Definicja danych osobowych ujęta została w art. 6 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych („ustawa”).

Zgodnie z tym przepisem za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Konkretna informacja nie będzie jednakże stanowić danej osobowej, jeżeli zidentyfikowanie osoby na podstawie tej informacji wymagałoby nadmiernych kosztów, czasu lub działań. Jednocześnie wskazano, że osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio.

Szybka identyfikacja

Nie ma przeszkód, aby za informację umożliwiającą zidentyfikowanie konkretnej osoby uznać adres e-mail. Nie każdy jednak adres e-mail pozwala nam szybko zidentyfikować osobę, do której jest przypisany. Nie ulega wątpliwości, że znacznie łatwiej będziemy w stanie wskazać osobę posługującą się adresem e-mail w formule: imię.nazwisko@nazwa-spolki.pl, aniżeli osobę posługującą się adresem wykorzystującym pseudonim i utworzonym na przykład w domenie internetowej serwisu oferującego darmowe konta e-mail. Może się zdarzyć, że adres e-mail wskazywać będzie na Jana Kowalskiego, który jest jednym z kilku Janów Kowalskich pracujących w spółce. Bywa również, że konkretny adres e-mail, utworzony w domenie internetowej serwisu oferującego darmowe konta pocztowe, zawiera mało popularne imię czy nazwisko.

Ustalenie tożsamości osoby, do której przypisany jest konkretny adres poczty elektronicznej, nie może być procesem długotrwałym, skomplikowanym i kosztownym. Trzeba mieć także na uwadze, że zgodnie z zamysłem ustawodawcy tożsamość osoby możliwej do zidentyfikowania wystarczy określić jedynie pośrednio. Jeśli na podstawie analizy budowy adresu e-mail możemy stosunkowo szybko i bez podejmowania szczególnie skomplikowanych działań zidentyfikować osobę, do której ów adres jest przypisany, wówczas można z dużym prawdopodobieństwem stwierdzić, że taki adres e-mail stanowi daną osobową.

Administratorzy danych

Z uwagi na to, iż adres poczty elektronicznej może być daną osobową, podmioty gromadzące adresy e-mail osób fizycznych i decydujące o dalszym wykorzystaniu tych adresów mogą być uznane za administratorów danych osobowych (definicję administratora danych osobowych zawiera art. 7 pkt 4 ustawy). Konsekwencją tego jest konieczność spełnienia przez te instytucje obowiązków przewidzianych w ustawie. Jednym z podstawowych obowiązków jest zgłoszenie zbioru danych osobowych do rejestracji przez Generalnego Inspektora Ochrony Danych Osobowych. Zgłoszenie to warunkuje dopuszczalność przetwarzania danych osobowych przez administratorów.