Niechciany email na skrzynce ADO.
Niechciany email na skrzynce ADO … zapraszamy naszych czytelników na nowy cykl publikacji, autorstwa dr Jakuba Rzymowskiego z Eurokancelarii prof. Marii Królikowskiej-Olczak, pt.: „Rzymowski uważa, że …” Poprosiliśmy naszego eksperta Zespołu Proste to RODO, aby dzielił się z nami swoją wiedzą, komentując zgłaszane przez Was do nas, intrygujące zagadnienia i problemy.
Co zrobić z niechcianym email z danymi ...
Ciekawym problemem praktycznym jest problem posiadania przez administratora danych, których administrator posiadać nie chce. Nie chce posiadać, zebrał je przypadkowo, wbrew swej woli. Można próbować postawić sobie pytanie, czy w takiej sytuacji podmiot, któremu narzucono przetwarzanie danych osobowych jest wobec tych danych administratorem. Najczęstszym, jak się wydaje przykładem praktycznym jest sytuacja, w której podmiot posiada publicznie dostępną skrzynkę poczty elektronicznej i dostaje tam zarówno informacje oczekiwane, pożądane, takie jakich cel przyświecał założeniu tej skrzynki, jak i inne – przypadkowe, spam.
Problem nad którym się tu zastanawiamy jest następujący: podmiot posiada publicznie dostępny adres poczty elektronicznej, czy podmiot ten jest administratorem wszystkich danych osobowych znajdujących się w jego skrzynce pocztowej. Na pewno zagadnieniu należy przyjrzeć się przez pryzmat definicji administratora. Dla zagadnienia istotny jest ten fragment definicji, który mówi o tym iż administrator to podmiot który ustala cele i sposoby przetwarzania danych. Pytanie postawione na wstępie należy zatem przełożyć na następujące pytanie: „Czy podmiot, który posiada publicznie dostępną skrzynkę poczty elektronicznej decyduje o celach i sposobach danych osobowych znajdujących się w tej skrzynce?”.
Jakie jest pytanie ...
- Czy podmiot, który posiada publicznie dostępna skrzynkę poczty elektronicznej decyduje o celach przetwarzania danych osobowych znajdujących się w tej skrzynce?
- Czy podmiot, który posiada publicznie dostępna skrzynkę poczty elektronicznej decyduje o sposobach przetwarzania danych osobowych znajdujących się w tej skrzynce?
Odpowiedź na drugie z pytań jest łatwiejsza, niż na pierwsze. Udzielam jej najpierw dla jasności wywodu. Podmiot korzysta z konkretnego rozwiązania technicznego i organizacyjnego tym samym podmiot decyduje o sposobach przetwarzania danych. Sam wybór dostawcy usługi poczty elektronicznej wydaje się być decyzją o sposobie przetwarzania danych. Decyzjami o sposobie przetwarzania danych są również decyzje dotyczące technicznych aspektów przechowywania danych, takich jak czas przechowywania stosowanie lub nie skanerów antywirusowych, rozwiązań antyspamowych etc.
Odpowiedź na pierwsze pytanie nie jest niestety oczywista i zawiera w sobie pewien element ocenny. Dla jasności powtórzmy pytanie: „Czy podmiot, który posiada publicznie dostępna skrzynkę poczty elektronicznej decyduje o celach przetwarzania danych osobowych znajdujących się w tej skrzynce?”.
Poniżej wypunktowuję kolejne elementy prowadzące do ostatecznego wniosku.
- Podmiot posiada skrzynkę poczty elektronicznej.
- Celem przetwarzania danych osobowych znajdujących się w tej skrzynce jest, na przykład, zbieranie zamówień od klientów. Dla prowadzonego rozumowania cel przetwarzania danych osobowych znajdujących się w skrzynce, założony przez administratora, nie jest istotny istotne jest, że administrator jakiś cel zakłada.
- Podmiot jest świadom, że w tej skrzynce mogą znaleźć się zarówno wiadomości poczty elektronicznej realizujące cel założony przez administratora, jak i inne wiadomości poczty elektronicznej. Podmiot jest tego świadom, ponieważ taka jest natura rzeczy, inaczej po prostu nie jest, jeżeli podmiot posiada publicznie dostępny, publicznie ujawniany adres poczty elektronicznej to musi liczyć się z tym, że znajdzie się tam korespondencja nie tylko od osób od których chciałby żeby się ona tam znalazła, ale również od innych osób. Jest to zjawisko o charakterze analogicznym do praw fizyki.
