Adres e-mail jako dana osobowa

Adres e-mail może być daną osobową, podobnie jak adres zamieszkania czy nazwisko. To z kolei ma wpływ na możliwość korzystania z przysługujących nam praw. Wpływa także na obowiązki administratorów danych osobowych, czyli podmiotów, które dane te od nas zbierają oraz podejmują inne działania związane z ich przetwarzaniem.

Definicja danych osobowych ujęta została w art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Zgodnie z tym przepisem za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Jak wynika z przytoczonego przepisu, konkretna informacja nie będzie jednakże stanowić danej osobowej (nie będzie uważana za informację umożliwiającą określenie tożsamości osoby), jeżeli zidentyfikowanie osoby na podstawie tej informacji wymagałoby nadmiernych kosztów, czasu lub działań.

Jednocześnie wskazano, iż osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Nie ma przeszkód, aby za informację umożliwiającą zidentyfikowanie konkretnej osoby uznać adres e-mail. W jakiej jednak sytuacji adres taki spełni przesłanki do uznania go za daną osobową w rozumieniu przepisów Ustawy?

Analizując zacytowany art. 6, oczywistym jest, że nie każdy adres e-mail pozwala nam szybko i bez specjalnych wysiłków zidentyfikować osobę, do której jest przypisany. Nie ulega wątpliwości, iż często znacznie łatwiej będziemy w stanie wskazać osobę posługującą się adresem e-mail zbudowanym w oparciu o imię i nazwisko oraz domenę internetową znanej spółki (imię.nazwisko@nazwa-spolki.pl) aniżeli osobę posługującą się adresem wykorzystującym pseudonim i utworzonym na przykład w domenie internetowej serwisu oferującego darmowe konta poczty elektronicznej (pseudonim@nazwa-serwisu.pl). Może się jednak zdarzyć, iż adres e-mail wskazywać będzie na przysłowiowego "Jana Kowalskiego", który jest jednym z kilku "Janów Kowalskich" pracujących w danej spółce. Bywają również takie sytuacje, w których konkretny adres e-mail, utworzony w domenie internetowej serwisu oferującego darmowe konta pocztowe, zawiera mało popularne imię czy nazwisko.

Interpretując treść powołanego powyżej przepisu Ustawy, należy zwrócić uwagę, że przy uznaniu adresu e-mail za daną osobową brak nadmiernych kosztów, czasu lub działań wydaje się mieć zasadnicze znaczenie. Ustalenie tożsamości osoby, do której przypisany jest konkretny adres poczty elektronicznej, nie może bowiem być procesem długotrwałym, skomplikowanym i kosztownym.

Trzeba mieć także na uwadze, że zgodnie z zamysłem ustawodawcy tożsamość "osoby możliwej do zidentyfikowania" wystarczy określić jedynie pośrednio. Podejmując zatem próbę określenia, czy konkretny adres e-mail może być uznany za daną osobową, konieczne jest uwzględnienie zarówno przedstawionych powyżej przesłanek ustawowych, jak i budowy danego adresu e-mail. W rezultacie, o ile na podstawie analizy budowy adresu e-mail możemy stosunkowo szybko i bez podejmowania szczególnie skomplikowanych działań zidentyfikować osobę, do której ów adres jest przypisany, wówczas można z dużym prawdopodobieństwem stwierdzić, iż taki adres e-mail stanowi daną osobową.

Z uwagi na fakt, iż adres poczty elektronicznej może być (lecz nie zawsze jest) daną osobową, podmioty gromadzące adresy e-mail osób fizycznych i decydujące o dalszym wykorzystaniu tych adresów mogą być uznane za administratorów danych osobowych (definicję administratora danych osobowych zawiera art. 7 pkt 4 Ustawy). Konsekwencją tegoż jest konieczność spełnienia przez te podmioty obowiązków przewidzianych w Ustawie.

