arrow-rightemailfacebook-circlefacebookinstagramlinkedin-circlelinkedinsearchtelephonetwitter
25.11.2020

Adres e-mail prawie zawsze jest daną osobową

Monika Matuszewska

Zgodnie z artykułem 4 pkt 1 rozporządzenia RODO, dane osobowe to wszystkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. W szczególności chodzi o imię i nazwisko, numer identyfikacyjny, dane o lokalizacji czy identyfikator internetowy.

Mogą to być też „szczególne czynniki określające fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”, a motyw 26 preambuły RODO wskazuje, że „zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.”

Adres e-mail, szczególnie w przypadku gdy zawiera imię i nazwisko, w bardzo łatwy sposób może umożliwić identyfikację osoby. Bez wątpienia należy wtedy uznać go za daną osobową. Oznacza to, że gromadzenie i przetwarzanie takich adresów e-mail podlega przepisom RODO.

Istnieją jednak przypadki, kiedy identyfikacja osoby na podstawie adresu e-mail nie jest możliwa w jednoznaczny sposób na pierwszy rzut oka. Jest tak szczególnie wtedy, kiedy adres nie zawiera imienia ani nazwiska a jedynie pseudonim. Bez wątpienia, identyfikacja takiej osoby może przysporzyć nam trudności, ale niekonieczne może okazać się niemożliwa, np. po wpisaniu adresu e-mail zawierającego pseudonim możemy zostać przekierowany na profil społecznościowy osoby, która już jest zidentyfikowana, a takie działania nie wymagają nadmiernego czasu ani trudności.

Ochronie podlegają również adresy e-mail wykorzystywane w celu prowadzenia działalności gospodarczej, wtedy gdy zawierają imię, nazwisko oraz nazwę firmy i są podawane w oficjalnych rejestrach.

Inna sytuacja będzie miała miejsce z adresami typu biuro@aegissecurity.pl. Takie dane raczej nie będą stanowiły danych osobowych, ale ich wykorzystanie może podlegać dodatkowym obwarowaniom prawnym.

Ciekawym zagadnieniem jest używanie przez pracodawcę imiennego adresu e-mail byłego pracownika. Bez wątpienia taki adres stanowi dane osobowe, których administratorem jest były pracodawca. W związku z tym przetwarzanie takich danych musi być zgodne z zasadami ustanowionymi w RODO. Podstawą przetwarzania danych byłego pracownika zawartych w adresie e-mailowym może być realizacja prawnie uzasadnionego interesu pracodawcy. Jednak nie oznacza to, że adres e-mail byłego pracownika może być wykorzystywany przez pracodawcę w dowolnym celu. Uzasadnione może być na przykład wykorzystywanie adresu w celu odpowiedzi na wpływająca korespondencję i wskazania aktualnych danych kontaktowych.

Biorąc pod uwagę powyższe, w przypadku przetwarzania adresów mailowych, należy zachować ostrożność. W razie wątpliwości, lepiej zakwalifikować adres mailowy jako dane osobowe, niż pozostawić takie informacje bez żadnej ochrony.