E-mailové adresy a rozsah pôsobnosti GDPR. Všeobecné nariadenie o ochrane údajov

Na stránke 25th mája nadobudne účinnosť všeobecné nariadenie o ochrane údajov (GDPR). So zavedením GDPR sa ochrana osobných údajov stáva čoraz dôležitejšou. Spoločnosti musia pri ochrane údajov zohľadniť prísnejšie pravidlá. V dôsledku splátky GDPR však vznikajú rôzne otázky. Pokiaľ ide o spoločnosti, môže byť nejasné, ktoré údaje sa považujú za osobné údaje a patria do rozsahu pôsobnosti GDPR. Toto je prípad e-mailových adries: považuje sa e-mailová adresa za osobné údaje? Podliehajú spoločnosti, ktoré používajú e-mailové adresy, predpisu GDPR? Na tieto otázky odpovieme v tomto článku.

Osobné údaje

Na zodpovedanie otázky, či sa e-mailová adresa považuje za osobné údaje, je potrebné definovať pojem osobné údaje. Tento pojem je vysvetlený v GDPR. Na základe článku 4 písm. A) GDPR osobné údaje znamenajú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Identifikovateľná fyzická osoba je osoba, ktorú je možné priamo alebo nepriamo identifikovať, najmä vo vzťahu k identifikátoru, ako je meno, identifikačné číslo, údaje o polohe alebo online identifikátor. Osobné údaje sa týkajú fyzických osôb. Preto sa informácie týkajúce sa zosnulých osôb alebo právnických osôb nepovažujú za osobné údaje.

E-mailové adresy a rozsah pôsobnosti GDPR

Emailová adresa

Po určení definície osobných údajov je potrebné posúdiť, či sa e-mailová adresa považuje za osobné údaje. Holandská judikatúra naznačuje, že e-mailové adresy môžu byť osobnými údajmi, ale nie vždy tomu tak je. Záleží na tom, či je fyzická osoba identifikovaná alebo identifikovateľná na základe e-mailovej adresy. [1] Pri určovaní toho, či sa táto e-mailová adresa môže považovať za osobné údaje alebo nie, je potrebné zohľadniť spôsob, akým osoby štruktúrovali svoje e-mailové adresy. Mnoho fyzických osôb štruktúruje svoju e-mailovú adresu tak, aby sa adresa mala považovať za osobné údaje. Je to napríklad prípad, keď je e-mailová adresa štruktúrovaná nasledujúcim spôsobom: [chránené e-mailom] Táto e-mailová adresa zverejňuje meno a priezvisko fyzickej osoby, ktorá ju používa. Túto osobu preto možno identifikovať na základe tejto e-mailovej adresy. E-mailové adresy, ktoré sa používajú na obchodné činnosti, môžu obsahovať aj osobné údaje. To je prípad, keď je e-mailová adresa štruktúrovaná nasledujúcim spôsobom: [chránené e-mailom] Z tejto e-mailovej adresy je možné odvodiť, aké sú iniciálky osoby používajúcej túto e-mailovú adresu, aké sú jej priezvisko a kde táto osoba pracuje. Osoba používajúca túto e-mailovú adresu je preto identifikovateľná na základe e-mailovej adresy.

E-mailová adresa sa nepovažuje za osobné údaje, ak z nej nie je možné identifikovať žiadnu fyzickú osobu. To je prípad, keď sa napríklad použije nasledujúca e-mailová adresa: [chránené e-mailom] Táto e-mailová adresa neobsahuje žiadne údaje, z ktorých možno identifikovať fyzickú osobu. Všeobecné e-mailové adresy, ktoré používajú spoločnosti, napríklad [chránené e-mailom], sa tiež nepovažujú za osobné údaje. Táto e-mailová adresa neobsahuje žiadne osobné informácie, z ktorých možno identifikovať fyzickú osobu. E-mailovú adresu navyše nepoužíva fyzická osoba, ale právnická osoba. Preto sa nepovažuje za osobné údaje. Z holandskej judikatúry možno vyvodiť záver, že e-mailové adresy môžu byť osobnými údajmi, ale nie vždy tomu tak je; Závisí to od štruktúry e-mailovej adresy.

