – W 2014 r. liczba osób dotkniętych działalnością cyberprzestępców w sektorze medycznym na świecie wynosiła 12,5 mln, a rok później ofiar było już ponad 113 mln – mówi Ewelina Hryszkiewicz, kierownik produktu w firmie Atman (operator największego polskiego centrum danych). Przykładów nie musimy szukać daleko: niedawno wiele emocji wzbudził sam wyciek z systemu PESEL.
Ochronie danych nie sprzyja prawo. – Dziś w Polsce nie ma i o ile wiem nie planuje się przyjęcia odrębnej regulacji prawnej dotyczącej np. Big Data – mówi Hryszkiewicz. Wskazuje, że termin ten w polskich dokumentach prawnych pada tylko raz: w załączniku do uchwały nr 157 Rady Ministrów w sprawie przyjęcia Strategii Rozwoju Kraju z 25 września 2012 r.
Nie każdy adres podlega ochronie
Obecna sytuacja to spore wyzwanie dla firm technologicznych, zajmujących się np. e-marketingiem. Rodzi się pytanie, czy ochronie danych osobowych podlega nasz adres e-mail czy zbiór e-maili? Co stanowi o zbiorze – liczba czy jego zawartość? Daną osobową jest każda informacja, na podstawie której można stosunkowo łatwo zidentyfikować konkretną osobę fizyczną.
– Przyjmuje się, że osobą możliwą do zidentyfikowania jest ta, której tożsamość da się określić bezpośrednio lub pośrednio, na przykład przez powołanie się na numer identyfikacyjny, nazwisko, adres albo kilka specyficznych czynników określających jej cechy fizyczne, a nawet umysłowe, ekonomiczne, kulturowe lub społeczne – wyjaśnia Aleksandra Sopala, radca prawny w firmie Sare, która zajmuje się e-marketingiem. Jednocześnie przyjmuje się, że jeżeli ustalanie tożsamości na podstawie tych informacji wymagałoby nadmiernych kosztów, czasu lub działań, to nie można mówić o danych osobowych. A tym samym taka informacja nie podlega ochronie prawnej i nie jest potrzebna zgoda na jej wykorzystywanie.
Jak interpretować ten przepis w kontekście adresu e-mailowego? Jeśli będzie miał on charakter ogólny, namierzenie tożsamości staje się trudne, a więc takie dane nie podlegają ochronie prawnej, ale sprawa się komplikuje, gdy adres to imię i nazwisko. – Zgodnie z ustawą o ochronie danych osobowych e-mail zawierający pełne imię i nazwisko może być upubliczniany tylko wtedy, gdy jego właściciel wyrazi na to zgodę – potwierdza Sopala.