Yleinen tietosuojadirektiivi (GDPR)
25: ssath toukokuussa yleinen tietosuoja-asetus (GDPR) tulee voimaan. GDPR: n erän myötä henkilötietojen suojaaminen tulee entistä tärkeämmäksi. Yritysten on otettava huomioon entistä tiukemmat tietosuojaa koskevat säännöt. GDPR: n takaisinmaksun seurauksena syntyy kuitenkin erilaisia kysymyksiä. Yrityksille voi olla epäselvää, mitä tietoja pidetään henkilötietoina ja kuuluvat BKT: n soveltamisalaan. Tämä koskee sähköpostiosoitteita: pidetäänkö sähköpostiosoitetta henkilötietoina? Ovatko yritykset, jotka käyttävät sähköpostiosoitteita, GDPR-vaatimuksia? Näihin kysymyksiin vastataan tässä artikkelissa.
Henkilötiedot
Jotta vastataan kysymykseen, pidetäänkö sähköpostiosoitetta henkilötietoina, on määriteltävä termi henkilökohtaiset tiedot. Tämä termi selitetään GDPR: ssä. GDPR: n 4 pykälän nojalla henkilötiedoilla tarkoitetaan mitä tahansa tietoa tunnistetusta tai tunnistettavasta luonnollisesta henkilöstä. Tunnistettavissa oleva luonnollinen henkilö on henkilö, joka voidaan tunnistaa suoraan tai epäsuorasti erityisesti tunnisteen, kuten nimen, tunnusnumeron, sijaintitietojen tai online-tunnisteen, suhteen. Henkilötiedoilla tarkoitetaan luonnollisia henkilöitä. Siksi kuolleita henkilöitä tai oikeushenkilöitä koskevia tietoja ei pidetä henkilötietoina.
Sähköpostiosoite
Nyt kun henkilötietojen määritelmä on päätetty, on arvioitava, katsotaanko sähköpostiosoite henkilötiedoksi. Hollantilainen tapaus laki osoittaa, että sähköpostiosoitteet voivat mahdollisesti olla henkilötietoja, mutta näin ei aina ole. Se riippuu siitä, onko luonnollinen henkilö tunnistettu tai tunnistettavissa sähköpostiosoitteen perusteella.[1] Tapa, jolla henkilöt ovat jäsentäneet sähköpostiosoitteensa, on otettava huomioon, jotta voidaan määrittää, voidaanko sähköpostiosoitetta pitää henkilötietoina vai ei.
Monet luonnolliset henkilöt jäsentävät sähköpostiosoitteensa siten, että osoitetta on pidettävä henkilötietona. Näin on esimerkiksi silloin, kun sähköpostiosoite on jäsennelty seuraavasti: [sähköposti suojattu]Tämä sähköpostiosoite paljastaa osoitetta käyttävän luonnollisen henkilön etu- ja sukunimen.
Näin ollen tämä henkilö voidaan tunnistaa tämän sähköpostiosoitteen perusteella. Liiketoimintaan käytettävät sähköpostiosoitteet voivat myös sisältää henkilötietoja. Näin on, kun sähköpostiosoite on jäsennelty seuraavalla tavalla: [sähköposti suojattu]Tästä sähköpostiosoitteesta voidaan päätellä sähköpostiosoitetta käyttävän henkilön nimikirjaimet, sukunimi ja työpaikka. Näin ollen sähköpostiosoitetta käyttävä henkilö on tunnistettavissa sähköpostiosoitteen perusteella.
Sähköpostiosoitetta ei pidetä henkilötietona, jos siitä ei voida tunnistaa luonnollista henkilöä. Näin on esimerkiksi silloin, kun käytetään seuraavaa sähköpostiosoitetta: [sähköposti suojattu]Tämä sähköpostiosoite ei sisällä tietoja, joista luonnollinen henkilö voitaisiin tunnistaa. Yleisiä sähköpostiosoitteita, joita yritykset, kuten [sähköposti suojattu], ei myöskään pidetä henkilötietoina.
Tämä sähköpostiosoite ei sisällä henkilötietoja, joista luonnollinen henkilö voidaan tunnistaa. Sähköpostiosoitetta ei myöskään käytä luonnollinen henkilö, vaan oikeushenkilö. Siksi niitä ei pidetä henkilötiedoina. Hollannin oikeuskäytännöstä voidaan päätellä, että sähköpostiosoitteet voivat olla henkilötietoja, mutta näin ei aina ole; se riippuu sähköpostiosoitteen rakenteesta.
