W obecnych czasach, korzystanie z poczty elektronicznej jest bardzo powszechne. Bez adresu email ciężko nam odnaleźć się w rzeczywistości, w szczególności tej internetowej, która coraz mocniej wkracza w naszą codzienność. Jest on niezbędny między innymi do zrobienia zakupów online, zakupu biletów do kina, czy też do wysłania CV w odpowiedzi na interesującą nas ofertę pracy.
Często jego posiadania wymagają od nas urzędy, czy inne instytucje państwowe. Może się zdarzyć, że załatwienie naszych spraw z jego wykorzystaniem będzie dużo szybsze, mniej kłopotliwe i tańsze, niż wykonanie tego w tradycyjny sposób. Myślę, że można pokusić się o wniosek, że w przyszłości, ciężko będzie znaleźć osobę, która nie posiada własnego adresu email.
Jednak czy o mailach wiemy już wszystko? Czy są one danymi osobowymi? Odpowiedź na to pytanie odnajdziecie Państwo w naszym dzisiejszym artykule.
Kwalifikacja czy to dane osobowe – prosta sprawa?
Na samym początku naszych rozważań, warto sięgnąć do definicji danych osobowych:
Prawodawca celowo nie określił zamkniętego katalogu informacji, które zawsze stanowić będą dane osobowe. Na przestrzeni lat i ciągle rozwijających się technologii nie miało to większego sensu, stąd pomysł na zastosowanie w tej definicji katalogu otwartego.
Przy określaniu, czy wskazana informacja to dane osobowe, nieuniknione jest dokonanie oceny, podczas której należy uwzględnić konkretne okoliczności oraz rodzaje środków czy metod wykorzystywanych do identyfikacji osoby fizycznej. Nie inaczej będzie przy analizie naszego przypadku. Więcej na temat definicji danych osobowych w RODO, mogą Państwo przeczytać w innym artykule na naszym blogu.
Czy posiadamy wskazówki od organu lub przedstawicieli doktryny?
W zakresie czy adres mailowy stanowi dane osobowe, niestety nie możemy udzielić jednoznacznej odpowiedzi. Najwłaściwszą, i jak uważają niektórzy ulubioną, odpowiedzią prawników będzie „to zależy”.
Warto w tym zakresie mieć na uwadze opinie przedstawione przez poprzednika Prezesa UODO – Generalnego Inspektora Ochrony Danych Osobowych. Wskazał on w swoich wypowiedziach, że adres mailowy należy traktować jako informację, która potencjalnie może stanowić dane osobowe. Na jedno z zadanych mu pytań dotyczące konieczność rejestracji zbioru osób zamawiających newsletter, odpowiedział:
Natomiast na pytanie, w jakich okolicznościach adres mailowy należy traktować jako dane osobowe, GIODO stwierdził:
Jak widać, nawet z wypowiedzi organu nie wywnioskujemy jednoznacznej odpowiedzi na pytanie postawione w tytule naszego artykułu. Dodatkowo, jak da się zauważyć, jedno stanowisko przeczy drugiemu.
Jeśli chodzi o przedstawicieli doktryny, to w komentarzach, artykułach lub innych publikacjach, również na próżno szukać zero-jedynkowej odpowiedzi.
Co w tym zakresie podpowiada praktyka?
Czytając poprzedni akapit można poczuć się nieco zagubionym. Spójrzmy jednak na to z praktycznej strony. Zdroworozsądkowo należy przyjąć, że o kwalifikacji adresu poczty elektronicznej, jako informacji o charakterze danych osobowych, przesądzać powinna obiektywna możliwość identyfikacji osoby, której dotyczy dany adres pocztowy. Elementarnym kryterium ułatwiającym identyfikację adresu email, jako informacji podlegających ochronie na podstawie przepisów RODO, będzie jego treść.
