E-mailové adresy a rozsah pôsobnosti GDPR

E-mailové adresy a rozsah pôsobnosti GDPR

Všeobecné nariadenie o ochrane údajov

Na stránke 25th mája nadobudne účinnosť všeobecné nariadenie o ochrane údajov (GDPR). So zavedením GDPR sa ochrana osobných údajov stáva čoraz dôležitejšou. Spoločnosti musia pri ochrane údajov zohľadniť prísnejšie pravidlá. V dôsledku splátky GDPR však vznikajú rôzne otázky. Pokiaľ ide o spoločnosti, môže byť nejasné, ktoré údaje sa považujú za osobné údaje a patria do rozsahu pôsobnosti GDPR. Toto je prípad e-mailových adries: považuje sa e-mailová adresa za osobné údaje? Podliehajú spoločnosti, ktoré používajú e-mailové adresy, predpisu GDPR? Na tieto otázky odpovieme v tomto článku.

Osobné údaje

Na zodpovedanie otázky, či sa e-mailová adresa považuje za osobné údaje, je potrebné definovať pojem osobné údaje. Tento pojem je vysvetlený v GDPR. Na základe článku 4 písm. A) GDPR osobné údaje znamenajú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Identifikovateľná fyzická osoba je osoba, ktorú je možné priamo alebo nepriamo identifikovať, najmä vo vzťahu k identifikátoru, ako je meno, identifikačné číslo, údaje o polohe alebo online identifikátor. Osobné údaje sa týkajú fyzických osôb. Preto sa informácie týkajúce sa zosnulých osôb alebo právnických osôb nepovažujú za osobné údaje.

Emailová adresa

Teraz, keď je určená definícia osobných údajov, je potrebné preskúmať, či sa e-mailová adresa považuje za osobný údaj. Holandská judikatúra naznačuje, že e-mailové adresy môžu byť pravdepodobne osobnými údajmi, ale nie je to tak vždy. Závisí to od toho, či je alebo nie je fyzická osoba identifikovaná alebo identifikovateľná na základe e-mailovej adresy. [1] Je potrebné vziať do úvahy spôsob, akým osoby štruktúrujú svoje e-mailové adresy, aby bolo možné určiť, či sa e-mailová adresa môže považovať za osobný údaj alebo nie. Mnoho fyzických osôb štruktúruje svoju e-mailovú adresu tak, že sa táto adresa musí považovať za osobný údaj. Je to napríklad v prípade, keď je e-mailová adresa štruktúrovaná nasledujúcim spôsobom: firstname.lastname@gmail.com. Táto e-mailová adresa zverejňuje meno a priezvisko fyzickej osoby, ktorá používa adresu. Preto možno túto osobu identifikovať na základe tejto e-mailovej adresy. E-mailové adresy, ktoré sa používajú na obchodné aktivity, môžu tiež obsahovať osobné údaje. To je prípad, keď je e-mailová adresa štruktúrovaná nasledujúcim spôsobom: initials.lastname@nameofcompany.com. Z tejto e-mailovej adresy možno odvodiť, aké sú iniciály osoby používajúcej e-mailovú adresu, aké je jej priezvisko a kde táto osoba pracuje. Osoba používajúca túto e-mailovú adresu je preto identifikovateľná na základe e-mailovej adresy.

E-mailová adresa sa nepovažuje za osobný údaj, ak z nej nemožno zistiť žiadnu fyzickú osobu. To je prípad, keď sa použije napríklad táto e-mailová adresa: puppy12@hotmail.com. Táto e-mailová adresa neobsahuje žiadne údaje, z ktorých je možné identifikovať fyzickú osobu. Všeobecné e-mailové adresy, ktoré spoločnosti používajú, napríklad info@nameofcompany.com, sa tiež nepovažujú za osobné údaje. Táto e-mailová adresa neobsahuje žiadne osobné informácie, z ktorých je možné identifikovať fyzickú osobu. E-mailovú adresu navyše nepoužíva fyzická osoba, ale právnická osoba. Preto sa nepovažuje za osobný údaj. Z holandskej judikatúry možno vyvodiť záver, že e-mailové adresy môžu byť osobnými údajmi, ale nie je to tak vždy; záleží to na štruktúre e-mailovej adresy.

