E-mailová adresa

Osobní údaj je výše uvedeným ustanovením zákona o ochraně osobních údajů definován jako každá informace, která se týká přímo či nepřímo určené nebo určitelné fyzické osoby, dikcí zákona subjektu údajů. Jedná se o důslednou transpozici příslušného evropského předpisu, Směrnice Evropského parlamentu a Rady 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, která velmi obdobnou definici pojmu osobní údaj zavádí v čl. 2 písm. a).

E-mailová adresa přidělená zaměstnanci zaměstnavatelem, která obsahuje příjmení a v některých případech i jméno či jeho iniciálu zaměstnance spolu s označením zaměstnavatele, tak v daném času, pokud je aktuální, osobním údajem bude prakticky vždy. Na jejím základě je totiž možné daného zaměstnance jednoznačně identifikovat, odlišit od ostatních zaměstnanců stejného zaměstnavatele, a rovněž kontaktovat. Správnost a platnost dané adresy potom garantuje i zaměstnavatel, který ji zřídí a udržuje v chodu. Daný subjekt údajů tak bude identifikovaný či identifikovatelný nejen pro všechny ostatní spoluzaměstnance, ale i pro další osoby.

U soukromé e-mailové adresy založené u některé z poskytovatelů tzv. freemailových služeb bude situace obtížnější. I zde platí, že pomocí e-mailové adresy je možné přímo kontaktovat jejího uživatele, ovšem identifikace, ať už přímá nebo nepřímá, uživatele e-mailové adresy pouze tímto způsobem není vždy možná. V případě, kdy uživatel v e-mailové adrese neuvádí své jméno, resp. když toto není nijak ověřitelné nebo není zaručeno, že případně uváděné jméno je pravdivé, a pokud ten, kdo adresou disponuje, k jejímu uživateli nezná žádné další informace, pak je pro něj prakticky nemožné uživatele ztotožnit. Pro široký okruh takovýchto osob se tak podle mého názoru v případě znalosti pouhé bezvýznamové soukromé e-mailové adresy o osobní údaj jednat nebude.

Žádná informace, resp. to, zda se jedná či nejedná o osobní údaj, však nemůže být hodnocena izolovaně a bez ohledu na ostatní souvislosti. Toto pochopitelně platí i pro soukromou e-mailovou adresu. Pokud určitý subjekt, správce údajů, má k dané osobě více informací, nejen pouhou freemailovou adresu, pak je nutno posoudit, zda právě tento subjekt je schopný, byť nepřímo, danou osobu identifikovat. Může se jednat o situaci, kdy správce zná k osobě větší počet dat, jako je jméno, příjmení, datum narození či informace o bydlišti a soukromá e-mailová adresa. Na základě těchto informací bude subjekt údajů obvykle jednoznačně určený či určitelný, proto správce na všechny zpracovávané informace, které se k subjektu údajů vztahují, musí pohlížet jako na osobní údaje. Druhým okruhem osob, pro které i soukromá e-mailová adresa obvykle bude osobním údajem, tedy údajem přiřaditelným ke konkrétní fyzické osobě, pak budou poskytovatelé freemailových služeb, kteří kromě této adresy rovněž budou disponovat dalšími údaji o jejím uživateli, především jeho IP adresou, ze které schránku založil a ze které se připojuje, některými údaji o jeho koncovém zařízení, informacemi času a datu, kdy se připojuje, a rovněž informace o využívání a provozu jeho e-mailové schránky.

V kontextu výše uvedeného je podle mého soudu nutno rozlišovat pracovní adresu přidělenou zaměstnanci zaměstnavatelem, která bude osobním údajem v zásadě pro všechny příjemce, a soukromou bezvýznamovou e-mailovou adresou, pro jejíž přiřazení ke konkrétní osobě bude obvykle nezbytné disponovat i dalšími informacemi.

Zpřístupňování a zveřejňování pracovní e-mailové adresy

Autor shora uvedené článku mj. uvádí, že jestliže je pracovní e-mailová adresa osobním údajem, pak § 13 zákona o ochraně osobních údajů brání tomu, aby byla uváděna např. na internetových stránkách zaměstnavatele. Toto ustanovení zákona upravuje povinnosti při zabezpečení zpracovávaných osobních údajů, kdy je odpovědným osobám, správci a zpracovateli, uloženo přijmout a realizovat taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům ze strany neoprávněných osob nebo k jinému zneužití těchto dat.

Obávám se, že nastíněný výklad zákona není zcela správný a může vést k neodůvodněným závěrům. Vhodnější je začít od začátku, od základních principů a pravidel zpracování osobních údajů, nikoliv od sice důležitých, ale spíše praktických a technických aspektů celého procesu zpracování.

Na prvém místě je nutno říci, že zveřejnění pracovní e-mailové adresy, obvykle ve spojení s uvedením přesného jména a příjmení, pracovního zařazení a pracovního telefonního čísla či dalších informací, na internetových stránkách zaměstnavatele je bezpochyby zpracováním osobních údajů ve smyslu § 4 písm. e) zákona o ochraně osobních údajů. Zaměstnavatel provádí zpracování osobních údajů zaměstnanců zahrnující všechny související informace včetně pracovního e-mailu a uvádění některých z nich na internetových stránkách zaměstnavatele za účelem usnadnění komunikace veřejnosti s konkrétními zaměstnanci lze jistě chápat jako automatizovaně prováděnou operaci s osobními údaji, který spočívá v jejich ukládání na nosiče informací, zpřístupňování, používání, zveřejňování atd., jak to vyžaduje definiční ustanovení § 4 písm. e) zákona o ochraně osobních údajů. Ke stejnému závěru dospěl i Soudní dvůr Evropské unie v rozsudku ve věci Lindqvistová vs. Švédsko, C-101/01.

