E-pasta adreses un GDPR darbības joma. Vispārīgā datu aizsardzības regula

Par 25th maija stāsies spēkā Vispārīgā datu aizsardzības regula (GDPR). Ar GDPR iemaksu personas datu aizsardzība kļūst arvien nozīmīgāka. Uzņēmumiem ir jāņem vērā vairāk un stingrāki noteikumi attiecībā uz datu aizsardzību. Tomēr GDPR iemaksas rezultātā rodas dažādi jautājumi. Uzņēmumiem var nebūt skaidrs, kuri dati tiek uzskatīti par personas datiem un kuri ietilpst GDPR darbības jomā. Tas attiecas uz e-pasta adresēm: vai e-pasta adrese tiek uzskatīta par personas datiem? Vai uzņēmumi, kas izmanto e-pasta adreses, ir pakļauti GDPR? Uz šiem jautājumiem tiks atbildēts šajā rakstā.

Personas dati

Lai atbildētu uz jautājumu, vai e-pasta adrese tiek uzskatīta par personas datiem, jādefinē termins personas dati. Šis termins ir izskaidrots GDPR. Balstoties uz GDPR 4. pantu, personas dati ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu. Identificējama fiziska persona ir persona, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz tādu identifikatoru kā vārds, identifikācijas numurs, atrašanās vietas dati vai tiešsaistes identifikators. Personas dati attiecas uz fiziskām personām. Tāpēc informāciju par mirušām vai juridiskām personām neuzskata par personas datiem.

E-pasta adreses un GDPR darbības joma

Epasta adrese

Tagad, kad ir noteikta personas datu definīcija, tas ir jāpārbauda, ​​ja e-pasta adrese tiek uzskatīta par personas datiem. Nīderlandes judikatūra norāda, ka e-pasta adreses, iespējams, varētu būt personas dati, taču tas ne vienmēr notiek. Tas ir atkarīgs no tā, vai fiziskā persona ir identificēta vai identificējama, pamatojoties uz e-pasta adresi. [1] Lai noteiktu, vai e-pasta adresi var uzskatīt par personas datiem, ir jāņem vērā tas, kā personas ir strukturējušas savas e-pasta adreses. Daudzas fiziskas personas strukturē savu e-pasta adresi tādā veidā, ka adrese ir jāuzskata par personas datiem. Piemēram, ja e-pasta adrese ir strukturēta šādā veidā: [e-pasts aizsargāts] Šī e-pasta adrese atklāj tās fiziskās personas vārdu un uzvārdu, kura šo adresi izmanto. Tādēļ šo personu var identificēt, pamatojoties uz šo e-pasta adresi. E-pasta adresēs, kuras izmanto uzņēmējdarbībā, varētu būt arī personas dati. Tas attiecas uz gadījumiem, kad e-pasta adrese ir strukturēta šādi: [e-pasts aizsargāts] No šīs e-pasta adreses var iegūt, kādi ir tās personas iniciāļi, kura lieto e-pasta adresi, kāds ir viņa uzvārds un kur šī persona strādā. Tāpēc persona, kas izmanto šo e-pasta adresi, ir identificējama, pamatojoties uz e-pasta adresi.

E-pasta adrese netiek uzskatīta par personas datiem, ja no tās nevar identificēt nevienu fizisku personu. Tas ir gadījumā, ja, piemēram, tiek izmantota šāda e-pasta adrese: [e-pasts aizsargāts] Šajā e-pasta adresē nav datu, no kuriem var identificēt fizisku personu. Vispārīgas e-pasta adreses, kuras izmanto uzņēmumi, piemēram, [e-pasts aizsargāts], arī netiek uzskatīti par personas datiem. Šajā e-pasta adresē nav personiskas informācijas, no kuras var identificēt fizisku personu. Turklāt e-pasta adresi neizmanto fiziska persona, bet gan juridiska persona. Tāpēc tas netiek uzskatīts par personas datiem. No Nīderlandes judikatūras var secināt, ka e-pasta adreses var būt personas dati, taču tas ne vienmēr notiek; tas ir atkarīgs no e-pasta adreses struktūras.

