Skip to content

Czy adres e-mail to dane osobowe?

Adresy e-mail to dane, z którymi przedsiębiorcy mają do czynienia bardzo często. Niezależnie do tego czy finalizują wielomilionową transakcję, czy realizują nieduże zamówienie w swoim sklepie internetowym, większość kontaktu przebiega za pośrednictwem poczty elektronicznej. I tu pojawia się pytanie, na które w internecie ciężko znaleźć jednoznaczną odpowiedź: Czy adres e-mail należy uznać za dane osobowe? W artykułach branżowych i na forach dyskusyjnych najczęściej pada odpowiedź w stylu: „to zależy – jeżeli w adresie pojawia się nazwisko, to jak najbardziej taki adres stanowi dane osobowe, jeżeli jednak nie, to danych osobowych nie ma i można olać ustawę”. Nie zgadzam się z taką opinią i dlatego postanowiłem w jasny sposób wyjaśnić dlaczego adres e-mail to dane osobowe. Nie znajdziesz tutaj teoretycznych rozważań co dokładnie należy rozumieć przez „zidentyfikowaną osobę” lub „osobę możliwą do zidentyfikowania” (art. 6 ustawy o ochronie danych osobowych). Jeżeli chcesz o tym poczytać – proszę bardzo, zapraszam do lektury artykułu pt. „Co to są dane osobowe?”. Tutaj temat przeanalizuję wyłącznie od strony praktycznej. Sama logika i życie.

Art. 6 ust. 1 ustawy o ochronie danych osobowych jako dane osobowe definiuje „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Ust. 2 z kolei wprowadza kolejną definicję – tym razem osoby możliwej do zidentyfikowania. Można by teraz przeprowadzić szczegółową analizę typu „co ustawodawca miał na myśli”. Ale nie warto. Szkoda czasu. Z kilku bardzo prostych przyczyn:

  1. Część adresów e-mail, z którymi masz lub będziesz mieć w swojej firmie styczność, zawiera przynajmniej nazwisko, czyli informację przez wszystkich znawców prawa zaliczaną do kategorii danych osobowych. Nie powinno więc być żadnych wątpliwości, że przynajmniej część adresów e-mail, z którymi masz do czynienia, stanowi dane osobowe. A skoro tak, to i tak musisz zastosować zasady określone w ustawie o ochronie danych osobowych, nawet jeżeli w danym zbiorze przetwarzasz informacje, które nie są danymi osobowymi.
  2. Do adresów e-mail w konfiguracji konta często są przypisane imię i nazwisko. W twoim programie pocztowym obok adresu e-mail może więc wyświetlić się imię i nazwisko właściciela konta poczty elektronicznej.
  3. W swojej firmie możesz już posiadać inne dane odnoszące się do właściciela adresu e-mail, które pozwolą Ci ustalić do kogo należy ten adres, nawet jeżeli nie jest wskazane w nim nazwisko.
  4. Swój profil w serwisie Facebook ma prawie każdy. Aby go założyć, trzeba podać adres e-mail. To sprawia, że każdy adres e-mail jest na Facebooku przypisany do konkretnej osoby posiadającej swój profil w tym serwisie. Aby tę osobę zidentyfikować, na stronie logowania wystarczy kliknąć odnośnik „Nie pamiętasz hasła” prowadzący do adresu: https://www.facebook.com/login/identify?ctx=recover. Następnie wystarczy tylko wpisać adres e-mail, a wyświetli się imię i nazwisko właściciela (a w najgorszym wypadku fałszywe lub skrócone nazwisko – niektórzy podają na Facebooku takie dane). Gdyby taka identyfikacja komuś nie wystarczała, otwierają się szersze możliwości. Można np. wpisać tak uzyskane imię i nazwisko w wyszukiwarce Google wraz ze słowem Facebook. Jeżeli profil nie jest w całości zablokowany dla osób spoza grona znajomych, pozwala to na obejrzenie zdjęć i zapoznanie się ze szczegółami życia właściciela adresu e-mail, od którego rozpoczęliśmy poszukiwania.

Powyższe scenariusze pokazują jak łatwo można ustalić tożsamość właściciela adresu poczty elektronicznej. W mojej ocenie wyklucza to możliwość zastosowania wyłączenia z art. 6 ust. 3 ustawy o ochronie danych osobowych, zgodnie z którym „informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań” i – w konsekwencji –  uznania adresów e-mail za dane niebędące danymi osobowymi, nawet jeśli nie zawierają nazwiska.

Gdyby ktoś nadal nie był przekonany, przypominamy o naszej zasadzie, którą zalecam stosować w przypadku wątpliwości związanych z ustawą o ochronie danych osobowych – lepiej zrobić za dużo niż za mało. Nie ma żadnej odpowiedzialności za zastosowanie przepisów do danych niebędących danymi osobowymi. W drugą stronę jest już gorzej – ustawodawca przewidział nawet odpowiedzialność karną. Jeżeli w swojej firmie adresów e-mail bez nazwiska nie traktujesz jako dane osobowe, nie możesz mieć żadnej gwarancji, że Generalny Inspektor Ochrony Danych Osobowych będzie tego samego zdania.

Tomasz Korolko

Partner

Back To Top