Numer rejestracyjny a dane osobowe – rozbieżne stanowiska nsa i puodo

Przepisy samego rozporządzenia nie zawierają zamkniętego katalogu danych osobowych, wskazując jedynie, że zależnie od kontekstu, może być nią każda informacja identyfikująca lub pozwalająca na identyfikację określonej osoby fizycznej. Jedynie przykładowo wymieniają takie dane jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby.

Sądy –  nr rejestracyjny co do zasadą nie jest daną osobową

Spory dotyczące uznania numerów rejestracyjnych za dane osobowe poddawane były niejednokrotnie pod rozstrzygnięcie polskich sądów. W większości spraw dochodziły one do jednolitego wniosku, że numery te stanowią jedynie informację na temat konkretnego pojazdu – nie zaś jego właściciela lub posiadacza, a co za tym idzie – nie znajdują do nich zastosowania przepisy Ogólnego Rozporządzenia.

Warto przytoczyć jeden z najgłośniejszych w tej materii wyroków (z 28 czerwca 2019 roku, sygn.: I OSK 2063/17, Legalis), w którym NSA stwierdził, że „Brak możliwości powiązania numerów rejestracyjnych pojazdów, bez nadmiernego wysiłku i kosztów, z osobami fizycznymi, które dają się zidentyfikować, sprawia, że numer rejestracyjny pojazdu nie ma statusu danych osobowych. Numer rejestracyjny jest umieszczony na samochodzie, za zgodą właściciela pojazdu, sam w sobie jest ogólnie dostępny dla bliżej nieokreślonej liczby osób. Jednak nie oznacza to, że można go w sposób prosty powiązać z konkretną osobą. Wskazać bowiem należy, że często z tego samego pojazdu korzystają różne osoby. Powyższe niezbicie wskazuje, że nie jest możliwe, w sposób prosty i łatwy, powiązać numer rejestracyjny pojazdu z konkretną osobą – właściciela (lub posiadacza) pojazdu.”

W orzeczeniu z 12 marca 2020 r. tym razem sąd cywilny (Sąd Okręgowy w Warszawie w sprawie o  sygn.: I C 214/19) uznał, iż bez zasięgnięcia informacji w Centralnej Ewidencji Pojazdów i Kierowców (CEPIK), która to nie jest dostępna bez szczególnego uzasadnienia prawnego, nie sposób, by osoba trzecia ustaliła tożsamość właściciela konkretnego pojazdu.

Co niezmiernie istotne w kontekście prawidłowej interpretacji przepisów RODO, Sąd Okręgowy zaznaczył, że „Nie należy (…) mylić wiedzy osób postronnych nieznających powoda osobiście i nie mogących zidentyfikować go jako właściciela pojazdu, ze względu na numery jego tablic rejestracyjnych, bez podjęcia nadzwyczajnych starań, z wiedzą osób, znających powoda osobiście i mogących zidentyfikować pojazd jako będący jego własnością na podstawie osobistej z nim znajomości lub styczności.”

Zdanie Prezesa UODO – nr rejestracyjny stanowi dane osobowe 

Niezależnie od dominującej linii orzeczniczej oraz stanowisk części doktryny, Prezes Urzędu Ochrony Danych osobowych ocenia, iż tablice rejestracyjne stanowią daną osobowego właściciela pojazdu. „Jest to bowiem informacja, za pośrednictwem której możliwe jest zidentyfikowanie — w sposób pośredni — osoby fizycznej, będącej właścicielem pojazdu”. Tym samym krajowy organ nadzoru stoi na zgoła odmiennym stanowisku niż sądy powszechne i administracyjne oraz znaczna część nauki prawa.

Wyjątki od reguły

Warto jednak zwrócić uwagę na najświeższe orzeczenie NSA z 14 maja 2021 r. (sygn.: III OSK 1466/21, Legalis). Naczelny Sąd Administracyjny wskazał w nim, że „Teza, że numer rejestracyjny samochodu nie podlega ochronie wynikającej z prawa do prywatności, gdyż identyfikuje samochód, a nie osobę, odnoszona winna być do przypadków standardowych numerów rejestracyjnych składających się z liter i cyfr, niepozwalających na powiązanie samochodu z właścicielem oraz do przypadków, w których samochód z tablicą rejestracyjną znajduje się lub jest prezentowany bez połączenia z innymi informacjami odnoszącymi się do czasoprzestrzeni lub w powiązaniu z innymi danymi osobowymi, w tym wizerunku osób nim podróżujących.”

