Vispārējā datu aizsardzības regula
Par 25th maija stāsies spēkā Vispārīgā datu aizsardzības regula (GDPR). Ar GDPR iemaksu personas datu aizsardzība kļūst arvien nozīmīgāka. Uzņēmumiem ir jāņem vērā vairāk un stingrāki noteikumi attiecībā uz datu aizsardzību. Tomēr GDPR iemaksas rezultātā rodas dažādi jautājumi. Uzņēmumiem var nebūt skaidrs, kuri dati tiek uzskatīti par personas datiem un kuri ietilpst GDPR darbības jomā. Tas attiecas uz e-pasta adresēm: vai e-pasta adrese tiek uzskatīta par personas datiem? Vai uzņēmumi, kas izmanto e-pasta adreses, ir pakļauti GDPR? Uz šiem jautājumiem tiks atbildēts šajā rakstā.
Personas dati
Lai atbildētu uz jautājumu, vai e-pasta adrese tiek uzskatīta par personas datiem, jādefinē termins personas dati. Šis termins ir izskaidrots GDPR. Balstoties uz GDPR 4. pantu, personas dati ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu. Identificējama fiziska persona ir persona, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz tādu identifikatoru kā vārds, identifikācijas numurs, atrašanās vietas dati vai tiešsaistes identifikators. Personas dati attiecas uz fiziskām personām. Tāpēc informāciju par mirušām vai juridiskām personām neuzskata par personas datiem.
Epasta adrese
Tagad, kad ir noteikta personas datu definīcija, ir jāpieņem, vai e-pasta adrese tiek uzskatīta par personas datiem. Nīderlandes judikatūrā norādīts, ka e-pasta adreses, iespējams, varētu būt personas dati, taču tas ne vienmēr notiek. Tas ir atkarīgs no tā, vai fiziskā persona ir identificēta vai identificējama, pamatojoties uz e-pasta adresi. [1] Ir jāņem vērā veids, kā personas ir strukturējušas savu e-pasta adreses, lai noteiktu, vai e-pasta adresi var uzskatīt par personas datiem. Daudzas fiziskas personas strukturē savu e-pasta adresi tā, ka adrese jāuzskata par personas datiem. Tas ir, piemēram, gadījums, kad e-pasta adrese tiek strukturēta šādi: vārds.uzvārds@gmail.com. Šajā e-pasta adresē tiek parādīts tās fiziskās personas vārds un uzvārds, kura izmanto adresi. Tādēļ šo personu var identificēt, pamatojoties uz šo e-pasta adresi. E-pasta adresēs, kuras tiek izmantotas uzņēmējdarbībai, varētu būt arī personas dati. Tas notiek, ja e-pasta adrese tiek strukturēta šādā veidā: iniciāļi.uzvārds@uzņēmuma.com. No šīs e-pasta adreses var iegūt, kādi ir tās personas iniciāļi, kas izmanto e-pasta adresi, kāds ir viņa uzvārds un kur šī persona strādā. Tāpēc persona, kas izmanto šo e-pasta adresi, ir identificējama, pamatojoties uz e-pasta adresi.
E-pasta adrese netiek uzskatīta par personas datiem, ja no tām nevar identificēt nevienu fizisku personu. Tas notiek, ja, piemēram, tiek izmantota šāda e-pasta adrese: puppy12@hotmail.com. Šajā e-pasta adresē nav datu, no kuriem varētu identificēt fizisku personu. Arī vispārējās e-pasta adreses, kuras izmanto uzņēmumi, piemēram, info@nameofcompany.com, netiek uzskatītas par personas datiem. Šajā e-pasta adresē nav personas informācijas, no kuras varētu identificēt fizisku personu. Turklāt e-pasta adresi neizmanto fiziska persona, bet gan juridiska persona. Tāpēc tos neuzskata par personas datiem. No Nīderlandes judikatūras var secināt, ka e-pasta adreses var būt personas dati, taču tas ne vienmēr notiek; tas ir atkarīgs no e-pasta adreses struktūras.
