Ogólne rozporządzenie o ochronie danych (GDPR)
Na 25th z maja wejdzie w życie ogólne rozporządzenie o ochronie danych (RODO). Wraz z wprowadzeniem RODO ochrona danych osobowych staje się coraz ważniejsza. Firmy muszą uwzględnić bardziej rygorystyczne zasady dotyczące ochrony danych. Jednak w wyniku raty RODO powstają różne pytania. W przypadku firm może nie być jasne, które dane są uważane za dane osobowe i nie wchodzą w zakres RODO. Tak jest w przypadku adresów e-mail: czy adres e-mail jest uważany za dane osobowe? Czy firmy korzystające z adresów e-mail podlegają przepisom RODO? Odpowiedzi na te pytania zostaną udzielone w tym artykule.
Dane personalne
Aby odpowiedzieć na pytanie, czy adres e-mail jest uważany za dane osobowe, należy zdefiniować termin dane osobowe. Termin ten wyjaśniono w RODO. Na podstawie art. 4 poniżej RODO dane osobowe oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można zidentyfikować bezpośrednio lub pośrednio, w szczególności w odniesieniu do identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane dotyczące lokalizacji lub identyfikator online. Dane osobowe dotyczą osób fizycznych. Dlatego informacje dotyczące osób zmarłych lub osób prawnych nie są uważane za dane osobowe.
Adres e-mail
Teraz, gdy definicja danych osobowych została ustalona, należy ocenić, czy adres e-mail jest uważany za dane osobowe. Przypadek holenderski prawo wskazuje, że adresy e-mail mogą być danymi osobowymi, ale nie zawsze tak jest. Zależy to od tego, czy osoba fizyczna jest zidentyfikowana lub możliwa do zidentyfikowania na podstawie adresu e-mail.[1] Sposób, w jaki osoby ustrukturyzowały swoje adresy e-mail, musi być brany pod uwagę w celu ustalenia, czy adres e-mail można uznać za dane osobowe, czy nie.
Wiele osób fizycznych tak konstruuje swój adres e-mail, że adres ten musi być uważany za dane osobowe. Tak jest na przykład w przypadku, gdy adres e-mail jest skonstruowany w następujący sposób: [email chroniony]. Ten adres e-mail ujawnia imię i nazwisko osoby fizycznej, która używa adresu.
Dlatego tę osobę można zidentyfikować na podstawie tego adresu e-mail. Adresy e-mail używane do celów biznesowych mogą również zawierać dane osobowe. Dzieje się tak, gdy adres e-mail jest skonstruowany w następujący sposób: [email chroniony]. Z tego adresu e-mail można wywnioskować, jakie są inicjały osoby używającej adresu e-mail, jakie jest jej nazwisko i gdzie ta osoba pracuje. Dlatego osobę używającą tego adresu e-mail można zidentyfikować na podstawie adresu e-mail.
Adres e-mail nie jest uważany za dane osobowe, gdy nie można zidentyfikować na jego podstawie żadnej osoby fizycznej. Dzieje się tak na przykład, gdy używany jest następujący adres e-mail: [email chroniony]. Ten adres e-mail nie zawiera żadnych danych, na podstawie których można zidentyfikować osobę fizyczną. Ogólne adresy e-mail, z których korzystają firmy, takie jak [email chroniony], również nie są uważane za dane osobowe.
Ten adres e-mail nie zawiera żadnych danych osobowych, na podstawie których można zidentyfikować osobę fizyczną. Ponadto adres e-mail nie jest używany przez osobę fizyczną, ale przez podmiot prawny. Dlatego nie jest uważany za dane osobowe. Z orzecznictwa holenderskiego można wywnioskować, że adresy e-mail mogą być danymi osobowymi, ale nie zawsze tak jest; zależy to od struktury adresu e-mail.
