Adres poczty elektronicznej może być daną osobową podlegającą ochronie, podobnie jak chociażby nasze nazwisko. Oceny, czy prawo na to pozwala, należy dokonywać każdorazowo w odniesieniu do konkretnego adresu poczty elektronicznej.
Definicja danych osobowych ujęta została w art. 6 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych („ustawa”).
Zgodnie z tym przepisem za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Konkretna informacja nie będzie jednakże stanowić danej osobowej, jeżeli zidentyfikowanie osoby na podstawie tej informacji wymagałoby nadmiernych kosztów, czasu lub działań. Jednocześnie wskazano, że osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio.

Szybka identyfikacja

Nie ma przeszkód, aby za informację umożliwiającą zidentyfikowanie konkretnej osoby uznać adres e-mail. Nie każdy jednak adres e-mail pozwala nam szybko zidentyfikować osobę, do której jest przypisany. Nie ulega wątpliwości, że znacznie łatwiej będziemy w stanie wskazać osobę posługującą się adresem e-mail w formule: imię.nazwisko@nazwa-spolki.pl, aniżeli osobę posługującą się adresem wykorzystującym pseudonim i utworzonym na przykład w domenie internetowej serwisu oferującego darmowe konta e-mail. Może się zdarzyć, że adres e-mail wskazywać będzie na Jana Kowalskiego, który jest jednym z kilku Janów Kowalskich pracujących w spółce. Bywa również, że konkretny adres e-mail, utworzony w domenie internetowej serwisu oferującego darmowe konta pocztowe, zawiera mało popularne imię czy nazwisko.
Ustalenie tożsamości osoby, do której przypisany jest konkretny adres poczty elektronicznej, nie może być procesem długotrwałym, skomplikowanym i kosztownym. Trzeba mieć także na uwadze, że zgodnie z zamysłem ustawodawcy tożsamość osoby możliwej do zidentyfikowania wystarczy określić jedynie pośrednio. Jeśli na podstawie analizy budowy adresu e-mail możemy stosunkowo szybko i bez podejmowania szczególnie skomplikowanych działań zidentyfikować osobę, do której ów adres jest przypisany, wówczas można z dużym prawdopodobieństwem stwierdzić, że taki adres e-mail stanowi daną osobową.

Administratorzy danych

Z uwagi na to, iż adres poczty elektronicznej może być daną osobową, podmioty gromadzące adresy e-mail osób fizycznych i decydujące o dalszym wykorzystaniu tych adresów mogą być uznane za administratorów danych osobowych (definicję administratora danych osobowych zawiera art. 7 pkt 4 ustawy). Konsekwencją tego jest konieczność spełnienia przez te instytucje obowiązków przewidzianych w ustawie. Jednym z podstawowych obowiązków jest zgłoszenie zbioru danych osobowych do rejestracji przez Generalnego Inspektora Ochrony Danych Osobowych. Zgłoszenie to warunkuje dopuszczalność przetwarzania danych osobowych przez administratorów.



Serwisy internetowe

Za administratorów danych osobowych można uznać bez wątpienia podmioty zbierające informacje, których zakwalifikowanie jako dane osobowe nie jest tak dyskusyjne jak w przypadku adresów e-mail (np. imię i nazwisko, adres zamieszkania). Powstaje jednak pytanie: czy podmioty gromadzące tylko i wyłącznie cudze adresy e-mail z pominięciem innych informacji (np. spółki prowadzące serwisy internetowe, w których użytkownicy internetu mogą się zarejestrować poprzez podanie wyłącznie swego adresu e-mail i wymyślonego przez siebie hasła) będą administratorami danych osobowych zobligowanymi do wypełnienia obowiązków wskazanych w ustawie? Do rozstrzygnięcia tej kwestii niezbędne może się okazać ustalenie, czy wśród zebranych adresów e-mail znajdują się adresy, które choćby pośrednio mogą prowadzić do zidentyfikowania osób posługujących się nimi. Dokonanie takich ustaleń może być jednak trudnym przedsięwzięciem, zwłaszcza gdy baza adresowa jest obszerna. Dużo trafniejsze jest zatem rozstrzyganie o możliwości nadania konkretnemu podmiotowi statusu administratora danych z punktu widzenia oceny rodzaju zbieranych (przetwarzanych) przez niego informacji. .
Jeżeli adres e-mail spełni kryteria uznania go za daną osobową, będziemy mogli skorzystać z prawa do kontroli jego przetwarzania. Administrator danych osobowych przetwarzający ten adres zobowiązany będzie z kolei umożliwić realizację tego prawa.
Prawa administratora danych
Najbardziej istotne spośród nich to
● prawo do uzyskania informacji o celu i sposobie przetwarzania adresu e-mail,
● ujawnienie informacji o osobach i instytucjach, którym dane osobowe są udostępniane
● żądanie usunięcia danych osobowych.