Czy adres email to dane osobowe? #RODOFAQ

W obecnych czasach, korzystanie z poczty elektronicznej jest bardzo powszechne. Bez adresu email ciężko nam odnaleźć się w rzeczywistości, w szczególności tej internetowej, która coraz mocniej wkracza w naszą codzienność. Jest on niezbędny między innymi do zrobienia zakupów online, zakupu biletów do kina, czy też do wysłania CV w odpowiedzi na interesującą nas ofertę pracy.

Często jego posiadania wymagają od nas urzędy, czy inne instytucje państwowe. Może się zdarzyć, że załatwienie naszych spraw z jego wykorzystaniem będzie dużo szybsze, mniej kłopotliwe i tańsze, niż wykonanie tego w tradycyjny sposób. Myślę, że można pokusić się o wniosek, że w przyszłości, ciężko będzie znaleźć osobę, która nie posiada własnego adresu email.

Jednak czy o mailach wiemy już wszystko? Czy są one danymi osobowymi? Odpowiedź na to pytanie odnajdziecie Państwo w naszym dzisiejszym artykule.


Kwalifikacja czy to dane osobowe – prosta sprawa?

Na samym początku naszych rozważań, warto sięgnąć do definicji danych osobowych:

art. 4 pkt 1 RODO  dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą”)

Prawodawca celowo nie określił zamkniętego katalogu informacji, które zawsze stanowić będą dane osobowe. Na przestrzeni lat i ciągle rozwijających się technologii nie miało to większego sensu, stąd pomysł na zastosowanie w tej definicji katalogu otwartego.

Przy określaniu, czy wskazana informacja to dane osobowe, nieuniknione jest dokonanie oceny, podczas której należy uwzględnić konkretne okoliczności oraz rodzaje środków czy metod wykorzystywanych do identyfikacji osoby fizycznej. Nie inaczej będzie przy analizie naszego przypadku. Więcej na temat definicji danych osobowych w RODO, mogą Państwo przeczytać w innym artykule na naszym blogu.

Czy posiadamy wskazówki od organu lub przedstawicieli doktryny?

W zakresie czy adres mailowy stanowi dane osobowe, niestety nie możemy udzielić jednoznacznej odpowiedzi. Najwłaściwszą, i jak uważają niektórzy ulubioną, odpowiedzią prawników będzie „to zależy”.

Warto w tym zakresie mieć na uwadze opinie przedstawione przez poprzednika Prezesa UODO – Generalnego Inspektora Ochrony Danych Osobowych. Wskazał on w swoich wypowiedziach, że adres mailowy należy traktować jako informację, która potencjalnie może stanowić dane osobowe. Na jedno z zadanych mu pytań dotyczące konieczność rejestracji zbioru osób zamawiających newsletter, odpowiedział:

GIODO o rejestracji zbioru osób zamawiających newsletter: Specyfiką Internetu jest to, że aby zamówić newsletter danego serwisu należy wpisać na jego stronie swój adres e-mail, który w rozumieniu ustawy o ochronie danych osobowych stanowi dane osobowe. (…) Pozyskane w ten sposób adresy e-mail stanowią zbiór danych osobowych (…)”.

Natomiast na pytanie, w jakich okolicznościach adres mailowy należy traktować jako dane osobowe, GIODO stwierdził:

GIODO o uznawaniu adresu email za dane osobowe: Adres poczty elektronicznej bez żadnych dodatkowych informacji umożliwiających ustalenie tożsamości osoby, co do zasady nie stanowi danej osobowej w rozumieniu powołanej wyżej definicji. Natomiast w wyjątkowych przypadkach, jeżeli elementy treści adresu poczty elektronicznej pozwalają bez nadmiernych kosztów, czasu lub działań na ustalenie na ich podstawie tożsamości danej osoby, można uznać go za daną osobową.”

Jak widać, nawet z wypowiedzi organu nie wywnioskujemy jednoznacznej odpowiedzi na pytanie postawione w tytule naszego artykułu. Dodatkowo, jak da się zauważyć, jedno stanowisko przeczy drugiemu.

Jeśli chodzi o przedstawicieli doktryny, to w komentarzach, artykułach lub innych publikacjach, również na próżno szukać zero-jedynkowej odpowiedzi.

Co w tym zakresie podpowiada praktyka?

Czytając poprzedni akapit można poczuć się nieco zagubionym. Spójrzmy jednak na to z praktycznej strony. Zdroworozsądkowo należy przyjąć, że o kwalifikacji adresu poczty elektronicznej, jako informacji o charakterze danych osobowych, przesądzać powinna obiektywna możliwość identyfikacji osoby, której dotyczy dany adres pocztowy. Elementarnym kryterium ułatwiającym identyfikację adresu email, jako informacji podlegających ochronie na podstawie przepisów RODO, będzie jego treść.

Dane osobowe

Przykładem, kiedy zdecydowanie będziemy mieli do czynienia z danymi osobowymi, będzie adres służbowy ze wskazaniem imienia i nazwiska pracownika oraz domeny firmy, w której zatrudniona jest ta osoba. Proces identyfikacji jest w tym przypadku niezmiernie łatwy, nie wymaga dużego nakładu kosztów, ani pracy czy poświęconego czasu. Na podstawie takich informacji będziemy w stanie bez wątpliwości zidentyfikować konkretną osobę fizyczną.