On suuri mahdollisuus, että luonnolliset henkilöt voidaan tunnistaa heidän käyttämänsä sähköpostiosoitteen perusteella, mikä tekee sähköpostiosoitteista henkilökohtaisia tietoja. Sähköpostiosoitteiden luokittelemiseksi henkilötiedoiksi ei ole väliä, käyttääkö yritys todella sähköpostiosoitteita käyttäjien tunnistamiseen. Vaikka yritys ei käyttäisi sähköpostiosoitteita luonnollisten henkilöiden tunnistamiseen, sähköpostiosoitteet, joista luonnolliset henkilöt voidaan tunnistaa, katsotaan silti henkilötiedoiksi.
Jokainen tekninen tai sattumanvarainen yhteys henkilön ja tiedon välillä ei riitä tietojen määrittelemiseksi henkilötiedoiksi. Jos kuitenkin on mahdollista, että sähköpostiosoitteita voidaan käyttää käyttäjien tunnistamiseen, esimerkiksi petostapausten havaitsemiseen, sähköpostiosoitteita pidetään henkilötiedoina. Tässä ei ole väliä, aikooko yritys käyttää sähköpostiosoitteita tähän tarkoitukseen vai ei. Laki puhuu henkilötiedoista, kun on olemassa mahdollisuus, että tietoja voidaan käyttää luonnollisen henkilön tunnistavaan tarkoitukseen.[2]
Erityiset henkilötiedot
Vaikka sähköpostiosoitteita pidetään useimmiten henkilötietoina, ne eivät ole erityisiä henkilötietoja. Erityiset henkilötiedot ovat henkilötietoja, jotka paljastavat rodullisen tai etnisen alkuperän, poliittisia mielipiteitä, uskonnollisia tai filosofisia vakaumuksia tai ammattikunnan jäsenyyden, sekä geneettisiä tai biometrisiä tietoja. Tämä johtuu yleisen tietosuoja-asetuksen 9 artiklasta. Sähköpostiosoite sisältää myös vähemmän julkisia tietoja kuin esimerkiksi koti osoite.
Toisen sähköpostiosoitteen saaminen on vaikeampaa kuin kotiosoitteen saaminen tietoon ja riippuu suurelta osin sähköpostiosoitteen käyttäjästä, julkistetaanko sähköpostiosoite vai ei. Lisäksi sellaisen sähköpostiosoitteen löytämisellä, jonka olisi pitänyt pysyä piilossa, on vähemmän vakavat seuraukset kuin sellaisen kotiosoitteen löytämisellä, jonka olisi pitänyt pysyä piilossa. Sähköpostiosoitteen vaihtaminen on helpompaa kuin kotiosoitteen vaihtaminen ja sähköpostiosoitteen löytäminen voi johtaa digitaaliseen kontaktiin, kun taas kotiosoitteen löytäminen voi johtaa henkilökohtaiseen kontaktiin.[3]
Henkilötietojen käsittely
Olemme todenneet, että sähköpostiosoitteita pidetään suurimmaksi osaksi henkilötietoina. GDPR koskee kuitenkin vain yrityksiä, jotka käsittelevät henkilötietoja. Henkilötietojen käsittely tapahtuu kaikissa henkilötietoihin liittyvissä toimissa. Tämä määritellään tarkemmin GDPR: ssä. GDPR-lain 4 pykälän 2 momentin mukaan henkilötietojen käsittelyllä tarkoitetaan mitä tahansa toimenpidettä, joka suoritetaan henkilötiedoille riippumatta siitä, suoritetaanko automaattinen tai ei. Esimerkkejä ovat henkilötietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, tallentaminen ja käyttö. Kun yritykset suorittavat edellä mainitut toimet sähköpostiosoitteiden suhteen, he käsittelevät henkilötietoja. Tällöin heihin sovelletaan BKT: tä.
Yhteenveto
Jokaista sähköpostiosoitetta ei pidetä henkilötiedona. Sähköpostiosoitteet katsotaan kuitenkin henkilötiedoiksi, kun ne tarjoavat tunnistettavia tietoja luonnollisesta henkilöstä. Monet sähköpostiosoitteet on rakennettu siten, että sähköpostiosoitetta käyttävä luonnollinen henkilö voidaan tunnistaa. Näin on silloin, kun sähköpostiosoite sisältää luonnollisen henkilön nimen tai työpaikan. Siksi monia sähköpostiosoitteita pidetään henkilötiedoina.
Yritysten on vaikea tehdä eroa henkilötiedoiksi katsottujen sähköpostiosoitteiden ja ei-sähköpostiosoitteiden välillä, koska tämä riippuu täysin sähköpostiosoitteen rakenteesta. Siksi on turvallista sanoa, että henkilötietoja käsittelevät yritykset törmäävät sähköpostiosoitteisiin, joita pidetään henkilötiedoina. Tämä tarkoittaa, että nämä yritykset ovat GDPR:n alaisia, ja niiden tulee ottaa käyttöön tietosuojakäytäntö mukautuva GDPR:n kanssa.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerstukken II 1979/80, 25, 892 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.