Czy adres e-mail jest daną osobową?
Sprawdź, jak definiowany jest adres e-mail zgodnie z wymaganiami RODO oraz czy podlega ochronie zgodnie z zapisami rozporządzenia
Czy adres e-mail jest daną osobową?
Adres e-mail wykorzystujemy podczas rejestracji w aplikacjach mobilnych, logowania w sklepach internetowych czy też w trakcie prowadzenia korespondencji. Posiadanie adresu e-mail jest nam coraz częściej niezbędne w codziennych sytuacjach. Zatem czy możemy uznać, że jest to dana osobowa i podlega przepisom o ochronie danych osobowych? Analizując zapisy ustawy, postaramy się rozwiać wszystkie wątpliwości dot. adresu e-mail a ochrony zgodnie z przepisami RODO.
Czym są dane osobowe zgodnie z definicją RODO?
Wraz z wejściem w życie RODO, zmieniła się również definicja dotycząca tego, czym są dane osobowe (zgodnie z art. 4, punkt 1 rozporządzenia RODO):
„Dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Dodatkowo rozporządzenie RODO wyjaśnia, czym są identyfikatory internetowe:
Osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.
Adres e-mail jako jedna z danych osobowych
Ustawowe postanowienie nie definiuje katalogu danych osobowych. Uznajemy za dane osobowe w szczególności: imię, nazwisko, PESEL, numeru paszportu i dowodu osobistego, a także inne dane przypisane indywidualnie. Jednocześnie ważny jest fakt, że danymi osobowymi mogą być wszystkie informacje, poprzez które możemy zidentyfikować konkretną osobę.
Przetwarzanie danych osobowych z wykorzystaniem adresu e-mail
Adres e-mail, który możemy uznać za daną osobową, podlega indywidualnej kontroli oraz ochronie w zakresie przetwarzania. Podmiot posiadający nasze dane, czyli administrator, ma obowiązek umożliwić nam realizację naszych praw w zakresie informacji:
a. skąd uzyskano nasz adres e-mail,
b. jaki jest cel i sposób przetwarzania naszego adresu e-mail,
c. jakie są dane administratora,
d. czy nasze dane przekazuje się kolejnym podmiotom,
e. oraz prawa do żądania usunięcia naszej wiadomości e-mail.
Należy uznać, że adres e-mail jest daną osobową, jeśli pozwala na identyfikację konkretnej osoby fizycznej. Jednakże ważne jest to, jak dużych nakładów wymaga od nas proces zidentyfikowania danej osoby:
Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.
Które adresy e-mail podlegają ochronie danych?
Adres e-mail – imięnazwisko@nazwadomeny.pl – osoba, która posiada adres e-mail zawierający imię i nazwisko podlega ochronie danych osobowych, ponieważ jej adres umożliwia jej identyfikację.
Adres e-mail – pseudonim@nazwadomeny.pl – adres e-mail zawierający pseudonim nie wskazuje wprost, kto jest jego posiadaczem. Zgodnie z tym faktem – identyfikacja danych osoby wymaga dużych nakładów pracy i środków finansowych. Pseudonimów nie uznajemy za dane osobowe.
Adres e-mail – stanowisko@nazwafirmy.pl – uznajemy za dane indywidualne, które wykorzystujemy w celu prowadzenia działalności gospodarczej. Przedsiębiorca nie może żądać pełnej ochrony na bazie ustawy o ochronie danych osobowych. Dane przedsiębiorcy (np. stanowisko i nazwa firmy) udostępniamy, np. podczas rejestracji oraz w trakcie prowadzenia działalności. Pozostałe dane podlegają jednak ochronie jako dane osobowe.