Každé zpracování musí probíhat za legálním a legitimní účelem a na základě řádného právního titulu, právem předvídané situace, kdy lze osobní údaje daným způsobem zpracovávat. Teprve po splnění těchto nezbytných náležitostí je možné a vhodné zpracování zahájit a zabývat se i plněním dalších povinností, jako jsou výše uvedené povinnosti týkající se zabezpečení údajů, které jsou upraveny v § 13 zákona o ochraně osobních údajů.

Zveřejnění kontaktních údajů zaměstnanců na internetových stránkách zaměstnavatele za účelem rychlejší a efektivnější komunikace s veřejností, klienty, zájemci o nabízené služby atd., je jistě zcela legitimním a legálním zájmem, účelem takto prováděného zpracování údajů. Právní titul pak musíme hledat odlišný pro subjekty soukromé a veřejné sféry.

U soukromoprávních subjektů se jako právní titul nabízí především souhlas daného zaměstnance, který musí splňovat všechny náležitosti právního úkonu, právního jednání, dle předpisů občanského práva i zákona o ochraně osobních údajů[2], a případně právní titul upravený v § 5 odst. 2 písm. e) zákona o ochraně osobních údajů, dle kterého lze osobní údaje zpracovávat tehdy, pokud je to nezbytné pro ochranu práv a právem chráněných zájmů správce. Druhý uvedený právní titul bude připadat v úvahu především u těch zaměstnanců, u nichž komunikace s veřejností tvoří podstatnou část předmětu práce.

Na zpřístupňování a zveřejňování osobních údajů zaměstnanců subjektů veřejné sféry primárně dopadá § 5 odst. 2 písm. f) zákona o ochraně osobních údajů, kdy správce, zaměstnavatel, je i bez souhlasu dotyčného zaměstnance oprávněn zpracovávat jeho osobní údaje tehdy, pokud poskytuje osobní údaje mj. funkcionáři či zaměstnanci veřejné správy, které vypovídají o jeho veřejné anebo úřední činnosti, o jeho funkčním nebo pracovním zařazení. Ani tento právní titul jistě není možné vykládat neomezeně, při rozhodování o tom, údaje kterých zaměstnanců a v jakém rozsahu budou na internetových stránkách zaměstnavatele zveřejněny, je vždy nutno postupovat proporčně, přiměřeně ke sledovanému účelu zpracování. Jako důvodné se zveřejnění kontaktních údajů jeví především u těch zaměstnanců, jejichž předmět práce předpokládá nebo obsahuje i možnou komunikaci s veřejností či s jinými orgány veřejné sféry. U ostatních zaměstnanců by automatické zveřejňování jejich kontaktních údajů mohlo být v rozporu s obecnou povinností, vyjádřenou v § 10 zákona o ochraně osobních údajů, podle které musí správce v případě každého zpracování osobních údajů dbát na práva dotčených osob, mj. na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů[3].

Závěr

Stejně jako u řady dalších informací nelze ani e-mailovou adresu z pohledu toho, zda se v jejím případě jedná o osobní údaj ve smyslu zákona o ochraně osobních údajů, hodnotit izolovaně, resp. nelze obecně říci, že vždy osobním údajem bude či nikdy nebude. Při posuzování této otázky je nezbytné zohlednit i související skutečnosti, především obsah informací v samotné e-mailové adrese a další informace, kterými ten, kdo konkrétní e-mailovou adresu zná, o jejím uživateli disponuje. Lze však říci, že pracovní e-mailová adresa obvykle osobním údaje bude, zatímco u soukromé e-mailové adresy, především u adresy založené u poskytovatele freemailových služeb, bude záležet i na dalších okolnostech.

Zákon o ochraně osobních údajů obecně nebrání tomu, aby pracovní e-mailová adresa v důvodných případech, u zaměstnanců, mezi jejichž pracovní povinnosti patří i komunikace s externími subjekty, byla zveřejněna na internetových stránkách jejich zaměstnavatele. Takovýto postup zpracování osobních údajů však musí být přiměřené a adekvátní ke sledovanému účelu a pochopitelně plnit i všechny další povinnosti zákonem o ochraně osobních údajů upravené.

Mgr. František Nonnemann,
autor je zaměstnancem Úřadu pro ochranu osobních údajů

--------------------------------------------------------------------------------

Článek vyjadřuje pouze názor autora, nikoliv jeho zaměstnavatele.

[1] Mgr. Milan Zeman, Je pracovní emailová adresa osobním údajem?, k dispozici >>> zde.
[2] Blíže k náležitostem souhlasu srov. stanovisko Úřadu pro ochranu osobních údajů č. 2/2008 dostupný na www.uoou.cz v rubrice Názory Úřadu / Stanoviska.
[3] K otázce přiměřenosti zásahu do soukromí při zpracování osobních údajů srov. stanovisko Úřadu pro ochranu osobních údajů č. 6/2009 dostupný na www.uoou.cz v rubrice Názory Úřadu / Stanoviska.

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz