Všeobecné nariadenie o ochrane údajov (GDPR)
Na stránke 25th mája nadobudne účinnosť všeobecné nariadenie o ochrane údajov (GDPR). So zavedením GDPR sa ochrana osobných údajov stáva čoraz dôležitejšou. Spoločnosti musia pri ochrane údajov zohľadniť prísnejšie pravidlá. V dôsledku splátky GDPR však vznikajú rôzne otázky. Pokiaľ ide o spoločnosti, môže byť nejasné, ktoré údaje sa považujú za osobné údaje a patria do rozsahu pôsobnosti GDPR. Toto je prípad e-mailových adries: považuje sa e-mailová adresa za osobné údaje? Podliehajú spoločnosti, ktoré používajú e-mailové adresy, predpisu GDPR? Na tieto otázky odpovieme v tomto článku.
Osobné údaje
Na zodpovedanie otázky, či sa e-mailová adresa považuje za osobné údaje, je potrebné definovať pojem osobné údaje. Tento pojem je vysvetlený v GDPR. Na základe článku 4 písm. A) GDPR osobné údaje znamenajú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Identifikovateľná fyzická osoba je osoba, ktorú je možné priamo alebo nepriamo identifikovať, najmä vo vzťahu k identifikátoru, ako je meno, identifikačné číslo, údaje o polohe alebo online identifikátor. Osobné údaje sa týkajú fyzických osôb. Preto sa informácie týkajúce sa zosnulých osôb alebo právnických osôb nepovažujú za osobné údaje.
Emailová adresa
Teraz, keď je definovaná definícia osobných údajov, je potrebné posúdiť, či sa e-mailová adresa považuje za osobný údaj. Holandský prípad zákon označuje, že e-mailové adresy môžu byť osobnými údajmi, ale nie vždy to tak je. Závisí to od toho, či fyzická osoba je alebo nie je identifikovaná alebo identifikovateľná na základe emailovej adresy.[1] Spôsob, akým osoby štruktúrovali svoje e-mailové adresy, je potrebné vziať do úvahy, aby bolo možné určiť, či možno e-mailovú adresu považovať za osobné údaje alebo nie.
Mnoho fyzických osôb štruktúruje svoju e-mailovú adresu takým spôsobom, že sa musí považovať za osobný údaj. Platí to napríklad v prípade, keď je e-mailová adresa štruktúrovaná takto: [chránené e-mailom]Táto e-mailová adresa odhaľuje meno a priezvisko fyzickej osoby, ktorá adresu používa.
Túto osobu je preto možné identifikovať na základe tejto e-mailovej adresy. E-mailové adresy, ktoré sa používajú na obchodné aktivity, môžu tiež obsahovať osobné údaje. To je prípad, keď je e-mailová adresa štruktúrovaná nasledovne: [chránené e-mailom]Z tejto e-mailovej adresy je možné odvodiť iniciály osoby, ktorá túto e-mailovú adresu používa, jej priezvisko a kde táto osoba pracuje. Osoba používajúca túto e-mailovú adresu je teda identifikovateľná na základe tejto e-mailovej adresy.
E-mailová adresa sa nepovažuje za osobný údaj, ak z nej nemožno identifikovať žiadnu fyzickú osobu. To je napríklad prípad, keď sa použije nasledujúca e-mailová adresa: [chránené e-mailom]Táto e-mailová adresa neobsahuje žiadne údaje, z ktorých by bolo možné identifikovať fyzickú osobu. Všeobecné e-mailové adresy, ktoré používajú spoločnosti, ako napríklad [chránené e-mailom], sa tiež nepovažujú za osobné údaje.
Táto emailová adresa neobsahuje žiadne osobné údaje, z ktorých by bolo možné identifikovať fyzickú osobu. E-mailovú adresu navyše nepoužíva fyzická osoba, ale právnická osoba. Preto sa nepovažuje za osobný údaj. Z holandskej judikatúry možno vyvodiť záver, že e-mailové adresy môžu byť osobnými údajmi, ale nie vždy to tak je; závisí to od štruktúry e-mailovej adresy.
