Poradnik Przedsiębiorcy

RODO a adres e-mail - czy zawsze jest chronioną daną osobową?

Wprowadzenie RODO do polskiego systemu kilka lat temu wywołało spore zamieszanie wśród przedsiębiorców. Do dziś wielu z nich boryka się z problemem wdrożenia prawidłowych procedur ochronnych w zakresie danych osobowych. Czy RODO chroni jednak adresy e-mail? Wszystko zależy od okoliczności danej sprawy.

Czym jest RODO?

RODO to skrót nazwy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Powyższy akt prawny wszedł w życie dokładnie 25 maja 2018 roku i od tamtego czasu narobił sporego zamieszania zarówno w sektorze prywatnym, jak i publicznoprawnym.

Zasadniczym celem RODO miała być maksymalizacja ochrony danych osobowych każdego człowieka w przypadku podejmowania czynności prawnych różnego rodzaju. Spowodowało to, że nowe unijne przepisy są stosowane nie tylko w relacjach z prywatnymi przedsiębiorcami (np. podczas zawierania umów lub dokonywania zakupów), lecz także w stosunku do spraw natury administracyjnej lub sądowej (zarówno sądy, jak i organy administracji publicznej zobowiązane są do ochrony danych osobowych każdego podmiotu, którego sprawy są rozpatrywane w ramach określonego postępowania).

Strach przed RODO wynika z jednej ważnej przyczyny – kar finansowych, które mogą być nałożone w przypadku wykazania, że doszło do naruszenia cudzych danych osobowych lub niewłaściwego ich zabezpieczenia, lub też przetwarzania (tj. niezgodnie z zasadami wyrażonymi w omawianym rozporządzeniu). Kary te opiewają na naprawdę wysokie kwoty rzędu kilkunastu lub kilkuset tysięcy euro. Jeśli na przedsiębiorcę zostanie nałożona choćby jedna taka kara, w zasadzie staje się on niewypłacalny już do końca swojego życia.

Ochrona danych osobowych

Dane osobowe były chronione w Polsce na długo przed wejściem w życie RODO – wszystko dzięki Ustawie z dnia 10 maja 2018 roku o ochronie danych osobowych. Akt ten wciąż obowiązuje w naszym kraju, choć musiał być dostosowany do wymogów nakładanych przez rozporządzenie Parlamentu i Rady.

Przez dane osobowe podlegające ochronie RODO powinniśmy rozumieć wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak:

  • imię i nazwisko;

  • numer identyfikacyjny (np. NIP, PESEL, REGON);

  • dane o lokalizacji (np. miejsce zamieszkania, zameldowania danej osoby);

  • identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (np. numer login do bankowości elektronicznej, dane logowania do portali społecznościowych).

O ile ochrona danych osobowych umożliwiających identyfikację określonego człowieka jest wszystkim wiadoma, o tyle stosowanie RODO przy adresach e-mail lub numerach telefonu nie jest już tak prostą sprawą. Wielu przedsiębiorców nie wie, czy adresy poczty elektronicznej swoich klientów również podlegają prawnej ochronie i czy trzeba dbać o ich należyte zabezpieczenie. W rzeczywistości zależy to od okoliczności danej sprawy.

RODO a adres e-mail

Adresy e-mail charakteryzują się ogromną różnorodnością. Tak naprawdę ich dokładna treść zależy od pomysłowości osoby, która się nimi posługuje. Każdy człowiek może mieć nieskończoną liczbę adresów mailowych, przy czym istnieją też takie, w którym podajemy własne imię i nazwisko – to właśnie w tym przypadku możemy mówić o szczególnej ochronie stosowanej przez RODO.

Podstawowym wyznacznikiem tego, czy dany adres poczty elektronicznej może być chroniony przez RODO, jest możliwość identyfikacji osoby, która się nim posługuje. Innymi słowy, jeśli na podstawie określonego adresu e-mail jesteśmy w stanie bez przeszkód odnaleźć jego właściciela, to oznaczona nazwa będzie w pełni podlegała ochronie jako dane osobowe. Nie ma przy tym znaczenia, czy osoba ta prowadzi jakąkolwiek działalność gospodarczą.

Przykład 1.

