Czy imię i nazwisko lub adres e-mail bez żadnej dodatkowej informacji są daną osobową?
PYTANIE SZCZEGÓŁOWE
Czy informacja w postaci samego imienia i nazwiska, np. Jan Nowak, jest danymi osobowymi? Czy adres e-mail, np. jannowak@wp.pl, jest danymi osobowymi, gdy nie posiadamy żadnego kontekstu dodatkowego? Zwykła osoba nie może przecież zidentyfikować Jana Nowaka, bo z pewnością wiele jest osób o tym imieniu i nazwisku. Czy adres e-mail w postaci dane34@onet.pl stanowi dane osobowe, gdy nie posiadamy żadnego kontekstu dodatkowego?
ODPOWIEDŹ
Definicja danych osobowych z art. 4 pkt 1 RODO, zgodnie z którą „dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”, nie pozwala stwierdzić, że konkretne informacje zawsze będą albo nigdy nie będą danymi osobowymi. Jak wyjaśniono w definicji, możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Odpowiadając na pytanie: jeśli na podstawie imienia i nazwiska lub adresu e-mailowego jesteśmy w stanie ustalić konkretną osobę, to są to dane osobowe. Imię i nazwisko same w sobie, bez powiązania z innymi danymi, najczęściej nie stanowią jeszcze danych osobowych. Przykładowo, jeśli jest stu Janów Kowalskich w Warszawie, to samo takie imię i nazwisko nie są danymi osobowymi – do identyfikacji konkretnego Jana Kowalskiego potrzeba dodatkowych danych, np. jego numeru telefonu lub nazwy firmy, w której pracuje. Mogą być jednak na tyle nietypowe imiona i nazwiska, że prawdopodobieństwo identyfikacji jest bardzo wysokie.
Z zasady adresy e-mailowe są danymi osobowymi, ponieważ najczęściej, pisząc na dany adres, piszemy do konkretnej osoby i w ten sposób ją identyfikujemy. Mogą być jednak adresy e-mailowe, które nie stanowią danych osobowych, np. biuro@odo24.pl, ponieważ piszemy do spółki, a nie do konkretnego człowieka.
Zgodnie z motywem 26 RODO, „aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane (…) w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny”.