Istnieje duże prawdopodobieństwo, że osoby fizyczne mogą zostać zidentyfikowane na podstawie adresu e-mail, którego używają, co sprawia, że adresy e-mail są danymi osobowymi. Aby zaklasyfikować adresy e-mail jako dane osobowe, nie ma znaczenia, czy firma faktycznie używa adresów e-mail w celu identyfikacji użytkowników. Nawet jeśli firma nie używa adresów e-mail w celu identyfikacji osób fizycznych, adresy e-mail, na podstawie których można zidentyfikować osoby fizyczne, nadal są uważane za dane osobowe.
Nie każde techniczne lub przypadkowe powiązanie między osobą a danymi jest wystarczające, aby uznać dane za dane osobowe. Jednak jeśli istnieje możliwość, że adresy e-mail mogą być wykorzystane w celu identyfikacji użytkowników, na przykład w celu wykrycia przypadków oszustwa, adresy e-mail są uważane za dane osobowe. W tym przypadku nie ma znaczenia, czy firma zamierzała wykorzystać adresy e-mail w tym celu. Prawo mówi o danych osobowych, gdy istnieje możliwość, że dane mogą być wykorzystane w celu, który identyfikuje osobę fizyczną.[2]
Specjalne dane osobowe
Chociaż adresy e-mail są w większości przypadków uważane za dane osobowe, nie są one szczególnymi danymi osobowymi. Szczególne dane osobowe to dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne lub przynależność do branży oraz dane genetyczne lub biometryczne. Wynika to z artykułu 9 RODO. Ponadto adres e-mail zawiera mniej informacji publicznych niż na przykład Główna adres.
Trudniej jest uzyskać wiedzę o czyimś adresie e-mail niż o jego adresie domowym i w dużej mierze zależy to od użytkownika adresu e-mail, czy adres e-mail zostanie ujawniony publicznie. Ponadto odkrycie adresu e-mail, który powinien pozostać ukryty, ma mniej poważne konsekwencje niż odkrycie adresu domowego, który powinien pozostać ukryty. Łatwiej jest zmienić adres e-mail niż adres domowy, a odkrycie adresu e-mail może prowadzić do kontaktu cyfrowego, podczas gdy odkrycie adresu domowego może prowadzić do kontaktu osobistego.[3]
Przetwarzanie danych osobowych
Ustaliliśmy, że adresy e-mail są przez większość czasu uważane za dane osobowe. RODO ma jednak zastosowanie tylko do firm przetwarzających dane osobowe. Przetwarzanie danych osobowych istnieje dla każdego działania w odniesieniu do danych osobowych. Jest to dodatkowo zdefiniowane w RODO. Zgodnie z art. 4 ust. 2 RODO przetwarzanie danych osobowych oznacza każdą operację wykonywaną na danych osobowych, niezależnie od tego, czy odbywa się to automatycznie. Przykładami są gromadzenie, nagrywanie, organizowanie, tworzenie struktury, przechowywanie i wykorzystywanie danych osobowych. Kiedy firmy wykonują wyżej wymienione czynności w odniesieniu do adresów e-mail, przetwarzają dane osobowe. W takim przypadku podlegają one RODO.
Podsumowanie
Nie każdy adres e-mail jest uważany za dane osobowe. Jednak adresy e-mail są uważane za dane osobowe, gdy dostarczają informacji identyfikujących osobę fizyczną. Wiele adresów e-mail jest skonstruowanych w taki sposób, że można zidentyfikować osobę fizyczną, która używa adresu e-mail. Dzieje się tak, gdy adres e-mail zawiera imię i nazwisko lub miejsce pracy osoby fizycznej. Dlatego wiele adresów e-mail będzie uważanych za dane osobowe.
Firmom trudno jest odróżnić adresy e-mail, które są uważane za dane osobowe, od adresów e-mail, które nimi nie są, ponieważ zależy to wyłącznie od struktury adresu e-mail. Dlatego można śmiało powiedzieć, że firmy przetwarzające dane osobowe natkną się na adresy e-mail, które są uważane za dane osobowe. Oznacza to, że firmy te podlegają przepisom RODO i powinny wdrożyć politykę prywatności, która jest zgodny z RODO.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerutukken II 1979/80, 25 892 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.