Положення про захист персональних даних Загальні
На 25th травня набуде чинності Загальний регламент про захист даних (GDPR). З встановленням GDPR захист персональних даних стає все більш важливим. Компанії повинні враховувати більш суворі правила щодо захисту даних. Однак різні питання виникають внаслідок встановлення GDPR. Для компаній може бути незрозуміло, які дані вважаються персональними даними та підпадають під сферу дії GDPR. Це стосується електронних адрес: чи вважається електронна адреса особистими даними? Чи відповідають GDPR компанії, які використовують електронні адреси? На ці запитання буде дана відповідь у цій статті.
Особисті дані
Для того, щоб відповісти на питання, чи вважається електронна адреса персональними даними, потрібно визначити термін особисті дані. Цей термін пояснюється в GDPR. На підставі статті 4, підзаконного регламенту GDPR, особисті дані означають будь-яку інформацію, що стосується ідентифікованої або ідентифікуваної фізичної особи. Фізична особа, яку можна ідентифікувати, - це особа, яку можна ідентифікувати прямо чи опосередковано, зокрема, посилаючись на ідентифікатор, такий як ім’я, ідентифікаційний номер, дані про місцезнаходження або онлайн-ідентифікатор. Персональні дані стосуються фізичних осіб. Отже, інформація про померлих або юридичних осіб не вважається персональними даними.
Адреса електронної пошти
Тепер, коли визначення персональних даних визначено, його потрібно оцінити, якщо електронна адреса вважається персональною інформацією. Судова практика Нідерландів вказує, що адреси електронної пошти можуть бути особистими даними, але це не завжди так. Це залежить від того, чи буде фізична особа ідентифікована чи ідентифікована на основі адреси електронної пошти. [1] Потрібно врахувати спосіб структурування своїх адрес електронної пошти, щоб визначити, чи можна розглядати адресу електронної пошти як особисту інформацію чи ні. Багато фізичних осіб структурують свою електронну адресу таким чином, що адресу слід вважати персональними даними. Це, наприклад, випадок, коли електронна адреса структурована таким чином: firstname.lastname@gmail.com. Ця електронна адреса містить ім’я та прізвище фізичної особи, яка використовує адресу. Отже, цю особу можна ідентифікувати на основі цієї адреси електронної пошти. Адреси електронної пошти, які використовуються для комерційної діяльності, також можуть містити персональні дані. Це в тому випадку, коли електронна адреса структурована таким чином: ініціали.lastname@nameofcompany.com. З цієї адреси електронної пошти можна дізнатись, які ініціали особи, яка використовує адресу електронної пошти, прізвище та місце роботи цієї особи. Отже, особу, яка використовує цю електронну адресу, можна ідентифікувати на основі електронної адреси.
Адреса електронної пошти не вважається персональними даними, якщо з неї неможливо ідентифікувати жодної фізичної особи. Це випадок, коли, наприклад, використовується така електронна адреса: puppy12@hotmail.com. Ця електронна адреса не містить даних, за якими можна ідентифікувати фізичну особу. Загальні адреси електронної пошти, які використовуються компаніями, наприклад info@nameofcompany.com, також не вважаються особистими даними. Ця електронна адреса не містить жодної особистої інформації, за якою можна ідентифікувати фізичну особу. Більше того, електронною адресою користується не фізична особа, а юридична особа. Тому це не вважається персональними даними. З голландської судової практики можна зробити висновок, що адреси електронної пошти можуть бути особистими даними, але це не завжди так; це залежить від структури адреси електронної пошти.
Існує велика ймовірність того, що фізичні особи можуть бути ідентифіковані за електронною адресою, яку вони використовують, що робить адреси електронної пошти особистими даними. Для того, щоб класифікувати адреси електронної пошти як особисті дані, не має значення, чи насправді компанія використовує адреси електронної пошти для ідентифікації користувачів. Навіть якщо компанія не використовує адреси електронної пошти з метою ідентифікації фізичних осіб, адреси електронної пошти, з яких можна ідентифікувати фізичних осіб, все ще вважаються персональними даними. Не кожен технічний або випадковий зв'язок між особою та даними є достатнім для того, щоб призначити дані як особисті дані. Однак, якщо існує можливість використання адрес електронної пошти для ідентифікації користувачів, наприклад для виявлення випадків шахрайства, адреси електронної пошти вважаються особистими даними. При цьому не має значення, чи збиралася компанія використовувати ці адреси електронної пошти для цієї мети. Закон говорить про особисті дані, коли існує можливість того, що дані можуть бути використані з метою, яка ідентифікує фізичну особу. [2]
Спеціальні персональні дані
Хоча адреси електронної пошти в більшості випадків вважаються особистими даними, вони не є спеціальними персональними даними. Спеціальні персональні дані - це особисті дані, що виявляють расове чи етнічне походження, політичні думки, релігійні чи філософські переконання чи членство в торгівлі, а також генетичні чи біометричні дані. Це випливає зі статті 9 GDPR. Крім того, електронна адреса містить менше публічної інформації, ніж, наприклад, домашня адреса. Отримати знання чиєїсь електронної адреси складніше, ніж його домашньої адреси, і більшою мірою від користувача електронної адреси залежить, чи буде ця електронна адреса оприлюднена чи ні. Крім того, виявлення адреси електронної пошти, яка повинна була залишатися прихованою, має менш серйозні наслідки, ніж виявлення домашньої адреси, яка повинна залишатися прихованою. Змінити адресу електронної пошти простіше, ніж домашню адресу, і виявлення адреси електронної пошти може призвести до цифрового контакту, тоді як виявлення домашньої адреси може призвести до особистого контакту. [3]
Обробка персональних даних
Ми встановили, що адреси електронної пошти більшу частину часу вважаються особистими даними. Однак GDPR застосовується лише до компаній, які обробляють персональні дані. Обробка персональних даних існує при кожній дії щодо персональних даних. Це додатково визначено в GDPR. Згідно зі статтею 4, підпунктом 2 GDPR, обробка персональних даних означає будь-яку операцію, яка виконується над персональними даними, незалежно від того, автоматично чи ні. Прикладами є збір, запис, організація, структурування, зберігання та використання персональних даних. Коли компанії виконують вищезазначену діяльність щодо електронних адрес, вони обробляють персональні дані. У такому випадку на них поширюється вимога GDPR.
Висновок
Не кожна електронна адреса вважається особистими даними. Однак адреси електронної пошти вважаються особистими даними, коли вони надають ідентифікаційну інформацію про фізичну особу. Багато електронних адрес структуровані таким чином, щоб можна було ідентифікувати фізичну особу, яка використовує електронну адресу. Це той випадок, коли електронна адреса містить ім’я або робоче місце фізичної особи. Тому багато електронних адрес вважатимуться особистими даними. Компаніям важко розрізняти адреси електронної пошти, які вважаються особистими даними, та адреси електронної пошти, які не є, оскільки це повністю залежить від структури адреси електронної пошти. Тому можна з упевненістю сказати, що компанії, які обробляють персональні дані, стикатимуться з електронними адресами, які вважаються персональними даними. Це означає, що ці компанії підпадають під дію GDPR і повинні застосовувати політику конфіденційності, яка відповідає GDPR.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Камерстуккен II 1979/80, 25, 892 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.