E-mailové adresy a rozsah pôsobnosti GDPR. Všeobecné nariadenie o ochrane údajov

Na stránke 25th mája nadobudne účinnosť všeobecné nariadenie o ochrane údajov (GDPR). So zavedením GDPR sa ochrana osobných údajov stáva čoraz dôležitejšou. Spoločnosti musia pri ochrane údajov zohľadniť prísnejšie pravidlá. V dôsledku splátky GDPR však vznikajú rôzne otázky. Pokiaľ ide o spoločnosti, môže byť nejasné, ktoré údaje sa považujú za osobné údaje a patria do rozsahu pôsobnosti GDPR. Toto je prípad e-mailových adries: považuje sa e-mailová adresa za osobné údaje? Podliehajú spoločnosti, ktoré používajú e-mailové adresy, predpisu GDPR? Na tieto otázky odpovieme v tomto článku.

Osobné údaje

Na zodpovedanie otázky, či sa e-mailová adresa považuje za osobné údaje, je potrebné definovať pojem osobné údaje. Tento pojem je vysvetlený v GDPR. Na základe článku 4 písm. A) GDPR osobné údaje znamenajú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Identifikovateľná fyzická osoba je osoba, ktorú je možné priamo alebo nepriamo identifikovať, najmä vo vzťahu k identifikátoru, ako je meno, identifikačné číslo, údaje o polohe alebo online identifikátor. Osobné údaje sa týkajú fyzických osôb. Preto sa informácie týkajúce sa zosnulých osôb alebo právnických osôb nepovažujú za osobné údaje.

E-mailové adresy a rozsah pôsobnosti GDPR

Emailová adresa

Now that the definition of personal data is determined, it needs to be assed if an email address is considered to be personal data. Dutch case law indicates that email addresses could possibly be personal data, but that this is not always the case. It depends whether or not a natural person is identified or identifiable based on the email address.[1] The way persons have structured their email addresses has to be taken into account in order to determine whether the email address can be seen as personal data or not. A lot of natural persons structure their email address in such a way that the address has to be considered personal data. This is for example the case when an email address is structured in the following way: firstname.lastname@gmail.com. This email address exposes the first and last name of the natural person that uses the address. Therefore, this person can be identified based on this email address. Email addresses that are used for business activities could also contain personal data. This is the case when an e-mail address is structured in the following way: initials.lastname@nameofcompany.com. From this email address can be derived what the initials of the person using the email address are, what his last name is and where this person works. Therefore, the person using this email address is identifiable based on the email address.

An email address is not considered to be personal data when no natural person can be identified from it. This is the case when for example the following email address is used: puppy12@hotmail.com. This email address does not contain any data from which a natural person can be identified. General email addresses that are used by companies, like info@nameofcompany.com, are also not considered to be personal data. This email address does not contain any personal information from which a natural person can be identified. Moreover, the email address is not used by a natural person, but by a legal entity. Therefore, it is not considered to be personal data. From Dutch case law can be concluded that email addresses can be personal data, but this is not always the case; it depends of the structure of the email address.

Existuje veľká šanca, že fyzické osoby môžu byť identifikované e-mailovou adresou, ktorú používajú, čo z e-mailových adries robí osobné údaje. Aby bolo možné e-mailové adresy klasifikovať ako osobné údaje, nezáleží na tom, či spoločnosť skutočne používa e-mailové adresy na identifikáciu používateľov. Aj keď spoločnosť nepoužíva e-mailové adresy na účely identifikácie fyzických osôb, e-mailové adresy, z ktorých možno identifikovať fyzické osoby, sa stále považujú za osobné údaje. Nie každé technické alebo náhodné spojenie medzi osobou a údajmi je dostatočné na to, aby sa údaje mohli označiť ako osobné údaje. Ak však existuje možnosť, že sa e-mailové adresy môžu použiť na identifikáciu používateľov, napríklad na odhalenie prípadov podvodu, e-mailové adresy sa považujú za osobné údaje. Pritom nezáleží na tom, či spoločnosť zamýšľala na tento účel použiť e-mailové adresy. Zákon hovorí o osobných údajoch, ak existuje možnosť, že údaje sa môžu použiť na účely identifikácie fyzickej osoby. [2]

Osobné údaje

Hoci e-mailové adresy sa väčšinou považujú za osobné údaje, nejde o špeciálne osobné údaje. Osobitné osobné údaje sú osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo obchodné členstvo a genetické alebo biometrické údaje. Vyplýva to z článku 9 GDPR. E-mailová adresa tiež obsahuje menej verejných informácií ako napríklad domáca adresa. Je ťažšie získať vedomosti o niekoho e-mailovej adrese ako jeho domácej adrese a do veľkej miery záleží na užívateľovi e-mailovej adresy, či bude alebo nebude zverejnená. Okrem toho má zistenie e-mailovej adresy, ktorá mala zostať skrytá, menej závažné následky ako zistenie domácej adresy, ktorá mala zostať skrytá. Je ľahšie zmeniť e-mailovú adresu ako domácu adresu a zistenie e-mailovej adresy by mohlo viesť k digitálnemu kontaktu, zatiaľ čo zistenie domácej adresy by mohlo viesť k osobnému kontaktu. [3]

Spracovanie osobných údajov

Zistili sme, že e-mailové adresy sa väčšinou považujú za osobné údaje. GDPR sa však vzťahuje iba na spoločnosti, ktoré spracúvajú osobné údaje. Spracovanie osobných údajov existuje pri každej činnosti týkajúcej sa osobných údajov. Toto je ďalej definované v GDPR. Podľa článku 4 ods. 2 GDPR znamená spracovanie osobných údajov akúkoľvek operáciu, ktorá sa vykonáva s osobnými údajmi, či už automatickým spôsobom alebo nie. Príkladmi sú zhromažďovanie, zaznamenávanie, organizovanie, štruktúrovanie, ukladanie a používanie osobných údajov. Keď spoločnosti vykonávajú vyššie uvedené činnosti týkajúce sa e-mailových adries, spracúvajú osobné údaje. V takom prípade podliehajú GDPR.

záver

Nie každá e-mailová adresa sa považuje za osobné údaje. E-mailové adresy sa však považujú za osobné údaje, keď poskytujú identifikovateľné informácie o fyzickej osobe. Mnoho e-mailových adries je štruktúrovaných tak, aby bolo možné identifikovať fyzickú osobu, ktorá e-mailovú adresu používa. To je prípad, keď e-mailová adresa obsahuje meno alebo pracovisko fyzickej osoby. Preto sa za osobné údaje bude považovať veľa e-mailových adries. Pre spoločnosti je ťažké rozlišovať medzi e-mailovými adresami, ktoré sa považujú za osobné údaje, a e-mailovými adresami, ktoré nie sú, pretože to úplne závisí od štruktúry e-mailovej adresy. Preto je možné povedať, že spoločnosti, ktoré spracúvajú osobné údaje, narazia na e-mailové adresy, ktoré sa považujú za osobné údaje. To znamená, že tieto spoločnosti podliehajú GDPR a mali by implementovať politiku ochrany súkromia, ktorá je v súlade s GDPR.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

zdieľam