Wysyłając e-mail możesz się narazić...

09-03-2011, 12:15

...Generalnemu Inspektorowi Ochrony Danych Osobowych. Podpowiadamy, jak uniknąć zarzutów.

Przedsiębiorca przesyłający dane osobowe przez e-mail powierza ich przetwarzanie dostawcy usługi poczty elektronicznej. Aby uniknąć zarzutu naruszenia przepisów o ochronie danych osobowych, powinien zawrzeć z dostawcą usług umowę o powierzeniu mu przetwarzania tych danych, w przeciwnym razie może narazić się na zarzut naruszenia ustawy i ingerencję Generalnego Inspektora Ochrony Danych Osobowych.

Justyna Janicka, aplikant radcowski, Chałas i Wspólnicy Kancelaria Prawna, Oddział w Krakowie. Fot. ARC
Zobacz więcej

Justyna Janicka, aplikant radcowski, Chałas i Wspólnicy Kancelaria Prawna, Oddział w Krakowie. Fot. ARC

Przepisy ustawy o ochronie danych osobowych stosuje się do przetwarzania danych osobowych w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych. Zasadą jest więc, że dane przetwarzane poza zbiorem nie będą podlegać przepisom ustawy o ochronie danych osobowych.

Od tej zasady został przewidziany ważny wyjątek. Jeżeli dane osobowe przetwarzane są w systemie informatycznym, przepisy ustawy stosuje się nawet w wypadku, gdy dane są przetwarzane poza zbiorem. Ustawy nie stosuje się jednak do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych.

Przetwarzanie danych osobowych to nie tylko ich zbieranie, opracowywanie, zmienianie i inne tego typu operacje na danych. Pod pojęciem przetwarzania danych osobowych rozumie się też ich utrwalanie, udostępnianie i przechowywanie. W związku z tym, sam zapis danych osobowych np. na dysku komputera stanowić będzie przetwarzanie danych osobowych i będzie podlegać ustawowemu reżimowi.

Kiedy korzystanie z poczty e-mail jest przetwarzaniem danych osobowych?

Proces wysyłania wiadomości e-mail polega na przesyle określonych danych, które początkowo zapisywane są na serwerze dostawcy usług poczty elektronicznej nadawcy. Następnie, dane z tego serwera są zapisywane na serwerze podmiotu świadczącego usługi poczty e-mail na rzecz odbiorcy, skąd są przez tego odbiorcę pobierane. Często dostawcy usług poczty elektronicznej umożliwiają użytkownikom przechowywanie archiwalnych wiadomości e-mail na ich serwerach. Ponadto, w razie korzystania z klienta poczty www, zaimplementowanego na stronie internetowej usługodawcy, użytkownik bardzo często ma możliwość zapisania na serwerze usługodawcy swojej książki adresowej.

Niewątpliwie stworzenie książki adresowej, zawierającej przykładowo imiona, nazwiska i adresy e-mail potencjalnych odbiorców poczty elektronicznej, a następnie przechowywanie jej na serwerze usługodawcy podpadać będzie pod definicję przetwarzania danych osobowych. W piśmiennictwie prezentowane było również stanowisko, iż sam adres e-mail stanowi daną osobową. W szczególności za daną osobową można by uznać adres w formacie imię.nazwisko@domena.pl, gdyż taki format adresu e-mail przeważnie bardzo jednoznacznie identyfikuje osobę fizyczną, która z niego korzysta. Ponadto, jeżeli wiadomość e-mail w swojej treści zawiera dane osobowe, przechowywanie wiadomości na serwerach providera usługi e-mail będzie traktowane jako przetwarzanie tych danych.

Bez znaczenia jest fakt, że dane nie są przetwarzane w zbiorze danych osobowych. Nawet umieszczenie w e-mailu informacji dotyczących jednej osoby fizycznej, jeżeli tylko osoba ta jest zidentyfikowana lub możliwa do zidentyfikowania, stanowić będzie przetwarzanie danych osobowych, do którego w pełni stosować się będą przepisy ustawy.

Co zrobić, aby przetwarzanie danych osobowych było zgodne z prawem?

Podmiot świadczący usługi poczty elektronicznej nie decyduje o celach i środkach stosowanych przy przetwarzaniu danych, nie może być więc traktowany jako administrator danych osobowych, przesyłanych w wiadomościach e-mail za jego pośrednictwem. Rola usługodawcy w procesie wysyłania wiadomości e-mail jest bierna, nie ingeruje on w treść przesyłanych wiadomości. Niemniej przechowywanie danych osobowych przez dostawcę usługi poczty e-mail jest traktowane jako przetwarzanie danych osobowych, do którego stosuje się przepisy ustawy. Bez znaczenia będzie nawet to, że dane osobowe przesyłane są w obrębie tej samej firmy, pomiędzy osobami siedzącymi w sąsiednich pokojach.

Ustawodawca przewidział możliwość powierzenia przetwarzania danych osobowych innemu podmiotowi. Takie powierzenie może zostać dokonane jedynie w drodze umowy, która powinna zostać zawarta w formie pisemnej. Umowa o powierzenie przetwarzania danych osobowych musi wskazywać zakres i cel tego przetwarzania, a podmiot, któremu powierzono dane, nie ma prawa korzystać z nich w szerszym zakresie lub w innym celu, niż wskazany w umowie.

Odpowiedzialność za przestrzeganie ustawy przez dostawcę usług

Kluczową kwestią z punktu widzenia korzystającego z poczty e-mail (administratora danych osobowych) jest fakt, że w przypadku powierzenia przetwarzania danych osobowych odpowiedzialność za przestrzeganie przepisów ustawy przez dostawcę poczty e-mail spoczywa także na administratorze. Będzie on również ponosił odpowiedzialność,  gdy jego dostawca poczty elektronicznej nie zapewni właściwych środków zabezpieczających przetwarzanie danych oraz nie będzie prowadził dokumentacji opisującej sposób ich przetwarzania. Z tego względu umowa o powierzeniu przetwarzania danych osobowych zawierana z dostawcą usługi e-mail powinna określać obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę danych oraz zasady ponoszenia odpowiedzialności za naruszenie przepisów o ochronie danych osobowych przez podmiot przetwarzający te dane na zlecenie administratora. Odpowiedzialność administratora danych oczywiście nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

Jeśli serwery dostawcy usług poczty e-mail znajdują się poza Europejskim Obszarem Gospodarczym, przy powierzeniu usługodawcy przechowywania danych osobowych na tych serwerach znajdą zastosowanie przepisy o przekazywaniu danych osobowych do państw trzecich.

Justyna Janicka, aplikant radcowski, Chałas i Wspólnicy Kancelaria Prawna, Oddział w Krakowie

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Puls Firmy / Wysyłając e-mail możesz się narazić...