Regulamentul general privind protecția datelor (GDPR)
În a 25th din mai, va intra în vigoare Regulamentul general privind protecția datelor (GDPR). Odată cu instalarea GDPR, protecția datelor cu caracter personal devine din ce în ce mai importantă. Companiile trebuie să țină seama de reguli mai stricte în ceea ce privește protecția datelor. Cu toate acestea, apar diferite întrebări ca urmare a transferului GDPR. Pentru companii, poate fi clar ce date sunt considerate a fi date cu caracter personal și se încadrează în sfera de aplicare a GDPR. Acesta este cazul adreselor de e-mail: o adresă de e-mail este considerată a fi date personale? Companiile care folosesc adrese de e-mail fac obiectul GDPR? La aceste întrebări li se va răspunde în acest articol.
Datele cu caracter personal
Pentru a răspunde la întrebarea dacă o adresă de e-mail este considerată sau nu a fi date personale, trebuie definit termenul de date cu caracter personal. Acest termen este explicat în GDPR. Pe baza articolului 4 sub GDPR, date personale înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă. O persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special cu referire la un identificator, cum ar fi un nume, un număr de identificare, date despre locație sau un identificator online. Datele cu caracter personal se referă la persoane fizice. Prin urmare, informațiile privind persoanele decedate sau persoanele juridice nu sunt considerate date cu caracter personal.
Adresă de e-mail
Acum că definiția datelor cu caracter personal este determinată, trebuie evaluat dacă o adresă de e-mail este considerată date cu caracter personal. Cazul olandez drept indică faptul că adresele de e-mail ar putea fi date personale, dar că nu este întotdeauna cazul. Depinde dacă o persoană fizică este sau nu identificată sau identificabilă pe baza adresei de e-mail.[1] Modul în care persoanele și-au structurat adresele de e-mail trebuie luat în considerare pentru a determina dacă adresa de e-mail poate fi văzută ca date personale sau nu.
Multe persoane fizice își structurează adresa de e-mail în așa fel încât aceasta trebuie considerată date cu caracter personal. Acesta este, de exemplu, cazul în care o adresă de e-mail este structurată în felul următor: [e-mail protejat]Această adresă de e-mail dezvăluie prenumele și numele persoanei fizice care o utilizează.
Prin urmare, această persoană poate fi identificată pe baza acestei adrese de e-mail. Adresele de e-mail utilizate pentru activități comerciale ar putea conține, de asemenea, date cu caracter personal. Acesta este cazul atunci când o adresă de e-mail este structurată în felul următor: [e-mail protejat]Din această adresă de e-mail se pot afla inițialele persoanei care utilizează adresa de e-mail, numele său de familie și locul de muncă. Prin urmare, persoana care utilizează această adresă de e-mail este identificabilă pe baza adresei de e-mail.
O adresă de e-mail nu este considerată dată cu caracter personal atunci când nicio persoană fizică nu poate fi identificată pe baza acesteia. Acesta este cazul, de exemplu, atunci când se utilizează următoarea adresă de e-mail: [e-mail protejat]Această adresă de e-mail nu conține date care să permită identificarea unei persoane fizice. Adrese de e-mail generale utilizate de companii, cum ar fi [e-mail protejat], nu sunt considerate, de asemenea, date cu caracter personal.
Această adresă de e-mail nu conține informații personale din care să poată fi identificată o persoană fizică. Mai mult, adresa de e-mail nu este folosită de o persoană fizică, ci de o persoană juridică. Prin urmare, nu sunt considerate date personale. Din jurisprudența olandeză se poate concluziona că adresele de e-mail pot fi date personale, dar nu este întotdeauna cazul; depinde de structura adresei de e-mail.