Existuje veľká šanca, že fyzické osoby môžu byť identifikované e-mailovou adresou, ktorú používajú, čo z e-mailových adries robí osobné údaje. Aby bolo možné e-mailové adresy klasifikovať ako osobné údaje, nezáleží na tom, či spoločnosť skutočne používa e-mailové adresy na identifikáciu používateľov. Aj keď spoločnosť nepoužíva e-mailové adresy na účely identifikácie fyzických osôb, e-mailové adresy, z ktorých možno identifikovať fyzické osoby, sa stále považujú za osobné údaje. Nie každé technické alebo náhodné spojenie medzi osobou a údajmi je dostatočné na to, aby sa údaje mohli označiť ako osobné údaje. Ak však existuje možnosť, že sa e-mailové adresy môžu použiť na identifikáciu používateľov, napríklad na odhalenie prípadov podvodu, e-mailové adresy sa považujú za osobné údaje. Pritom nezáleží na tom, či spoločnosť zamýšľala na tento účel použiť e-mailové adresy. Zákon hovorí o osobných údajoch, ak existuje možnosť, že údaje sa môžu použiť na účely identifikácie fyzickej osoby. [2]

Osobné údaje

Hoci e-mailové adresy sa väčšinou považujú za osobné údaje, nejde o špeciálne osobné údaje. Osobitné osobné údaje sú osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo obchodné členstvo a genetické alebo biometrické údaje. Vyplýva to z článku 9 GDPR. E-mailová adresa tiež obsahuje menej verejných informácií ako napríklad domáca adresa. Je ťažšie získať vedomosti o niekoho e-mailovej adrese ako jeho domácej adrese a do veľkej miery záleží na užívateľovi e-mailovej adresy, či bude alebo nebude zverejnená. Okrem toho má zistenie e-mailovej adresy, ktorá mala zostať skrytá, menej závažné následky ako zistenie domácej adresy, ktorá mala zostať skrytá. Je ľahšie zmeniť e-mailovú adresu ako domácu adresu a zistenie e-mailovej adresy by mohlo viesť k digitálnemu kontaktu, zatiaľ čo zistenie domácej adresy by mohlo viesť k osobnému kontaktu. [3]

Spracovanie osobných údajov

Zistili sme, že e-mailové adresy sa väčšinou považujú za osobné údaje. GDPR sa však vzťahuje iba na spoločnosti, ktoré spracúvajú osobné údaje. Spracovanie osobných údajov existuje pri každej činnosti týkajúcej sa osobných údajov. Toto je ďalej definované v GDPR. Podľa článku 4 ods. 2 GDPR znamená spracovanie osobných údajov akúkoľvek operáciu, ktorá sa vykonáva s osobnými údajmi, či už automatickým spôsobom alebo nie. Príkladmi sú zhromažďovanie, zaznamenávanie, organizovanie, štruktúrovanie, ukladanie a používanie osobných údajov. Keď spoločnosti vykonávajú vyššie uvedené činnosti týkajúce sa e-mailových adries, spracúvajú osobné údaje. V takom prípade podliehajú GDPR.

záver

Nie každá e-mailová adresa sa považuje za osobné údaje. E-mailové adresy sa však považujú za osobné údaje, keď poskytujú identifikovateľné informácie o fyzickej osobe. Mnoho e-mailových adries je štruktúrovaných tak, aby bolo možné identifikovať fyzickú osobu, ktorá e-mailovú adresu používa. To je prípad, keď e-mailová adresa obsahuje meno alebo pracovisko fyzickej osoby. Preto sa za osobné údaje bude považovať veľa e-mailových adries. Pre spoločnosti je ťažké rozlišovať medzi e-mailovými adresami, ktoré sa považujú za osobné údaje, a e-mailovými adresami, ktoré nie sú, pretože to úplne závisí od štruktúry e-mailovej adresy. Preto je možné povedať, že spoločnosti, ktoré spracúvajú osobné údaje, narazia na e-mailové adresy, ktoré sa považujú za osobné údaje. To znamená, že tieto spoločnosti podliehajú GDPR a mali by implementovať politiku ochrany súkromia, ktorá je v súlade s GDPR.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

Law & More