Адреса электронной почты и область применения GDPR. Общие положения о защите данных

На 25th мая вступит в силу Общий регламент о защите данных (GDPR). С установлением GDPR защита личных данных становится все более важной. Компании должны принимать во внимание более строгие правила в отношении защиты данных. Тем не менее, различные вопросы возникают в результате рассрочки GDPR. Для компаний может быть неясно, какие данные считаются персональными данными и подпадают под действие GDPR. Это касается адресов электронной почты: считается ли адрес электронной почты персональными данными? Подлежат ли компании, использующие адреса электронной почты, ВВПР? Эти вопросы будут даны ответы в этой статье.

Личные данные

Чтобы ответить на вопрос, считается ли адрес электронной почты персональными данными, необходимо определить термин «персональные данные». Этот термин объясняется в GDPR. На основании статьи 4 подпунктов GDPR под персональными данными понимается любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Идентифицируемое физическое лицо - это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, в отношении идентификатора, такого как имя, идентификационный номер, данные о местонахождении или сетевой идентификатор. Личные данные относятся к физическим лицам. Поэтому информация, касающаяся умерших или юридических лиц, не считается личной информацией.

Адреса электронной почты и область применения GDPR

Адрес электронной почты

Now that the definition of personal data is determined, it needs to be assed if an email address is considered to be personal data. Dutch case law indicates that email addresses could possibly be personal data, but that this is not always the case. It depends whether or not a natural person is identified or identifiable based on the email address.[1] The way persons have structured their email addresses has to be taken into account in order to determine whether the email address can be seen as personal data or not. A lot of natural persons structure their email address in such a way that the address has to be considered personal data. This is for example the case when an email address is structured in the following way: firstname.lastname@gmail.com. This email address exposes the first and last name of the natural person that uses the address. Therefore, this person can be identified based on this email address. Email addresses that are used for business activities could also contain personal data. This is the case when an e-mail address is structured in the following way: initials.lastname@nameofcompany.com. From this email address can be derived what the initials of the person using the email address are, what his last name is and where this person works. Therefore, the person using this email address is identifiable based on the email address.

An email address is not considered to be personal data when no natural person can be identified from it. This is the case when for example the following email address is used: puppy12@hotmail.com. This email address does not contain any data from which a natural person can be identified. General email addresses that are used by companies, like info@nameofcompany.com, are also not considered to be personal data. This email address does not contain any personal information from which a natural person can be identified. Moreover, the email address is not used by a natural person, but by a legal entity. Therefore, it is not considered to be personal data. From Dutch case law can be concluded that email addresses can be personal data, but this is not always the case; it depends of the structure of the email address.

Существует большая вероятность того, что физические лица могут быть идентифицированы по адресу электронной почты, который они используют, что делает адреса электронной почты персональными данными. Чтобы классифицировать адреса электронной почты как личные данные, не имеет значения, использует ли компания эти адреса электронной почты для идентификации пользователей. Даже если компания не использует адреса электронной почты с целью идентификации физических лиц, адреса электронной почты, по которым можно идентифицировать физических лиц, по-прежнему считаются персональными данными. Не каждая техническая или случайная связь между человеком и данными является достаточной для назначения данных в качестве личных данных. Тем не менее, если существует вероятность, что адреса электронной почты могут использоваться для идентификации пользователей, например, для выявления случаев мошенничества, адреса электронной почты считаются личными данными. При этом не имеет значения, намеревалась ли компания использовать адреса электронной почты для этой цели. Закон говорит о личных данных, когда существует возможность, что данные могут быть использованы для целей, которые идентифицируют физическое лицо. [2]

Специальные персональные данные

Хотя адреса электронной почты в большинстве случаев считаются персональными данными, они не являются специальными личными данными. Специальные персональные данные - это персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в торговле, а также генетические или биометрические данные. Это вытекает из статьи 9 GDPR. Кроме того, адрес электронной почты содержит меньше общедоступной информации, чем, например, домашний адрес. Получить информацию о чьем-либо адресе электронной почты труднее, чем о его домашнем адресе, и в значительной степени от пользователя адреса электронной почты зависит, будет ли адрес электронной почты опубликован или нет. Кроме того, обнаружение адреса электронной почты, который должен был оставаться скрытым, имеет менее серьезные последствия, чем обнаружение домашнего адреса, который должен был оставаться скрытым. Изменить адрес электронной почты проще, чем домашний адрес, и обнаружение адреса электронной почты может привести к цифровому контакту, тогда как обнаружение домашнего адреса может привести к личному контакту. [3]

Обработка персональных данных

Мы установили, что адреса электронной почты в большинстве случаев считаются персональными данными. Однако GDPR распространяется только на компании, которые обрабатывают персональные данные. Обработка персональных данных существует при каждом действии в отношении персональных данных. Это дополнительно определено в GDPR. В соответствии с подпунктом 4 раздела 2 статьи XNUMX под обработкой персональных данных понимается любая операция, выполняемая с персональными данными, независимо от того, выполняются они автоматически или нет. Примерами являются сбор, запись, организация, структурирование, хранение и использование личных данных. Когда компании выполняют вышеупомянутые действия в отношении адресов электронной почты, они обрабатывают личные данные. В этом случае они подпадают под действие GDPR.

Заключение

Не каждый адрес электронной почты считается персональными данными. Однако адреса электронной почты считаются персональными данными, когда они предоставляют идентифицируемую информацию о физическом лице. Многие адреса электронной почты структурированы таким образом, чтобы можно было идентифицировать физическое лицо, использующее адрес электронной почты. Это тот случай, когда адрес электронной почты содержит имя или место работы физического лица. Поэтому многие адреса электронной почты будут считаться персональными данными. Компаниям трудно проводить различие между адресами электронной почты, которые считаются персональными данными, и адресами электронной почты, которые не являются таковыми, поскольку это полностью зависит от структуры адреса электронной почты. Поэтому можно с уверенностью сказать, что компании, которые обрабатывают персональные данные, будут сталкиваться с адресами электронной почты, которые считаются персональными данными. Это означает, что эти компании подпадают под действие GDPR и должны осуществлять политику конфиденциальности, соответствующую GDPR.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Камерстуккен II 1979/80, 25 892 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

Поделиться