Există șanse mari ca persoanele fizice să poată fi identificate după adresa de e-mail pe care o folosesc, ceea ce face ca adresele de e-mail să fie date personale. Pentru a clasifica adresele de e-mail drept date personale, nu contează dacă compania folosește efectiv adresele de e-mail pentru a identifica utilizatorii. Chiar dacă o companie nu utilizează adresele de e-mail în scopul identificării persoanelor fizice, adresele de e-mail din care pot fi identificate persoanele fizice sunt în continuare considerate date personale.
Nu orice legătură tehnică sau coincidență între o persoană și date este suficientă pentru a numi datele ca date cu caracter personal. Totuși, dacă există posibilitatea ca adresele de e-mail să poată fi utilizate pentru a identifica utilizatorii, de exemplu pentru a detecta cazuri de fraudă, adresele de e-mail sunt considerate date personale. În acest sens, nu contează dacă compania a intenționat sau nu să folosească adresele de e-mail în acest scop. Legea vorbește de date cu caracter personal atunci când există posibilitatea ca datele să poată fi utilizate într-un scop care identifică o persoană fizică.[2]
Date personale speciale
Deși adresele de e-mail sunt considerate date cu caracter personal de cele mai multe ori, acestea nu sunt date cu caracter personal speciale. Datele cu caracter personal speciale sunt date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice sau apartenența la o activitate comercială, precum și date genetice sau biometrice. Aceasta derivă din articolul 9 din RGPD. De asemenea, o adresă de e-mail conține mai puține informații publice decât, de exemplu, o Acasă adresa.
Este mai dificil să cunoști adresa de e-mail a cuiva decât adresa sa de acasă și depinde în mare parte de utilizatorul adresei de e-mail dacă adresa de e-mail este sau nu făcută publică. În plus, descoperirea unei adrese de e-mail care ar fi trebuit să rămână ascunsă are consecințe mai puțin grave decât descoperirea unei adrese de domiciliu care ar fi trebuit să rămână ascunsă. Este mai ușor să schimbați o adresă de e-mail decât o adresă de domiciliu, iar descoperirea unei adrese de e-mail ar putea duce la contact digital, în timp ce descoperirea unei adrese de domiciliu ar putea duce la un contact personal.[3]
Prelucrarea datelor cu caracter personal
Am stabilit că adresele de e-mail sunt considerate date personale de cele mai multe ori. Cu toate acestea, GDPR se aplică numai companiilor care prelucrează date cu caracter personal. Prelucrarea datelor cu caracter personal există pentru fiecare acțiune în ceea ce privește datele cu caracter personal. Acest lucru este definit în continuare în GDPR. Conform articolului 4 sub 2 GDPR, prelucrarea datelor cu caracter personal înseamnă orice operațiune care se efectuează pe date cu caracter personal, indiferent dacă sunt sau nu prin mijloace automate. Exemple sunt colectarea, înregistrarea, organizarea, structurarea, stocarea și utilizarea datelor cu caracter personal. Atunci când companiile desfășoară activitățile menționate mai sus cu privire la adresele de e-mail, acestea prelucrează date cu caracter personal. În acest caz, acestea sunt supuse GDPR.
Concluzie
Nu toate adresele de e-mail sunt considerate date personale. Cu toate acestea, adresele de e-mail sunt considerate date cu caracter personal atunci când oferă informații de identificare despre o persoană fizică. O mulțime de adrese de e-mail sunt structurate astfel încât să poată fi identificată persoana fizică care utilizează adresa de e-mail. Acesta este cazul când adresa de e-mail conține numele sau locul de muncă al unei persoane fizice. Prin urmare, o mulțime de adrese de e-mail vor fi considerate date personale.
Este dificil pentru companii să facă o distincție între adresele de e-mail care sunt considerate date personale și adresele de e-mail care nu sunt, deoarece aceasta depinde în întregime de structura adresei de e-mail. Prin urmare, este sigur să spunem că companiile care prelucrează date cu caracter personal vor întâlni adrese de e-mail care sunt considerate date personale. Aceasta înseamnă că aceste companii sunt supuse GDPR și ar trebui să implementeze o politică de confidențialitate care este conforme cu GDPR.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.