Yleinen tietosuojadirektiivi
25: ssath toukokuussa yleinen tietosuoja-asetus (GDPR) tulee voimaan. GDPR: n erän myötä henkilötietojen suojaaminen tulee entistä tärkeämmäksi. Yritysten on otettava huomioon entistä tiukemmat tietosuojaa koskevat säännöt. GDPR: n takaisinmaksun seurauksena syntyy kuitenkin erilaisia kysymyksiä. Yrityksille voi olla epäselvää, mitä tietoja pidetään henkilötietoina ja kuuluvat BKT: n soveltamisalaan. Tämä koskee sähköpostiosoitteita: pidetäänkö sähköpostiosoitetta henkilötietoina? Ovatko yritykset, jotka käyttävät sähköpostiosoitteita, GDPR-vaatimuksia? Näihin kysymyksiin vastataan tässä artikkelissa.
Henkilötiedot
Jotta vastataan kysymykseen, pidetäänkö sähköpostiosoitetta henkilötietoina, on määriteltävä termi henkilökohtaiset tiedot. Tämä termi selitetään GDPR: ssä. GDPR: n 4 pykälän nojalla henkilötiedoilla tarkoitetaan mitä tahansa tietoa tunnistetusta tai tunnistettavasta luonnollisesta henkilöstä. Tunnistettavissa oleva luonnollinen henkilö on henkilö, joka voidaan tunnistaa suoraan tai epäsuorasti erityisesti tunnisteen, kuten nimen, tunnusnumeron, sijaintitietojen tai online-tunnisteen, suhteen. Henkilötiedoilla tarkoitetaan luonnollisia henkilöitä. Siksi kuolleita henkilöitä tai oikeushenkilöitä koskevia tietoja ei pidetä henkilötietoina.
Sähköpostiosoite
Nyt kun henkilötietojen määritelmä on määritetty, se on selvitettävä, jos sähköpostiosoitetta pidetään henkilötietona. Alankomaiden oikeuskäytännössä todetaan, että sähköpostiosoitteet voivat olla henkilökohtaisia tietoja, mutta näin ei aina ole. Se riippuu siitä, onko luonnollinen henkilö tunnistettu vai tunnistettavissa sähköpostiosoitteen perusteella. [1] Tapa, jolla henkilöt ovat jäsentäneet sähköpostiosoitteensa, on otettava huomioon sen määrittämiseksi, voidaanko sähköpostiosoitetta pitää henkilökohtaisena datana vai ei. Monet luonnolliset henkilöt jäsentävät sähköpostiosoitteensa siten, että osoitetta on pidettävä henkilötietona. Näin on esimerkiksi silloin, kun sähköpostiosoite on rakennettu seuraavasti: etunimi.sukunimi@gmail.com. Tämä sähköpostiosoite paljastaa osoitteen käyttävän luonnollisen henkilön etu- ja sukunimen. Siksi tämä henkilö voidaan tunnistaa tämän sähköpostiosoitteen perusteella. Yritystoimintaan käytetyt sähköpostiosoitteet voivat myös sisältää henkilötietoja. Näin on silloin, kun sähköpostiosoite on jäsennelty seuraavasti: nimikirjaimet.sukunimi@yritys.fi. Tästä sähköpostiosoitteesta voidaan johtaa, mitä sähköpostiosoitetta käyttävän henkilön nimikirjaimet ovat, mikä on hänen sukunimensä ja missä tämä henkilö toimii. Siksi tätä sähköpostiosoitetta käyttävä henkilö voidaan tunnistaa sähköpostiosoitteen perusteella.
Sähköpostiosoitetta ei katsota henkilötiedoksi, jos siitä ei voida tunnistaa luonnollista henkilöä. Näin on silloin, kun käytetään esimerkiksi seuraavaa sähköpostiosoitetta: puppy12@hotmail.com. Tämä sähköpostiosoite ei sisällä tietoja, joista luonnollinen henkilö voidaan tunnistaa. Yritysten käyttämiä yleisiä sähköpostiosoitteita, kuten info@nimiyritys.com, ei myöskään pidetä henkilötietoina. Tämä sähköpostiosoite ei sisällä henkilökohtaisia tietoja, joista luonnollinen henkilö voidaan tunnistaa. Lisäksi sähköpostiosoitetta ei käytä luonnollinen henkilö, vaan oikeushenkilö. Siksi sitä ei pidetä henkilötietona. Alankomaiden oikeuskäytännöstä voidaan päätellä, että sähköpostiosoitteet voivat olla henkilötietoja, mutta näin ei aina ole; se riippuu sähköpostiosoitteen rakenteesta.
