Regulamentul general privind protecția datelor
În a 25th din mai, va intra în vigoare Regulamentul general privind protecția datelor (GDPR). Odată cu instalarea GDPR, protecția datelor cu caracter personal devine din ce în ce mai importantă. Companiile trebuie să țină seama de reguli mai stricte în ceea ce privește protecția datelor. Cu toate acestea, apar diferite întrebări ca urmare a transferului GDPR. Pentru companii, poate fi clar ce date sunt considerate a fi date cu caracter personal și se încadrează în sfera de aplicare a GDPR. Acesta este cazul adreselor de e-mail: o adresă de e-mail este considerată a fi date personale? Companiile care folosesc adrese de e-mail fac obiectul GDPR? La aceste întrebări li se va răspunde în acest articol.
Datele cu caracter personal
Pentru a răspunde la întrebarea dacă o adresă de e-mail este considerată sau nu a fi date personale, trebuie definit termenul de date cu caracter personal. Acest termen este explicat în GDPR. Pe baza articolului 4 sub GDPR, date personale înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă. O persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special cu referire la un identificator, cum ar fi un nume, un număr de identificare, date despre locație sau un identificator online. Datele cu caracter personal se referă la persoane fizice. Prin urmare, informațiile privind persoanele decedate sau persoanele juridice nu sunt considerate date cu caracter personal.
Adresă de e-mail
Acum că este definită definiția datelor cu caracter personal, trebuie verificată dacă o adresă de e-mail este considerată a fi date cu caracter personal. Jurisprudența olandeză indică faptul că adresele de e-mail ar putea fi date cu caracter personal, dar că nu este întotdeauna cazul. Depinde dacă o persoană fizică este sau nu identificată sau identificabilă pe baza adresei de e-mail. [1] Modul în care persoanele și-au structurat adresele de e-mail trebuie să fie luat în considerare pentru a determina dacă adresa de e-mail poate fi văzută sau nu ca date cu caracter personal. Multe persoane fizice își structurează adresa de e-mail în așa fel încât adresa să fie considerată date personale. Acesta este, de exemplu, cazul în care o adresă de e-mail este structurată în felul următor: prenume.lastname@gmail.com. Această adresă de e-mail expune numele și prenumele persoanei fizice care utilizează adresa. Prin urmare, această persoană poate fi identificată pe baza acestei adrese de e-mail. Adresele de e-mail care sunt utilizate pentru activități comerciale pot conține, de asemenea, date cu caracter personal. Acesta este cazul când o adresă de e-mail este structurată în felul următor: initials.lastname@nameofcompany.com. Din această adresă de e-mail pot fi derivate care sunt inițialele persoanei care utilizează adresa de e-mail, care este numele său de familie și unde lucrează această persoană. Prin urmare, persoana care utilizează această adresă de e-mail este identificabilă pe baza adresei de e-mail.
O adresă de e-mail nu este considerată a fi date cu caracter personal atunci când nicio persoană fizică nu poate fi identificată din aceasta. Acesta este cazul când, de exemplu, se utilizează următoarea adresă de e-mail: puppy12@hotmail.com. Această adresă de e-mail nu conține date din care să poată fi identificată o persoană fizică. Adresele de e-mail generale utilizate de companii, cum ar fi info@nameofcompany.com, nu sunt, de asemenea, considerate date personale. Această adresă de e-mail nu conține nicio informație personală din care să poată fi identificată o persoană fizică. Mai mult, adresa de e-mail nu este utilizată de o persoană fizică, ci de o persoană juridică. Prin urmare, nu sunt considerate date cu caracter personal. Din jurisprudența olandeză se poate concluziona că adresele de e-mail pot fi date cu caracter personal, dar acest lucru nu este întotdeauna cazul; depinde de structura adresei de e-mail.
