Adres e-mail – w jakim zakresie podlega ochronie danych osobowych?

Liczba wiadomości na skrzynce mailowej, przez jakie musimy przebrnąć przy porannej kawie rośnie. W sferę wirtualną przenosi się coraz więcej aspektów naszego życia. Dlatego powinniśmy świadomie bronić się przed spamem. W niniejszym artykule przedstawimy problem zaliczenia adresu mailowego do kategorii danych osobowych. Opowiemy też, jak dochodzić swoich praw, gdy naszą skrzynkę zalewa niechciana korespondencja.

E-mail identyfikujący właściciela

Po pierwsze kwestia uznania e-maili za dane osobowe nie jest jednoznaczna. Informacje w formie adresów poczty elektronicznej mogą, ale nie muszą być danymi osobowymi. Każdorazowo wyznacznikiem tej kwalifikacji powinien być przepis ustawy o ochronie danych osobowych (dalej u.o.d.o.). W artykule 6 ustawy została zawarta wyraźna definicja danych osobowych. Są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. W sposób bezpośredni lub pośredni. Co więcej, informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Doktryna w kontekście ochrony danych osobowych wyróżnia trzy rodzaje adresów mailowych. Po pierwsze, takie, które ze względu na swoją treść umożliwiają ustalenie tożsamości dysponenta. Np. . Po drugie, takie które pozwalają na zidentyfikowanie użytkownika dopiero w powiązaniu z innymi informacjami. Np. – adres, z którego złożono reklamację zakupionego produktu. Po trzecie, takie które nie dają możliwości fizycznego wskazania właściciela adresu. Np. .

W pierwszym i drugim przypadku, musi koniecznie istnieć obiektywna możliwość powiązania konkretnej informacji (konkretnego adresu e-mail) z konkretną osobą. I jak wskazuje art. 6 ust. 3, musi się to odbyć bez podejmowania jakichkolwiek dodatkowych, czasochłonnych i kosztownych działań. Powiązanie to powinno być realne. To znaczy, że administrator danych ma możliwość fizycznego wskazania osoby, której dotyczy dana informacja, a nie tylko ustalenia podstawowych danych tej osoby.

Kiedy „anonimowy” e-mail staje się daną osobową?

Co do trzeciego przypadku, chodzi o e-maile zapewniające dużą anonimowość użytkownikowi. Takie, które założone są na popularnych portalach i zawierają w nazwie rzeczowniki pospolite, czy nazwy własne. Nie ma pewności, czy należą do osoby fizycznej i raczej z góry odmówimy im miana danych osobowych. Takim uniemożliwiającym identyfikację adresem posługiwał się przykładowy pan Iksiński. Pewnego dnia na tego e-maila otrzymał informację handlową od spółki, będącej klientem naszej kancelarii. Pan Iksiński nie mógł sobie przypomnieć, aby składał kiedykolwiek zgodę na otrzymywanie reklam od tej firmy. Postanowił więc skorzystać z gwarancji zapewnionych w art. 32 u.o.d.o., czyli prawa do kontroli przetwarzania danych osobowych.

Czy pan Iksiński mógł skorzystać z ochrony zapewnionej przez u.o.d.o.? Przecież adresów mailowych uniemożliwiających ustalenie tożsamości dysponenta nie uznajemy za dane osobowe. W sprawie zapadła decyzja GIODO. Inspektor potwierdził, że z momentem złożenia żądania w sprawie udzielenia informacji adres e-mail pana Iksińskiego stał się daną osobową. Wcześniej adres należał do trzeciej ze wspomnianych wyżej kategorii. A więc nie był daną osobową, bo ustalenie właściciela adresu wymagało nadmiernych kosztów i nakładów pracy.

Okoliczności sprawiły, że adres e-mail zmienił kategorię z trzeciej na drugą. I stał się adresem pozwalającym na identyfikację jego właściciela w sposób pośredni. Administrator danych odkąd pan Iksiński zażądał spełnienia wobec niego obowiązku informacyjnego, może już powiązać adres z jego dysponentem.