„To zależy”

Inaczej natomiast sytuacja będzie wyglądała w momencie, gdy będziemy dysponować adresem składającym się z większej liczby informacji. Przykładowo z imienia, nazwiska lub pseudonimu, nawet jeśli email został założony w którejś z popularnych publicznych domen. Bez wątpienia, identyfikacja takiej osoby może przysporzyć nam trudności, ale niekonieczne może okazać się niemożliwa.

Co mogłoby się zdarzyć po wprowadzeniu określonego adresu poczty elektronicznej w wyszukiwarkę Google? Bardzo często już po kilku sekundach zostaniemy przekierowani na prywatne konto na portalu społecznościowym. Czasem będzie to profil na portalu specjalizującym się w kontaktach zawodowo-biznesowych. Dzięki początkowo niewinnie wyglądającemu adresowi e-mail, możemy dowiedzieć się o takiej osobie więcej, niż tylko jej imię i nazwisko. Oczywiście nie będzie tak za każdym razem.

Informacje niestanowiące danych osobowych

Kolejnym przykładem adresów mailowych, z którymi możemy się spotkać, to takie, które bez wątpienia nie stanowią danych osobowych, np. . W takim wypadku piszemy do spółki, a nie do konkretnego człowieka.

Podsumowanie

Odpowiedź na pytanie postawione w tytule naszego artykułu, zależy od kontekstu sytuacji. Poniżej przedstawiamy prostą tabelę, która pomoże Ci znaleźć odpowiedź na pytanie czy adres email to dane osobowe.

Kontekst:Czy adres email stanowi dane osobowe?
Służbowy adres email, jego treść jednoznacznie identyfikuje nam pracownika, który się nim posługuje, np. .Tak – jesteśmy w stanie szybko zidentyfikować osobę, której dane dotyczą, jest ona pracownikiem firmy xyz.
Nazwa maila wskazuje imię i nazwisko, mail został założony w publicznie dostępnej domenie. Właściciel domeny nie weryfikuje, czy treść maila odpowiada tożsamości osoby, która go założyła, np. .Brak jednoznacznej odpowiedzi:

  • to rzeczywiście Jan Kowalski, który powszechnie posługuje się tym adresem mailowym. Po wpisaniu adresu w wyszukiwarkę identyfikujemy go jako osobę prowadzącą własną działalność gospodarczą. Wskazany adres email został podany do rejestru CEIDG (dane osobowe), lub
  • adres email wpisany w wyszukiwarkę nie identyfikuje nam konkretnej osoby fizycznej. Osoba, która korzysta z adresu nie podpisuje swoich mail (informacja niestanowiąca danych osobowych).
Nazwa maila stanowi nazwę abstrakcyjną: Brak jednoznacznej odpowiedzi:

  • adres email jest wykorzystywany osobę, która prowadzi bloga o kwiatach. Adres widnieje w zakładce kontakt pod pełnym imieniem i nazwiskiem tej osoby (dane osobowe), lub
  • po wpisaniu adresu w wyszukiwarkę nie jesteśmy w stanie zidentyfikować konkretnej osoby fizycznej. Osoba, która korzysta z adresu nie podpisuje swoich maili (informacja niestanowiąca danych osobowych).
Nazwa maila odnosi się do osoby prawnej: Nie – informacje identyfikują osobę prawną.

Biorąc pod uwagę powyższe, w przypadku przetwarzania adresów mailowych, należy zachować ostrożność. Swoim klientom zawsze powtarzamy, że w razie wątpliwości, lepiej zakwalifikować adres mailowy jako dane osobowe, niż pozostawić takie informacje bez żadnej ochrony.

Pobierz artykuł - czy adres e-mail to dane osobowe

Pobierz artykuł w PDF

Powiązane artykuły

rodo faq
Co to znaczy przetwarzać dane osobowe? #RODOFAQ
rodo faq
Czy PESEL to dane wrażliwe? #RODOFAQ
rodo faq
Dane przedsiębiorcy a RODO – czy prawo mnie chroni? #RODOFAQ

2 Odpowiedzi

  1. Dariusz

    Pytanie jak postąpić w takim przypadku.

    Zmieniam własny e-mail z domeny prywatnej na ogólna. Napisałem do jednego z portalu klubu sportowego (samoobsługa nie jest mozliwa) prośbę o zmianę adresu e-mail.

    Otrzymałem odmowę że względów technicznych bo e-mail jest jednocześnie moim loginem.

    Jak dobrze rozumiem to zgodnie z RODO mam prawo do miany jakichkolwiek danych o sobie w każdej chwili.

    1. Lex Artist

      Dzień dobry, tu ma zastosowanie prawo do sprostowania danych (motyw 65). Przy czym nalezy zwrócić uwagę, że we wspomnianym motywie mamy zapis „jeżeli dane te nie są już niezbędne do celów, w których były zbierane”. W opisanym przez Pana przypadku dane w postaci adresu email są potrzebne do prowadzenia konta (email jest loginem). Pozdrawiamy!

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO