Dzisiaj będzie o mailach w kontekście danych osobowych. Wyobraźmy sobie zatem taką sytuację: znamy tylko adres e-mailowy osoby pracującej w firmie X. Adres ten zbudowany jest w ten sposób, że składa się z imienia, kropki i nazwiska np. jan.kowalski, a dalej standardowo "@" i domena firmowa. Czy uzbrojeni w taką wiedzę możemy zidentyfikować osobę, a zatem spełnić wymogi definicji ustawowej "danych osobowych"? Moim zdaniem jak najbardziej.
Zobaczmy jak to mogłoby wyglądać. Osoba mająca informacje o ww. mailu idzie do firmy wymienionej w domenie (przez domenę najczęściej można dotrzeć do firmy - traktując ją jako adres www, zresztą domena jest z reguły nazwą firmy). Na recepcji pyta o naszego Kowalskiego z maila, a usłużna recepcjonistka mówi "tak oczywiście, siedzi tam". I proszę bardzo - Kowalski z maila robi się nagle Kowalskim z krwi i kości. Pełna identyfikacja, a i nakłady pracy włożone w dopasowanie informacji z maila do konkretnej osoby minimalne.
Co innego jeśli mail wygląda na przykład tak: janosik@ i dalej domena jednego z popularnych portali np. wp.pl albo gazeta.pl. Takiego "janosika" raczej nie dopasujemy do konkretnej osoby, a poza tym, osoba ukrywająca się pod takim pseudonimem mogła w dowolny sposób i dowolnymi informacjami wypełnić formularz rejestracyjny, żeby zyskać adres e-mail. W tym przypadku ciężko jest zatem mówić o adresie poczty jako danej osobowej, bo wydaje się, że nie są tu spełnione przesłanki definicji ustawowej tego terminu.
Dobrze, pozostał jeszcze jeden przypadek, a mianowicie ten sam jan.kowalski tylko w domenie któregoś z ww. portali. W moim przekonaniu tu również ciężko będzie mówić o danych osobowych, gdyż takich "Janów Kowalskich" może być kilku np. inny mail może wyglądać tak: jan_kowalski@ albo kowalski.jan@ etc. i ta sama domena. Ponadto pozostaje jeszcze formularz rejestracyjny - nie do zweryfikowania. Wreszcie - właściciel domeny raczej nie udostępni nam danych zawartych w takim formularzu. A zatem ciężko tu mówić o spełnieniu wymogów ustawowej definicji danych osobowych.
Zobaczmy jak to mogłoby wyglądać. Osoba mająca informacje o ww. mailu idzie do firmy wymienionej w domenie (przez domenę najczęściej można dotrzeć do firmy - traktując ją jako adres www, zresztą domena jest z reguły nazwą firmy). Na recepcji pyta o naszego Kowalskiego z maila, a usłużna recepcjonistka mówi "tak oczywiście, siedzi tam". I proszę bardzo - Kowalski z maila robi się nagle Kowalskim z krwi i kości. Pełna identyfikacja, a i nakłady pracy włożone w dopasowanie informacji z maila do konkretnej osoby minimalne.
Co innego jeśli mail wygląda na przykład tak: janosik@ i dalej domena jednego z popularnych portali np. wp.pl albo gazeta.pl. Takiego "janosika" raczej nie dopasujemy do konkretnej osoby, a poza tym, osoba ukrywająca się pod takim pseudonimem mogła w dowolny sposób i dowolnymi informacjami wypełnić formularz rejestracyjny, żeby zyskać adres e-mail. W tym przypadku ciężko jest zatem mówić o adresie poczty jako danej osobowej, bo wydaje się, że nie są tu spełnione przesłanki definicji ustawowej tego terminu.
Dobrze, pozostał jeszcze jeden przypadek, a mianowicie ten sam jan.kowalski tylko w domenie któregoś z ww. portali. W moim przekonaniu tu również ciężko będzie mówić o danych osobowych, gdyż takich "Janów Kowalskich" może być kilku np. inny mail może wyglądać tak: jan_kowalski@ albo kowalski.jan@ etc. i ta sama domena. Ponadto pozostaje jeszcze formularz rejestracyjny - nie do zweryfikowania. Wreszcie - właściciel domeny raczej nie udostępni nam danych zawartych w takim formularzu. A zatem ciężko tu mówić o spełnieniu wymogów ustawowej definicji danych osobowych.
2 komentarze:
Pracowałem kiedyś u jednego z większych, polskich telecomów. Adresy mailowe były tam zbudowane wg zasady: pierwsza litera imienia, nazwisko + @, nazwa handlowa brandu i oczywiście pl.
W wewnętrznej książce adresowej M$ Outlooka można było sobie oczywiście "podejrzeć" wszystkich pracowników. Znajdował się na niej... Frodo Baggins, Fredy Mercury, i inne znane nazwiska. Oczywiście były to fikcyjne osoby - typowy żart na poziomie "panów z IT".
Ale, jeśli adresy te wyciekłyby na zewnątrz i trafiły np. na jakąś spam-listę - czy GIODO traktowałoby to jako "wyciek danych osobowych"?
Brakuje mi jeszcze jednego przypadku: imie@nazwisko.* lub cos@prywatna_domena.* - w tych wypadkach tez sa to dane osobowe.
A odpowiadajac na pytanie z komentarza... jako pan z IT chcialbym Cie zapwenic, ze wycoek takich jakie podales nie podpada pod ochrone danych osobowych. Dlaczego:
Fredy Mercury jest osoba zmarla i nie podlega ochronie uodo
Frodo Baggins jest postacia fikcyjna i jako taka nie podlega uodo.
To oczywiscie zart pana z IT :), ale wyciek tych danych nie podlega uodo.
Natomiast takie fikcyjne nazwiska wskazuja, ze firma jest na bakier z procedurami i polityka bezpieczenstwa, wiec moze to wskazywac, ze dane klientow sa zagrozone... nie wiem co jest gorsze :)
Rafal
uodoblog.pl
Prześlij komentarz