Există șanse mari ca persoanele fizice să poată fi identificate prin adresa de e-mail pe care o folosesc, ceea ce face ca adresele de e-mail să fie date personale. Pentru a clasifica adresele de e-mail ca date personale, nu contează dacă compania folosește de fapt adresele de e-mail pentru a identifica utilizatorii. Chiar dacă o companie nu utilizează adresele de e-mail în scopul identificării persoanelor fizice, adresele de e-mail din care pot fi identificate persoanele fizice sunt considerate a fi date personale. Nu orice conexiune tehnică sau coincidență între o persoană și date este suficientă pentru a numi datele ca date cu caracter personal. Cu toate acestea, dacă există posibilitatea ca adresele de e-mail să poată fi utilizate pentru a identifica utilizatorii, de exemplu pentru a detecta cazuri de fraudă, adresele de e-mail sunt considerate date personale. În acest sens, nu contează dacă compania intenționează să utilizeze sau nu adresele de e-mail în acest scop. Legea vorbește despre date cu caracter personal atunci când există posibilitatea ca datele să poată fi utilizate în scopuri care identifică o persoană fizică. [2]
Date personale speciale
În timp ce adresele de e-mail sunt considerate a fi date cu caracter personal de cele mai multe ori, acestea nu sunt date cu caracter personal. Datele personale speciale sunt date personale care dezvăluie origine rasială sau etnică, opinii politice, credințe religioase sau filozofice sau apartenență la comerț și date genetice sau biometrice. Acest lucru derivă din articolul 9 GDPR. De asemenea, o adresă de e-mail conține mai puține informații publice decât de exemplu o adresă de origine. Este mai dificil să obțineți cunoștințe despre adresa de e-mail a cuiva decât adresa de domiciliu și, în mare parte, depinde de utilizatorul adresei de e-mail, indiferent dacă adresa de e-mail este publicată sau nu. Mai mult, descoperirea unei adrese de e-mail care ar fi trebuit să rămână ascunsă, are consecințe mai puțin grave decât descoperirea unei adrese de origine care ar fi trebuit să rămână ascunsă. Este mai ușor să schimbați o adresă de e-mail decât o adresă de domiciliu și descoperirea unei adrese de e-mail ar putea duce la un contact digital, în timp ce descoperirea unei adrese de origine ar putea duce la un contact personal. [3]
Prelucrarea datelor cu caracter personal
Am stabilit că adresele de e-mail sunt considerate date personale de cele mai multe ori. Cu toate acestea, GDPR se aplică numai companiilor care prelucrează date cu caracter personal. Prelucrarea datelor cu caracter personal există pentru fiecare acțiune în ceea ce privește datele cu caracter personal. Acest lucru este definit în continuare în GDPR. Conform articolului 4 sub 2 GDPR, prelucrarea datelor cu caracter personal înseamnă orice operațiune care se efectuează pe date cu caracter personal, indiferent dacă sunt sau nu prin mijloace automate. Exemple sunt colectarea, înregistrarea, organizarea, structurarea, stocarea și utilizarea datelor cu caracter personal. Atunci când companiile desfășoară activitățile menționate mai sus cu privire la adresele de e-mail, acestea prelucrează date cu caracter personal. În acest caz, acestea sunt supuse GDPR.
Concluzie
Nu toate adresele de e-mail sunt considerate date personale. Cu toate acestea, adresele de e-mail sunt considerate date cu caracter personal atunci când furnizează informații de identificare despre o persoană fizică. Multe adrese de e-mail sunt structurate într-un mod în care persoana fizică care utilizează adresa de e-mail poate fi identificată. Acesta este cazul când adresa de e-mail conține numele sau locul de muncă al unei persoane fizice. Prin urmare, o mulțime de adrese de e-mail vor fi considerate date cu caracter personal. Este dificil pentru companii să facă o distincție între adresele de e-mail care sunt considerate date personale și adresele de e-mail care nu sunt, deoarece acest lucru depinde în totalitate de structura adresei de e-mail. Prin urmare, este sigur să spunem că companiile care prelucrează date cu caracter personal, vor întâlni adrese de e-mail care sunt considerate date cu caracter personal. Aceasta înseamnă că aceste companii sunt supuse GDPR și ar trebui să implementeze o politică de confidențialitate care să respecte GDPR.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.