Poradnik Przedsiębiorcy

Adres e-mail jako jedna z danych osobowych

Korzystanie z poczty elektronicznej to zjawisko powszechne. Bez adresu e-mail często nie jesteśmy w stanie nic załatwić. Od wysłania CV do pracodawcy, przez zakupienie biletu online do kina czy nawet wysłania reklamacji. Zdarza się, że sprawy załatwiane wirtualnie okazują się szybsze i tańsze. Czy adres e-mail to dana osobowa i podlega przepisom o ochronie danych osobowych?

Czy adres e-mail to dana osobowa?

Adres e-mail to dana osobowa - w tym zakresie wydał nawet opinię Generalny Inspektor Danych Osobowych.

Dana osobowa to każde dane, które umożliwiają nam zidentyfikowanie konkretnej osoby.

Nie ma ustawowego katalogu danych osobowych, jednakże wskazuje się, że danymi osobowymi są w szczególności numer PESEL, numeru paszportu, dowodu osobistego i innych numerów (danych) przypisanych indywidualnie. Należy jednak pamiętać, że ten katalog jest otwarty, oznacza to, że danymi osobowymi są wszystkie informacje, które umożliwiają zidentyfikowanie konkretnej osoby. Tak więc adres e-mail również może nią być. Rozporządzenie RODO wskazuje, że dane osobowe to:

Art. 6 ust. 1

„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej

Nie ma przeszkód, by zidentyfikować konkretną osobę dzięki adresowi e-mail, jeżeli zawiera on imie.nazwisko@domena.pl. Proces identyfikacji jest łatwy, nie wymaga dużego nakładu kosztów ani pracy. Jest więc to dana osobowa, która wymaga ochrony.

Adres e-mail, który jest uznany za daną osobową podlega naszej indywidualnej kontroli oraz ochronie w zakresie przetwarzania. Podmiot posiadający nasze dane, czyli administrator ma obowiązek umożliwiać nam realizację swoich praw. Uprawnienia te możemy realizować w zakresie:

  1. prawa do informacji o tym, skąd uzyskano nasz adres e-mail,

  2. prawa do informacji o celu i sposobie przetwarzania naszego adresu e-mail,

  3. prawa do informacji o danych administratora,

  4. prawa do informacji w czy nasze dane są przekazywane dalej,

  5. prawa do żądania usunięcia naszego maila.

Katalog uprawnień właściciela adresu e-mail dynamicznie się zmienia, a to oznacza, że jego zakres może zostać w każdej chwili powiększony. Z wyżej wymienionych uprawnień mogą korzystać osoby fizyczne, których adres e-mail został wykorzystany jako dana osobowa. Ochronie na podstawie przepisów ustawy o danych osobowych nie będą podlegać adresy e-mail, które nie mogą być uznane za daną osobową.

Nie uznamy za daną osobową adresu e-mail, który zawiera nazwę fikcyjnej postaci lub pseudonimu, czyli pseudonim@domena.pl. Taki adres nie pozwala zidentyfikować konkretnej osoby w prosty sposób. Zawsze będzie można namierzyć i zidentyfikować taką osobę w oparciu o numer IP i inne dane, jednak proces ten wymaga jednak wiedzy specjalistycznej, umiejętności, odpowiedniego oprogramowania i czasu. To z kolei dyskwalifikuje uznanie takiego adresu e-mail za daną osobową.

Należy pamiętać, że ustawodawca założył, że tożsamość osoby możliwej do zidentyfikowania wystarczy określić jedynie pośrednio. Warto więc patrzeć co konkretnie zawiera domena adresu e-mail.

Trzeba zwrócić szczególną uwagę przy tworzeniu firmowych adresów e-mail. Jeżeli adres e-mail będzie skonstruowany według wzoru: stanowisko@nazwafirmy.pl, a dane osoby, która piastuje stanowisko, są powszechnie dostępne i wystarczy sprawdzić to na stronie internetowej firmy, można uznać taki adres e-mail za daną osobową. Ponieważ stosunkowo szybko i bez podejmowania szczególnie skomplikowanych działań, możemy zidentyfikować osobę, do której jest dany adres przypisany. Jednak taki adres e-mail w którym podano jedynie stanowisko, nie jest chroniony przez ustawę o ochronie danych osobowych. Ochrona wynikająca z ustawy wyłączona została wobec podmiotów, których aktywność ma cechy działalności gospodarczej.

Przedsiębiorca, udostępniając dane indywidualne poprzez wskazanie ich w zakładce Kontakt, nie może domagać się ochrony danych osobowych jako osoby fizycznej, lecz jako danych firmy. Wskazuje na to wyrok NSA z dnia 28 listopada 2002 r. (II SA 3389/2001).

Zamierzeniem ustawodawcy jest ochrona prawa prywatności zmierzająca do tego, aby większą ochronę zapewnić osobom fizycznym. Jednostki organizacyjne i osoby prawne, w szczególności prowadzące działalność gospodarczą podlegają tej ochronie w mniejszym stopniu. Odnosi się ona bowiem do niektórych aspektów ich działalności, np. tajemnicy przedsiębiorcy. Stąd osoba decydująca się na taką działalność gospodarczą godzi się na ograniczenie swojego prawa do prywatności w większym zakresie.

