Splošna uredba o varstvu podatkov
Na 25th maja bo začela veljati Splošna uredba o varstvu podatkov (GDPR). Z obrokom GDPR postaja varstvo osebnih podatkov vse pomembnejše. Podjetja morajo pri varstvu podatkov upoštevati več in strožja pravila. Vendar pa se zaradi obroka GDPR porajajo različna vprašanja. Za podjetja morda ni jasno, kateri podatki se štejejo za osebne podatke in spadajo pod področje uporabe GDPR. To velja za e-poštne naslove: ali e-poštni naslov velja za osebne podatke? Ali podjetja, ki uporabljajo e-poštne naslove, urejajo GDPR? Na ta vprašanja bomo odgovorili v tem članku.
Osebni podatki
Za odgovor na vprašanje, ali se e-poštni naslov šteje za osebne podatke ali ne, je treba opredeliti izraz osebni podatki. Ta izraz je razložen v GDPR. Na podlagi 4. člena pod GDPR osebni podatki pomenijo vse podatke, ki se nanašajo na identificirano ali določljivo fizično osebo. Fizična oseba, ki jo je mogoče prepoznati, je oseba, ki jo je mogoče neposredno ali posredno identificirati, zlasti glede na identifikator, kot so ime, identifikacijska številka, podatki o lokaciji ali spletni identifikator. Osebni podatki se nanašajo na fizične osebe. Zato se podatki o umrlih osebah ali pravnih osebah ne štejejo za osebne podatke.
E-mail naslov
Zdaj, ko je definicija osebnih podatkov določena, jo je treba oceniti, če se e-poštni naslov šteje za osebne podatke. Nizozemska sodna praksa kaže, da bi lahko bili e-poštni naslovi osebni podatki, vendar to ni vedno tako. Odvisno je, ali je fizična oseba določena ali ne na podlagi elektronskega naslova. [1] Upoštevati je treba način strukturiranja svojih e-poštnih naslovov, da se ugotovi, ali je e-poštni naslov mogoče obravnavati kot osebne podatke ali ne. Veliko fizičnih oseb svoj e-poštni naslov strukturira tako, da je treba naslov obravnavati kot osebne podatke. To je na primer primer, ko je e-poštni naslov strukturiran na naslednji način: firstname.lastname@gmail.com. Ta e-poštni naslov prikazuje ime in priimek fizične osebe, ki uporablja naslov. Zato je to osebo mogoče identificirati na podlagi tega e-poštnega naslova. E-poštni naslovi, ki se uporabljajo za poslovne dejavnosti, lahko vsebujejo tudi osebne podatke. To je v primeru, ko je e-poštni naslov strukturiran na naslednji način: inicialke.lastname@nameofcompany.com. Iz tega e-poštnega naslova lahko razberemo, katere začetnice so osebe, ki uporabljajo e-poštni naslov, kakšen je njegov priimek in kje ta oseba deluje. Zato je oseba, ki uporablja ta e-poštni naslov, mogoče določiti na podlagi e-poštnega naslova.
Elektronski naslov se ne šteje kot osebni podatek, če iz njega ni mogoče prepoznati nobene fizične osebe. To je primer, ko je na primer uporabljen naslednji e-poštni naslov: puppy12@hotmail.com. Ta e-poštni naslov ne vsebuje nobenih podatkov, iz katerih bi bilo mogoče prepoznati fizično osebo. Splošni e-poštni naslovi, ki jih uporabljajo podjetja, na primer info@nameofcompany.com, prav tako ne veljajo za osebne podatke. Ta e-poštni naslov ne vsebuje nobenih osebnih podatkov, iz katerih bi lahko prepoznali fizično osebo. Poleg tega e-poštnega naslova ne uporablja fizična oseba, temveč pravna oseba. Zato se ne šteje za osebne podatke. Iz nizozemske sodne prakse je mogoče sklepati, da so elektronski naslovi lahko osebni podatki, vendar to ni vedno tako; to je odvisno od strukture e-poštnega naslova.
