Lze bez nadsázky říci, že pojem „osobní údaj“ je pojmem základním. Definice osobního údaje charakterizuje vlastně předmět zákona č. 101/2000 Sb. , o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „ZoOU“), i v tom smyslu, že nejedná-li se při zpracování informací o údaj osobní, ZoOU se na zpracování takových informací vztahovat nebude. Podle ustanovení § 4 písm. a) ZoOU se osobním údajem rozumí jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. Je současně zřejmé, že pojem je definičně determinován několika faktory, resp. prvky.
E-mailová adresa jako osobní údaj
Vydáno:
9 minut čtení
E-mailová adresa jako osobní údaj
JUDr. Eva Janečková
JUDr.
Václav
Bartík
Prvním prvkem je vymezen rozsah. To znamená, že osobním údajem je informace, a to jakákoliv. ZoOU tedy informace jako takové nikterak nevymezuje, ale ani nijak neomezuje. Avšak stanoví, že informace se musí týkat subjektu údajů (tedy fyzické osoby) a tato fyzická osoba pak musí být buď určená, nebo alespoň určitelná tedy identifikovatelná. I když lze jistě polemizovat, které informace jsou s to subjekt údajů určit a to natolik přesně, aby nebyla zaměnitelná za jinou fyzickou osobu. Sám pojem „identifikovatelnost“ je do značné míry složitý. Zvláštní pozornost výrazu „identifikovatelný“ je věnována ve 26. bodu odůvodnění Směrnice 95/46/ES, kde je uvedeno, že „pro určení, zda je osoba identifikovatelná, je třeba přihlédnout ke všem prostředkům, které mohou být rozumně použity jak správcem, tak jakoukoli jinou osobou pro identifikaci dané osoby". To znamená, že pouhá hypotetická možnost jednoznačného určení nějaké osoby nepostačuje k tomu, aby tato osoba byla považována za „identifikovatelnou“. Jestliže s přihlédnutím ke „všem prostředkům, které mohou být rozumně použity jak správcem, tak jakoukoli jinou osobou", taková možnost neexistuje nebo je zanedbatelná, daná osoba by se neměla považovat za „identifikovatelnou“ a informace o ní za „osobní údaje“.
Při uplatňování kritéria přihlédnutí ke „všem prostředkům, které mohou být rozumně použity jak správcem, tak jakoukoli jinou osobou", je třeba zvláště dbát na zohlednění všech faktorů, které v daném případě hrají roli. Jedním, avšak ne jediným faktorem jsou náklady na provedení identifikace. Kromě nich by měly být vzaty v potaz zamýšlený účel zpracování a jeho struktura, výhody očekávané správcem údajů, zájmy jednotlivců, které jsou v sázce, i riziko organizačních selhání (např. porušení povinnosti zachovávat důvěrnost) a technických problémů. Na druhé straně se jedná o dynamické kritérium, při jehož použití by měly být zohledněny aktuální stav technologií v době zpracování údajů a možnosti jejich vývoje za dobu, po kterou bude zpracování trvat.1)
E-mailová adresa jako osobní údaj
Poměrně složitá je otázka, zda s ohledem na výše uvedené je e-mailová adresa sama o sobě osobním údajem ve smyslu ZoOU. Vždy záleží na souvislostech. E-mailová adresa jako součást souboru informací vztažených k nějaké fyzické osobě, která je předmětem např. obchodního zájmu, je nepochybně osobním údajem. Je však také jasné, že ani takto pojatý význam asi nebude bezvýjimečný. Jistě si lze představit, že e-mailová adresa ve tvaru jmeno.příjmení@firma.cz osobním údajem bude. Ve kmeni je totiž uvedeno komu, které, podle tvaru jednoznačně fyzické osobě, náleží. A ve spojení s označením firmy, jíž zřejmě přísluší daná doména, je taková fyzická osoba identifikovatelná a tedy o osobní údaje se jednat bude. To bude platit i v případě, že za „@“ bude uvedeno doménové označení podkx je taková fyzická osoba identifikovatelná a tedy o osobní údaje se jednat bude. oskytovatele služeb elektronických komunikací. Ne již tak jistá bude situace, kdy v první části adresy nebude uvedeno jméno nebo ani příjmení, které by minimálně naznačovalo, že se jedná o emailovou adresu fyzické osoby. Tedy tvar adresy ABC123@poskytovatel.cz ani nenaznačuje, zda se může jednat o fyzickou osobu. Z praxe se dá dovodit, že pokud si někdo zřídí např. adresu ...@gmail.com, je identifikovatelný i nepřímo jen velmi obtížně. ZoOU však neříká, pro koho je osoba identifikovatelná, a je tedy zřejmé, že pro určitý okruh osob je uvedená adresa osobním údajem jim známé osoby, a tedy se z principu o osobní údaj jedná vždy.
