Имейл адреси и обхвата на GDPR. Общ регламент за защита на данните

На 25th от май ще влезе в сила Общият регламент за защита на данните (GDPR). С вноската на GDPR защитата на личните данни става все по-важна. Компаниите трябва да вземат предвид повече и по-строги правила по отношение на защитата на данните. В резултат на вноската на GDPR възникват различни въпроси. За компаниите може да не е ясно кои данни се считат за лични данни и попадат под обхвата на GDPR. Такъв е случаят с имейл адресите: даден имейл адрес счита ли се за лични данни? Компаниите, които използват имейл адреси, подлежат ли на GDPR? На тези въпроси ще отговорим в тази статия.

Лични данни

За да се отговори на въпроса дали даден имейл адрес се счита за личен, трябва да се определи терминът лични данни. Този термин е обяснен в GDPR. Въз основа на член 4, под GDPR, личните данни означават всяка информация, свързана с идентифицирано или подлежащо на идентифициране физическо лице. Разбираемото физическо лице е лице, което може да бъде идентифицирано пряко или косвено, по-специално по отношение на идентификатор като име, идентификационен номер, данни за местоположение или онлайн идентификатор. Личните данни се отнасят за физически лица. Следователно информацията за починали лица или юридически лица не се счита за лична информация.

Имейл адреси и обхвата на GDPR

Email адрес

Now that the definition of personal data is determined, it needs to be assed if an email address is considered to be personal data. Dutch case law indicates that email addresses could possibly be personal data, but that this is not always the case. It depends whether or not a natural person is identified or identifiable based on the email address.[1] The way persons have structured their email addresses has to be taken into account in order to determine whether the email address can be seen as personal data or not. A lot of natural persons structure their email address in such a way that the address has to be considered personal data. This is for example the case when an email address is structured in the following way: firstname.lastname@gmail.com. This email address exposes the first and last name of the natural person that uses the address. Therefore, this person can be identified based on this email address. Email addresses that are used for business activities could also contain personal data. This is the case when an e-mail address is structured in the following way: initials.lastname@nameofcompany.com. From this email address can be derived what the initials of the person using the email address are, what his last name is and where this person works. Therefore, the person using this email address is identifiable based on the email address.

An email address is not considered to be personal data when no natural person can be identified from it. This is the case when for example the following email address is used: puppy12@hotmail.com. This email address does not contain any data from which a natural person can be identified. General email addresses that are used by companies, like info@nameofcompany.com, are also not considered to be personal data. This email address does not contain any personal information from which a natural person can be identified. Moreover, the email address is not used by a natural person, but by a legal entity. Therefore, it is not considered to be personal data. From Dutch case law can be concluded that email addresses can be personal data, but this is not always the case; it depends of the structure of the email address.

Има голям шанс физическите лица да бъдат идентифицирани по имейл адреса, който използват, което прави имейл адресите лични данни. За да се класифицират имейл адресите като лични данни, няма значение дали компанията действително използва имейл адресите, за да идентифицира потребителите. Дори ако дадена компания не използва имейл адресите с цел идентифициране на физически лица, имейл адресите, от които могат да бъдат идентифицирани физически лица, все още се считат за лични данни. Не всяка техническа или случайна връзка между дадено лице и данни е достатъчна, за да се назначат данните като лични данни. И все пак, ако съществува възможността имейл адресите да бъдат използвани за идентифициране на потребителите, например за откриване на случаи на измама, имейл адресите се считат за лични данни. При това няма значение дали компанията е възнамерявала да използва имейл адресите за тази цел. Законът говори за личните данни, когато съществува възможността данните да бъдат използвани за цел, която идентифицира физическо лице. [2]

Специални лични данни

Въпреки че повечето имейл адреси се считат за лични данни, те не са специални лични данни. Специални лични данни са лични данни, разкриващи расов или етнически произход, политически мнения, религиозни или философски убеждения или търговско членство и генетични или биометрични данни. Това произтича от член 9 GDPR. Също така имейл адресът съдържа по-малко обществена информация, отколкото например домашен адрес. По-трудно е да придобиете знания за нечий имейл адрес, отколкото за неговия домашен адрес и за голяма част от потребителя на имейл адреса зависи дали имейл адресът е публикуван или не. Освен това откриването на имейл адрес, който би трябвало да остане скрит, има по-малко сериозни последици от откриването на домашен адрес, който би трябвало да остане скрит. По-лесно е да промените имейл адрес, отколкото домашен адрес и откриването на имейл адрес може да доведе до цифров контакт, докато откриването на домашен адрес може да доведе до личен контакт. [3]

Обработка на лични данни

Установихме, че имейл адресите се считат за лични данни през повечето време. GDPR обаче се прилага само за компании, които обработват лични данни. Обработка на лични данни съществува при всяко действие по отношение на личните данни. Това е допълнително дефинирано в GDPR. Съгласно член 4, под 2 GDPR, обработката на лични данни означава всяка операция, която се извършва върху лични данни, независимо дали е автоматична или не. Примери са събиране, записване, организиране, структуриране, съхранение и използване на лични данни. Когато компаниите извършват горепосочените дейности по отношение на имейл адресите, те обработват лични данни. В този случай те подлежат на GDPR.

заключение

Не всеки имейл адрес се счита за лична информация. Въпреки това имейл адресите се считат за лични данни, когато предоставят идентифицираща информация за физическо лице. Много имейл адреси са структурирани по начин, че физическото лице, което използва имейл адреса, може да бъде идентифицирано. Такъв е случаят, когато имейл адресът съдържа името или работното място на физическо лице. Следователно много имейл адреси ще се считат за лични данни. За компаниите е трудно да правят разлика между имейл адресите, които се считат за лични данни, и имейл адресите, които не са, тъй като това зависи изцяло от структурата на имейл адреса. Затова е безопасно да се каже, че компаниите, които обработват лични данни, ще се натъкнат на имейл адреси, които се считат за лични данни. Това означава, че тези компании са обект на GDPR и следва да прилагат политика за поверителност, която е съвместима с GDPR.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Камерщукен II 1979/80, 25 892, 3 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

Share