Powyższa interpretacje wydaje się być bardzo korzystna dla wszystkich, którzy zaatakowani niezamawianą korespondencją, są gotowi dochodzić swoich praw. W pewnych sytuacjach bowiem, każdy adres mailowy osoby fizycznej może zostać uznany za daną osobową. Pan Iksiński po wymianie kilku pism ze spółką i zgłoszeniu sprawy do GIODO otrzymał stosowną odpowiedź. Okazało się, iż na jednym portalu wyraził zgodę na mailing – w rzeczywistości wykonywany przez firmę zewnętrzną. Firma ta sformułowała odpowiednio treść zgody, jaką wielu internautów akceptuje bez wnikliwego przeczytania. Dzięki temu mogła manewrować posiadaną bazą mailingową, wysyłając na jeden adres informacje handlowe wielu swych klientów.

Cenny towar w sieci

Wzrasta powszechna świadomość o tym, że adres e-mail jest cennym towarem. Cennym dla właściciela, bo chce mieć skrzynkę wolną od spamu. I cennym dla firm, bo bazami mailingowymi najzwyczajniej w świecie handlują. A także profilują internautów, celem przygotowania zindywidualizowanej informacji handlowej.

Poczta elektroniczna to najpopularniejsza usługa internetowa. Umożliwiająca prawie nieograniczone możliwości globalnej komunikacji. Co więcej, komunikacji bezpłatnej. Wysyłanie wiadomości za pomocą poczty elektronicznej nie wiążę się z ponoszeniem jakichkolwiek bezpośrednich kosztów. Powszechny dostęp, globalny zasięg i nieodpłatność usługi – to największe zalety mailowania. Z drugiej strony zaś, powód ogromnej liczby nadużyć. Nieporównywalnej z żadnym innym środkiem komunikacji i masowego przekazu.

Uwaga SPAM!

Ochronę adresów mailowych obejmują swym zakresem przede wszystkim dwie ustawy. Wspomniana już ustawa o ochronie danych osobowych z 1997 r. Ale także ustawa o świadczeniu usług drogą elektroniczną z 2002 r. (dalej u.ś.u.d.e.). Według tej drugiej ustawy, (artykuł 10 ust. 2), informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny. W związku z tym każda informacja, jaką uzyskamy mimo braku naszej zgody, będzie stanowiła tzw. spam.

W art. 10 ust. 1 i 3 u.ś.u.d.e. precyzuje zakaz. Przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej jest zabronione i stanowi czyn nieuczciwej konkurencji.

Ustawodawca nie pozostawia internautów bez zabezpieczenia. Według art. 24 ust. 1 u.ś.u.d.e., kto przesyła za pomocą środków komunikacji elektronicznej niezamówione informacje handlowe, podlega karze grzywny.  Każdy, kto otrzymuje spam, ma prawo wnioskować o ściganie wykroczenia. Oczywiście najpierw należy skontaktować się z nadawcą wiadomości, by ustalić, czy na pewno pozyskał on nasz adres mailowy nielegalnie. Często bowiem może okazać się, tak jak w przypadku wspomnianego pana Iksińskiego, że firma, która się nam zareklamowała, korzysta z zewnętrznej firmy marketingowej oraz z jej baz danych.

Grzywna może nie przerażać spamerów. Ale polskie sądy poszły o krok dalej. Za wysyłanie na dużą skalę niezamawianych informacji handlowych można trafić za kratki. Spamerom można wytoczyć proces karny z art. 269a Kodeksu karnego. Zgodnie z tym przepisem kto, nie będąc do tego uprawnionym w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. To nie jest tylko pusta regulacja. Naprawdę dosięgła spamerów i zdarzały się już wyroki skazujące na pozbawienie wolności. Warto więc znać swoje prawa i w razie potrzeby – nie wahać się ich dochodzić.

