Vispārējā datu aizsardzības regula (GDPR)
Par 25th maija stāsies spēkā Vispārīgā datu aizsardzības regula (GDPR). Ar GDPR iemaksu personas datu aizsardzība kļūst arvien nozīmīgāka. Uzņēmumiem ir jāņem vērā vairāk un stingrāki noteikumi attiecībā uz datu aizsardzību. Tomēr GDPR iemaksas rezultātā rodas dažādi jautājumi. Uzņēmumiem var nebūt skaidrs, kuri dati tiek uzskatīti par personas datiem un kuri ietilpst GDPR darbības jomā. Tas attiecas uz e-pasta adresēm: vai e-pasta adrese tiek uzskatīta par personas datiem? Vai uzņēmumi, kas izmanto e-pasta adreses, ir pakļauti GDPR? Uz šiem jautājumiem tiks atbildēts šajā rakstā.
Personas dati
Lai atbildētu uz jautājumu, vai e-pasta adrese tiek uzskatīta par personas datiem, jādefinē termins personas dati. Šis termins ir izskaidrots GDPR. Balstoties uz GDPR 4. pantu, personas dati ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu. Identificējama fiziska persona ir persona, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz tādu identifikatoru kā vārds, identifikācijas numurs, atrašanās vietas dati vai tiešsaistes identifikators. Personas dati attiecas uz fiziskām personām. Tāpēc informāciju par mirušām vai juridiskām personām neuzskata par personas datiem.
Epasta adrese
Tagad, kad ir noteikta personas datu definīcija, ir jānovērtē, vai e-pasta adrese tiek uzskatīta par personas datiem. Holandes gadījums likums norāda, ka e-pasta adreses, iespējams, varētu būt personas dati, taču tas ne vienmēr tā ir. Tas ir atkarīgs no tā, vai fiziska persona ir identificēta vai identificējama pēc e-pasta adreses.[1] Lai noteiktu, vai e-pasta adresi var uzskatīt par personas datiem, ir jāņem vērā veids, kā personas ir strukturējušas savas e-pasta adreses.
A lot of natural persons structure their email address in such a way that the address has to be considered personal data. This is for example the case when an email address is structured in the following way: firstname.lastname@gmail.com. This email address exposes the first and last name of the natural person that uses the address.
Therefore, this person can be identified based on this email address. Email addresses that are used for business activities could also contain personal data. This is the case when an e-mail address is structured in the following way: initials.lastname@nameofcompany.com. From this email address can be derived what the initials of the person using the email address are, what his last name is and where this person works. Therefore, the person using this email address is identifiable based on the email address.
An email address is not considered to be personal data when no natural person can be identified from it. This is the case when for example the following email address is used: puppy12@hotmail.com. This email address does not contain any data from which a natural person can be identified. General email addresses that are used by companies, like info@nameofcompany.com, are also not considered to be personal data.
Šī e-pasta adrese nesatur nekādu personisku informāciju, pēc kuras var identificēt fizisku personu. Turklāt e-pasta adresi neizmanto fiziska persona, bet gan juridiska persona. Tāpēc tie nav uzskatāmi par personas datiem. No Nīderlandes judikatūras var secināt, ka e-pasta adreses var būt personas dati, taču tas ne vienmēr tā ir; tas ir atkarīgs no e-pasta adreses struktūras.
Pastāv liela iespēja, ka fiziskas personas var identificēt pēc to izmantotās e-pasta adreses, kas padara e-pasta adreses par personas datiem. Lai e-pasta adreses klasificētu kā personas datus, nav nozīmes tam, vai uzņēmums patiešām izmanto e-pasta adreses, lai identificētu lietotājus. Pat ja uzņēmums neizmanto e-pasta adreses fizisku personu identificēšanai, e-pasta adreses, no kurām var identificēt fiziskās personas, joprojām tiek uzskatītas par personas datiem.
Ne katra tehniska vai nejauša saikne starp personu un datiem ir pietiekama, lai datus klasificētu kā personas datus. Taču, ja pastāv iespēja, ka e-pasta adreses var izmantot, lai identificētu lietotājus, piemēram, atklātu krāpšanas gadījumus, e-pasta adreses tiek uzskatītas par personas datiem. Šajā gadījumā nav nozīmes tam, vai uzņēmums plānoja izmantot e-pasta adreses šim nolūkam. Likums par personas datiem runā, ja pastāv iespēja, ka datus var izmantot fiziskas personas identificēšanai.[2]
Īpaši personas dati
Lai gan e-pasta adreses lielākoties tiek uzskatītas par personas datiem, tās nav īpaši personas dati. Īpaši personas dati ir personas dati, kas atklāj rases vai etnisko izcelsmi, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai piederību profesijai, kā arī ģenētiskos vai biometriskos datus. Tas izriet no VDAR 9. panta. Turklāt e-pasta adrese satur mazāk publiskas informācijas nekā, piemēram, mājas adrese.
Ir grūtāk iegūt zināšanas par kāda cilvēka e-pasta adresi nekā viņa mājas adresi, un lielā mērā no e-pasta adreses lietotāja ir atkarīgs, vai e-pasta adrese tiek publiskota vai nē. Turklāt tādas e-pasta adreses atklāšanai, kurai vajadzēja palikt paslēptai, ir mazāk nopietnas sekas nekā mājas adreses atklāšanai, kurai vajadzēja palikt paslēptai. Mainīt e-pasta adresi ir vieglāk nekā mājas adresi, un e-pasta adreses atklāšana var novest pie digitālā kontakta, savukārt mājas adreses atklāšana var novest pie personīga kontakta.[3]
Personas datu apstrāde
Mēs esam noskaidrojuši, ka e-pasta adreses lielākoties tiek uzskatītas par personas datiem. Tomēr GDPR attiecas tikai uz uzņēmumiem, kas apstrādā personas datus. Personas datu apstrāde notiek visās darbībās attiecībā uz personas datiem. Tas ir sīkāk definēts GDPR. Saskaņā ar GDPR 4. panta 2. punktu personas datu apstrāde ir jebkura darbība, kas tiek veikta ar personas datiem, neatkarīgi no tā, vai tas notiek automātiski. Piemēri ir personas datu vākšana, reģistrēšana, organizēšana, strukturēšana, glabāšana un izmantošana. Kad uzņēmumi veic iepriekšminētās darbības attiecībā uz e-pasta adresēm, viņi apstrādā personas datus. Tādā gadījumā uz viņiem attiecas GDPR.
Secinājumi
Ne katra e-pasta adrese tiek uzskatīta par personas datiem. Tomēr e-pasta adreses tiek uzskatītas par personas datiem, ja tās sniedz identificējamu informāciju par fizisku personu. Daudzas e-pasta adreses ir strukturētas tā, lai varētu identificēt fizisku personu, kas izmanto e-pasta adresi. Tas ir gadījumā, ja e-pasta adresē ir norādīts fiziskas personas vārds vai darbavieta. Tāpēc daudzas e-pasta adreses tiks uzskatītas par personas datiem.
Uzņēmumiem ir grūti atšķirt e-pasta adreses, kas tiek uzskatītas par personas datiem, un e-pasta adreses, kas nav uzskatāmas par personas datiem, jo tas ir pilnībā atkarīgs no e-pasta adreses struktūras. Tāpēc var droši teikt, ka uzņēmumi, kas apstrādā personas datus, saskarsies ar e-pasta adresēm, kas tiek uzskatītas par personas datiem. Tas nozīmē, ka uz šiem uzņēmumiem attiecas GDPR, un tiem ir jāievieš privātuma politika Atbilstošs ar GDPR.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerstukens II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.