„Prowadzę kilka działalności gospodarczych o podobnym profilu, w których przetwarzane są dane osobowe. Są sytuacje, że zatrudniam w swoich firmach tą samą osobę. Osoba ta ma adres e-mail w domenach internetowych obu firm. Czy jeśli wyśle ona informacje wrażliwe, o których mowa w ustawie o ochronie danych osobowych, z domeny firmy, która nie ma uprawnień do przetwarzania tych danych, to czy naruszam przepisy prawa?”

Co do zasady adres e-mail to dana osobowa. Nie ma ustawowego katalogu danych osobowych, jednakże wskazuje się, że danymi osobowymi są w szczególności numer PESEL, numer paszportu, dowodu osobistego i innych  numerów (danych) przypisanych indywidualnie. Należy jednak pamiętać, że ten …

(…) katalog jest otwarty, oznacza to, że danymi osobowymi są wszystkie informacje, które umożliwiają zidentyfikowanie konkretnej osoby. Tak więc adres e-mail również może nią być. Wobec tego, nie ma przeszkód, by zidentyfikować konkretną osobę dzięki adresowi e-mail, jeżeli zawiera on imie.nazwisko@domena.pl. Jest więc to dana osobowa, która wymaga ochrony. Adres e-mail, który jest uznany za daną osobową podlega naszej indywidualnej kontroli oraz ochronie w zakresie przetwarzania. Podmiot posiadający nasze dane, czyli administrator ma obowiązek umożliwiać nam realizację swoich praw. Uprawnienia te możemy realizować w zakresie:

• prawa do informacji o tym, skąd uzyskano nasz adres e-mail,
• prawa do informacji o celu i sposobie przetwarzania naszego adresu e-mail,
• prawa do informacji o danych administratora,
• prawa do informacji czy nasze dane są przekazywane dalej,
• prawa do żądania usunięcia naszego maila.

Trzeba jednakże zwrócić szczególną uwagę przy tworzeniu firmowych adresów e-mail. Jeżeli adres e-mail będzie skonstruowany według wzoru: stanowisko@nazwafirmy.pl, a dane osoby, która piastuje stanowisko, są powszechnie dostępne i wystarczy sprawdzić to na stronie internetowej firmy, można uznać taki adres e-mail za daną osobową, gdyż raczej szybko możemy zidentyfikować osobę, do której jest dany adres przypisany.

Jednak taki adres e-mail, w którym podano jedynie stanowisko, nie jest chroniony przez ustawę o ochronie danych osobowych.

Jeżeli adres e-mail zawiera stanowisko@nazwafirmy.pl jest uznawany za dane indywidualne wykorzystywane w celu prowadzenia działalności gospodarczej.

Co oznacza, że przedsiębiorca posługujący się nim nie będzie mógł w pełni żądać ochrony na gruncie ustawy o ochronie danych osobowych. Ustawa nie wyłącza spod ochrony osób fizycznych będących przedsiębiorcami, jednakże jawne są tylko ich dane zawarte w rejestrach, pozostałe zaś podlegają ochronie jako dane osobowe. Dlatego takiego adresu e-mail nie możemy uznać za daną osobową, zwłaszcza jeśli określa stanowisko i nazwę firmy i jest podawany przy rejestracjach i podczas prowadzenia działalności.

Przestępstwo bezprawnego przetwarzania danych osobowych, opisane w art. 107 ustawy o ochronie danych osobowych, jest popełnione wówczas, gdy po stronie przetwarzającego dane osobowe brak jest podstawy prawnej do ich przetwarzania, ich przetwarzanie jest wprost zakazane albo gdy dane przetwarzane są przez osobę nieposiadającą do tego upoważnienia.

Kara, jaka jest przewidziana za to przestępstwo, uzależniona jest od rodzaju danych, jakie były bezprawnie przetwarzane. W razie przetwarzania tzw. danych zwykłej kategorii przepis przewiduje karę grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2. Natomiast jeżeli przetwarzane były dane szczególnej kategorii, maksymalny wymiar kary zwiększony jest do 3 lat pozbawienia wolności.

Paweł Nowak – prawnik

Podstawa prawna:

Ustawa z dn. 10.05.2018 r. o ochronie danych osobowych – Dz.U. z 2019 r. poz. 1781.