Obstaja velika možnost, da se fizične osebe prepoznajo po e-poštnem naslovu, ki ga uporabljajo, zaradi česar so e-poštni naslovi osebni podatki. Da bi e-poštne naslove razvrstili med osebne podatke, ni pomembno, ali podjetje e-poštne naslove dejansko uporablja za identifikacijo uporabnikov. Tudi če podjetje e-poštnih naslovov ne uporablja za identifikacijo fizičnih oseb, se e-poštni naslovi, s katerih je mogoče identificirati fizične osebe, še vedno štejejo za osebne podatke. Ni vsaka tehnična ali naključna povezava med osebo in podatki dovolj, da lahko podatke imenuje kot osebne podatke. Če pa obstaja možnost, da se lahko e-poštni naslovi uporabijo za identifikacijo uporabnikov, na primer za odkrivanje primerov goljufij, se šteje, da so e-poštni naslovi osebni podatki. Pri tem ni pomembno, ali je podjetje nameravalo v ta namen uporabiti e-poštne naslove. Zakon govori o osebnih podatkih, kadar obstaja možnost, da se podatki uporabijo za namen, ki identificira fizično osebo. [2]
Posebni osebni podatki
Čeprav e-poštni naslovi večino časa veljajo za osebne podatke, niso posebni osebni podatki. Posebni osebni podatki so osebni podatki, ki razkrivajo rasni ali etnični izvor, politična mnenja, verska ali filozofska prepričanja ali trgovinsko članstvo ter genetski ali biometrični podatki. To izhaja iz člena 9 GDPR. Prav tako e-poštni naslov vsebuje manj javnih informacij kot na primer domači naslov. Težje je pridobiti znanje o e-poštnem naslovu nekoga kot njegov domači naslov in večinoma je od uporabnika e-poštnega naslova odvisno, ali je e-poštni naslov javno objavljen ali ne. Poleg tega ima odkritje e-poštnega naslova, ki bi moral ostati skrit, manj resnih posledic kot odkritje domačega naslova, ki bi moral ostati skrit. E-poštni naslov je lažje spremeniti kot domači naslov in odkritje e-poštnega naslova lahko privede do digitalnega stika, medtem ko odkritje domačega naslova lahko vodi do osebnega stika. [3]
Obdelava osebnih podatkov
Ugotovili smo, da e-poštni naslovi večino časa veljajo za osebne podatke. Vendar GDPR velja samo za podjetja, ki obdelujejo osebne podatke. Obdelava osebnih podatkov obstaja za vsako dejanje v zvezi z osebnimi podatki. To je podrobneje opredeljeno v GDPR. V skladu s členom 4, pododstavek GDPR, obdelava osebnih podatkov pomeni vsako operacijo, ki se izvaja na osebnih podatkih, ne glede na to, ali samodejno. Primeri so zbiranje, snemanje, organiziranje, strukturiranje, shranjevanje in uporaba osebnih podatkov. Ko podjetja izvajajo zgoraj omenjene dejavnosti v zvezi z elektronskimi naslovi, obdelujejo osebne podatke. V tem primeru zanje velja GDPR.
zaključek
Ni vsak e-poštni naslov za osebne podatke. Vendar pa veljajo za e-poštne naslove kot osebne podatke, kadar zagotavljajo prepoznavne podatke o fizični osebi. Veliko e-poštnih naslovov je strukturirano na način, da se lahko fizična oseba, ki uporablja e-poštni naslov, prepozna. Tako je, če elektronski naslov vsebuje ime ali delovno mesto fizične osebe. Zato bo veliko e-poštnih naslovov veljalo za osebne podatke. Podjetja težko razlikujejo med e-poštnimi naslovi, ki veljajo za osebne podatke, in e-poštnimi naslovi, ki niso, saj je to v celoti odvisno od strukture e-poštnega naslova. Zato je varno reči, da bodo podjetja, ki obdelujejo osebne podatke, naletela na e-poštne naslove, ki veljajo za osebne podatke. To pomeni, da za ta podjetja velja GDPR in bi morali izvajati politiko zasebnosti, ki je skladna z GDPR.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.