Sähköpostiosoitteet ja GDPR: n laajuus. Yleinen tietosuoja-asetus

25: ssath toukokuussa yleinen tietosuoja-asetus (GDPR) tulee voimaan. GDPR: n erän myötä henkilötietojen suojaaminen tulee entistä tärkeämmäksi. Yritysten on otettava huomioon entistä tiukemmat tietosuojaa koskevat säännöt. GDPR: n takaisinmaksun seurauksena syntyy kuitenkin erilaisia ​​kysymyksiä. Yrityksille voi olla epäselvää, mitä tietoja pidetään henkilötietoina ja kuuluvat BKT: n soveltamisalaan. Tämä koskee sähköpostiosoitteita: pidetäänkö sähköpostiosoitetta henkilötietoina? Ovatko yritykset, jotka käyttävät sähköpostiosoitteita, GDPR-vaatimuksia? Näihin kysymyksiin vastataan tässä artikkelissa.

Henkilötiedot

Jotta vastataan kysymykseen, pidetäänkö sähköpostiosoitetta henkilötietoina, on määriteltävä termi henkilökohtaiset tiedot. Tämä termi selitetään GDPR: ssä. GDPR: n 4 pykälän nojalla henkilötiedoilla tarkoitetaan mitä tahansa tietoa tunnistetusta tai tunnistettavasta luonnollisesta henkilöstä. Tunnistettavissa oleva luonnollinen henkilö on henkilö, joka voidaan tunnistaa suoraan tai epäsuorasti erityisesti tunnisteen, kuten nimen, tunnusnumeron, sijaintitietojen tai online-tunnisteen, suhteen. Henkilötiedoilla tarkoitetaan luonnollisia henkilöitä. Siksi kuolleita henkilöitä tai oikeushenkilöitä koskevia tietoja ei pidetä henkilötietoina.

Sähköpostiosoitteet ja GDPR: n laajuus

Sähköpostiosoite

Nyt kun henkilötietojen määritelmä on määritetty, se on tehtävä, jos sähköpostiosoitetta pidetään henkilötietoina. Alankomaiden oikeuskäytäntö osoittaa, että sähköpostiosoitteet saattavat olla henkilökohtaisia ​​tietoja, mutta näin ei aina ole. Se riippuu siitä, tunnistetaanko luonnollinen henkilö vai tunnistetaanko sähköpostiosoitteen perusteella. [1] Tapa, jolla ihmiset ovat jäsentänyt sähköpostiosoitteensa, on otettava huomioon määritettäessä, voidaanko sähköpostiosoitetta pitää henkilötietoina vai ei. Monet luonnolliset henkilöt rakentavat sähköpostiosoitteensa siten, että osoitetta on pidettävä henkilötietoina. Tämä tapahtuu esimerkiksi silloin, kun sähköpostiosoite on rakennettu seuraavasti: [sähköposti suojattu] Tämä sähköpostiosoite paljastaa osoitetta käyttävän luonnollisen henkilön etunimen ja sukunimen. Siksi tämä henkilö voidaan tunnistaa tämän sähköpostiosoitteen perusteella. Yritystoimintaan käytettävät sähköpostiosoitteet voivat sisältää myös henkilötietoja. Näin on silloin, kun sähköpostiosoite on rakennettu seuraavasti: [sähköposti suojattu] Tästä sähköpostiosoitteesta voidaan johtaa, mitä sähköpostiosoitetta käyttävän henkilön alkukirjaimet ovat, mikä on hänen sukunimi ja missä tämä henkilö toimii. Siksi tätä sähköpostiosoitetta käyttävä henkilö on tunnistettavissa sähköpostiosoitteen perusteella.

Sähköpostiosoitetta ei pidetä henkilötietoina, kun siitä ei voida tunnistaa luonnollista henkilöä. Näin on esimerkiksi silloin, kun käytetään seuraavaa sähköpostiosoitetta: [sähköposti suojattu] Tämä sähköpostiosoite ei sisällä tietoja, joista luonnollinen henkilö voidaan tunnistaa. Yleiset sähköpostiosoitteet, joita yritykset käyttävät, kuten [sähköposti suojattu], ei myöskään pidetä henkilötietoina. Tämä sähköpostiosoite ei sisällä henkilökohtaisia ​​tietoja, joista luonnollinen henkilö voidaan tunnistaa. Lisäksi sähköpostiosoitetta ei käytä luonnollinen henkilö, vaan oikeushenkilö. Siksi sitä ei pidetä henkilötietoina. Alankomaiden oikeuskäytännöstä voidaan päätellä, että sähköpostiosoitteet voivat olla henkilökohtaisia ​​tietoja, mutta näin ei aina ole; se riippuu sähköpostiosoitteen rakenteesta.

