Newslettery oraz e-mail marketing stanowią wciąż popularny sposób nawiązywana kontaktu oraz tworzenia relacji z klientami bądź osobami zainteresowanymi działalnością podmiotu prowadzącego określoną witrynę internetową. W obu przypadkach kontakt możliwy jest dzięki poczcie elektronicznej. Osoba zainteresowana wypełnia formularz kontaktowy, wskazując dane osobowe, takie jak imię, nazwisko, adres e – mail, bądź też sam adres e – mail, oczekując informacji zwrotnej. Dane te zbierane są i przechowywane przez podmiot prowadzący newsletter, który staje się administratorem danych osobowych.

 

Bardzo często pojawiają się wątpliwości, czy zbiór danych tworzony za pomocą formularza kontaktowego podlega obowiązkowi zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych? A tym bardziej – czy podlega zgłoszeniu, jeśli osoba zainteresowana w formularzu kontaktowym wskazuje jedynie adres poczty elektronicznej? Odpowiedź na to pytanie wymaga uprzedniego rozstrzygnięcia, czy adresy e – mail w ogóle stanowią dane osobowe. Kryterium oceny powinna być każdorazowo treść art. 6 ustawy o ochronie danych osobowych, w którym została zawarta wyraźna definicja danych osobowych. Są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. W sposób bezpośredni lub pośredni. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

 

Zgodnie z interpretacją Generalnego Inspektora Ochrony Danych Osobowych adres e-mail może być daną osobową, w przypadku, gdy w sposób niewymagający nadmiernych środków jesteśmy w stanie zidentyfikować osobę, której adres dotyczy. W praktyce wyróżnia trzy rodzaje adresów mailowych - a) takie, które ze względu na swoją treść umożliwiają ustalenie tożsamości osoby np.jankowalski@nazwafirmy.pl; b) takie które pozwalają na zidentyfikowanie użytkownika dopiero w powiązaniu z innymi informacjami np. jankowalski@onet.pl; c) takie które nie dają możliwości fizycznego wskazania właściciela adresu z uwagi na element fikcyjny np. poppy@interia.pl. Największej ochronie podlegają firmowe adresy, które zawierają w sobie imię i nazwisko i pozwalają ustalić zakład pracy. Możliwość kontaktu połączona z identyfikacją osoby z imienia i nazwiska oraz zakładu pracy pozwala na ustalenie tożsamości użytkownika tego adresu i z tego powodu firmowy adres mailowy jest uważany za dane osobowe. I nie ma tu znaczenia, iż jest to, że adres taki jest publicznie dostępny. Do domeny można dodać przedrostek www i w przeglądarce internetowej sprawdzić co się mieści pod tak utworzonym adresem.

 

Nie zawsze pod odgadniętym w ten sposób adresem znajdzie się firmowa strona internetowa, jednak to jeszcze nie zamyka drogi do identyfikacji, do jakiego podmiotu należy adres pocztowy, a właściwie do kogo należy domena. Trzeci wskazany przypadek podlega najsłabszej ochronie, aczkolwiek nie jest wykluczone, iż tak skonstruowany mail w połączeniu z innymi danymi może pozwolić na identyfikację określonej osoby. Tworząc newsletter, administrator danych osobowych nie jest w stanie przewidzieć jakiego rodzaju adresy e – mail będą wskazywane przez zainteresowanych. Należy więc przyjąć, iż co do zasady administrator powinien takie dane traktować jako dane osobowe.

 

Podsumowując, zbiór danych zawierający adresy e-mail osób, które chcą otrzymywać newsletter, należy zgłosić Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) do rejestracji. Dodatkowo, należy pamiętać, by uprzednio uzyskać zgodę osoby, która do takiego newslettera się zapisuje.