Czy stópki to są dane osobowe? Analiza prawna której nikt nie zamawiał.

Czy stópki to są dane osobowe? Analiza prawna której nikt nie zamawiał.

Zadałem sobie pytanie które nikogo nie obchodzi - "Czy stupki podlegają pod RODO?" Postanowiłem to zbadać. Nauka jest nieubłagana.


Są pytania które rodzą się z ciekawości.

Są pytania które rodzą się z nudnego popołudnia.

I są pytania które rodzą się gdy za długo pracujesz w ochronie danych i zaczynasz widzieć dane osobowe wszędzie – w etykietach na słoikach, w tablicach rejestracyjnych mijanych aut i w zdjęciach stóp na Instagramie.

Dzisiaj pochylamy się nad tym ostatnim.

Czy stópki – rozumiane jako zdjęcia stóp opublikowane w internecie, najczęściej na tle piasku, wody lub kraciastej kanapy – są danymi osobowymi w rozumieniu RODO?


Co RODO mówi o danych osobowych

Zacznijmy od definicji bo bez niej cała analiza jest bezsensowna – chociaż i tak jest trochę bezsensowna.

Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Kluczowe słowo to "możliwej do zidentyfikowania." Nie musisz znać imienia. Wystarczy że możesz do tej osoby dotrzeć przez kombinację dostępnych informacji.

Tu zaczyna się filozofia.


Przypadek pierwszy: fotograf który zna właściciela stópek

To jest przypadek najprostszy i najbardziej oczywisty.

Twój znajomy Marek fotografuje stopy swojej partnerki Ani. Zna Anię. Wie że to jej stopy. Posiada teraz zdjęcie które jednoznacznie identyfikuje Anię – bo Marek tę identyfikację w swojej głowie już przeprowadził.

Dla Marka stopy Ani są danymi osobowymi Ani. Bez żadnych wątpliwości.

Marek jest administratorem danych osobowych Ani w zakresie tego zdjęcia. Musi mieć podstawę prawną by je wykorzystywać.

Jeśli trzyma je na dysku w folderze "prywatne" – to jego sprawa bo przetwarzanie w celach czysto osobistych jest wyłączone z zakresu RODO (pod warunkiem że robił to zdjęcie prywatnie jako znajomy a nie odpłatnie klientowi)

Sprawa zamknięta. Idziemy dalej.


Przypadek drugi: anonimowe stópki w internecie

Tu robi się ciekawiej.

Na Instagramie jest konto które publikuje wyłącznie zdjęcia stóp. Różnych. Bez twarzy. Bez imion. Bez tagów lokalizacji. Samo stopy.

Czy to są dane osobowe?

Dla osoby która te zdjęcia ogląda – nie. Widzi stopę. Nie wie czyją. Nie ma możliwości identyfikacji. Stopa jest anonimowa jak kamień na plaży.

Dla osoby która te zdjęcia zrobiła – zależy. Jeśli pamięta czyje to stopy – tak, dane osobowe. Jeśli zrobiła zdjęcie przypadkowej stopy na plaży bez wiedzy właściciela i sama nie wie kto to jest – można argumentować że nie.

RODO mówi że przy ocenie czy identyfikacja jest możliwa trzeba wziąć pod uwagę wszelkie obiektywne czynniki takie jak koszt i czas potrzebne do identyfikacji. Identyfikacja właściciela anonimowej stopy na podstawie samego zdjęcia stopy jest – powiedzmy to delikatnie – wyzwaniem.

Chyba że.


Przypadek trzeci: charakterystyczna stopa jako wizerunek

Tu wkraczamy w filozofię prawną której nikt nie potrzebował ale wszyscy dostają.

Wizerunek w rozumieniu prawa to niekoniecznie twarz. Wizerunek to każda cecha fizyczna która pozwala na identyfikację osoby. Sylwetka. Charakterystyczny chód. Tatuaż.

I właśnie – tatuaż.

Mike Tyson ma tatuaż na twarzy który rozpozna każdy. Ale wyobraźmy sobie hipotetycznego Jana Kowalskiego który ma na nodze charakterystyczny tatuaż – powiedzmy wielki smok od kostki do kolana – i ten tatuaż jest powszechnie znany w jego środowisku. Zdjęcie tej nogi z tym tatuażem identyfikuje Jana Kowalskiego równie skutecznie co zdjęcie twarzy.

To jest wizerunek. To są dane osobowe.

Stopa bez żadnych charakterystycznych cech identyfikacyjnych – czysto anatomicznie banalna – to jednak stopa. Nie wizerunek.

Można teoretyzować że ktoś ma wyjątkowo charakterystyczny kształt palców albo unikalny układ żył widoczny na grzbiecie stopy. Można. Ale droga od "charakterystyczna stopa" do "możliwa do zidentyfikowania osoba fizyczna" jest długa i wybrukowana akademickimi założeniami.


Co na to RODO w praktyce

RODO nie ma sekcji poświęconej stópkom.

Szkoda bo byłoby to interesujące czytanie.

Praktyczna odpowiedź na pytanie "czy stópka to dane osobowe" brzmi: to zależy od kontekstu identyfikowalności.

Jeśli ktoś widząc to zdjęcie może powiązać je z konkretną osobą – dane osobowe. Jeśli nie może – nie dane osobowe. Tyle że ta ocena jest zawsze subiektywna i zależna od tego kto patrzy i co wie.

Dla Marka stopa Ani to dane osobowe Ani.

Dla przypadkowego użytkownika internetu ta sama stopa to stopa.

Ten sam plik JPG – dwa różne statusy prawne w zależności od tego kto go ogląda i co wie.

RODO jest piękne w swojej złożoności.


Praktyczne wnioski które nikomu nie były potrzebne

Jeśli masz kolekcję zdjęć stóp znajomych bez ich wiedzy – to jest niepokojące na kilku poziomach jednocześnie i RODO jest tu najmniejszym z problemów.

Jeśli prowadzisz biznes polegający na skupowaniu zdjęć stóp od użytkowników internetu – masz umowę powierzenia z platformą na której działasz, politykę prywatności i rejestr czynności przetwarzania. Mam nadzieję.

Jeśli zastanawiasz się czy Twoje stopy są danymi osobowymi – prawdopodobnie nie, chyba że masz tatuaż który rozpoznają wszyscy Twoi znajomi i właśnie wrzuciłeś zdjęcie na publiczne konto.

W takim przypadku witaj w świecie wizerunku jako danej osobowej.

Prawnicy od RODO są do Twojej dyspozycji.


Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.

Powrót do blogu

Zostaw komentarz

Damian Bielecki

Damian Bielecki "Typ od RODO"

Ekspert ds. ochrony danych osobowycgh. Człowiek który postanowił że prawo o ochronie danych nie musi być nudne. W sieci działa jako Typ od RODO – tłumaczy RODO, CyberSec i AI Act językiem który rozumie biznes a nie tylko prawnicy. Ekspert który uzyskał certyfikaty CIPP/E, CIPM i FIP. Jeśli potrzebujesz pomocy z RODO lub marką osobistą – sprawdź jak pracuję wchodząc w linki.