Existuje veľká šanca, že fyzické osoby môžu byť identifikované podľa e-mailovej adresy, ktorú používajú, čím sa e-mailové adresy stávajú osobnými údajmi. Pri klasifikácii e-mailových adries ako osobných údajov nezáleží na tom, či spoločnosť skutočne používa e-mailové adresy na identifikáciu používateľov. Aj keď spoločnosť nevyužíva e-mailové adresy na účely identifikácie fyzických osôb, e-mailové adresy, z ktorých je možné fyzické osoby identifikovať, sa stále považujú za osobné údaje.
Nie každé technické alebo náhodné spojenie medzi osobou a údajmi je dostatočné na to, aby boli údaje označené ako osobné údaje. Ak však existuje možnosť, že e-mailové adresy možno použiť na identifikáciu používateľov, napríklad na odhalenie prípadov podvodu, e-mailové adresy sa považujú za osobné údaje. V tomto prípade nezáleží na tom, či spoločnosť zamýšľala použiť e-mailové adresy na tento účel alebo nie. O osobných údajoch zákon hovorí vtedy, ak existuje možnosť, že údaje možno použiť na účel, ktorý identifikuje fyzickú osobu.[2]
Osobné údaje
Hoci sa e-mailové adresy vo väčšine prípadov považujú za osobné údaje, nejde o osobitné osobné údaje. Osobitné osobné údaje sú osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v obchodnej činnosti a genetické alebo biometrické údaje. Toto vyplýva z článku 9 GDPR. E-mailová adresa tiež obsahuje menej verejných informácií ako napríklad domov adresa.
Je ťažšie zistiť niečiu e-mailovú adresu ako jeho domácu adresu a z veľkej časti závisí od používateľa e-mailovej adresy, či je e-mailová adresa zverejnená alebo nie. Okrem toho odhalenie e-mailovej adresy, ktorá mala zostať skrytá, má menej vážne dôsledky ako odhalenie domácej adresy, ktorá mala zostať skrytá. Je jednoduchšie zmeniť e-mailovú adresu ako domácu adresu a zistenie e-mailovej adresy môže viesť k digitálnemu kontaktu, zatiaľ čo zistenie adresy bydliska môže viesť k osobnému kontaktu.[3]
Spracovanie osobných údajov
Zistili sme, že e-mailové adresy sa väčšinou považujú za osobné údaje. GDPR sa však vzťahuje iba na spoločnosti, ktoré spracúvajú osobné údaje. Spracovanie osobných údajov existuje pri každej činnosti týkajúcej sa osobných údajov. Toto je ďalej definované v GDPR. Podľa článku 4 ods. 2 GDPR znamená spracovanie osobných údajov akúkoľvek operáciu, ktorá sa vykonáva s osobnými údajmi, či už automatickým spôsobom alebo nie. Príkladmi sú zhromažďovanie, zaznamenávanie, organizovanie, štruktúrovanie, ukladanie a používanie osobných údajov. Keď spoločnosti vykonávajú vyššie uvedené činnosti týkajúce sa e-mailových adries, spracúvajú osobné údaje. V takom prípade podliehajú GDPR.
Záver
Nie každá e-mailová adresa sa považuje za osobný údaj. E-mailové adresy sa však považujú za osobné údaje, keď poskytujú identifikovateľné informácie o fyzickej osobe. Mnoho e-mailových adries je štruktúrovaných tak, aby bolo možné identifikovať fyzickú osobu, ktorá e-mailovú adresu používa. Ide o prípad, keď emailová adresa obsahuje meno alebo pracovisko fyzickej osoby. Preto sa veľa e-mailových adries bude považovať za osobné údaje.
Pre spoločnosti je ťažké rozlišovať medzi e-mailovými adresami, ktoré sa považujú za osobné údaje, a e-mailovými adresami, ktoré nie sú, pretože to úplne závisí od štruktúry e-mailovej adresy. Dá sa teda s istotou povedať, že spoločnosti, ktoré spracúvajú osobné údaje, sa stretnú s e-mailovými adresami, ktoré sú považované za osobné údaje. To znamená, že tieto spoločnosti podliehajú GDPR a mali by implementovať zásady ochrany osobných údajov, ktoré sú poddajný s GDPR.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.