Pastāv liela iespēja, ka fiziskās personas var identificēt pēc viņu izmantotās e-pasta adreses, kas padara e-pasta adreses par personas datiem. Lai klasificētu e-pasta adreses kā personas datus, nav svarīgi, vai uzņēmums faktiski izmanto e-pasta adreses, lai identificētu lietotājus. Pat ja uzņēmums neizmanto e-pasta adreses fizisku personu identificēšanai, e-pasta adreses, no kurām var identificēt fiziskas personas, joprojām tiek uzskatītas par personas datiem. Ne katrs tehnisks vai nejaušs savienojums starp personu un datiem ir pietiekams, lai datus varētu atzīt par personas datiem. Tomēr, ja pastāv iespēja, ka e-pasta adreses var izmantot, lai identificētu lietotājus, piemēram, lai atklātu krāpšanas gadījumus, e-pasta adreses tiek uzskatītas par personas datiem. Šajā gadījumā nav svarīgi, vai uzņēmums šim nolūkam ir paredzējis izmantot e-pasta adreses. Likums runā par personas datiem, ja pastāv iespēja, ka datus var izmantot nolūkam, kas identificē fizisku personu. [2]
Īpaši personas dati
Lai arī e-pasta adreses lielākoties tiek uzskatītas par personas datiem, tie nav īpaši personas dati. Īpašie personas dati ir personas dati, kas atklāj rasu vai etnisko izcelsmi, politiskos uzskatus, reliģiskos vai filozofiskos uzskatus vai piederību tirdzniecībai, kā arī ģenētiskos vai biometriskos datus. Tas izriet no GDPR 9. panta. Arī e-pasta adresē ir mazāk publiskas informācijas nekā, piemēram, mājas adresē. Ir grūtāk iegūt zināšanas par kāda cilvēka e-pasta adresi, nevis par viņa mājas adresi, un lielā mērā no e-pasta adreses lietotāja ir atkarīgs, vai e-pasta adrese tiek publiskota. Turklāt e-pasta adreses atklāšanai, kurai vajadzēja palikt slēptai, ir mazāk nopietnas sekas nekā mājas adreses atklāšanai, kurai vajadzēja palikt slēptai. E-pasta adresi ir vieglāk mainīt nekā mājas adresi, un e-pasta adreses atrašana var izraisīt digitālu kontaktu, savukārt mājas adreses atrašana var izraisīt personisku kontaktu. [3]
Personas datu apstrāde
Mēs esam noskaidrojuši, ka e-pasta adreses lielākoties tiek uzskatītas par personas datiem. Tomēr GDPR attiecas tikai uz uzņēmumiem, kas apstrādā personas datus. Personas datu apstrāde notiek visās darbībās attiecībā uz personas datiem. Tas ir sīkāk definēts GDPR. Saskaņā ar GDPR 4. panta 2. punktu personas datu apstrāde ir jebkura darbība, kas tiek veikta ar personas datiem, neatkarīgi no tā, vai tas notiek automātiski. Piemēri ir personas datu vākšana, reģistrēšana, organizēšana, strukturēšana, glabāšana un izmantošana. Kad uzņēmumi veic iepriekšminētās darbības attiecībā uz e-pasta adresēm, viņi apstrādā personas datus. Tādā gadījumā uz viņiem attiecas GDPR.
Secinājumi
Ne katra e-pasta adrese tiek uzskatīta par personas datiem. Tomēr e-pasta adreses tiek uzskatītas par personas datiem, ja tās sniedz identificējamu informāciju par fizisku personu. Daudzas e-pasta adreses ir strukturētas tādā veidā, lai varētu identificēt fizisko personu, kas izmanto e-pasta adresi. Tas attiecas uz gadījumiem, kad e-pasta adresē ir norādīts fiziskas personas vārds vai darba vieta. Tāpēc liela daļa e-pasta adrešu tiks uzskatītas par personas datiem. Uzņēmumiem ir grūti nošķirt e-pasta adreses, kuras tiek uzskatītas par personas datiem, un e-pasta adreses, kuras nav, jo tas pilnībā atkarīgs no e-pasta adreses struktūras. Tāpēc var droši teikt, ka uzņēmumi, kas apstrādā personas datus, sastopas ar e-pasta adresēm, kuras tiek uzskatītas par personas datiem. Tas nozīmē, ka uz šiem uzņēmumiem attiecas GDPR, un viņiem jāīsteno GDPR atbilstoša privātuma politika.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerstukens II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.