Pytanie użytkownika LEX Ochrona Danych Osobowych: Czy przekazanie adresu e-mail klienta podmiotowi trzeciemu, bez zgody klienta, jednak w celu realizacji zawartej umowy, stanowi naruszenie przepisów RODO?
Czym są dane osobowe?
Zgodnie z art. 4 pkt 1 RODO "dane osobowe" oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą").
W zakresie kwalifikowania adresu e-mail jako danej osobowej stanowisko UODO jest następujące:
"Adres poczty elektronicznej związany jest z usługą dostarczania/wysyłania wiadomości przy użyciu sieci telekomunikacyjnej. Podobnie jak numer telefonu komórkowego, adres poczty elektronicznej związany jest z infrastrukturą sieciową zarządzaną przez określonego operatora/dostawcę, u którego podczas tworzenia konta poczty elektronicznej rejestrowane są dane użytkownika. Natomiast, dla oceny, czy określony adres e-mail będzie daną osobową, niezbędnym jest analiza wszelkich informacji związanych z danym adresem e-mail (np. IP komputera, czy danych z formularza wypełnianego przy tworzeniu konta pocztowego). Informacje uzyskane z tej analizy mogą pozwolić na bezpośrednie zidentyfikowanie osoby fizycznej lub umożliwią jej pośrednią identyfikację. Istnieje zatem możliwość identyfikacji osoby będącej użytkownikiem danego adresu, podobnie jak na podstawie adresu IP użytkownika komputera. Elementarnym kryterium ułatwiającym uznanie adresu e-mail za daną osobową będzie w szczególności jego treść (np. zawierająca imię lub skrót imienia i nazwisko). Nie zawsze jednak adres ten prowadzi do identyfikacji osoby fizycznej. Może dotyczyć również podmiotów innych nie będących osobami fizycznymi. Adres poczty elektronicznej należy zatem traktować jako informację, która potencjalnie może być daną osobową, ale z uwzględnieniem wszelkich okoliczności występujących w konkretnym przypadku".
Adres e-mail, który zawiera "zlepek liter", to nie dana osobowa
Reasumując należy stwierdzić, że nie uznamy za daną osobową adresu e-mail, który zawiera zlepek liter, które nie pozwalają na identyfikację klienta, nazwę fikcyjnej postaci lub pseudonimu. Taki adres nie pozwala zidentyfikować konkretnej osoby w prosty sposób. Zawsze będzie można namierzyć i zidentyfikować taką osobę w oparciu o numer IP i inne dane, jednak proces ten wymaga wiedzy specjalistycznej, umiejętności, odpowiedniego oprogramowania i czasu. To z kolei dyskwalifikuje uznanie takiego adresu e-mail za daną osobową.
W konsekwencji, biorąc pod uwagę przedstawione w treści pytania informacje, przy przekazywaniu opisanego adresu e-mail nie mają zastosowania przepisy dotyczące ochrony danych osobowych i nie ma potrzeby uzyskiwania zgody na ich przekazanie (art. 6 ust. 1 lit. a RODO).
Więcej informacji znajdziesz w LEX Ochrona Danych Osobowych:
Umowa powierzenia przetwarzania danych osobowych - POBIERZ WZÓR >