Skrzynka szefa spółki może być zasypywana spamem. Nawet jeśli adres e-mail zawiera jego nazwisko, to nie podlega ochronie przewidzianej w RODO – uznali UODO i sąd.
Nikt nie ma wątpliwości, że imię i nazwisko to dane osobowe, które identyfikują konkretnego człowieka. To samo dotyczy adresów e-mail, w których takie imię i nazwisko się pojawiają. Ich przetwarzanie musi się odbywać w zgodzie z RODO.
Okazuje się jednak, że niekoniecznie dotyczy to prezesów spółek. Nawet w przypadku imiennych adresów e-mail każdy może je przetwarzać bez zgody, również w celu wysyłania spamu. Taka skrzynka służy bowiem do kontaktu z osobą prawną, a nie fizyczną. Tak przynajmniej uznał Urząd Ochrony Danych Osobowych i sąd, który zgodził się z tym podejściem.
Skargę złożył mężczyzna będący prezesem kilku spółek. Ma on adresy e-mail skonstruowane na zasadzie: imię.nazwisko@nazwaspółki.pl. Przychodził na nie spam pewnej firmy oferującej szkolenia i poradniki. Wysyłano go hurtowo - w krótkim okresie doszło ok. 200 maili. Prezes w końcu miał już tego dość i złożył skargi do UODO. Domagał się w nich ukarania firmy uprawiającej agresywny marketing za bezprawne przetwarzanie jego danych osobowych.
Organ to nie osoba
UODO odmówił wszczęcia postępowań, uznawszy, że RODO zapewnia ochronę danych osób fizycznych, a nie prawnych. Adresy imienne prezesa są zaś związane ze spółkami.
„Jedną z cech osób prawnych jest działalność poprzez organy. W przypadku spółki z ograniczoną odpowiedzialnością czy spółki akcyjnej jest to m.in. zarząd. Adresy e-mail, czy to imienne, czy też nie, zamieszczone na stronach internetowych każdej ze spółek stanowią więc dane osoby prawnej” - napisano w postanowieniach o odmowie wszczęcia postępowań. Przyjęto w nich, że skarżący się mężczyzna, korzystając z imiennych adresów e-mail, działa w imieniu spółek. A skoro tak, to danych tych nie można traktować wyłącznie jako danych osoby fizycznej. Przyznano przy tym, że można sobie wyobrazić odmienne podejście, ale tylko wtedy, gdyby sprawa dotyczyła strefy niezwiązanej wprost z działalnością określonych spó łek prawa.
Sąd, do którego trafiła skarga na to postanowienie, zgodził się z argumentacją UODO. Jego zdaniem spornych adresów e-mail nie sposób traktować w postępowaniu administracyjnym na podstawie przepisów RODO, wyłącznie jako danych osoby fizycznej.
„Adresy te są bowiem adresami związanymi z istnieniem osoby prawnej do kontaktu z podmiotami zewnętrznymi oraz w celu prowadzenia działań na rzecz pozyskania nowych klientów. (…) W takiej sytuacji imienny adres e-mail nie może zostać uznany za daną identyfikującą osobę fizyczną, ponieważ jest wykorzystywany w działalności osoby prawnej” - można przeczytać w uzasadnieniu jednego z wyroków.
Motyw źle odczytany
Podejście UODO i sądu budzi wątpliwości prawników poproszonych o komentarz przez DGP.
- Nie znajduje ono uzasadnienia w definicji danych osobowych i w art. 2 RODO wyznaczającym zakres przedmiotowy tego aktu. Jeżeli imienny adres poczty elektronicznej identyfikuje osobę fizyczną i jest automatycznie przetwarzany, to zawsze powinno się do niego stosować RODO, poza wyłączeniami wprost wskazanymi - mówi prof. Grzegorz Sibiga, adwokat w kancelarii Traple, Konarski, Podrecki i Wspólnicy.
Wyrok oparto na motywie 14 RODO, który rzeczywiście wyłącza stosowanie tego aktu do osób prawnych (patrz: infografika). Spór dotyczy jednak tego, czy wykorzystywanie imiennego adresu e-mail do działalności firmowej automatycznie wyłącza ochronę przewidzianą w unijnym rozporządzeniu.
- Z perspektywy definicji danych osobowych kluczowe jest, czy dana informacja dotyczy osoby fizycznej, czy nie, i w tym kontekście należy analizować znaczenie definicji przez pryzmat wytycznych z motywu 14. To, że jakaś informacja dotyczy osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej, moim zdaniem, ale nie tylko moim, bo szeroko reprezentowanym w doktrynie między narodowej, nie wyklucza jeszcze per se objęcia tej informacji zakresem przedmiotowym zastosowania RODO, o ile dotyczy ona równocześnie osoby fizycznej i spełnia pozostałe przesłanki definicyjne pojęcia danych osobowych, przede wszystkim wymogi identyfikowalności - przekonuje dr Dominik Lubasz, radca prawny i wspólnik w kancelarii Lubasz i Wspólnicy.
Niebezpieczny precedens
Wyrok stoi także w sprzeczności ze stanowiskiem Grupy Roboczej art. 29 złożonej z organów ochrony danych wszystkich państw UE, która już w 2007 r. zajmowała się tematem poczty elektronicznej wykorzystywanej w ramach prowadzonej działalności gospodarczej. Uznała ona, że przy ocenie, czy mamy do czynienia z danymi osobowymi, powinny decydować takie kryteria jak: „treść”, „cel” lub „skutek”. W tej sprawie, co zresztą podkreślał w swej skardze prezes spółek, UODO nie badał w ogóle charakteru maili marketingowych i tego, czy można je było powiązać z prowadzoną działalnością. Przyjął założenie, że ponieważ dane dotyczyły osoby pełniącej określoną funkcję w spółce, to są związane z działalnością tejże spółki.
- Sam fakt, że piastun organu osoby prawnej wskazał imienny adres e-mail jako swoje dane kontaktowe związane z pełnioną funkcją, nie wyłącza a priori takich informacji spod ochrony przepisami rozporządzenia. Dopiero analiza, która prowadzi do wniosku, że taka informacja nie dotyczy osoby fizycznej (kontekstowo) przy danym wykorzystaniu, przy uwzględnieniu celu rozporządzenia, może wskazywać na brak zastosowania rozporządzenia - podkreśla dr Dominik Lubasz, zastrzegając, że ważna jest treść e-maili oraz cel, w jakim zostały przesłane.
W opisywanej sprawie chodziło o adresy e-mail, ale można się zastanawiać, czy podobne podejście ma zastosowanie także do innych danych prezesa spółki.
- Utrzymanie w przyszłości stanowiska zawartego w wyrokach wprowadziłoby stan niepewności w stosowaniu RODO. Jeżeli wyłączymy spod jego reżimu dane kontaktowe osób fizycznych związane z osobą prawną, pojawią się pytania, jakich dalszych rodzajów „kontaktowych” danych osobowych dotyczy to wyłączenie, jakich kategorii osób i wreszcie w jakich celach można przetwarzać te dane, aby nie stosować RODO - ostrzega prof. Grzegorz Sibiga. ©℗
orzecznictwo
Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 19 września 2022 r., sygn. akt II Sa/Wa 559/22 www.serwisy.gazetaprawna.pl/orzeczenia
/>