Vispārējā datu aizsardzības regula (GDPR)
Par 25th maija stāsies spēkā Vispārīgā datu aizsardzības regula (GDPR). Ar GDPR iemaksu personas datu aizsardzība kļūst arvien nozīmīgāka. Uzņēmumiem ir jāņem vērā vairāk un stingrāki noteikumi attiecībā uz datu aizsardzību. Tomēr GDPR iemaksas rezultātā rodas dažādi jautājumi. Uzņēmumiem var nebūt skaidrs, kuri dati tiek uzskatīti par personas datiem un kuri ietilpst GDPR darbības jomā. Tas attiecas uz e-pasta adresēm: vai e-pasta adrese tiek uzskatīta par personas datiem? Vai uzņēmumi, kas izmanto e-pasta adreses, ir pakļauti GDPR? Uz šiem jautājumiem tiks atbildēts šajā rakstā.
Personas dati
Lai atbildētu uz jautājumu, vai e-pasta adrese tiek uzskatīta par personas datiem, jādefinē termins personas dati. Šis termins ir izskaidrots GDPR. Balstoties uz GDPR 4. pantu, personas dati ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu. Identificējama fiziska persona ir persona, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz tādu identifikatoru kā vārds, identifikācijas numurs, atrašanās vietas dati vai tiešsaistes identifikators. Personas dati attiecas uz fiziskām personām. Tāpēc informāciju par mirušām vai juridiskām personām neuzskata par personas datiem.
Epasta adrese
Tagad, kad ir noteikta personas datu definīcija, ir jānovērtē, vai e-pasta adrese tiek uzskatīta par personas datiem. Holandes gadījums likums norāda, ka e-pasta adreses, iespējams, varētu būt personas dati, taču tas ne vienmēr tā ir. Tas ir atkarīgs no tā, vai fiziska persona ir identificēta vai identificējama pēc e-pasta adreses.[1] Lai noteiktu, vai e-pasta adresi var uzskatīt par personas datiem, ir jāņem vērā veids, kā personas ir strukturējušas savas e-pasta adreses.
Daudzas fiziskas personas strukturē savu e-pasta adresi tā, ka adrese ir jāuzskata par personas datiem. Piemēram, tas attiecas uz gadījumiem, kad e-pasta adrese ir strukturēta šādi: [e-pasts aizsargāts]Šajā e-pasta adresē ir norādīts tās fiziskās personas vārds un uzvārds, kura izmanto šo adresi.
Tādēļ šo personu var identificēt, pamatojoties uz šo e-pasta adresi. E-pasta adreses, kas tiek izmantotas uzņēmējdarbībai, var saturēt arī personas datus. Tas attiecas uz gadījumiem, kad e-pasta adrese ir strukturēta šādi: [e-pasts aizsargāts]No šīs e-pasta adreses var noteikt personas, kas izmanto šo e-pasta adresi, iniciāļus, uzvārdu un darba vietu. Tādēļ personu, kas izmanto šo e-pasta adresi, var identificēt pēc e-pasta adreses.
E-pasta adrese netiek uzskatīta par personas datiem, ja no tās nevar identificēt nevienu fizisku personu. Tas attiecas, piemēram, uz gadījumiem, kad tiek izmantota šāda e-pasta adrese: [e-pasts aizsargāts]Šī e-pasta adrese nesatur nekādus datus, pēc kuriem varētu identificēt fizisku personu. Vispārīgas e-pasta adreses, ko izmanto uzņēmumi, piemēram, [e-pasts aizsargāts], arī netiek uzskatīti par personas datiem.
Šī e-pasta adrese nesatur nekādu personisku informāciju, pēc kuras var identificēt fizisku personu. Turklāt e-pasta adresi neizmanto fiziska persona, bet gan juridiska persona. Tāpēc tie nav uzskatāmi par personas datiem. No Nīderlandes judikatūras var secināt, ka e-pasta adreses var būt personas dati, taču tas ne vienmēr tā ir; tas ir atkarīgs no e-pasta adreses struktūras.
