E-adrese i opseg GDPR-a. Opća uredba o zaštiti podataka

Na 25-uth maja, stupit će na snagu Opća uredba o zaštiti podataka (GDPR). S primjenom GDPR-a, zaštita osobnih podataka postaje sve važnija. Kompanije moraju uzeti u obzir više i strožija pravila u pogledu zaštite podataka. Međutim, različita pitanja nastaju kao rezultat pada GDPR-a. Za kompanije može biti nejasno koji se podaci smatraju osobnim podacima i potpadaju pod opseg GDPR-a. To je slučaj sa adresama e-pošte: da li se adresa e-pošte smatra ličnim podacima? Da li kompanije koje koriste e-adrese podliježu GDPR-u? Na ova će pitanja biti odgovoreno u ovom članku.

Lični podaci

Da biste odgovorili na pitanje smatra li se adresa e-pošte osobnim podacima ili ne, potrebno je definirati izraz osobni podaci. Ovaj je pojam objašnjen u GDPR-u. Na osnovu članka 4. pod GDPR-om, lični podaci podrazumijevaju sve informacije koje se odnose na identificiranu ili identificirajuću fizičku osobu. Fizička osoba koja se može identificirati je osoba koja se može identificirati, direktno ili indirektno, posebno u odnosu na identifikator poput imena, identifikacijskog broja, podataka o lokaciji ili mrežnog identifikatora. Osobni se podaci odnose na fizičke osobe. Stoga se informacije koje se odnose na umrle osobe ili pravne osobe ne smatraju osobnim podacima.

E-adrese i opseg GDPR-a

E-mail adresa

Sad kad je definicija ličnih podataka utvrđena, treba je procijeniti ako se adresa e-pošte smatra osobnim podacima. Holandska sudska praksa ukazuje da bi adrese e-pošte mogle biti lični podaci, ali da to nije uvijek slučaj. Ovisi da li je fizička osoba identificirana ili ne može se utvrditi na osnovu adrese e-pošte. [1] Mora se uzeti u obzir način na koji su osobe strukturirale svoje adrese e-pošte kako bi se utvrdilo da li se adresa e-pošte može smatrati ličnim podacima ili ne. Mnogo fizičkih osoba strukturira svoju adresu e-pošte na takav način da se adresa mora smatrati ličnim podacima. To je na primjer slučaj kada je adresa e-pošte strukturirana na sljedeći način: firstname.lastname@gmail.com. Ova adresa e-pošte otkriva ime i prezime fizičke osobe koja koristi adresu. Stoga se ova osoba može identificirati na osnovu ove adrese e-pošte. Adrese e-pošte koje se koriste za poslovne aktivnosti mogu sadržavati i lične podatke. To je slučaj kada je adresa e-pošte strukturirana na sljedeći način: inicijali.lastname@nameofcompany.com. Iz ove adrese e-pošte mogu se izvesti koji su inicijali osobe koja koristi adresu e-pošte, kako se preziva i gdje ta osoba radi. Stoga je osoba koja koristi ovu adresu e-pošte moguće identificirati na osnovu adrese e-pošte.

Adresa e-pošte ne smatra se ličnim podacima kada se s nje ne može identificirati fizička osoba. To je slučaj kada se na primjer koristi sljedeća adresa e-pošte: puppy12@hotmail.com. Ova adresa e-pošte ne sadrži podatke iz kojih se može identificirati fizička osoba. Opće adrese e-pošte koje koriste kompanije, poput info@nameofcompany.com, takođe se ne smatraju osobnim podacima. Ova adresa e-pošte ne sadrži nikakve lične podatke iz kojih se može identificirati fizička osoba. Štaviše, adresu e-pošte ne koristi fizičko lice, već pravno lice. Stoga se ne smatra osobnim podacima. Iz holandske sudske prakse može se zaključiti da adrese e-pošte mogu biti lični podaci, ali to nije uvijek slučaj; to ovisi o strukturi adrese e-pošte.