Wspomnieć trzeba, że jednym z podstawowych obowiązków administratorów danych osobowych jest zgłoszenie zbioru danych osobowych do rejestracji przez Generalnego Inspektora Ochrony Danych Osobowych. Zgłoszenie to jest o tyle istotne, iż warunkuje ono – co do zasady – dopuszczalność przetwarzania danych osobowych (czyli wykonywania jakichkolwiek operacji na danych osobowych, w tym ich zbierania, utrwalania, przechowywania, zmieniania, udostępniania czy usuwania) przez administratorów.

Za administratorów danych osobowych można uznać bez wątpienia podmioty zbierające informacje, których zakwalifikowanie jako dane osobowe nie jest tak dyskusyjne, jak w przypadku adresów e-mail (do tych informacji można chociażby zaliczyć imię i nazwisko, adres zamieszkania czy numer telefonu). Powstaje jednak pytanie, czy podmioty gromadzące tylko i wyłącznie "cudze" adresy e-mail z pominięciem innych informacji (np. spółki prowadzące serwisy internetowe, w których użytkownicy internetu mogą się zarejestrować poprzez podanie wyłącznie swego adresu e-mail i wymyślonego przez siebie hasła) będą administratorami danych osobowych zobligowanymi do wypełnienia obowiązków wskazanych w Ustawie?

Do rozstrzygnięcia tej kwestii niezbędne może okazać się ustalenie, czy wśród zebranych adresów e-mail znajdują się adresy, które choćby pośrednio mogą prowadzić do zidentyfikowania osób posługujących się tymi adresami. Dokonanie takich ustaleń może być jednak skomplikowanym logistycznie przedsięwzięciem, zwłaszcza w przypadku obszernej bazy adresowej. Dużo trafniejsze, zdaniem autora niniejszego artykułu, jest zatem rozstrzyganie o możliwości nadania konkretnemu podmiotowi statusu administratora danych z punktu widzenia oceny rodzaju zbieranych (przetwarzanych) przez ten podmiot informacji oraz możliwości określenia, czy te informacje stanowić mogą dane osobowe. Jeśli zatem dany podmiot przetwarza adresy e-mail i decyduje o sposobach dalszego wykorzystania tych adresów, to podmiot taki będzie mógł być uznany za administratora danych osobowych niezależnie od tego, czy w bazie umieszczone będą adresy e-mail spełniające warunki uznania ich za dane osobowe, czy też adresy nie spełniające tych warunków.

Jeżeli adres e-mail, którym się posługujemy, spełniać będzie kryteria uznania go za daną osobową, będziemy mogli także skorzystać z prawa do kontroli przetwarzania naszego adresu e-mail. Administrator danych osobowych przetwarzający ten adres zobowiązany będzie z kolei umożliwić nam realizację wspomnianego prawa. Prawo do kontroli przetwarzania danych osobowych (w naszym przypadku konkretnego adresu e-mail będącego daną osobową) składa się z poszczególnych uprawnień, których otwarty katalog został wskazany w Ustawie. Do najbardziej istotnych spośród nich zaliczyć można m.in. prawo do uzyskania informacji o celu i sposobie przetwarzania naszego adresu e-mail, o podmiotach, którym nasze dane osobowe są udostępniane, czy prawo do żądania usunięcia naszych danych osobowych.

Mając na uwadze powyższe rozważania, trzeba na koniec wyraźnie wskazać, że oceny, czy adres e-mail może być daną osobową, należy każdorazowo dokonywać w odniesieniu do konkretnego adresu poczty elektronicznej. Ustalenie, iż adres e-mail jest daną osobową ma natomiast doniosłe znaczenie. Taka kwalifikacja adresu e-mail powoduje bowiem, iż zastosowanie znajdują przepisy Ustawy, które chronią interesy osób posługujących się konkretnymi adresami e-mail, dając tym osobom możliwość skorzystania z uprawnień określonych w Ustawie.

Marcin Berlak

Autor jest aplikantem radcowskim w Kancelarii Prawniczej Włodzimierz Głowacki i Wspólnicy sp.k. z siedzibą w Poznaniu.


Źródło: DI24.pl
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Sierpień 2020»
PoWtŚrCzwPtSbNd
 12
3456789
10111213141516
17181920212223
24252627282930
31