Pastāv liela iespēja, ka fiziskas personas var identificēt pēc to izmantotās e-pasta adreses, kas padara e-pasta adreses par personas datiem. Lai e-pasta adreses klasificētu kā personas datus, nav nozīmes tam, vai uzņēmums patiešām izmanto e-pasta adreses, lai identificētu lietotājus. Pat ja uzņēmums neizmanto e-pasta adreses fizisku personu identificēšanai, e-pasta adreses, no kurām var identificēt fiziskās personas, joprojām tiek uzskatītas par personas datiem.
Ne katra tehniska vai nejauša saikne starp personu un datiem ir pietiekama, lai datus klasificētu kā personas datus. Taču, ja pastāv iespēja, ka e-pasta adreses var izmantot, lai identificētu lietotājus, piemēram, atklātu krāpšanas gadījumus, e-pasta adreses tiek uzskatītas par personas datiem. Šajā gadījumā nav nozīmes tam, vai uzņēmums plānoja izmantot e-pasta adreses šim nolūkam. Likums par personas datiem runā, ja pastāv iespēja, ka datus var izmantot fiziskas personas identificēšanai.[2]
Īpaši personas dati
Lai gan e-pasta adreses lielākoties tiek uzskatītas par personas datiem, tās nav īpaši personas dati. Īpaši personas dati ir personas dati, kas atklāj rases vai etnisko izcelsmi, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai piederību profesijai, kā arī ģenētiskos vai biometriskos datus. Tas izriet no VDAR 9. panta. Turklāt e-pasta adrese satur mazāk publiskas informācijas nekā, piemēram, mājas adrese.
Ir grūtāk iegūt zināšanas par kāda cilvēka e-pasta adresi nekā viņa mājas adresi, un lielā mērā no e-pasta adreses lietotāja ir atkarīgs, vai e-pasta adrese tiek publiskota vai nē. Turklāt tādas e-pasta adreses atklāšanai, kurai vajadzēja palikt paslēptai, ir mazāk nopietnas sekas nekā mājas adreses atklāšanai, kurai vajadzēja palikt paslēptai. Mainīt e-pasta adresi ir vieglāk nekā mājas adresi, un e-pasta adreses atklāšana var novest pie digitālā kontakta, savukārt mājas adreses atklāšana var novest pie personīga kontakta.[3]
Personas datu apstrāde
Mēs esam noskaidrojuši, ka e-pasta adreses lielākoties tiek uzskatītas par personas datiem. Tomēr GDPR attiecas tikai uz uzņēmumiem, kas apstrādā personas datus. Personas datu apstrāde notiek visās darbībās attiecībā uz personas datiem. Tas ir sīkāk definēts GDPR. Saskaņā ar GDPR 4. panta 2. punktu personas datu apstrāde ir jebkura darbība, kas tiek veikta ar personas datiem, neatkarīgi no tā, vai tas notiek automātiski. Piemēri ir personas datu vākšana, reģistrēšana, organizēšana, strukturēšana, glabāšana un izmantošana. Kad uzņēmumi veic iepriekšminētās darbības attiecībā uz e-pasta adresēm, viņi apstrādā personas datus. Tādā gadījumā uz viņiem attiecas GDPR.
Secinājumi
Ne katra e-pasta adrese tiek uzskatīta par personas datiem. Tomēr e-pasta adreses tiek uzskatītas par personas datiem, ja tās sniedz identificējamu informāciju par fizisku personu. Daudzas e-pasta adreses ir strukturētas tā, lai varētu identificēt fizisku personu, kas izmanto e-pasta adresi. Tas ir gadījumā, ja e-pasta adresē ir norādīts fiziskas personas vārds vai darbavieta. Tāpēc daudzas e-pasta adreses tiks uzskatītas par personas datiem.
Uzņēmumiem ir grūti atšķirt e-pasta adreses, kas tiek uzskatītas par personas datiem, un e-pasta adreses, kas nav uzskatāmas par personas datiem, jo tas ir pilnībā atkarīgs no e-pasta adreses struktūras. Tāpēc var droši teikt, ka uzņēmumi, kas apstrādā personas datus, saskarsies ar e-pasta adresēm, kas tiek uzskatītas par personas datiem. Tas nozīmē, ka uz šiem uzņēmumiem attiecas GDPR, un tiem ir jāievieš privātuma politika Atbilstošs ar GDPR.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerstukens II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.
