02 LIP 2020

Czy adresy e-mail to dane osobowe?

Wszyscy zdążyliśmy się już przyzwyczaić do istnienia RODO czyli Ogólnego Rozporządzenia
o Ochronie Danych Osobowych, ale czy tak naprawdę zdajemy sobie sprawę z tego czym są dane osobowe? Na przykład: czy adresy mailowe to dane osobowe, czy też nie?

Odpowiedź na to ostanie pytanie niestety nie jest zero – jedynkowa, co wymaga pewnych wyjaśnień, gdyż przepisy prawa nie zawierają wyczerpującego katalogu (wyliczenia) rodzajów danych, który wprost i jednoznacznie rozstrzygałby co jest daną osobową, a co nie.

Sięgnijmy zatem do źródła i przyjrzyjmy się definicji danych osobowych zawartej w art. 4 pkt 1 RODO. Otóż dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizyczne.

Przekładając powyższą definicję z języka RODO na bardziej zrozumiały język polski: danymi osobowymi są wszelkie informacje o żyjącym człowieku, którego tożsamość jesteśmy w stanie ustalić.

Doskonale ilustruje to przywołany na wstępie przykład adresów poczty elektronicznej. Generalnie taki adres przypisany jest do konkretnej osoby fizycznej, po którym hipotetycznie można ustalić jej tożsamość. Czy w związku z tym wszystkie adresy mailowe to dane osobowe, czy też nie?

Nie będę oryginalny i wykorzystam tutaj nader często nadużywany przez prawników zwrot:  to zależy. Od czego? Od tego czy daną informację możemy powiązać z tożsamością konkretnego człowieka bez nadzwyczajnego wysiłku, bez nieproporcjonalnie dużych nakładów, zwłaszcza przy wykorzystaniu łatwo osiągalnych źródeł powszechnie dostępnych, np. Internetu.

Dla lepszego zobrazowanie tej kwestii posłużę się przykładem swojego służbowego maila, który stanowi danę osobową: m.siemienkiewicz@kklaw.pl Nie dość, że ten adres mailowy już w swej treści zawiera nazwisko oraz pierwszą literę imienia, co pozwala ustalić moją tożsamość, to na dodatek po umieszczaniu go w wyszukiwarce internetowej umożliwia pełną identyfikację oraz pozyskanie innych danych na mój temat.

Nieco inaczej przedstawia się sprawa w przypadku adresów mailowych, które w swej treści nie zdradzają tożsamości właściciela jak np.: biuro@…..com, sekretariat@……com, kadry@ ……com, etc. Jeżeli nie wiadomo jaka osoba jest właścicielem takiego adresu mailowego, a także nie można tego ustalić w łatwy sposób, to taki adres mailowy nie jest daną osobową.

Tyle teorii, niestety w praktyce odróżnianie tego czy dany adres mailowy stanowi danę osobową jest bardzo trudne, w szczególności dotyczy to większych zbiorów danych, jak np. marketingowa baza danych. Najbezpieczniejszym rozwiązaniem jest odgórne założenie, że wszystkie pozyskiwane adresy mailowe są danymi osobowymi, a w konsekwencji chronić i przetwarzać je zgodnie z przepisami RODO.

 

Autor:
Radca Prawny Marcin Siemienkiewicz

Polub nas na Facebooku, aby na bieżąco śledzić przydatne materiały, które publikujemy.