Definicja danych osobowych ujęta została w art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych („Ustawa”). Zgodnie z tym przepisem za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Jak wynika z przytoczonego przepisu, konkretna informacja nie będzie jednakże stanowić danej osobowej (nie będzie uważana za informację umożliwiającą określenie tożsamości osoby), jeżeli zidentyfikowanie osoby na podstawie tej informacji wymagałoby nadmiernych kosztów, czasu lub działań. Jednocześnie wskazano, iż osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny, albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Nie ma przeszkód, aby za informację umożliwiającą zidentyfikowanie konkretnej osoby uznać adres e-mail. W jakiej jednak sytuacji adres taki spełni przesłanki do uznania go za daną osobową w rozumieniu przepisów Ustawy? Analizując zacytowany art. 6, oczywistym jest, że nie każdy adres e-mail pozwala nam szybko i bez specjalnych wysiłków zidentyfikować osobę, do której jest przypisany. Nie ulega wątpliwości, iż często znacznie łatwiej będziemy w stanie wskazać osobę posługującą się adresem e-mail zbudowanym w oparciu o imię i nazwisko oraz domenę internetową znanej spółki (imię[email protected]) aniżeli osobę posługującą się adresem wykorzystującym pseudonim i utworzonym na przykład w domenie internetowej serwisu oferującego darmowe konta poczty elektronicznej ([email protected]). Może się jednak zdarzyć, iż adres e-mail wskazywać będzie na przysłowiowego „Jana Kowalskiego”, który jest jednym z kilku „Janów Kowalskich” pracujących w danej spółce. Bywają również takie sytuacje, w których konkretny adres e-mail, utworzony w domenie internetowej serwisu oferującego darmowe konta pocztowe, zawiera mało popularne imię, czy nazwisko.
Interpretując treść powołanego powyżej przepisu Ustawy należy zwrócić uwagę, że przy uznaniu adresu e-mail za daną osobową, brak nadmiernych kosztów, czasu lub działań wydaje się mieć zasadnicze znaczenie. Ustalenie tożsamości osoby, do której przypisany jest konkretny adres poczty elektronicznej, nie może bowiem być procesem długotrwałym, skomplikowanym i kosztownym. Trzeba mieć także na uwadze, że zgodnie z zamysłem ustawodawcy tożsamość „osoby możliwej do zidentyfikowania” wystarczy określić jedynie pośrednio. Podejmując zatem próbę określenia, czy konkretny adres e-mail może być uznany za daną osobową, konieczne jest uwzględnienie zarówno przedstawionych powyżej przesłanek ustawowych, jak i budowy danego adresu e-mail. W rezultacie, o ile na podstawie analizy budowy adresu e-mail możemy stosunkowo szybko i bez podejmowania szczególnie skomplikowanych działań zidentyfikować osobę, do której ów adres jest przypisany, wówczas można z dużym prawdopodobieństwem stwierdzić, iż taki adres e-mail stanowi daną osobową.
Z uwagi na fakt, iż adres poczty elektronicznej może być (lecz nie zawsze jest) daną osobową, podmioty gromadzące adresy e-mail osób fizycznych i decydujące o dalszym wykorzystaniu tych adresów, mogą być uznane za administratorów danych osobowych (definicję administratora danych osobowych zawiera art. 7 pkt 4 Ustawy). Konsekwencją tegoż jest konieczność spełnienia przez te podmioty obowiązków przewidzianych w Ustawie. Wspomnieć trzeba, że jednym z podstawowych obowiązków administratorów danych osobowych jest zgłoszenie zbioru danych osobowych do rejestracji przez Generalnego Inspektora Ochrony Danych Osobowych. Zgłoszenie to jest o tyle istotne, iż warunkuje ono – co do zasady – dopuszczalność przetwarzania danych osobowych (czyli wykonywania jakichkolwiek operacji na danych osobowych, w tym ich zbierania, utrwalania, przechowywania, zmieniania, udostępniania czy usuwania) przez administratorów.
