Narzędzia komunikacji cyfrowej, takie jak adres e-mail i numer telefonu, stały się nieodłącznym elementem naszego codziennego życia. Nie tylko ułatwiają one komunikację i wymianę informacji, ale są też niezbędne do realizacji wielu usług online. Te niewielkie fragmenty naszej tożsamości cyfrowej mają także duże znaczenie w kontekście ochrony danych osobowych. Pod kątem RODO, te niepozorne na pierwszy rzut oka informacje mogą stać się narzędziem do naszej identyfikacji, a co za tym idzie – potencjalnym narzędziem do nadużyć i naruszeń prywatności.

RODO, które jest kluczowe w kontekście ochrony danych w Unii Europejskiej, definiuje dane osobowe jako „informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Co istotne, RODO nie zawiera zamkniętego katalogu danych osobowych. Czy zatem każdy adres e-mail lub numer telefonu wpisują się w tę definicję? Jaki jest ich status w kontekście przepisów RODO?

Przy analizie należy wyjść od podstaw i definicji danych osobowych. Zgodnie z art. 4 pkt 1 RODO „dane osobowe- oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.

E-mail jako dana osobowa

Jak już zostało wskazane powyżej, RODO definiuje dane osobowe jako „informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. W tym kontekście, adres e-mail, który zawiera imię i nazwisko osoby, bez wątpienia spełnia kryteria określone w tej definicji. Dzięki informacjom zawartym w takim adresie e-mail, można przypisać go do konkretnego, zidentyfikowanego lub możliwego do zidentyfikowania użytkownika. Taki adres e-mail jest zatem traktowany jako dana osobowa, ponieważ umożliwia on powiązanie informacji z określoną osobą fizyczną.

Z drugiej strony, adres e-mail składający się z losowego zlepka liter i cyfr, takiego jak „xyz123@domena.com”, nie pozwala bezpośrednio zidentyfikować konkretnej osoby fizycznej. Nie zawiera on informacji, które mogłyby być powiązane z określoną osobą, takich jak imię, nazwisko, data urodzenia, adres itp.

Jednakże, choć na pierwszy rzut oka może się wydawać, że taki adres e-mail nie jest daną osobową, warto zauważyć, że RODO definiuje dane osobowe jako informacje dotyczące „możliwej do zidentyfikowania” osoby fizycznej. Oznacza to, że jeżeli, za pomocą dodatkowych informacji lub w połączeniu z innymi danymi, można zidentyfikować osobę za pomocą takiego adresu e-mail, wtedy także będzie on traktowany jako dana osobowa.

Kluczowym aspektem jest to, że okoliczność czy dany adres e-mail jest traktowany jako dana osobowa, zależy od kontekstu i dodatkowych informacji, które mogą pozwolić na zidentyfikowanie (bezpośrednie lub pośrednie) konkretnej osoby. Zgodnie z RODO, przedsiębiorstwa i organizacje muszą zatem zachować szczególną ostrożność przy przetwarzaniu adresów e-mail i zapewnić odpowiednią ochronę takich informacji.

Nadal aktualne stanowisko GIODO?

Wydaje się, iż nadal aktualne pozostaje stanowisko wyrażone przez GIODO (poprzednika PUODO).

Zgodnie z tym stanowiskiem „adres poczty elektronicznej związany jest z usługą dostarczania/wysyłania wiadomości przy użyciu sieci telekomunikacyjnej. Podobnie jak numer telefonu komórkowego, adres poczty elektronicznej związany jest z infrastrukturą sieciową zarządzaną przez określonego operatora/dostawcę, u którego podczas tworzenia konta poczty elektronicznej rejestrowane są dane użytkownika. Natomiast, dla oceny, czy określony adres e-mail będzie daną osobową niezbędnym jest analiza wszelkich informacji związanych z danym adresem e-mail (np. IP komputera, czy danych z formularza wypełnianego przy tworzeniu konta pocztowego). Informacje uzyskane z tej analizy mogą pozwolić na bezpośrednie zidentyfikowanie osoby fizycznej lub umożliwią jej pośrednią identyfikację. Istnieje zatem możliwość identyfikacji osoby będącej użytkownikiem danego adresu, podobnie jak na podstawie adresu IP użytkownika komputera. Elementarnym kryterium ułatwiającym uznanie adresu e-mail za daną osobową będzie w szczególności jego treść (np. zawierająca imię lub skrót imienia i nazwisko). Nie zawsze jednak adres ten prowadzi do identyfikacji osoby fizycznej. Może dotyczyć również podmiotów innych nie będących osobami fizycznymi. Adres poczty elektronicznej należy zatem traktować jako informację, która potencjalnie może być daną osobową, ale z uwzględnieniem wszelkich okoliczności występujących w konkretnym przypadku.”[1]

Czy numer telefonu to dana osobowa?