On suuri mahdollisuus, että luonnolliset henkilöt voidaan tunnistaa käyttämästä sähköpostiosoitteesta, joka tekee sähköpostiosoitteista henkilökohtaisia ​​tietoja. Jotta sähköpostiosoitteet voidaan luokitella henkilökohtaisiksi tiedoiksi, ei ole väliä, käyttääkö yritys todella sähköpostiosoitteita käyttäjien tunnistamiseen. Vaikka yritys ei käytä sähköpostiosoitteita luonnollisten henkilöiden tunnistamiseen, sähköpostiosoitteita, joista luonnolliset henkilöt voidaan tunnistaa, pidetään edelleen henkilötietoina. Ei jokainen tekninen tai sattumanvarainen yhteys ihmisen ja datan välillä ei riitä nimeämään tietoja henkilötietoiksi. Jos on kuitenkin mahdollista, että sähköpostiosoitteita voidaan käyttää käyttäjien tunnistamiseen, esimerkiksi petoksien havaitsemiseksi, sähköpostiosoitteita pidetään henkilötietoina. Tässä ei ole väliä, aikooko yritys käyttää sähköpostiosoitteita tähän tarkoitukseen. Laki puhuu henkilötiedoista silloin, kun on olemassa mahdollisuus, että tietoja voidaan käyttää tarkoitukseen, joka tunnistaa luonnollisen henkilön. [2]

Erityiset henkilötiedot

Vaikka sähköpostiosoitteita pidetään suurimmaksi osaksi henkilötietoina, ne eivät ole erityisiä henkilötietoja. Erityiset henkilötiedot ovat henkilötietoja, jotka paljastavat rodun tai etnisen alkuperän, poliittiset mielipiteet, uskonnolliset tai filosofiset vakaumukset tai kaupan jäsenyyden, sekä geneettiset tai biometriset tiedot. Tämä johtuu BKT: n 9 artiklasta. Lisäksi sähköpostiosoite sisältää vähemmän julkista tietoa kuin esimerkiksi kotiosoite. Jonkun sähköpostiosoitteesta on vaikeampaa saada tietoa kuin hänen kotiosoitteestaan, ja sähköpostiosoitteen käyttäjältä riippuu suurelta osin siitä, julkistetaanko sähköpostiosoite vai ei. Lisäksi sähköpostiosoitteen löytämisellä, jonka olisi pitänyt pysyä piilossa, on vähemmän vakavia seurauksia kuin kotiosoitteen löytämisessä, jonka olisi pitänyt pysyä piilossa. Sähköpostiosoitetta on helpompaa muuttaa kuin kotiosoitetta, ja sähköpostiosoitteen löytäminen voi johtaa digitaaliseen yhteystietoon, kun taas kotiosoitteen löytäminen voi johtaa henkilökohtaiseen kontaktiin. [3]

Henkilötietojen käsittely

Olemme todenneet, että sähköpostiosoitteita pidetään suurimmaksi osaksi henkilötietoina. GDPR koskee kuitenkin vain yrityksiä, jotka käsittelevät henkilötietoja. Henkilötietojen käsittely tapahtuu kaikissa henkilötietoihin liittyvissä toimissa. Tämä määritellään tarkemmin GDPR: ssä. GDPR-lain 4 pykälän 2 momentin mukaan henkilötietojen käsittelyllä tarkoitetaan mitä tahansa toimenpidettä, joka suoritetaan henkilötiedoille riippumatta siitä, suoritetaanko automaattinen tai ei. Esimerkkejä ovat henkilötietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, tallentaminen ja käyttö. Kun yritykset suorittavat edellä mainitut toimet sähköpostiosoitteiden suhteen, he käsittelevät henkilötietoja. Tällöin heihin sovelletaan BKT: tä.

Yhteenveto

Kaikkia sähköpostiosoitteita ei pidetä henkilötietoina. Sähköpostiosoitteita pidetään kuitenkin henkilötietoina, kun ne tarjoavat tunnistettavissa olevia tietoja luonnollisesta henkilöstä. Monet sähköpostiosoitteet on rakennettu siten, että sähköpostiosoitetta käyttävä luonnollinen henkilö voidaan tunnistaa. Näin on silloin, kun sähköpostiosoite sisältää luonnollisen henkilön nimen tai työpaikan. Siksi paljon sähköpostiosoitteita pidetään henkilötietoina. Yritysten on vaikea tehdä ero henkilökohtaisiksi tiedoiksi katsottujen sähköpostiosoitteiden ja muiden sähköpostiosoitteiden välillä, koska tämä riippuu täysin sähköpostiosoitteen rakenteesta. Siksi on turvallista sanoa, että henkilötietoja käsittelevät yritykset kohtaavat sähköpostiosoitteita, joita pidetään henkilötietoina. Tämä tarkoittaa, että näihin yrityksiin sovelletaan GDPR: ää, ja niiden olisi pantava täytäntöön GDPR: n mukainen tietosuojakäytäntö.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

Jaa:
Law & More B.V.