Általános adatvédelmi rendelet
Az 25-onth májusában lép hatályba az általános adatvédelmi rendelet (GDPR). A GDPR visszafizetésével a személyes adatok védelme egyre fontosabbá válik. A társaságoknak figyelembe kell venniük az adatvédelemre vonatkozó szigorúbb és szigorúbb szabályokat. A GDPR visszafizetése miatt azonban számos kérdés merül fel. A vállalatok számára nem világos, hogy mely adatokat tekintik személyes adatnak, és amelyek a GDPR hatálya alá tartoznak. Ez a helyzet az e-mail címekkel: vajon az e-mail címet személyes adatnak tekintik? Azok az cégek, amelyek e-mail címeket használnak, a GDPR hatálya alá tartoznak? Ezekre a kérdésekre ebben a cikkben válaszolunk.
Személyes adatok
Annak megválaszolásához, hogy az e-mail címet személyes adatnak tekintik-e vagy sem, meg kell határozni a személyes adat kifejezést. Ezt a kifejezést a GDPR ismerteti. A GDPR 4. cikke alapján a személyes adatok az azonosított vagy azonosítható természetes személyre vonatkozó bármilyen információt jelentik. Az azonosítható természetes személy olyan személy, akit közvetlenül vagy közvetetten lehet azonosítani, különösen olyan azonosítóra hivatkozva, mint például név, azonosító szám, helymeghatározási adatok vagy online azonosító. A személyes adatok természetes személyekre vonatkoznak. Ezért az elhunyt személyekre vagy jogi személyekre vonatkozó információkat nem kell személyes adatoknak tekinteni.
E-mail cím
Most, hogy meghatározták a személyes adatok meghatározását, meg kell vizsgálni, ha egy e-mail címet személyes adatnak tekintenek. A holland ítélkezési gyakorlat szerint az e-mail címek esetleg személyes adatok lehetnek, de ez nem mindig így van. Attól függ, hogy egy természetes személy az e-mail cím alapján azonosítható-e vagy sem. [1] Figyelembe kell venni, hogy a személyek miként szerkesztették e-mail címüket annak meghatározásához, hogy az e-mail cím személyes adatnak tekinthető-e vagy sem. Sok természetes személy úgy szerkeszti e-mail címét, hogy a címet személyes adatnak kell tekinteni. Ez például akkor fordul elő, amikor az e-mail cím a következő módon van felépítve: keresztnév.név@gmail.com. Ez az e-mail cím feltünteti a címet használó természetes személy vezeték- és vezetéknevét. Ezért ez a személy ezen e-mail cím alapján azonosítható. Az üzleti tevékenységhez használt e-mail címek személyes adatokat is tartalmazhatnak. Ez az eset áll fenn, amikor az e-mail cím a következő módon van felépítve: kezdőbetű.családnév@vállalat.com. Ebből az e-mail címből levezethető az e-mail címet használó személy kezdőbetűje, mi a vezetékneve és hol működik ez a személy. Ezért az e-mail címet használó személy azonosítható az e-mail cím alapján.
Az e-mail cím nem tekinthető személyes adatnak, ha természetes személy nem azonosítható belőle. Ez akkor áll fenn, ha például a következő e-mail címet használják: puppy12@hotmail.com. Ez az e-mail cím nem tartalmaz olyan adatokat, amelyek alapján természetes személy azonosítható lenne. A vállalatok által használt általános e-mail címek, például az info@névvállalat.com szintén nem minősülnek személyes adatnak. Ez az e-mail cím nem tartalmaz személyes adatokat, amelyek alapján természetes személy azonosítható lenne. Az e-mail címet ráadásul nem természetes személy, hanem jogi személy használja. Ezért nem tekinthető személyes adatnak. A holland ítélkezési gyakorlatból arra lehet következtetni, hogy az e-mail címek személyes adatok lehetnek, de ez nem mindig így van; az e-mail cím szerkezetétől függ.