Náhled na tuto problematiku procházel a stále prochází vývojem. Ještě před několika lety nebyla e-mailová adresa považována za osobní údaj ve většině případů, když Úřad pro ochranu osobních údajů uváděl:
„Je evidentní, že v daném případě se zřejmě nebude jednat o porušení zákona o ochraně osobních údajů. Internet a www stránky jsou médium veřejně přístupné, a z pohledu ochrany os. údajů jsou to údaje zveřejněné a veřejně přístupné. Navíc je velmi sporné, zda lze www stránky případně e-mailové adresy vůbec považovat za jeden z identifikátorů. Podle našeho názoru anonymně získané emailové adresy vůbec nejde spojit s konkrétní fyzickou osobou. Pokud např. by adresa našeho Úřadu zněla kukačka.cz, tak vůbec nevíte, s kým komunikujete. Je zřejmé, že internet nepochybně skýtá spoustu ekonomických možností, nicméně jen velmi obtížně lze takovou činnost postihovat, zejména v případech, kdy údaje, které se vám zdají osobní, vůbec osobní ve smyslu zákona o ochraně osobních údajů vůbec být nemusí. Prostě proto, že je nelze spojit s konkrétní fyzickou osobou."2)
Lze se domnívat, že posun v nahlížení na tzv. anonymní emailové adresy nastal v nedávné době, a to díky rozsudku Nejvyššího správního soudu ze dne 12. února 2009, čj. 9 As 34/2008-68, který uvádí, že:
"Plná identita fyzické osoby v současných podmínkách technologicky vyspělé společnosti, tj. za vysokého stupně rozvoje elektronických a jiných médií, která jsou většině populace snadno dostupná, ve své podstatě neznamená nic jiného, než možnost tuto osobu určitým způsobem kontaktovat, aniž by bylo nutno znát místo jejího aktuálního pobytu. Proto se výklad pojmu "osobní údaj" nemůže omezit striktně jen na znalost např. rodného čísla, adresy či pracoviště subjektu údajů. Z tohoto pohledu je za osobní údaj třeba považovat i číslo mobilního telefonu určité osoby, jakkoli může být takové číslo používáno příslušnou osobou jen dočasně, a zároveň nijak nespecifikuje jeho fyzickou, psychickou, ekonomickou, kulturní nebo sociální identitu (viz shora). Prostřednictvím tohoto čísla je však možno daný subjekt v určitém časovém úseku přímo kontaktovat (což se ostatně stalo i v posuzovaném případě), a tento subjekt je tak dosažitelný a jistým způsobem určitelný, a to případně i bez znalosti jeho jména a dalších údajů, které již vazbu na jeho fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu mají".
Byť se v tomto rozsudku jednalo o telefonní číslo a nikoliv o e-mailovou adresu, význam rozsudku ve světě elektronických komunikací a vazba na ZoOU jsou však nepopiratelné.
IP adresa
V prostředí elektronických komunikací je také významný jiný údaj, tedy IP adresa3). K posouzení, zda je tento údaj také osobním údajem, může posloužit např. rozsudek Nejvyššího správního soudu4), kde je uvedeno, že:
"Při posuzování povahy IP adresy je možno podpůrně odkázat rovněž na judikaturu Soudního dvora Evropských společenství. Ten ve svém rozhodnutí ze dne 29.1.2008, sp. zn. C-275/06, Productores de Música de Espaňa (Promusicae) vs. Telefónica de Espaňa SAU (rozhodnutí je dostupné na http://curia.europa.eu), považoval IP adresu v kontextu daného případu (Promusicae požadovala po Telefónice odhalení identit osob, kterým poskytovala připojení k internetu a u nichž byla známá jejich IP adresa a datum a čas připojení) za osobní údaj ve smyslu předpisů na ochranu osobních údajů. Pro účely nyní posuzované věci lze z uvedeného závěru vyvodit, že jestliže může IP adresa za určitých okolností představovat osobní údaj, tedy údaj, na jehož základě lze identifikovat (přímo či nepřímo) nějakou konkrétní osobu, pak může sloužit také jako důkaz v přestupkovém řízení, byť jako důkaz nepřímého charakteru".
Je tedy zjevné, že i soubor uchovávaných adres elektronické pošty může být v drtivé většině souborem osobních údajů. Ostatně i samo označení „adresa“ je signifikantní v tom, že se skutečně jako adresa, tedy v elektronickém prostoru, jako místo doručení komunikačního souboru také používá. V neposledním případě se zdá, že i adresa elektronické pošty se stává normální součástí adresních údajů, které jsou o lidech shromažďovány a také i v řadě případů požadovány. S uváděním e-mailové adresy také počítá i zákon o elektronických komunikacích,5) a to v tom případě, kdy hovoří o účastnických seznamech. V nich se podle § 41 odst. 5 pro identifikaci účastníka elektronických komunikací osobními údaji, které mohou být uváděny v účastnických seznamech, rozumí jméno, popřípadě jména, příjmení, popřípadě pseudonym, adresa trvalého pobytu, telefonní číslo a adresa elektronické pošty. I při vědomí výše uvedeného je tedy s takovými údaji řádně a rozumně nakládat, neboť by bylo možné dostat se do konfliktu se ZoOU s rizikem udělení i nemalé finanční sankce.
1) BARTÍK, V. - JANEČKOVÁ, E.: Zákon o ochraně osobních údajů s komentářem. ANAG, Olomouc 2010, s. 34.
2) http://www.vorisek.cz/_text.php?clanek=28.
3) IP adresa slouží k rozlišení síťových rozhraní připojených k počítačové síti. Zkratka IP znamená Internet Protocol, což je protokol, pomocí kterého spolu komunikují všechna zařízení v Internetu. Zdroj: http://cs.wikipedia.org/wiki/IP_adresa.
4) Rozsudek Nejvyššího správního soudu ze dne 4. února 2009, čj. 1 As 90/2008-189, www.nssoud.cz.
5) Zákon č. 127/2005 Sb.