Numer telefonu, podobnie jak adres e-mail, jest unikalnym identyfikatorem, który pozwala na bezpośrednie lub pośrednie zidentyfikowanie osoby. Może on umożliwić pozyskanie informacji o tożsamości danej osoby, jej lokalizacji, kontaktach czy nawykach komunikacyjnych. Stanowisko to jest ugruntowane w doktrynie ochrony danych osobowych. Tego samego zdania jest także Prezes Urzędu Ochrony Danych Osobowych. Niemniej jednak, niedawno doszło do rozbieżności interpretacyjnych pomiędzy PUODO a WSA w tym temacie.

Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 25 listopada 2022 r. (II SA/WA 710/22) uznał, że numery telefonów nie muszą być danymi osobowymi, ponieważ do identyfikacji osoby fizycznej niezbędne są również inne informacje o abonentach, którymi podmiot wykonujący połączenie niekoniecznie dysponuje. Sprawa ta dotyczy zaskarżenia decyzji PUODO nakazującej usunięcie danych osobowych w zakresie numeru telefonu przetwarzanego bez podstawy prawnej przez jedną ze spółek zajmujących się akcjami telemarketingowymi.

W tej sprawie PUODO przyjął, że „choć numer telefonu nie określa bezpośrednio tożsamości osoby fizycznej, to jest on informacją, która umożliwia bezpośredni kontakt z określoną osobą, a samo ustalenie tożsamości nie wymaga poniesienia nadmiernych kosztów, czasu lub działań. Sama zatem możliwość skontaktowania się z tą osobą może prowadzić do ustalenia jej tożsamości, a więc numer telefonu stanowi dane osobowe w rozumieniu przepisów RODO.” W toku sprawy Prezesa UODO wskazał na Wytyczne Grupy Roboczej ds. ochrony danych powołanej na mocy art. 29, która w Opinii 4/2007 stwierdza wprost, że w sytuacji, gdy celem wykorzystywania danej informacji jest identyfikacja osoby fizycznej, uznać należy tę informację za daną osobową. Dodatkowo, zgodnie z ww. Opinią „(…) tożsamość osoby można ustalić bezpośrednio poprzez jej nazwisko lub pośrednio poprzez jej numer telefonu, numer rejestracyjny samochodu, numer ubezpieczenia społecznego, numer paszportu lub poprzez zestawienie istotnych kryteriów, które umożliwiają odróżnienie tej osoby poprzez zawężenie grupy, do której ona należy (wiek, zajęcie, miejsce zamieszkania, itp.)”. WSA w Warszawie przyjął inne stanowisko wskazując w wydanym orzeczeniu że „dana osobowa to informacja o osobie możliwej do identyfikacji, a nie informacja umożliwiająca weryfikację tożsamości osoby fizycznej. Z poglądów doktryny oraz orzecznictwa sądów administracyjnych wynika, że numer telefonu może stanowić dane osobowe w sytuacji, gdy dysponent tego numer telefonu jest w posiadaniu także innych informacji, które umożliwiają identyfikację danej osoby fizycznej, takich jak np. imię i nazwisko, adres zamieszkania, nr PESEL. Możliwość identyfikowania osoby fizycznej należy bowiem odnosić do określenia tożsamości konkretnej osoby fizycznej na podstawie posiadanych lub ewentualnie możliwych do uzyskania informacji. Nie można natomiast odnosić tego pojęcia do podejmowania działań zmierzających dopiero do ustalenia (uzyskania) informacji, które mogą stanowić dane osobowe (identyfikować konkretną osobę fizyczną).”

Powyższe orzeczenie nie jest prawomocne. Co więcej, jest to już drugie orzeczenie WSA w Warszawie w tym przedmiocie – na pierwsze z nich (sygn. akt II SA/Wa 1898/20) Prezes Urzędu Ochrony Danych Osobowych złożył skargę kasacyjną.  

Oznacza to tym samym, że na ostateczne rozstrzygnięcie tej kwestii przyjdzie nam zatem jeszcze poczekać. Do tego czasu rekomendujemy uznanie numerów telefonów za dane identyfikujące osoby fizyczne lub pozwalające na identyfikację w sposób dostateczny – a więc oparcie się na stanowisku PUODO.

[1] https://archiwum.giodo.gov.pl/318/id_art/2856/j/pl