- Podmiot posiada zatem skrzynkę poczty elektronicznej, w której wymieszane są wiadomości poczty elektronicznej przetwarzane w celu założonym przez ten podmiot i inne wiadomości poczty elektronicznej, przetwarzane w celu, który staram się w niniejszym rozumowaniu ustalić.
- Podmiot potrzebuję jedynie tych wiadomości poczty elektronicznej, których zbieranie założył. Faktem jest jednak, że podmiot zbiera również inne wiadomości poczty elektronicznej, czyni to ponieważ taka jest natura rzeczy, tak działają publicznie dostępne skrzynki poczty elektronicznej, jeżeli zatem podmiot chce zapoznać się z treścią konkretnych wiadomości poczty elektronicznej, które zgodne są z założonym przez niego celem przetwarzania danych, to podmiot ten musi oddzielić te wiadomości od pozostałych wiadomości poczty elektronicznej. Tym samym podmiot musi oddzielić niechciane wiadomości od chcianych, niepożądane od pożądanych. Manewrem przeprowadzonym jedynie w warstwie językowej byłoby opisanie tej sytuacji w drugą stronę, a mianowicie, że podmiot oddziela interesujące go, chciane, pożądane informacje poczty elektronicznej od niechcianych, wobec chcianych decyduje o celu ich przetwarzania, a niechciane – jako niechciane – usuwa. Należy jednak zwrócić uwagę, że rozdzielenie wiadomości na chciane i niechciane, pożądane i niepożądane, zgodne z celem założonym przez podmiot i niezgodne z celem założonym przez podmiot, to po prostu rozdzielenie tych wiadomości na dwie grupy. Pierwotnym celem przetwarzania danych jest zebranie wiadomości chcianych i niechcianych, a następnie rozdzielenie tych danych (w opisywanych wypadku tych wiadomości poczty elektronicznej) na dwie grupy. Jeżeli więc zapytamy o cel, w jakim przetwarzane są dane osobowe niechciane, niepożądane przez administratora, to odpowiedź jest bardzo prosta. Dane te przetwarzane są po to, żeby oddzielić od nich dane pożądane. Celem założonym przez administratora jest przetwarzanie tych danych. Chce on przetwarzać, zebrać dane pożądane, jednak nie ma możliwości realnej, aby administrator przetwarzał – zebrał te dane bez zebrania pozostałych. Tym samym, jeżeli administrator podejmuje decyzję, że celem przetwarzania danych jest zbieranie pożądanych informacji, to jednocześnie podejmuje on decyzję, że równocześnie celem przetwarzania danych jest wyłuskanie informacji pożądanych spośród niepożądanych i oddzielenie niepożądanych od pożądanych. Wydaje się, że nadużyciem byłoby stwierdzenie, że zbieranie danych pożądanych jest celem o którym administrator decyduje, zaś oddzielenie ich od niepożądanych i zapewne dalsze zniszczenie niepożądanych, jest celem o którym administrator nie decyduje.
Jak spojrzeć na problem ...
Na zjawisko danych niepożądanych przez administratora czyli danych co do których może istnieć wątpliwość, czy administrator – czy dany podmiot jest w istocie administratorem tych danych, można, a nawet uważam, że należy spojrzeć przez pryzmat praw i wolności osób których te dane dotyczą.
Dla porządku, należy popatrzeć na takie dane przez pryzmat przepisów zakresowych, czyli przez pryzmat art. 1 RODO, art. 2 RODO, art.3 RODO. Nie chcę dokonywać tu streszczenia wskazanych przepisów, przepisy omawiam drobiazgowo w odpowiednich miejscach niniejszej publikacji, ograniczam się zatem jedynie do zwrócenia uwagi na pewne, wynikające z nich szczegóły, które są istotne dla opisywanej sytuacji i dla kategorii sytuacji do niej analogicznych.