Nagy a esély arra, hogy a természetes személyeket azonosítják az általuk használt e-mail cím alapján, ami e-mail címeket személyes adatokké tesz. Annak érdekében, hogy az e-mail címeket személyes adatnak minősítsük, nem számít, hogy a vállalat valóban az e-mail címeket használja-e a felhasználók azonosításához. Még akkor is, ha egy vállalat nem használja az e-mail címeket természetes személyek azonosítására, az e-mail címek, amelyek alapján a természetes személyek azonosíthatók, továbbra is személyes adatoknak minősülnek. Nem minden technikai vagy véletlenszerű kapcsolat egy személy és az adatok között elegendő ahhoz, hogy az adatokat személyes adatnak lehessen minősíteni. Ha azonban fennáll annak a lehetősége, hogy az e-mail címeket felhasználhatják a felhasználók azonosítására, például csalások észlelésére, az e-mail címeket személyes adatoknak kell tekinteni. Ebben nem számít, vajon a vállalat e-mail címeket kívánta-e erre a célra használni. A törvény a személyes adatokról beszél akkor, amikor fennáll annak a lehetősége, hogy az adatokat természetes személy azonosítására szolgáló célra lehet felhasználni. [2]
Különleges személyes adatok
Noha az e-mail címeket általában személyes adatoknak tekintik, ezek nem különleges személyes adatok. A különleges személyes adatok faji vagy etnikai származást, politikai véleményeket, vallási vagy filozófiai meggyőződéseket vagy kereskedelmi tagságot felfedő személyes adatok, valamint genetikai vagy biometrikus adatok. Ez a GDPR 9. cikkéből származik. Ezenkívül egy e-mail cím kevesebb nyilvános információt tartalmaz, mint például egy otthoni cím. Nehezebb megismerni valaki e-mail címét, mint otthoni címét, és nagyrészt az e-mail felhasználójától függ, hogy az e-mail címet nyilvánosságra hozzák-e. Ezenkívül egy olyan e-mail cím felfedezése, amelyet rejtve kellett volna tartani, kevésbé súlyos következményekkel jár, mint egy olyan otthoni cím felfedezése, amelynek rejtettnek kellett maradnia. Az e-mail címet egyszerűbben meg lehet változtatni, mint egy otthoni címet, és az e-mail cím felfedezése digitális kapcsolathoz vezethet, míg az otthoni cím felfedezése személyes kapcsolathoz vezethet. [3]
Személyes adatok feldolgozása
Megállapítottuk, hogy az e-mail címeket általában személyes adatoknak tekintik. A GDPR azonban csak a személyes adatokat feldolgozó cégekre vonatkozik. A személyes adatok feldolgozása minden egyes lépésben létezik a személyes adatokkal kapcsolatban. Ezt részletesebben meghatározza a GDPR. A GDPR 4. cikke (2) bekezdésének értelmében a személyes adatok feldolgozása minden olyan műveletet jelent, amelyet a személyes adatokkal automatikusan vagy automatikusan hajtanak végre. Példa erre a személyes adatok gyűjtése, rögzítése, szervezése, strukturálása, tárolása és felhasználása. Amikor a vállalatok az előbb említett tevékenységeket az e-mail címekkel kapcsolatban végzik, személyes adatokat dolgoznak fel. Ebben az esetben a GDPR hatálya alá tartoznak.
Következtetés
Nem minden e-mail címet tekintünk személyes adatnak. Az e-mail címeket akkor tekintik személyes adatoknak, ha azonosítható információkat szolgáltatnak egy természetes személyről. Sok e-mail cím felépítése oly módon történik, hogy az e-mail címet használó természetes személy azonosítható legyen. Ez az eset áll fenn, ha az e-mail cím tartalmazza egy természetes személy nevét vagy munkahelyét. Ezért sok e-mail címet tekintünk személyes adatnak. A vállalatok számára nehéz különbséget tenni a személyes adatoknak tekintett e-mail címek és a nem e-mail címek között, mivel ez teljes mértékben az e-mail cím szerkezetétől függ. Ezért biztonságos azt mondani, hogy a személyes adatokat feldolgozó cégek olyan e-mail címekkel találkoznak, amelyeket személyes adatoknak tekintnek. Ez azt jelenti, hogy ezekre a társaságokra a GDPR vonatkozik, és végre kell hajtaniuk a GDPR-vel összhangban lévő adatvédelmi politikát.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.