Większość z nas korzysta z poczty elektronicznej. Adres pocztowy tworzymy sami lub korzystamy z adresu nadanego nam przez inną osobę, np. pracodawcę. Adres ten może jednak stanowić element danych osobowych, podobnie jak adres zamieszkania czy nazwisko.
Zakwalifikowanie adresu e-mail do danych osobowych ma z kolei wpływ na możliwość korzystania z przysługujących nam praw. Wpływa także na obowiązki administratorów danych osobowych, czyli podmiotów, które dane te od nas zbierają oraz podejmują inne działania związane z ich przetwarzaniem.
[srodtytul]Łatwe do zidentyfikowania[/srodtytul]
Definicja danych osobowych ujęta została w art. 6 [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=3880A73D313F7BF1623DBCC7ED86334D?id=166335]ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych[/link]. Zgodnie z tym przepisem za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
[b]Konkretna informacja nie będzie jednak stanowić danych osobowych (nie będzie uważana za informację umożliwiającą określenie tożsamości osoby), jeżeli zidentyfikowanie osoby na jej podstawie wymagałoby nadmiernych kosztów, czasu lub działań[/b].
Jednocześnie osobą możliwą do zidentyfikowania jest taka, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Nie ma przeszkód, aby za informację umożliwiającą zidentyfikowanie konkretnej osoby uznać adres e-mail. W jakiej jednak sytuacji adres ten spełni przesłanki do uznania go za element danych osobowych w rozumieniu przepisów powołanej wcześniej ustawy?
Analizując wspomniany art. 6, oczywiste jest, że nie każdy adres e-mail pozwala nam szybko i bez specjalnych wysiłków zidentyfikować osobę, do której jest przypisany.
Nie ulega wątpliwości, iż często znacznie łatwiej będziemy w stanie wskazać osobę posługującą się adresem e-mail opartym na imieniu i nazwisku oraz domenie internetowej znanej spółki (imię.nazwisko@nazwa-spolki.pl) aniżeli osobę posługującą się adresem wykorzystującym pseudonim i utworzonym na przykład w domenie internetowej serwisu oferującego darmowe konta poczty elektronicznej (pseudonim@nazwa-serwisu.pl).
Może się jednak zdarzyć, iż adres e-mail wskazywać będzie na „Jana Kowalskiego”, który jest jednym z kilku „Janów Kowalskich” pracujących w danej spółce. Bywają również takie sytuacje, w których konkretny adres e-mail, utworzony w domenie internetowej serwisu oferującego darmowe konta pocztowe, zawiera mało popularne imię czy nazwisko.
[srodtytul]Decyduje analiza budowy[/srodtytul]
Interpretując treść zacytowanego przepisu ustawy, należy zwrócić uwagę, że przy uznaniu adresu e-mail za element danych osobowych brak nadmiernych kosztów, czasu lub działań wydaje się mieć zasadnicze znaczenie. Ustalenie tożsamości osoby, do której przypisany jest konkretny adres poczty elektronicznej, nie może bowiem być procesem długotrwałym, skomplikowanym i kosztownym.
Trzeba mieć także na uwadze, że zgodnie z zamysłem ustawodawcy tożsamość „osoby możliwej do zidentyfikowania” wystarczy określić jedynie pośrednio. Podejmując zatem próbę określenia, czy konkretny adres e-mail może być uznany za dane osobowe, konieczne jest uwzględnienie zarówno przedstawionych wcześniej przesłanek ustawowych, jak i budowy danego adresu e-mail.
W rezultacie, jeżeli na podstawie analizy budowy adresu e-mail możemy stosunkowo szybko i bez podejmowania szczególnie skomplikowanych działań zidentyfikować osobę, do której ów adres jest przypisany, to można z dużym prawdopodobieństwem stwierdzić, iż taki adres e-mail należy do danych osobowych.
[srodtytul]Gromadzisz, masz obowiązki[/srodtytul]
Ponieważ adres poczty elektronicznej może stanowić (lecz nie zawsze) dane osobowe, [b]podmioty gromadzące adresy e-mail osób fizycznych i decydujące o dalszym wykorzystaniu tych adresów mogą być uznane za administratorów danych osobowych[/b] (definicję administratora danych osobowych zawiera art. 7 pkt 4 ustawy o ochronie danych osobowych). Konsekwencją tegoż jest konieczność spełnienia przez te podmioty obowiązków przewidzianych w ustawie.
Za administratorów danych osobowych można uznać bez wątpienia podmioty zbierające informacje, których zakwalifikowanie jako dane osobowe nie jest tak dyskusyjne jak w przypadku adresów e-mail (do tych informacji można chociażby zaliczyć imię i nazwisko, adres zamieszkania czy numer telefonu).
Powstaje jednak pytanie, czy podmioty gromadzące tylko i wyłącznie „cudze” adresy e-mail z wyłączeniem innych informacji (np. spółki prowadzące serwisy internetowe, w których użytkownicy Internetu mogą się zarejestrować przez podanie wyłącznie swego adresu e-mail i wymyślonego przez siebie hasła) będą administratorami danych osobowych zobligowanymi do wypełnienia obowiązków wskazanych w ustawie?
[srodtytul]Wystarczy przetwarzać[/srodtytul]
Do rozstrzygnięcia tej kwestii niezbędne może się okazać ustalenie, czy wśród zebranych adresów e-mail znajdują się takie, które choćby pośrednio mogą prowadzić do zidentyfikowania osób posługujących się tymi adresami. Dokonanie takich ustaleń może być jednak skomplikowanym logistycznie przedsięwzięciem, zwłaszcza w przypadku obszernej bazy adresowej.
Dużo trafniejsze, moim zdaniem, jest zatem rozstrzyganie o możliwości nadania konkretnemu podmiotowi statusu administratora danych z punktu widzenia oceny rodzaju zbieranych (przetwarzanych) przez ten podmiot informacji oraz możliwości określenia, czy te informacje mogą stanowić dane osobowe.
[b]Jeśli zatem dany podmiot przetwarza adresy e-mail i decyduje o sposobach dalszego wykorzystania tych adresów, to będzie mógł być uznany za administratora danych osobowych niezależnie od tego, czy w bazie umieszczone będą adresy e-mail spełniające warunki uznania ich za dane osobowe czy też adresy niespełniające tych warunków.[/b]
Jeżeli adres e-mail, którym się posługujemy, będzie spełniać kryteria uznania go za element danych osobowych, będziemy mogli także skorzystać z prawa do kontroli przetwarzania naszego adresu e-mail. Administrator danych osobowych przetwarzający ten adres zobowiązany będzie z kolei umożliwić nam realizację wspomnianego prawa.
Prawo do kontroli przetwarzania danych osobowych (w naszym przypadku konkretnego adresu e-mail należącego do danych osobowych) składa się z poszczególnych uprawnień, których otwarty katalog został wskazany w ustawie o ochronie danych osobowych.
Do najistotniejszych spośród nich zaliczyć można m.in. prawo do uzyskania informacji o celu i sposobie przetwarzania naszego adresu e-mail, o podmiotach, którym nasze dane osobowe są udostępniane, czy prawo do żądania usunięcia naszych danych osobowych.
[ramka][b]WAŻNE [/b]
Jednym z podstawowych obowiązków administratorów danych osobowych jest zgłoszenie zbioru danych osobowych do rejestracji przez generalnego inspektora ochrony danych osobowych.
Zgłoszenie to jest o tyle istotne, że warunkuje – co do zasady – dopuszczalność przetwarzania danych osobowych (czyli wykonywania jakichkolwiek operacji na danych osobowych, w tym ich zbierania, utrwalania, przechowywania, zmieniania, udostępniania czy usuwania) przez administratorów.[/ramka]
[ramka][b]Uwaga [/b]
Oceny, czy adres e-mail może stanowić element danych osobowych, należy każdorazowo dokonywać w odniesieniu do konkretnego adresu poczty elektronicznej. Ustalenie, że konkretny adres e-mail należy do danych osobowych, powoduje, że zastosowanie znajdują przepisy ustawy, które chronią interesy osoby posługującej się tym adresem e-mail, dając tej osobie możliwość skorzystania z uprawnień określonych w ustawie o ochronie danych osobowych.[/ramka]
[i]Autor jest aplikantem radcowskim w Kancelarii Prawniczej Włodzimierz Głowacki i Wspólnicy z siedzibą w Poznaniu[/i]