Art. 1 RODO
Art. 2 RODO
Spojrzenie przez pryzmat art. 2 RODO każe stwierdzić, że przetwarzanie danych osobowych mające postać zbierania tych danych, poprzez zbieranie korespondencji zawierającej te dane, wydaje się realizować dwa warunki z art. 2 ust. 1 RODO. Gromadzenie danych w skrzynce poczty elektronicznej, zrazu na serwerze pocztowym (a następnie zapewne lokalnie) należy zakwalifikować jako przetwarzanie danych osobowych w sposób zautomatyzowany. Odpowiedzi na to, czy jest to przetwarzanie w sposób częściowo, czy całkowicie zautomatyzowany nie udzielam tu świadomie, zarówno ze względu na brak prawnego substratu do udzielenia tej odpowiedzi, jak i ze względu na nieistotną treść tej odpowiedzi dla przedmiotu namysłu. Wspomniane gromadzenie danych w skrzynce poczty elektronicznej, skutkuje włączaniem tych danych do zbioru danych osobowych i to do zbioru posiadającego kilka kryteriów wyszukiwawczych, bowiem zasoby poczty elektronicznej można zwykle przeszukiwać na różny sposób, z tym, że twierdzenie o włączaniu do zbioru jest poprawne, o tyle, o ile utożsamiamy wiadomość poczty elektronicznej z danymi osobowymi. Jest to oczywiście pewne uproszczenie, należy jednak pamiętać, że dane osobowe zwykle znajdują się w dokumentach. Między dokumentem zawierającym dane osobowe a danymi osobowymi zachodzi istotna różnica ontologiczna, jednak stanowisko, zgodnie z którym zbiór wiadomości poczty elektronicznej nie jest zbiorem danych osobowych uważam za błędne i mające na celu obejście art. 2 ust. 1 RODO. Gdyby nawet uznać, że zbiór wiadomości poczty elektronicznej nie jest zbiorem danych osobowych, to i tak gromadzenie danych osobowych mieści się w materialnym zakresie stosowania RODO, z uwagi na automatyzm tej czynności, co opisałem wyżej w niniejszym podrozdziale.
Art. 3 RODO
Dla porządku, patrząc przez pryzmat art. 3 RODO, przyjmuję, że zbieranie wiadomości poczty elektronicznej niechcianych, wiadomości niepożądanych – zawierających dane osobowe, zachodzi, dla potrzeb tego przykładu, w związku z działalnością prowadzoną przez administratora na terenie Unii.
Osobie której dane dotyczą, w tym wypadku nadawcy wiadomości poczty elektronicznej przysługuje cały szereg praw na gruncie RODO. Przede wszystkim osoba taka ma prawo oczekiwać, że jej dane będą przetwarzane przez administratora w sposób zgodny z prawem (zasada zgodności z prawem). Nie sposób dopatrzeć się niezgodności z prawem w tym, że administrator posiada skrzynkę poczty elektronicznej, na którą doręczane są różne wiadomości poczty elektronicznej, taka jest bowiem specyfika tego rozwiązania technicznego, że administrator zbiera tam wiadomości chciane i niechciane. Jeżeli administrator jest podmiotem publicznym, to zwykle zbiera te wiadomości w oparciu o art. 6 ust. 1 lit. e RODO, jeżeli administrator jest podmiotem prywatnym, to zwykle zbiera te wiadomości w oparciu o art. 6 ust. 1 lit. f RODO. Użyłem tu słowa: „zwykle”, ponieważ możliwe jest również zbieranie wiadomości poczty elektronicznej w oparciu o inne podstawy prawne, które jednak z uwagi na tematykę niniejszego wywodu pomijam. Zebrawszy wiadomości zgodnie z art. 6 ODO, administrator, tym samym, realizuje zasadę zgodności z prawem. Jedynym celem zbierania tych wiadomości jest zbieranie jakichkolwiek wiadomości poczty elektronicznej, tych pożądanych i tych niepożądanych przez administratora, można więc, z powodzeniem, uznać, że celem zbierania wiadomości niepożądanych jest, po prostu, zbieranie wiadomości poczty elektronicznej, w szczególności wiadomości pożądanych przez administratora, tak by móc jedne od drugich oddzielić, patrzę tu oczywiście na problem przez pryzmat realizacji zasady ograniczenia celu. Po oddzieleniu wiadomości pożądanych, administrator nie powinien dalej przetwarzać, w tym przechowywać, niepożądanych wiadomości poczty elektronicznej. Ten sam wniosek wynika z zasady minimalizacji, administratorowi wolno jest zebrać niepożądane wiadomości poczty elektronicznej dopóki zbieranie to jest niezbędne w kontekście zbierania wiadomości pożądanych, kiedy jednak administrator pożądane wiadomości oddzieli od niepożądanych, to nie powinien już wiadomości niepożądanych posiadać, powinien zatem je usunąć. Jeśli chodzi o zasadę ograniczenia przechowywania, to po realizacji celu, czyli po oddzieleniu informacji pożądanych od informacji niepożądanych, administrator nie powinien dalej niepożądanych informacji przetwarzać. Z punktu widzenia zasady poufności, administrator powinien zadbać o to, żeby osoby, które dokonują czynności oddzielenia informacji pożądanych od informacji niepożądanych, były do tego uprawnione. Z punktu widzenia zasady integralności, administrator powinien zadbać o to, by usunięcie danych niepożądanych nie zagroziło integralności danych pożądanych.
Autor: dr Jakub Rzymowski