Jeżeli jednak informacje udzielane przez przedsiębiorce są nadużywane, może zgłosić co do tego zastrzeżenia na policję.

Czy zawsze adres e-mail jest daną osobową?

Nie. Adres e-mail jest daną osobową, jeśli pozwala zidentyfikować konkretną osobę fizyczną. Przykłady:

  1. imie.nazwisko@domena.pl

  2. pseudonim@domena.pl

  3. stanowisko@nazwafirmy.pl

1) W pierwszym przypadku osoba posiadająca ten adres e-mail jest chroniona, ponieważ na jego podstawie można w prosty sposób ją zidentyfikować. Wskazuje wprost imię i nazwisko posiadacza - jest to zatem dana osobowa.

2) Identyfikacja osoby fizycznej, która jest posiadaczem adresu e-mail pseudonim@domena.pl jest trudna, ze względu na to, że nie wskazuje wprost kto jest jego użytkownikiem. Ewentualna identyfikacja dane osoby wymagałaby dużego nakładu pracy i środków finansowych. Dlatego nie jest to dana osobowa.

3) Jeżeli adres e-mail zawiera stanowisko@nazwafirmy.pl jest uznawany za dane indywidualne wykorzystywane w celu prowadzenia działalności gospodarczej. Co oznacza, że przedsiębiorca posługujący się nim nie będzie mógł w pełni żądać ochrony na gruncie ustawy o ochronie danych osobowych. Ustawa nie wyłącza spod ochrony osób fizycznych będących przedsiębiorcami, jednakże jawne są tylko ich dane zawarte w rejestrach, pozostałe zaś podlegają ochronie jako dane osobowe. Dlatego takiego adresu e-mail nie możemy uznać za daną osobową, zwłaszcza jeśli określa stanowisko i nazwę firmy i jest podawany przy rejestracjach i podczas prowadzenia działalności.

Istnieją również różne sytuacje, w których ten sam adres e-mail należy rozpatrywać inaczej. W przypadku, gdy:

a) na adres e-mail została skierowana wiadomość do osoby fizycznej, w którego domenie określono stanowisko i nazwę firmy, ale adresatem ma być konkretna osoba. 

Przykład 1.   

Jan Kowalski prowadzi firmę stolarską i posługuje się adresem e-mail prezes@stolarnia.pl, jeżeli więc otrzyma wiadomość z ofertą wakacyjną, wiadomo, że oferta jest skierowana do Jana Kowalskiego, a nie do prezesa firmy. W takim przypadku adres e-mail będzie daną osobową objętą ochroną danych osobowych.

b) wysyłamy na adres e-mail wiadomość skierowaną do prezesa firmy, z którą chcielibyśmy nawiązać współpracę. W pierwszej kolejności należy się upewnić, czy konkretna firma wyraża zgodę na otrzymywanie takich informacji.

Przykład 2.

Jan Kowalski prowadzi firmę stolarską, posługuje się adresem e-mail prezes@stolarnia.pl,. Wysyłający wiadomość e-mail w pierwszej kolejności powinien upewnić się, czy właściciel adresu prezes@stolarnia.pl wyraża zgodę na otrzymanie oferty na wskazany adres e-mail. Jeżeli tak, Jan Kowalski będzie występował jako prezes firmy, a nie jako osoba fizyczna i jego adres e-mail nie będzie chroniony jako dana osobowa, tylko dana indywidualna firmy, mimo że wiemy, że adresatem tego maila jest właśnie Jan Kowalski.

4) Jeśli posługujemy się imieniem i nazwiskiem oraz domeną nazwy firmy, wiemy, że adresatem tego maila jest osoba fizyczna. Mimo że adresatem tego maila jest pracownik firmy, można go zidentyfikować jako osobę fizyczną, więc jego dane są objęte ochroną danych osobowych.

Administratorem danych osobowych może być zatem zarówno przedsiębiorca posługujący się danymi osobowymi na potrzeby prowadzenia działalności gospodarczej, jak i taki, który wykorzystuje dane w celach marketingowych. 

Administrator taki, oprócz adresów e-mail, które, jak już wspomniano wcześniej, nie zawsze są danymi osobowymi, ma prawo do zbierania takich informacji jak imię, nazwisko, numer telefonu, adres zamieszkania i inne.

Zdarzają się jednak sytuacje, w których można się zalogować poprzez podanie swojego adresu e-mail oraz ustalonego przez siebie hasła. Właściciel zbioru takich adresów e-mail (które nie zawsze są danymi osobowymi), powinien zweryfikować czy zawierają dane osobowe w postaci adresów z domeną imie.nazwisko@domena.pl czy są adresami, stworzonymi na potrzeby korzystania z internetu, by ukryć swoją tożsamość i składają się z psedonim@domena.pl. Zbadanie całej bazy adresów e-mail może okazać się żmudne i długotrwałe, dlatego lepiej założyć, że chociaż część z nich będzie zawierała dane osobowe, którym należy się ochrona.