On suuri mahdollisuus, että luonnolliset henkilöt voidaan tunnistaa käyttämästä sähköpostiosoitteesta, joka tekee sähköpostiosoitteista henkilökohtaisia tietoja. Jotta sähköpostiosoitteet voidaan luokitella henkilökohtaisiksi tiedoiksi, ei ole väliä, käyttääkö yritys todella sähköpostiosoitteita käyttäjien tunnistamiseen. Vaikka yritys ei käytä sähköpostiosoitteita luonnollisten henkilöiden tunnistamiseen, sähköpostiosoitteita, joista luonnolliset henkilöt voidaan tunnistaa, pidetään edelleen henkilötietoina. Ei jokainen tekninen tai sattumanvarainen yhteys ihmisen ja datan välillä ei riitä nimeämään tietoja henkilötietoiksi. Jos on kuitenkin mahdollista, että sähköpostiosoitteita voidaan käyttää käyttäjien tunnistamiseen, esimerkiksi petoksien havaitsemiseksi, sähköpostiosoitteita pidetään henkilötietoina. Tässä ei ole väliä, aikooko yritys käyttää sähköpostiosoitteita tähän tarkoitukseen. Laki puhuu henkilötiedoista silloin, kun on olemassa mahdollisuus, että tietoja voidaan käyttää tarkoitukseen, joka tunnistaa luonnollisen henkilön. [2]
Erityiset henkilötiedot
Vaikka sähköpostiosoitteita pidetään suurimmaksi osaksi henkilötietoina, ne eivät ole erityisiä henkilötietoja. Erityiset henkilötiedot ovat henkilötietoja, jotka paljastavat rodun tai etnisen alkuperän, poliittiset mielipiteet, uskonnolliset tai filosofiset vakaumukset tai kaupan jäsenyyden, sekä geneettiset tai biometriset tiedot. Tämä johtuu BKT: n 9 artiklasta. Lisäksi sähköpostiosoite sisältää vähemmän julkista tietoa kuin esimerkiksi kotiosoite. Jonkun sähköpostiosoitteesta on vaikeampaa saada tietoa kuin hänen kotiosoitteestaan, ja sähköpostiosoitteen käyttäjältä riippuu suurelta osin siitä, julkistetaanko sähköpostiosoite vai ei. Lisäksi sähköpostiosoitteen löytämisellä, jonka olisi pitänyt pysyä piilossa, on vähemmän vakavia seurauksia kuin kotiosoitteen löytämisessä, jonka olisi pitänyt pysyä piilossa. Sähköpostiosoitetta on helpompaa muuttaa kuin kotiosoitetta, ja sähköpostiosoitteen löytäminen voi johtaa digitaaliseen yhteystietoon, kun taas kotiosoitteen löytäminen voi johtaa henkilökohtaiseen kontaktiin. [3]
Henkilötietojen käsittely
Olemme todenneet, että sähköpostiosoitteita pidetään suurimmaksi osaksi henkilötietoina. GDPR koskee kuitenkin vain yrityksiä, jotka käsittelevät henkilötietoja. Henkilötietojen käsittely tapahtuu kaikissa henkilötietoihin liittyvissä toimissa. Tämä määritellään tarkemmin GDPR: ssä. GDPR-lain 4 pykälän 2 momentin mukaan henkilötietojen käsittelyllä tarkoitetaan mitä tahansa toimenpidettä, joka suoritetaan henkilötiedoille riippumatta siitä, suoritetaanko automaattinen tai ei. Esimerkkejä ovat henkilötietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, tallentaminen ja käyttö. Kun yritykset suorittavat edellä mainitut toimet sähköpostiosoitteiden suhteen, he käsittelevät henkilötietoja. Tällöin heihin sovelletaan BKT: tä.
Yhteenveto
Kaikkia sähköpostiosoitteita ei pidetä henkilötietoina. Sähköpostiosoitteita pidetään kuitenkin henkilötietoina, kun ne tarjoavat tunnistettavissa olevia tietoja luonnollisesta henkilöstä. Monet sähköpostiosoitteet on rakennettu siten, että sähköpostiosoitetta käyttävä luonnollinen henkilö voidaan tunnistaa. Näin on silloin, kun sähköpostiosoite sisältää luonnollisen henkilön nimen tai työpaikan. Siksi paljon sähköpostiosoitteita pidetään henkilötietoina. Yritysten on vaikea tehdä ero henkilökohtaisiksi tiedoiksi katsottujen sähköpostiosoitteiden ja muiden sähköpostiosoitteiden välillä, koska tämä riippuu täysin sähköpostiosoitteen rakenteesta. Siksi on turvallista sanoa, että henkilötietoja käsittelevät yritykset kohtaavat sähköpostiosoitteita, joita pidetään henkilötietoina. Tämä tarkoittaa, että näihin yrityksiin sovelletaan GDPR: ää, ja niiden olisi pantava täytäntöön GDPR: n mukainen tietosuojakäytäntö.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerstukken II 1979/80, 25, 892 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.