Pastāv liela iespēja, ka fiziskās personas var identificēt pēc viņu izmantotās e-pasta adreses, kas padara e-pasta adreses par personas datiem. Lai klasificētu e-pasta adreses kā personas datus, nav svarīgi, vai uzņēmums faktiski izmanto e-pasta adreses, lai identificētu lietotājus. Pat ja uzņēmums neizmanto e-pasta adreses fizisku personu identificēšanai, e-pasta adreses, no kurām var identificēt fiziskas personas, joprojām tiek uzskatītas par personas datiem. Ne katrs tehnisks vai nejaušs savienojums starp personu un datiem ir pietiekams, lai datus varētu atzīt par personas datiem. Tomēr, ja pastāv iespēja, ka e-pasta adreses var izmantot, lai identificētu lietotājus, piemēram, lai atklātu krāpšanas gadījumus, e-pasta adreses tiek uzskatītas par personas datiem. Šajā gadījumā nav svarīgi, vai uzņēmums šim nolūkam ir paredzējis izmantot e-pasta adreses. Likums runā par personas datiem, ja pastāv iespēja, ka datus var izmantot nolūkam, kas identificē fizisku personu. [2]

Īpaši personas dati

Lai arī e-pasta adreses lielākoties tiek uzskatītas par personas datiem, tie nav īpaši personas dati. Īpašie personas dati ir personas dati, kas atklāj rasu vai etnisko izcelsmi, politiskos uzskatus, reliģiskos vai filozofiskos uzskatus vai piederību tirdzniecībai, kā arī ģenētiskos vai biometriskos datus. Tas izriet no GDPR 9. panta. Arī e-pasta adresē ir mazāk publiskas informācijas nekā, piemēram, mājas adresē. Ir grūtāk iegūt zināšanas par kāda cilvēka e-pasta adresi, nevis par viņa mājas adresi, un lielā mērā no e-pasta adreses lietotāja ir atkarīgs, vai e-pasta adrese tiek publiskota. Turklāt e-pasta adreses atklāšanai, kurai vajadzēja palikt slēptai, ir mazāk nopietnas sekas nekā mājas adreses atklāšanai, kurai vajadzēja palikt slēptai. E-pasta adresi ir vieglāk mainīt nekā mājas adresi, un e-pasta adreses atrašana var izraisīt digitālu kontaktu, savukārt mājas adreses atrašana var izraisīt personisku kontaktu. [3]

Personas datu apstrāde

Mēs esam noskaidrojuši, ka e-pasta adreses lielākoties tiek uzskatītas par personas datiem. Tomēr GDPR attiecas tikai uz uzņēmumiem, kas apstrādā personas datus. Personas datu apstrāde notiek visās darbībās attiecībā uz personas datiem. Tas ir sīkāk definēts GDPR. Saskaņā ar GDPR 4. panta 2. punktu personas datu apstrāde ir jebkura darbība, kas tiek veikta ar personas datiem, neatkarīgi no tā, vai tas notiek automātiski. Piemēri ir personas datu vākšana, reģistrēšana, organizēšana, strukturēšana, glabāšana un izmantošana. Kad uzņēmumi veic iepriekšminētās darbības attiecībā uz e-pasta adresēm, viņi apstrādā personas datus. Tādā gadījumā uz viņiem attiecas GDPR.

secinājums

Ne katra e-pasta adrese tiek uzskatīta par personas datiem. Tomēr e-pasta adreses tiek uzskatītas par personas datiem, ja tās sniedz identificējamu informāciju par fizisku personu. Daudzas e-pasta adreses ir strukturētas tādā veidā, lai varētu identificēt fizisko personu, kas izmanto e-pasta adresi. Tas attiecas uz gadījumiem, kad e-pasta adresē ir norādīts fiziskas personas vārds vai darba vieta. Tāpēc liela daļa e-pasta adrešu tiks uzskatītas par personas datiem. Uzņēmumiem ir grūti nošķirt e-pasta adreses, kuras tiek uzskatītas par personas datiem, un e-pasta adreses, kuras nav, jo tas pilnībā atkarīgs no e-pasta adreses struktūras. Tāpēc var droši teikt, ka uzņēmumi, kas apstrādā personas datus, sastopas ar e-pasta adresēm, kuras tiek uzskatītas par personas datiem. Tas nozīmē, ka uz šiem uzņēmumiem attiecas GDPR, un viņiem jāīsteno GDPR atbilstoša privātuma politika.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Kamerstukens II 1979/80, 25 892, 3 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

Share
Law & More B.V.