Tym samym, Sąd uznał, iż co do zasady numery rejestracyjne pojazdu same w sobie nie stanowią danych osobowych. Istnieją jednak sytuacje, kiedy mając na uwadze całokształt okoliczności towarzyszących, uznać można, iż sama informacja zawarta na tablicy pojazdu (np. spersonalizowany numer lub numer umieszczony na unikatowym egzemplarzu pojazdu) pozwala przypisać ją do jego zindywidualizowanego właściciela bądź posiadacza.

Jak zaznaczył bowiem Sąd w uzasadnieniu rozstrzygnięcia „W innych przypadkach numer rejestracyjny w połączeniu z innymi danymi osobowymi (lub nawet w określonej czasoprzestrzeni) pozwala na identyfikację osoby właściciela”.

Jak postępować z nr rejestracyjnym?

Mając na uwadze tak niejednolitą interpretację przepisów o ochronie danych, niewątpliwie zasadnym jest rozsądne i ostrożne podchodzenie do jakichkolwiek form wykorzystywania numerów rejestracyjnych pojazdów należących do osób trzecich.

W szczególności upubliczniając w jakiejkolwiek formie dane rejestrowe pojazdu (nagranie z kamery samochodowej, zamieszczenie w sieci zdjęcia nieprawidłowo zaparkowanego samochodu itp.) należy mieć na uwadze, że w razie zarzutu takiego niewłaściwego działania, spotkać można się nie tylko z  zarzutem naruszenia danych osobowych, ale również dóbr osobistych, jakim jest m. in. prawo do prywatności. Osoba uznająca się za poszkodowaną z tych tytułów może zaś dochodzić swoich roszczeń niezależnie na podstawie przepisów o ochronie danych, jak i przepisów Kodeksu Cywilnego.

Pierwszy unijny kodeks postępowania ws ochrony danych przetwarzanych w chmurze

ZAŁOŻENIA KODEKSU CISPE DLA BRANŻY CHMUROWEJ

Kodeks postępowania ma zapewnić dostawcom usług cloud computing warunki do wykazania pełnej zgodności stosowanych przez nich rozwiązań chmurowych z Ogólnym Rozporządzeniem m.in. poprzez przykładowe wskazówki, jak dostawcy ci oraz ich klienci powinni postępować, by chronić dane osobowe zgodnie z regulacjami RODO. Zgodność z postanowieniami kodeksu CISPE ma być weryfikowana przez niezależnych, zewnętrznych audytorów akredytowanych przez odpowiednie krajowe organy ochrony danych poszczególnych państw członkowskich.

Dokument opisuje rekomendowane praktyki i praktyczne wskazówki mające wspomagać dostawców usług infrastruktury chmurowej w podnoszeniu jakości ochrony danych i zapewnieniu przejrzystości wobec odbiorców tychże usług przez jasne określenie ról, obowiązków i granic działania obydwu stron.

Kodeks gwarantować ma również, dostęp dostawców usług cloud computing do danych klientów i możliwość ich wykorzystywania wyłącznie w celu zarządzania lub świadczenia oferowanej przez siebie usługi, bez możliwości przetwarzania w celach marketingowych.

REGULACJE DOTYCZĄCE KODEKSU POSTĘPOWANIA?

Kodeksy postępowania to przewidziane art. 40 RODO regulacje sektorowe, mające charakter wytycznych, opracowywane przez stowarzyszenia, organy przedstawicielskie, zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów danych lub podmiotów przetwarzających. Ich założeniem jest wypracowanie określonych standardów przetwarzania danych z uwzględnieniem specyfiki poszczególnych sektorów i rodzajów działalności, w tym szczególnych potrzeb przedsiębiorców.

Przestrzeganie regulacji kodeksów postępowań zapewniać ma organizacjom w całej UE możliwość sprawniejszej ochrony danych i wykazania zgodności z przepisami RODO. Kodeksy postępowania podlegają zatwierdzeniu przez jeden z krajowych organów ochrony danych działający w imieniu pozostałych organów państw członkowskich, po uzyskaniu formalnej opinii EROD.

KORZYŚCI Z OPARCIA SIĘ NA SEKTOROWYM KODEKSIE POSTĘPOWANIA

Zaczerpnięcie przez poszczególnych administratorów danych oraz podmioty przetwarzające z założeń kodeksów postępowania w zakresie przetwarzaniach danych osobowych, zgodnie z założeniami RODO, służyć ma przede wszystkim doprecyzowaniu regulacji wspólnotowych do warunków przetwarzania w określonym sektorze gospodarki.

Co istotne kodeksy postępowania, zgodnie z wytycznymi RODO przewidywać muszą również mechanizmy obowiązkowego monitorowania przestrzegania przepisów tychże kodeksów przez administratorów lub podmioty przetwarzające, którzy podjęli się ich stosowania. Monitorowanie to prowadzone jest przez niezależne podmioty posiadające odpowiedni poziom wiedzy fachowej w dziedzinie będącej przedmiotem danego kodeksu i akredytowane w tym celu przez właściwy organ nadzorczy państwa członkowskiego.

Brexit – zbliża się koniec okresu przejściowego. Co dalej z transferem danych do UK?

Tymczasem w świetle ostatnich uregulowań w tym zakresie w odniesieniu do państw trzecich (w ostatnich tygodniach zwłaszcza w kontekście ich transferu do USA), szczególnie istotnym polem jest tu określenie zasad przyszłego przepływu danych pomiędzy Zjednoczonym Królestwem a Unią Europejską.

 

OKRES PRZEJŚCIOWY DO KOŃCA 2020 ROKU

Do końca bieżącego roku obowiązuje okres przejściowy, w czasie którego wspólnotowe regulacje dotyczące ochrony danych osobowych (w szczególności unijne Ogólne Rozporządzenie O Ochronie Danych – RODO) mają pełne zastosowanie na terenie Wielkiej Brytanii.

Tym samym, status Zjednoczonego Królestwa w okresie przejściowym jako państwa członkowskiego Unii Europejskiej, pozwala na swobodny transfer danych na dotychczasowych zasadach.

 

CO Z DANYMI PO OKRESIE PRZEJŚCIOWYM? MOŻLIWE RÓŻNE MODELE

Na temat niewiadomej obecnie relacji UE i Wielkiej Brytanii wypowiedział się brytyjski organ nadzorczy, tj. The Information Commissioner’s Office (ICO).

ICO potwierdził brak ustalonego scenariusza działania w tym zakresie po zakończeniu okresu przejściowego. Jednocześnie rekomenduje sięganie przez administratorów danych i podmioty przetwarzające do opracowywanych przez siebie na bieżąco poradników i materiałów dotyczących zmian zasad przetwarzania danych osobowych spowodowanych Brexitem. Źródła takie znaleźć można na stronach internetowych ICO, a także polskiego Ministerstwa Rozwoju[1].

Jednym z przewidywanych scenariuszy jest wdrożenie w życie tzw. brytyjskiego RODO oraz uregulowanie zasad wymiany danych osobowych między Wielką Brytanią a Wspólnotą Europejską w drodze stosownej umowy międzynarodowej. W tym zakresie warto zaznaczyć, że obecnie w Zjednoczonym Królestwie obowiązuje Ustawa o ochronie danych 2018 (DPA 2018), która uzupełnia i dostosowuje przepisy Ogólnego Rozporządzenia o Ochronie Danych na terenie Wielkiej Brytanii. Ustawa ta w przyszłości ma być jeszcze bardziej zbliżona do regulacji RODO i doprowadzić do zagwarantowania tak wysokiego stopnia ochrony danych, który umożliwi ich przepływ z państw członkowskich UE.

Innym możliwym rozwiązaniem jest uzyskanie przez Wielką Brytanię statusu państwa trzecie w rozumieniu RODO. Oznaczałoby to, że transfer danych osobowych z państw członkowskich do Zjednoczonego Królestwa byłby możliwy każdorazowo tylko w oparciu o mechanizmy przewidziane w RODO, a więc, m. in. na podstawie:

  • decyzji Komisji Europejskiej, która potwierdzałaby, że Wielka Brytania zapewnia odpowiedni – analogiczny jak państwa Wspólnoty – poziom ochrony danych osobowych;
  • przyjętych przez KE standardowych klauzul umownych;
  • wiążących reguł korporacyjnych;
  • zatwierdzonego kodeksu postępowania lub
  • zatwierdzonego mechanizmu certyfikacji.

Drugie z ww. rozwiązań wiązałoby się koniecznością istotnych zmian w wewnętrznych politykach określających zasady przetwarzania danych u poszczególnych administratorów na terenie UE. Aktualizacji wymagałyby przede wszystkim umowy powierzenia przetwarzania danych, rejestry przetwarzania oraz klauzule informacyjne – w zakresie, w jakim odnoszą się do przekazywania danych Wielkiej Brytanii.

 

Ostateczne warunki współpracy handlowej i gospodarczej od 1 stycznia 2021 r. – w tym również transferu danych osobowych – zależeć będą od treści przyszłej umowy o wolnym handlu między Wielką Brytanią i Unią Europejską. Do jej zawarcia miało dojść 15 października, w trakcie posiedzenia Rady Europejskiej, jednak do ostatecznych uzgodnień nie doszło. Dalszy plan działań obydwu stron będzie więc nadal przedmiotem negocjacji.