Postoji velika šansa da se fizičke osobe mogu prepoznati po adresi e-pošte koju koriste, zbog čega se adrese e-pošte čine osobnim podacima. Za klasifikaciju adresa e-pošte kao osobnih podataka, nije važno koristi li kompanija e-mail adrese u svrhu identifikacije korisnika. Čak i ako tvrtka ne koristi adrese e-pošte u svrhu identifikacije fizičkih osoba, adrese e-pošte s kojih se mogu identificirati fizičke osobe i dalje se smatraju osobnim podacima. Nije svaka tehnička ili slučajna veza između osobe i podataka dovoljna za imenovanje podataka kao osobnih podataka. Ipak, ako postoji mogućnost da se adrese e-pošte mogu koristiti za identifikaciju korisnika, na primjer za otkrivanje slučajeva prevare, adrese e-pošte smatraju se ličnim podacima. Pri tome nije važno da li je kompanija namijenila ili ne koristi adrese e-pošte u tu svrhu. Zakon govori o osobnim podacima kada postoji mogućnost da se podaci mogu koristiti u svrhu koja identificira fizičku osobu. [2]

Posebni lični podaci

Iako se adrese e-pošte većinu vremena smatraju osobnim podacima, oni nisu posebni osobni podaci. Posebni osobni podaci jesu osobni podaci koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili trgovačko članstvo, te genetski ili biometrijski podaci. To proizlazi iz članka 9 GDPR. Također, adresa e-pošte sadrži manje javnih informacija nego na primjer kućna adresa. Teže je steći znanje o nečijoj adresi e-pošte od njegove kućne adrese, a o velikom dijelu korisnika korisnika adrese e-pošte ovisi hoće li se adresa e-pošte objaviti ili ne. Nadalje, otkrivanje adrese e-pošte koja je trebala ostati skrivena ima manje ozbiljne posljedice od otkrivanja kućne adrese koja bi trebala ostati skrivena. Lakše je promijeniti adresu e-pošte nego što je kućna adresa i otkrivanje adrese e-pošte može dovesti do digitalnog kontakta, dok otkrivanje kućne adrese može dovesti do osobnog kontakta. [3]

Obrada ličnih podataka

Ustanovili smo da se adrese e-pošte većinu vremena smatraju osobnim podacima. Međutim, GDPR se odnosi samo na kompanije koje obrađuju lične podatke. Obrada osobnih podataka postoji u svakoj radnji s obzirom na lične podatke. Ovo je dalje definisano u GDPR-u. Prema članu 4 pod 2 GDPR, obrada osobnih podataka podrazumijeva svaku operaciju koja se vrši na osobnim podacima, bez obzira na to je li automatski ili ne. Primjeri su prikupljanje, snimanje, organiziranje, strukturiranje, pohrana i uporaba osobnih podataka. Kada kompanije obavljaju navedene aktivnosti u vezi s adresama e-pošte, oni obrađuju osobne podatke. U tom slučaju oni podliježu GDPR-u.

zaključak

Ne smatra se da se svaka adresa e-pošte smatra ličnim podacima. Međutim, adrese e-pošte smatraju se ličnim podacima kada pružaju prepoznatljive podatke o fizičkoj osobi. Mnogo adresa e-pošte oblikovano je na način da se fizička osoba koja koristi adresu e-pošte može prepoznati. To je slučaj kada adresa e-pošte sadrži ime ili radno mjesto fizičke osobe. Stoga će puno adresa e-pošte smatrati ličnim podacima. Kompanije je teško napraviti razliku između adresa e-pošte koje se smatraju osobnim podacima i e-mail adrese koje nisu, jer to u potpunosti ovisi o strukturi adrese e-pošte. Zbog toga je sigurno reći da će kompanije koje obrađuju lične podatke naići na adrese e-pošte koje se smatraju osobnim podacima. To znači da ove kompanije podliježu GDPR-u i trebale bi provoditi politiku privatnosti u skladu s GDPR-om.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

Udio