Общ регламент за защита на данните
На 25th от май ще влезе в сила Общият регламент за защита на данните (GDPR). С вноската на GDPR защитата на личните данни става все по-важна. Компаниите трябва да вземат предвид повече и по-строги правила по отношение на защитата на данните. В резултат на вноската на GDPR възникват различни въпроси. За компаниите може да не е ясно кои данни се считат за лични данни и попадат под обхвата на GDPR. Такъв е случаят с имейл адресите: даден имейл адрес счита ли се за лични данни? Компаниите, които използват имейл адреси, подлежат ли на GDPR? На тези въпроси ще отговорим в тази статия.
Лични данни
За да се отговори на въпроса дали даден имейл адрес се счита за личен, трябва да се определи терминът лични данни. Този термин е обяснен в GDPR. Въз основа на член 4, под GDPR, личните данни означават всяка информация, свързана с идентифицирано или подлежащо на идентифициране физическо лице. Разбираемото физическо лице е лице, което може да бъде идентифицирано пряко или косвено, по-специално по отношение на идентификатор като име, идентификационен номер, данни за местоположение или онлайн идентификатор. Личните данни се отнасят за физически лица. Следователно информацията за починали лица или юридически лица не се счита за лична информация.
Сега, когато дефиницията на личните данни е определена, трябва да се прецени дали имейл адресът се счита за личен. Нидерландската съдебна практика посочва, че имейл адресите евентуално могат да бъдат лични данни, но това не винаги е така. Зависи дали физическото лице се идентифицира или идентифицира въз основа на имейл адреса. [1] Начинът, по който хората са структурирали имейл адресите си, трябва да се вземе предвид, за да се определи дали имейл адресът може да се разглежда като лични данни или не. Много физически лица структурират имейл адреса си по такъв начин, че адресът да се счита за лични данни. Такъв е например случаят, когато имейл адресът е структуриран по следния начин: firstname.lastname@gmail.com. Този имейл адрес разкрива името и фамилията на физическото лице, което използва адреса. Следователно този човек може да бъде идентифициран въз основа на този имейл адрес. Имейл адресите, които се използват за бизнес дейности, също могат да съдържат лични данни. Такъв е случаят, когато имейл адресът е структуриран по следния начин: Initials.lastname@nameofcompany.com. От този имейл адрес могат да се получат какви са инициалите на лицето, използващо имейл адреса, какво е фамилното му име и къде работи този човек. Следователно лицето, използващо този имейл адрес, може да бъде идентифицирано въз основа на имейл адреса.
Е-мейл адресът не се счита за лични данни, когато никое физическо лице не може да бъде идентифицирано от него. Такъв е случаят, когато например се използва следния имейл адрес: puppy12@hotmail.com. Този имейл адрес не съдържа никакви данни, от които физическо лице може да бъде идентифицирано. Общите имейл адреси, които се използват от компании, като info@nameofcompany.com, също не се считат за лични данни. Този имейл адрес не съдържа никаква лична информация, от която може да бъде идентифицирано физическо лице. Освен това имейл адресът не се използва от физическо лице, а от юридическо лице. Поради това не се счита за лични данни. От съдебната практика на Холандия може да се заключи, че имейл адресите могат да бъдат лични данни, но това не винаги е така; зависи от структурата на имейл адреса.
Има голям шанс физическите лица да бъдат идентифицирани по имейл адреса, който използват, което прави имейл адресите лични данни. За да се класифицират имейл адресите като лични данни, няма значение дали компанията действително използва имейл адресите, за да идентифицира потребителите. Дори ако дадена компания не използва имейл адресите с цел идентифициране на физически лица, имейл адресите, от които могат да бъдат идентифицирани физически лица, все още се считат за лични данни. Не всяка техническа или случайна връзка между дадено лице и данни е достатъчна, за да се назначат данните като лични данни. И все пак, ако съществува възможността имейл адресите да бъдат използвани за идентифициране на потребителите, например за откриване на случаи на измама, имейл адресите се считат за лични данни. При това няма значение дали компанията е възнамерявала да използва имейл адресите за тази цел. Законът говори за личните данни, когато съществува възможността данните да бъдат използвани за цел, която идентифицира физическо лице. [2]
Специални лични данни
Въпреки че повечето имейл адреси се считат за лични данни, те не са специални лични данни. Специални лични данни са лични данни, разкриващи расов или етнически произход, политически мнения, религиозни или философски убеждения или търговско членство и генетични или биометрични данни. Това произтича от член 9 GDPR. Също така имейл адресът съдържа по-малко обществена информация, отколкото например домашен адрес. По-трудно е да придобиете знания за нечий имейл адрес, отколкото за неговия домашен адрес и за голяма част от потребителя на имейл адреса зависи дали имейл адресът е публикуван или не. Освен това откриването на имейл адрес, който би трябвало да остане скрит, има по-малко сериозни последици от откриването на домашен адрес, който би трябвало да остане скрит. По-лесно е да промените имейл адрес, отколкото домашен адрес и откриването на имейл адрес може да доведе до цифров контакт, докато откриването на домашен адрес може да доведе до личен контакт. [3]
Обработка на лични данни
Установихме, че имейл адресите се считат за лични данни през повечето време. GDPR обаче се прилага само за компании, които обработват лични данни. Обработка на лични данни съществува при всяко действие по отношение на личните данни. Това е допълнително дефинирано в GDPR. Съгласно член 4, под 2 GDPR, обработката на лични данни означава всяка операция, която се извършва върху лични данни, независимо дали е автоматична или не. Примери са събиране, записване, организиране, структуриране, съхранение и използване на лични данни. Когато компаниите извършват горепосочените дейности по отношение на имейл адресите, те обработват лични данни. В този случай те подлежат на GDPR.
Заключение
Не всеки имейл адрес се счита за лична информация. Въпреки това имейл адресите се считат за лични данни, когато предоставят идентифицираща информация за физическо лице. Много имейл адреси са структурирани по начин, че физическото лице, което използва имейл адреса, може да бъде идентифицирано. Такъв е случаят, когато имейл адресът съдържа името или работното място на физическо лице. Следователно много имейл адреси ще се считат за лични данни. За компаниите е трудно да правят разлика между имейл адресите, които се считат за лични данни, и имейл адресите, които не са, тъй като това зависи изцяло от структурата на имейл адреса. Затова е безопасно да се каже, че компаниите, които обработват лични данни, ще се натъкнат на имейл адреси, които се считат за лични данни. Това означава, че тези компании са обект на GDPR и следва да прилагат политика за поверителност, която е съвместима с GDPR.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Камерщукен II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.