Za administratorów danych osobowych można uznać bez wątpienia podmioty zbierające informacje, których zakwalifikowanie jako dane osobowe nie jest tak dyskusyjne jak w przypadku adresów e-mail (do tych informacji można chociażby zaliczyć imię i nazwisko, adres zamieszkania czy numer telefonu). Powstaje jednak pytanie czy podmioty gromadzące tylko i wyłącznie „cudze” adresy e-mail z pominięciem innych informacji (np. spółki prowadzące serwisy internetowe, w których użytkownicy Internetu mogą się zarejestrować poprzez podanie wyłącznie swego adresu e-mail i wymyślonego przez siebie hasła) będą administratorami danych osobowych zobligowanymi do wypełnienia obowiązków wskazanych w Ustawie? Do rozstrzygnięcia tej kwestii niezbędne może okazać się ustalenie czy wśród zebranych adresów e-mail znajdują się adresy, które choćby pośrednio mogą prowadzić do zidentyfikowania osób posługujących się tymi adresami. Dokonanie takich ustaleń może być jednak skomplikowanym logistycznie przedsięwzięciem, zwłaszcza w przypadku obszernej bazy adresowej. Dużo trafniejsze, zdaniem autora niniejszego artykułu, jest zatem rozstrzyganie o możliwości nadania konkretnemu podmiotowi statusu administratora danych z punktu widzenia oceny rodzaju zbieranych (przetwarzanych) przez ten podmiot informacji oraz możliwości określenia, czy te informacje stanowić mogą dane osobowe. Jeśli zatem dany podmiot przetwarza adresy e-mail i decyduje o sposobach dalszego wykorzystania tych adresów, to podmiot taki będzie mógł być uznany za administratora danych osobowych niezależnie od tego, czy w bazie umieszczone będą adresy e-mail spełniające warunki uznania ich za dane osobowe, czy też adresy nie spełniające tych warunków.
Jeżeli adres e-mail, którym się posługujemy, spełniać będzie kryteria uznania go za daną osobową, będziemy mogli także skorzystać z prawa do kontroli przetwarzania naszego adresu e-mail. Administrator danych osobowych przetwarzający ten adres zobowiązany będzie z kolei umożliwić nam realizację wspomnianego prawa. Prawo do kontroli przetwarzania danych osobowych (w naszym przypadku konkretnego adresu e-mail będącego daną osobową) składa się z poszczególnych uprawnień, których otwarty katalog został wskazany w Ustawie. Do najbardziej istotnych spośród nich zaliczyć można m.in. prawo do uzyskania informacji o celu i sposobie przetwarzania naszego adresu e-mail, o podmiotach, którym nasze dane osobowe są udostępniane, czy prawo do żądania usunięcia naszych danych osobowych.
Mając na uwadze powyższe rozważania trzeba na koniec wyraźnie wskazać, że oceny czy adres e-mail może być daną osobową należy każdorazowo dokonywać w odniesieniu do konkretnego adresu poczty elektronicznej. Ustalenie, iż adres e-mail jest daną osobową ma natomiast doniosłe znaczenie. Taka kwalifikacja adresu e-mail powoduje bowiem, iż zastosowanie znajdują przepisy Ustawy, które chronią interesy osób posługujących się konkretnymi adresami e-mail, dając tym osobom możliwość skorzystania z uprawnień określonych w Ustawie.
Marcin Berlak
Aplikant radcowski
w Kancelarii Prawniczej
Włodzimierz Głowacki i Wspólnicy sp.k. z siedzibą w Poznaniu
Podstawa prawna:
– art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,
– art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,
– art. 32 i art. 33 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,
– art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,
– art. 46 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,
***
Kancelaria Prawnicza Włodzimierz Głowacki i Wspólnicy sp.k. to poznańska kancelaria, która od kilku lat działa również na terenie Warszawy. Kancelaria posiada wieloletnie doświadczenie w obsłudze przedsiębiorców. Jako jedna z nielicznych kancelarii specjalizuje się także w kompleksowej obsłudze prawnej podmiotów działających w Internecie.
Marcin Berlak – aplikant radcowski, absolwent Uniwersytetu im. Adama Mickiewicza w Poznaniu, od roku 2007 aplikant radcowski, z Kancelarią związany od września 2006 r. Absolwent Podyplomowego Studium Prawa Własności Intelektualnej na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego. Specjalizuje się w zagadnieniach z zakresu ochrony danych osobowych oraz prawie własności intelektualnej, ze szczególnym uwzględnieniem tworzenia i obrotu produktami informatycznymi.