Jan Poczybut od lat posiada adres e-mail o nazwie jan.poczybut@gmail.com. Wykorzystuje go zarówno do załatwiania prywatnych spraw (kontaktu z bliskimi), spraw urzędowych (adres ten podaje we wszystkich postępowaniach, w których jest stroną lub uczestnikiem), a także w kontaktach ze swoimi partnerami handlowymi (pan Jan posiada hurtownię i zajmuje się sprzedażą w branży metalurgicznej). Jego adres mailowy w rzeczywistości znajduje się w setkach baz danych innych osób i firm, w związku z czym na jego podstawie można z łatwością dokonać identyfikacji pana Jana – w związku z tym podlega pełnej ochronie RODO.

Przykład 2.

Monika Wiśniewska posiada dwa adresy e-mail: monika.wisniewska@gmail.com oraz kuleczkainiebo@gmail.com. W pracy oraz kontaktach urzędowych posługuje się pierwszym adresem, natomiast przy załatwianiu spraw prywatnych (najczęściej w kontakcie z przyjaciółmi oraz rodziną) korzysta z drugiego adresu – pani Monika udostępnia go wyłącznie zaufanym osobom. W tej sytuacji ochrona RODO będzie rozciągała się wyłącznie nad pierwszym adresem e-mail, ponieważ można przy jego pomocy z łatwością zidentyfikować panią Monikę i jest on dostępny w wielu bazach danych. W przypadku drugiego adresu e-mail możliwość identyfikacji jest dużo trudniejsza, poza tym adres ten jest wykorzystywany dla celów prywatnych – należy więc uznać, że RODO nie powinno być tutaj w ogóle stosowane. 

Elementem adresu e-mail, który ułatwia identyfikację jego właściciela, jest więc zastosowanie w nim prawdziwego imienia i nazwiska. Nie ma przy tym znaczenia czy do takich danych dodamy inne oznaczenie słowne lub cyfrowe, np. datę urodzenia lub miejscowość. W przypadku popularnych nazwisk (takich jak Nowak lub Kowalski) adres e-mail składający się wyłącznie z samego imienia i nazwiska jest obecnie praktycznie niemożliwy, użytkownicy muszą dodać inne elementy pozwalające im na utworzenie pożądanej przez siebie nazwy – nie przekreśla to jednak w ich przypadku ochrony oferowanej przez RODO.

Przykład 3.

Jan Kowalski chciałby założyć pocztę elektroniczną i posiadać swój własny adres e-mail. Problem jednak w tym, że nie może zastosować zwykłej nazwy „jan.kowalski”, ponieważ jest ona zbyt popularna i od wielu lat zajęta przez innych użytkowników. Jan wymyślił więc, że jego adres będzie wyglądał następująco: jan.kowalski.warszawa1980@gmail.com – adres ten widnieje w systemie Gmail jako nieużywany. W tym przypadku możemy mówić o ochronie RODO, ponieważ adres poczty elektronicznej (choć nieskładający się wyłącznie z imienia i nazwiska użytkownika) pozwala na identyfikację jego użytkownika.

Które adresy e-mail nie są chronione przez RODO?

Wszelkie adresy e-mail, które nie pozwalają na identyfikację użytkownika, nie podlegają ochronie RODO. W praktyce będą one zawierały w swej treści zlepek liter (np. hvassyuav@gmail.com), wymyślony pseudonim (np. baletnica-ksiezniczka@gmail.com) lub opis postaci fikcyjnej (np. james.bond@gmail.com).

Powyższe adresy mogą co prawda posłużyć do identyfikacji danej osoby, jednak nie jest to proste i wymaga posiadania wiedzy informatycznej. Aby e-mail mógł być chroniony, musi być łatwo identyfikowalny dla przeciętnej osoby, która takiej wiedzy nie posiada i może ustalić dane właściciela wyłącznie po samej treści adresu poczty elektronicznej.

Podsumowanie - RODO a adres e-mail

Ochrona adresów e-mail przez obowiązujące przepisy RODO jest możliwa tylko wtedy, gdy przy pomocy danego adresu możemy z łatwością dokonać identyfikacji jego właściciela. Nie może to jednak wymagać posiadania wiedzy i umiejętności informatycznych. W przypadku adresów, które posiadają w swej treści elementy fikcyjne, ciąg przypadkowych znaków lub pseudonim nie możemy w ogóle mówić o ochronie danych osobowych – na podstawie takich adresów nie jesteśmy w stanie w łatwy i szybki sposób ustalić tożsamości ich użytkowników.