Existuje veľká šanca, že fyzické osoby môžu byť identifikované e-mailovou adresou, ktorú používajú, čo z e-mailových adries robí osobné údaje. Aby bolo možné e-mailové adresy klasifikovať ako osobné údaje, nezáleží na tom, či spoločnosť skutočne používa e-mailové adresy na identifikáciu používateľov. Aj keď spoločnosť nepoužíva e-mailové adresy na účely identifikácie fyzických osôb, e-mailové adresy, z ktorých možno identifikovať fyzické osoby, sa stále považujú za osobné údaje. Nie každé technické alebo náhodné spojenie medzi osobou a údajmi je dostatočné na to, aby sa údaje mohli označiť ako osobné údaje. Ak však existuje možnosť, že sa e-mailové adresy môžu použiť na identifikáciu používateľov, napríklad na odhalenie prípadov podvodu, e-mailové adresy sa považujú za osobné údaje. Pritom nezáleží na tom, či spoločnosť zamýšľala na tento účel použiť e-mailové adresy. Zákon hovorí o osobných údajoch, ak existuje možnosť, že údaje sa môžu použiť na účely identifikácie fyzickej osoby. [2]

Osobné údaje

Hoci e-mailové adresy sa väčšinou považujú za osobné údaje, nejde o špeciálne osobné údaje. Osobitné osobné údaje sú osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo obchodné členstvo a genetické alebo biometrické údaje. Vyplýva to z článku 9 GDPR. E-mailová adresa tiež obsahuje menej verejných informácií ako napríklad domáca adresa. Je ťažšie získať vedomosti o niekoho e-mailovej adrese ako jeho domácej adrese a do veľkej miery záleží na užívateľovi e-mailovej adresy, či bude alebo nebude zverejnená. Okrem toho má zistenie e-mailovej adresy, ktorá mala zostať skrytá, menej závažné následky ako zistenie domácej adresy, ktorá mala zostať skrytá. Je ľahšie zmeniť e-mailovú adresu ako domácu adresu a zistenie e-mailovej adresy by mohlo viesť k digitálnemu kontaktu, zatiaľ čo zistenie domácej adresy by mohlo viesť k osobnému kontaktu. [3]

Spracovanie osobných údajov

Zistili sme, že e-mailové adresy sa väčšinou považujú za osobné údaje. GDPR sa však vzťahuje iba na spoločnosti, ktoré spracúvajú osobné údaje. Spracovanie osobných údajov existuje pri každej činnosti týkajúcej sa osobných údajov. Toto je ďalej definované v GDPR. Podľa článku 4 ods. 2 GDPR znamená spracovanie osobných údajov akúkoľvek operáciu, ktorá sa vykonáva s osobnými údajmi, či už automatickým spôsobom alebo nie. Príkladmi sú zhromažďovanie, zaznamenávanie, organizovanie, štruktúrovanie, ukladanie a používanie osobných údajov. Keď spoločnosti vykonávajú vyššie uvedené činnosti týkajúce sa e-mailových adries, spracúvajú osobné údaje. V takom prípade podliehajú GDPR.

záver

Nie každá e-mailová adresa sa považuje za osobné údaje. E-mailové adresy sa však považujú za osobné údaje, keď poskytujú identifikovateľné informácie o fyzickej osobe. Mnoho e-mailových adries je štruktúrovaných tak, aby bolo možné identifikovať fyzickú osobu, ktorá e-mailovú adresu používa. To je prípad, keď e-mailová adresa obsahuje meno alebo pracovisko fyzickej osoby. Preto sa za osobné údaje bude považovať veľa e-mailových adries. Pre spoločnosti je ťažké rozlišovať medzi e-mailovými adresami, ktoré sa považujú za osobné údaje, a e-mailovými adresami, ktoré nie sú, pretože to úplne závisí od štruktúry e-mailovej adresy. Preto je možné povedať, že spoločnosti, ktoré spracúvajú osobné údaje, narazia na e-mailové adresy, ktoré sa považujú za osobné údaje. To znamená, že tieto spoločnosti podliehajú GDPR a mali by implementovať politiku ochrany súkromia, ktorá je v súlade s GDPR.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

zdieľam
Law & More B.V.