E-pasta adreses un GDPR darbības joma. Vispārīgā datu aizsardzības regula

Par 25th maija stāsies spēkā Vispārīgā datu aizsardzības regula (GDPR). Ar GDPR iemaksu personas datu aizsardzība kļūst arvien nozīmīgāka. Uzņēmumiem ir jāņem vērā vairāk un stingrāki noteikumi attiecībā uz datu aizsardzību. Tomēr GDPR iemaksas rezultātā rodas dažādi jautājumi. Uzņēmumiem var nebūt skaidrs, kuri dati tiek uzskatīti par personas datiem un kuri ietilpst GDPR darbības jomā. Tas attiecas uz e-pasta adresēm: vai e-pasta adrese tiek uzskatīta par personas datiem? Vai uzņēmumi, kas izmanto e-pasta adreses, ir pakļauti GDPR? Uz šiem jautājumiem tiks atbildēts šajā rakstā.

Personas dati

Lai atbildētu uz jautājumu, vai e-pasta adrese tiek uzskatīta par personas datiem, jādefinē termins personas dati. Šis termins ir izskaidrots GDPR. Balstoties uz GDPR 4. pantu, personas dati ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu. Identificējama fiziska persona ir persona, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz tādu identifikatoru kā vārds, identifikācijas numurs, atrašanās vietas dati vai tiešsaistes identifikators. Personas dati attiecas uz fiziskām personām. Tāpēc informāciju par mirušām vai juridiskām personām neuzskata par personas datiem.

E-pasta adreses un GDPR darbības joma

Epasta adrese

Now that the definition of personal data is determined, it needs to be assed if an email address is considered to be personal data. Dutch case law indicates that email addresses could possibly be personal data, but that this is not always the case. It depends whether or not a natural person is identified or identifiable based on the email address.[1] The way persons have structured their email addresses has to be taken into account in order to determine whether the email address can be seen as personal data or not. A lot of natural persons structure their email address in such a way that the address has to be considered personal data. This is for example the case when an email address is structured in the following way: firstname.lastname@gmail.com. This email address exposes the first and last name of the natural person that uses the address. Therefore, this person can be identified based on this email address. Email addresses that are used for business activities could also contain personal data. This is the case when an e-mail address is structured in the following way: initials.lastname@nameofcompany.com. From this email address can be derived what the initials of the person using the email address are, what his last name is and where this person works. Therefore, the person using this email address is identifiable based on the email address.

An email address is not considered to be personal data when no natural person can be identified from it. This is the case when for example the following email address is used: puppy12@hotmail.com. This email address does not contain any data from which a natural person can be identified. General email addresses that are used by companies, like info@nameofcompany.com, are also not considered to be personal data. This email address does not contain any personal information from which a natural person can be identified. Moreover, the email address is not used by a natural person, but by a legal entity. Therefore, it is not considered to be personal data. From Dutch case law can be concluded that email addresses can be personal data, but this is not always the case; it depends of the structure of the email address.

Pastāv liela iespēja, ka fiziskās personas var identificēt pēc viņu izmantotās e-pasta adreses, kas padara e-pasta adreses par personas datiem. Lai klasificētu e-pasta adreses kā personas datus, nav svarīgi, vai uzņēmums faktiski izmanto e-pasta adreses, lai identificētu lietotājus. Pat ja uzņēmums neizmanto e-pasta adreses fizisku personu identificēšanai, e-pasta adreses, no kurām var identificēt fiziskas personas, joprojām tiek uzskatītas par personas datiem. Ne katrs tehnisks vai nejaušs savienojums starp personu un datiem ir pietiekams, lai datus varētu atzīt par personas datiem. Tomēr, ja pastāv iespēja, ka e-pasta adreses var izmantot, lai identificētu lietotājus, piemēram, lai atklātu krāpšanas gadījumus, e-pasta adreses tiek uzskatītas par personas datiem. Šajā gadījumā nav svarīgi, vai uzņēmums šim nolūkam ir paredzējis izmantot e-pasta adreses. Likums runā par personas datiem, ja pastāv iespēja, ka datus var izmantot nolūkam, kas identificē fizisku personu. [2]

Īpaši personas dati

Lai arī e-pasta adreses lielākoties tiek uzskatītas par personas datiem, tie nav īpaši personas dati. Īpašie personas dati ir personas dati, kas atklāj rasu vai etnisko izcelsmi, politiskos uzskatus, reliģiskos vai filozofiskos uzskatus vai piederību tirdzniecībai, kā arī ģenētiskos vai biometriskos datus. Tas izriet no GDPR 9. panta. Arī e-pasta adresē ir mazāk publiskas informācijas nekā, piemēram, mājas adresē. Ir grūtāk iegūt zināšanas par kāda cilvēka e-pasta adresi, nevis par viņa mājas adresi, un lielā mērā no e-pasta adreses lietotāja ir atkarīgs, vai e-pasta adrese tiek publiskota. Turklāt e-pasta adreses atklāšanai, kurai vajadzēja palikt slēptai, ir mazāk nopietnas sekas nekā mājas adreses atklāšanai, kurai vajadzēja palikt slēptai. E-pasta adresi ir vieglāk mainīt nekā mājas adresi, un e-pasta adreses atrašana var izraisīt digitālu kontaktu, savukārt mājas adreses atrašana var izraisīt personisku kontaktu. [3]

Personas datu apstrāde

Mēs esam noskaidrojuši, ka e-pasta adreses lielākoties tiek uzskatītas par personas datiem. Tomēr GDPR attiecas tikai uz uzņēmumiem, kas apstrādā personas datus. Personas datu apstrāde notiek visās darbībās attiecībā uz personas datiem. Tas ir sīkāk definēts GDPR. Saskaņā ar GDPR 4. panta 2. punktu personas datu apstrāde ir jebkura darbība, kas tiek veikta ar personas datiem, neatkarīgi no tā, vai tas notiek automātiski. Piemēri ir personas datu vākšana, reģistrēšana, organizēšana, strukturēšana, glabāšana un izmantošana. Kad uzņēmumi veic iepriekšminētās darbības attiecībā uz e-pasta adresēm, viņi apstrādā personas datus. Tādā gadījumā uz viņiem attiecas GDPR.

secinājums

Ne katra e-pasta adrese tiek uzskatīta par personas datiem. Tomēr e-pasta adreses tiek uzskatītas par personas datiem, ja tās sniedz identificējamu informāciju par fizisku personu. Daudzas e-pasta adreses ir strukturētas tādā veidā, lai varētu identificēt fizisko personu, kas izmanto e-pasta adresi. Tas attiecas uz gadījumiem, kad e-pasta adresē ir norādīts fiziskas personas vārds vai darba vieta. Tāpēc liela daļa e-pasta adrešu tiks uzskatītas par personas datiem. Uzņēmumiem ir grūti nošķirt e-pasta adreses, kuras tiek uzskatītas par personas datiem, un e-pasta adreses, kuras nav, jo tas pilnībā atkarīgs no e-pasta adreses struktūras. Tāpēc var droši teikt, ka uzņēmumi, kas apstrādā personas datus, sastopas ar e-pasta adresēm, kuras tiek uzskatītas par personas datiem. Tas nozīmē, ka uz šiem uzņēmumiem attiecas GDPR, un viņiem jāīsteno GDPR atbilstoša privātuma politika.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Kamerstukens II 1979/80, 25 892, 3 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

Share