Adres e-mail klienta - dana osobowa czy informacja niepodlegająca ochronie?

Piotr Szulczewski 26.04.2018 09:00 (aktualizacja: )

Anetka@buziaczek.pl , inżynierkowalski@pit.pl oraz Jan.kowalski@wp.pl – te trzy adresy e-mail zawierają w sobie różne informacje o ich użytkownikach. Czy jednak zawsze pozostają danymi osobowymi, podlegającymi ochronie oraz zmuszającymi korzystających z nich przedsiębiorców do uzyskania zgody na ich przetwarzanie?

 Adres e-mail klienta - dana osobowa czy informacja niepodlegająca ochronie?

Adres e-mail klienta - dana osobowa czy informacja niepodlegająca ochronie? / YAY foto

Poprzez zbiór danych rozumie się obecnie każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

<< Monitoring w zakładzie pracy - nowe prawa i obowiązki pracodawcy związane z RODO >>

Natomiast za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Powyższe nie sugeruje, by każdy adres e-mail mógł zostać uznany za dane określonej osoby, gdyż w żaden sposób nie muszą go identyfikować. Dotyczy to wszelkich adresów e-mail sugerujących, że informacja płynąca z adresu przyporządkowana może zostać do znacznej ilości osób. Adresy należałoby zatem podzielić na trzy kategorie:

  • Umożliwiające ustalenie dysponenta poprzez nazwisko i inne szczegółowe dane, np. jankowalski1983@pit.pl.
  • Umożliwiające identyfikowanie łącznie z innymi danymi jankowalski@wp.pl – ponieważ Janów kowalskich może być wielu
  • Nie dające podstawy do jakichkolwiek powiązań z konkretną osobąanetka@pomponik.pl.

Aby informacje e-mail były daną osobową musi istnieć możliwość ich powiązania z określoną osobą bez podejmowania jakichkolwiek trudnych - długotrwałych, skomplikowanych i kosztownych (czasochłonnych, pracochłonnych) działań. Dla oceny, czy określony adres e-mail będzie daną osobową niezbędnym jest analiza wszelkich informacji związanych z danym adresem e-mail (np. IP komputera, czy danych z formularza wypełnianego przy tworzeniu konta pocztowego).

Dane nieopisujące osoby (trzecia kategoria) stają się daną osobową z chwilą, z którą da się ją przypisać do określonej osoby. A taka sytuacja może mieć miejsce stosunkowo prosto – po wysyłce informacji na ten adres wystarczającym jest, by dysponent odpisał z tego adresu podając swoje imię i nazwisko lub inne dane pozwalające go zidentyfikować.

Jeżeli adres e-mail spełni warunki uznania za daną osobową, dysponent może skorzystać ze wszystkich uprawnień wynikających z przepisów rozporządzenia o ochronie danych osobowych – w tym dostępu do danych, uzyskania informacji o zasadach ich pozyskania oraz chwili, w której doszło do wyrażenia zgody na przetwarzanie danych.

Jednocześnie jednak informacje o pracowniku w tym służbowy adres e-mail są elementem wykonywania przez niego obowiązków służbowych. Dane te mogą być wykorzystywane (udostępniane) przez pracodawcę nawet bez dodatkowej zgody pracownika. Udostępnienie służbowego adresu e-mail, w związku z pełnionymi funkcjami służbowymi nie może być uznane za naruszenie ochrony danych osobowych.

Piotr Szulczewski, PIT.pl