Korzystanie z poczty elektronicznej to zjawisko powszechne i większość z nas każdego dnia pisze oraz odbiera wiadomości elektroniczne. Bez poczty elektronicznej nie jesteśmy już w stanie załatwić wielu spraw, takich jak zakup wycieczki czy wysłanie CV do pracodawcy, który gromadzi je wyłącznie w formie elektronicznej. Załatwianie spraw wirtualnie jest szybkie i często tańsze.
W niniejszym artykule spróbuję odpowiedzieć na pytanie, czy adres e–mail to dana osobowa czy też nie. Czy może jednak tylko w niektórych sytuacjach można taki adres uznać za daną osobową? Czy zatem adres mailowy misiaczek100@gmail.com to dana osoba?
Dane osobowe to każde dane, które umożliwiają nam zidentyfikowanie konkretnej osoby. Nie ma ustawowego katalogu danych osobowych, jednakże wskazuje się, że danymi osobowymi są w szczególności numer PESEL, numeru paszportu, dowodu osobistego i innych dokumentów przypisanych indywidualnie. Należy jednak pamiętać, że ten katalog jest otwarty, oznacza to, że danymi osobowymi są wszystkie informacje, które umożliwiają zidentyfikowanie konkretnej osoby. Adres e-mail również może nią być.
Art. 6 RODO wskazuje, że „dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.
Nie ma przeszkód, by zidentyfikować konkretną osobę dzięki adresowi e-mail, jeżeli zawiera on imię i nazwisko. Proces identyfikacji jest łatwy, nie wymaga dużego nakładu kosztów ani pracy. Może to być zatem dana osobowa, która wymaga ochrony, przy czym nie zawsze na podstawie adresu e-mail jesteśmy w stanie zidentyfikować konkretną osobą, a czasem adres e-mail może być związany wyłącznie z osobą prawną. W takim przypadku taki adres nie będzie traktowany jako dana osobowa.
W tej sprawie już wiele lat temu opinię wydał GIODO, w której możemy przeczytać:
Adres poczty elektronicznej związany jest z usługą dostarczania/wysyłania wiadomości przy użyciu sieci telekomunikacyjnej. Podobnie jak numer telefonu komórkowego, adres poczty elektronicznej związany jest z infrastrukturą sieciową zarządzaną przez określonego operatora/dostawcę, u którego podczas tworzenia konta poczty elektronicznej rejestrowane są dane użytkownika. Natomiast, dla oceny, czy określony adres e-mail będzie daną osobową niezbędnym jest analiza wszelkich informacji związanych z danym adresem e-mail (np. IP komputera, czy danych z formularza wypełnianego przy tworzeniu konta pocztowego). Informacje uzyskane z tej analizy mogą pozwolić na bezpośrednie zidentyfikowanie osoby fizycznej lub umożliwią jej pośrednią identyfikację. Istnieje zatem możliwość identyfikacji osoby będącej użytkownikiem danego adresu, podobnie jak na podstawie adresu IP użytkownika komputera. Elementarnym kryterium ułatwiającym uznanie adresu e-mail za daną osobową będzie w szczególności jego treść (np. zawierająca imię lub skrót imienia i nazwisko). Nie zawsze jednak adres ten prowadzi do identyfikacji osoby fizycznej. Może dotyczyć również podmiotów innych nie będących osobami fizycznymi. Adres poczty elektronicznej należy zatem traktować jako informację, która potencjalnie może być daną osobową, ale z uwzględnieniem wszelkich okoliczności występujących w konkretnym przypadku.
Nie uznamy za daną osobową adresu e-mail, który zawiera nazwę fikcyjnej postaci lub pseudonimu. Taki adres nie pozwala zidentyfikować konkretnej osoby w prosty sposób. Zawsze będzie można namierzyć i zidentyfikować taką osobę w oparciu o numer IP i inne dane, jednak proces ten wymaga wiedzy specjalistycznej, umiejętności, odpowiedniego oprogramowania i czasu. To z kolei dyskwalifikuje uznanie takiego adresu e-mail za daną osobową.
Należy pamiętać, że ustawodawca założył, że tożsamość osoby możliwej do zidentyfikowania wystarczy określić jedynie pośrednio. Warto więc patrzeć, co konkretnie zawiera domena adresu e-mail.
Trzeba zwrócić szczególną uwagę przy tworzeniu firmowych adresów e-mail. Jeżeli adres e-mail będzie skonstruowany według wzoru: stanowisko@nazwafirmy.pl, a dane osoby, która piastuje stanowisko, są powszechnie dostępne i wystarczy sprawdzić to na stronie internetowej firmy, można uznać taki adres e-mail za daną osobową. Ponieważ stosunkowo szybko i bez podejmowania szczególnie skomplikowanych działań możemy zidentyfikować osobę, do której jest dany adres przypisany. Jednak taki adres e-mail, w którym podano jedynie stanowisko, nie jest chroniony przez ustawę o ochronie danych osobowych. Ochrona wynikająca z ustawy wyłączona została wobec podmiotów, których aktywność ma cechy działalności gospodarczej, co skutkuje tym, że taki adres mailowy nie jest daną osobową.
Adres e-mail może być zatem uznany za daną osobową podlegającą ochronie jedynie wówczas, gdy jesteśmy w stanie na jego podstawie zidentyfikować konkretną osobą fizyczną.