Dane osobowe
Przykładem, kiedy zdecydowanie będziemy mieli do czynienia z danymi osobowymi, będzie adres służbowy ze wskazaniem imienia i nazwiska pracownika oraz domeny firmy, w której zatrudniona jest ta osoba. Proces identyfikacji jest w tym przypadku niezmiernie łatwy, nie wymaga dużego nakładu kosztów, ani pracy czy poświęconego czasu. Na podstawie takich informacji będziemy w stanie bez wątpliwości zidentyfikować konkretną osobę fizyczną.
„To zależy”
Inaczej natomiast sytuacja będzie wyglądała w momencie, gdy będziemy dysponować adresem składającym się z większej liczby informacji. Przykładowo z imienia, nazwiska lub pseudonimu, nawet jeśli email został założony w którejś z popularnych publicznych domen. Bez wątpienia, identyfikacja takiej osoby może przysporzyć nam trudności, ale niekonieczne może okazać się niemożliwa.
Co mogłoby się zdarzyć po wprowadzeniu określonego adresu poczty elektronicznej w wyszukiwarkę Google? Bardzo często już po kilku sekundach zostaniemy przekierowani na prywatne konto na portalu społecznościowym. Czasem będzie to profil na portalu specjalizującym się w kontaktach zawodowo-biznesowych. Dzięki początkowo niewinnie wyglądającemu adresowi e-mail, możemy dowiedzieć się o takiej osobie więcej, niż tylko jej imię i nazwisko. Oczywiście nie będzie tak za każdym razem.
Informacje niestanowiące danych osobowych
Kolejnym przykładem adresów mailowych, z którymi możemy się spotkać, to takie, które bez wątpienia nie stanowią danych osobowych, np. . W takim wypadku piszemy do spółki, a nie do konkretnego człowieka.
Podsumowanie
Odpowiedź na pytanie postawione w tytule naszego artykułu, zależy od kontekstu sytuacji. Poniżej przedstawiamy prostą tabelę, która pomoże Ci znaleźć odpowiedź na pytanie czy adres email to dane osobowe.
Kontekst: | Czy adres email stanowi dane osobowe? |
Służbowy adres email, jego treść jednoznacznie identyfikuje nam pracownika, który się nim posługuje, np. . | Tak – jesteśmy w stanie szybko zidentyfikować osobę, której dane dotyczą, jest ona pracownikiem firmy xyz. |
Nazwa maila wskazuje imię i nazwisko, mail został założony w publicznie dostępnej domenie. Właściciel domeny nie weryfikuje, czy treść maila odpowiada tożsamości osoby, która go założyła, np. . | Brak jednoznacznej odpowiedzi:
|
Nazwa maila stanowi nazwę abstrakcyjną: | Brak jednoznacznej odpowiedzi:
|
Nazwa maila odnosi się do osoby prawnej: | Nie – informacje identyfikują osobę prawną. |
Biorąc pod uwagę powyższe, w przypadku przetwarzania adresów mailowych, należy zachować ostrożność. Swoim klientom zawsze powtarzamy, że w razie wątpliwości, lepiej zakwalifikować adres mailowy jako dane osobowe, niż pozostawić takie informacje bez żadnej ochrony.
Pobierz artykuł w PDFŹródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- https://archiwum.giodo.gov.pl/pl/1520008/2856
- https://archiwum.giodo.gov.pl/pl/1520049/3529
2 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Pytanie jak postąpić w takim przypadku.
Zmieniam własny e-mail z domeny prywatnej na ogólna. Napisałem do jednego z portalu klubu sportowego (samoobsługa nie jest mozliwa) prośbę o zmianę adresu e-mail.
Otrzymałem odmowę że względów technicznych bo e-mail jest jednocześnie moim loginem.
Jak dobrze rozumiem to zgodnie z RODO mam prawo do miany jakichkolwiek danych o sobie w każdej chwili.
Dzień dobry, tu ma zastosowanie prawo do sprostowania danych (motyw 65). Przy czym nalezy zwrócić uwagę, że we wspomnianym motywie mamy zapis „jeżeli dane te nie są już niezbędne do celów, w których były zbierane”. W opisanym przez Pana przypadku dane w postaci adresu email są potrzebne do prowadzenia konta (email jest loginem). Pozdrawiamy!