Katarzyna Sawczuk

Źródła:
P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, str. 82 i n., 3. wydanie, Warszawa 2015

http://www.ipblog.pl/2012/09/wiezienie-za-spamowanie/

https://niebezpiecznik.pl/post/poniedzialek-z-prawnikiem-co-jest-spamem-i-jak-pozwac-spamera/

Powiązane artykuły

10 najczęstszych RODO błędów na stronie internetowej
Rozporządzenie ePrivacy, dlaczego wciąż czekamy i co się zmieni?
rodo faq
Ile zgód należy pozyskiwać dla celów marketingowych? #RODOFAQ

12 Odpowiedzi

  1. Kasia

    Co należy zrobić jeśli dostaje ustawicznie spam „polityczny” (szkalujące artykuły na temat różnych osób publicznych), na dodatek w polu odbiorca widzę dane osobowe innych adresatów – część osób jest łatwa do zidentyfikowania – imię, nazwisko, często nazwa firmy. Blokowanie nadawcy jako spam nie pomaga – ponieważ ta „organizacja” zmienia cały czas nazwę nadawcy, ukryta jest też domena, z której listy wysyłane, stąd kontakt z administratorami tych stron na nic się nie zdał. Gdzie i w jaki sposób należy to zgłosić ? Z jakiego artykułu ?

    Pozdrawiam
    Kasia

  2. Mamy takie pytanie – od dziś na blogu mamy zainstalowany czat Smartsupp, gdzie wyświetla się pole na podanie adresu e-mail, gdy jesteśmy offline. Jeśli ktoś nam poda swój adres e-mail oraz imię, to znaczy, że gromadzimy dane i należy zgłosić bazę e-maili do Giodo? Czy jeśli jedyne, co będziemy robić, to odpowiadać na ewentualne pytania, ale nie będziemy prowadzić cold mailingu ani nic tego typu, to wciąż musimy to rejestrować w Giodo?
    Czytałyśmy sporo na stronie Giodo, ale nie do końca wiemy co oznacza „przetwarzanie”. :/

    1. Kancelaria Lex Artist

      Przetwarzanie to jakiekolwiek operacje wykonywane na danych osobowych, między innymi: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie. W opisanym przypadku mamy do czynienia ze zbieraniem danych :-). Obowiązująca ustawa o ochronie danych osobowych przewiduje w określonych przypadkach zwolnienie z obowiązku rejestracji. Zapraszamy do lektury artykułów zamieszczonych na naszym blogu https://blog-daneosobowe.pl/zwolnienie-z-obowiazku-rejestracji-zbioru-do-giodo-cz-1/ oraz https://blog-daneosobowe.pl/zwolnienie-z-obowiazku-rejestracji-zbioru-do-giodo-cz-2/

  3. Piotr

    Witam,

    a co w przypadku gdy pracownik zakłada przy pomocy firmowego maila konto na przykład w usłudze google podając swoje dane osobowe a następnie odchodzi z pracy. Do kogo należy to konto? Do pracodawcy – właściciela maila? Czy do osoby, która to konto zakładała? Czy po zmianie adresu e mail może ona dalej korzystać z tego konta?

    Pozdrawiam
    Piotr

    1. Kancelaria Lex Artist

      Witamy, Warunki korzystania z konta i o tym, czy możliwa jest potem zmiana adresu mailowego są uwzględnione w regulaminie danej usługi. Jednak jeśli pracownik nie ma dostępu do służbowego konta, to raczej korzystanie z konta staje się bardzo utrudnione, gdyż komunikaty od administratora usługi są dla niego niedostępne.pozdrawiamy

  4. Wojciech

    1. Czy korespondencja e-mailowa wewnątrz firmy pomiędzy pracownikami to przetwarzanie danych osobowych?
    2. Czy korespondencja pomiędzy pracownikiem firmy a osobą fizyczną (na temat służbowy) to przetwarzanie?

      1. Jacek

        Jeżeli jest to przetwarzanie danych osobowych to jak się odnieść do archiwizacji maili?
        Czy można je zarchiwizować, czy należy usunąć po zakończeniu danego tematu?

        1. Kancelaria Lex Artist

          Dzień dobry. Wszystko zależy od tego, czego dotyczy korespondencja mailowa. Jeżeli np. maile dotyczą zawieranej umowy to należy je przechowywać tyle, co dokumentację dotyczącą danej umowy. Pozdrawiamy!

          1. Jacek

            OK. A jeżeli jest to prośba o urlop, wyjaśnienie/podsumowanie w trakcie realizacji zadania np. projektu albo wypowiedzenie umowy o pracę? To jak te przypadki rozpatrywać?

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO