E-mail-adresser og omfanget af GDPR. Generel databeskyttelsesforordning

På 25th i maj træder den almindelige databeskyttelsesforordning (GDPR) i kraft. Med installationen af ​​GDPR bliver beskyttelsen af ​​personoplysninger stadig vigtigere. Virksomheder skal tage højde for mere og strengere regler for databeskyttelse. Imidlertid opstår forskellige spørgsmål som følge af afdraget af GDPR. For virksomheder kan det være uklart, hvilke data der anses for at være personlige data og falder ind under anvendelsesområdet for GDPR. Dette er tilfældet med e-mail-adresser: betragtes en e-mail-adresse som personlige data? Er virksomheder, der bruger e-mail-adresser, underlagt GDPR? Disse spørgsmål vil blive besvaret i denne artikel.

Personlige data

For at besvare spørgsmålet om, hvorvidt en e-mail-adresse anses for at være personlige data, skal udtrykket personlige data defineres. Dette udtryk forklares i GDPR. Baseret på artikel 4 under en GDPR betyder personoplysninger alle oplysninger, der vedrører en identificeret eller identificerbar fysisk person. En identificerbar fysisk person er en person, der kan identificeres, direkte eller indirekte, især under henvisning til en identifikator, såsom et navn, et identifikationsnummer, lokaliseringsdata eller en online identifikator. Personoplysninger henviser til fysiske personer. Derfor betragtes oplysninger om afdøde personer eller juridiske enheder ikke som personlige data.

E-mail-adresser og omfanget af GDPR

Email adresse

Now that the definition of personal data is determined, it needs to be assed if an email address is considered to be personal data. Dutch case law indicates that email addresses could possibly be personal data, but that this is not always the case. It depends whether or not a natural person is identified or identifiable based on the email address.[1] The way persons have structured their email addresses has to be taken into account in order to determine whether the email address can be seen as personal data or not. A lot of natural persons structure their email address in such a way that the address has to be considered personal data. This is for example the case when an email address is structured in the following way: firstname.lastname@gmail.com. This email address exposes the first and last name of the natural person that uses the address. Therefore, this person can be identified based on this email address. Email addresses that are used for business activities could also contain personal data. This is the case when an e-mail address is structured in the following way: initials.lastname@nameofcompany.com. From this email address can be derived what the initials of the person using the email address are, what his last name is and where this person works. Therefore, the person using this email address is identifiable based on the email address.

An email address is not considered to be personal data when no natural person can be identified from it. This is the case when for example the following email address is used: puppy12@hotmail.com. This email address does not contain any data from which a natural person can be identified. General email addresses that are used by companies, like info@nameofcompany.com, are also not considered to be personal data. This email address does not contain any personal information from which a natural person can be identified. Moreover, the email address is not used by a natural person, but by a legal entity. Therefore, it is not considered to be personal data. From Dutch case law can be concluded that email addresses can be personal data, but this is not always the case; it depends of the structure of the email address.

Der er en stor chance for, at fysiske personer kan identificeres ved hjælp af den e-mail-adresse, de bruger, hvilket gør e-mail-adresser til personlige data. For at klassificere e-mail-adresser som personlige data, betyder det ikke noget, om virksomheden rent faktisk bruger e-mail-adresserne til at identificere brugerne. Selv hvis et firma ikke bruger e-mail-adresserne med det formål at identificere fysiske personer, betragtes de e-mail-adresser, hvorfra fysiske personer kan identificeres, stadigvæk som personlige data. Ikke enhver teknisk eller tilfældig forbindelse mellem en person og data er tilstrækkelig til at udpege dataene som personlige data. Hvis muligheden dog eksisterer for, at e-mail-adresserne kan bruges til at identificere brugerne, for eksempel til at opdage tilfælde af svig, betragtes e-mail-adresserne som personlige data. I dette betyder det ikke noget, om virksomheden har til hensigt at bruge e-mail-adresserne til dette formål eller ej. Loven taler om personoplysninger, når der er mulighed for, at dataene kan bruges til et formål, der identificerer en fysisk person. [2]

Særlige personlige data

Mens e-mail-adresser det meste af tiden betragtes som personlige data, er de ikke særlige personlige data. Særlige personoplysninger er personoplysninger, der afslører racemæssig eller etnisk oprindelse, politiske meninger, religiøs eller filosofisk tro eller handelsmedlemskab og genetiske eller biometriske data. Dette stammer fra artikel 9 GDPR. En e-mail-adresse indeholder også mindre offentlige oplysninger end for eksempel en hjemmeadresse. Det er vanskeligere at få kendskab til nogens e-mail-adresse end hans hjemmeadresse, og det afhænger for en stor del af brugeren af ​​e-mail-adressen, om e-mail-adressen bliver offentliggjort eller ej. Desuden har opdagelsen af ​​en e-mail-adresse, der skulle have været skjult, mindre alvorlige konsekvenser end opdagelsen af ​​en hjemmeadresse, der burde have været skjult. Det er lettere at ændre en e-mail-adresse end en hjemmeadresse, og opdagelse af en e-mail-adresse kan føre til digital kontakt, mens opdagelse af en hjemmeadresse kan føre til personlig kontakt. [3]

Behandling af personoplysninger

Vi har konstateret, at e-mail-adresser betragtes som personlige data det meste af tiden. GDPR gælder dog kun for virksomheder, der behandler personoplysninger. Behandling af personlige data findes af enhver handling med hensyn til personlige data. Dette er yderligere defineret i GDPR. I henhold til artikel 4, stk. 2, i GDPR, betyder behandling af personoplysninger enhver handling, der udføres på personlige data, uanset om de er automatiske. Eksempler er indsamling, registrering, organisering, strukturering, opbevaring og brug af personlige data. Når virksomheder udfører ovennævnte aktiviteter med hensyn til e-mail-adresser, behandler de personoplysninger. I dette tilfælde er de underlagt GDPR.

Konklusion

Ikke hver e-mail-adresse anses for at være personlige data. E-mail-adresser anses dog for at være personlige data, når de giver identificerbare oplysninger om en fysisk person. En masse e-mail-adresser er struktureret på en måde, som den fysiske person, der bruger e-mail-adressen, kan identificeres. Dette er tilfældet, når e-mail-adressen indeholder en fysisk persons navn eller arbejdsplads. Derfor vil mange e-mail-adresser blive betragtet som personlige data. Det er vanskeligt for virksomheder at skelne mellem e-mail-adresser, der betragtes som personlige data og e-mail-adresser, der ikke er det, da dette helt afhænger af strukturen af ​​e-mail-adressen. Derfor er det sikkert at sige, at virksomheder, der behandler personoplysninger, vil støde på e-mail-adresser, der betragtes som personlige data. Dette betyder, at disse virksomheder er underlagt GDPR og bør implementere en privatlivspolitik, der er i overensstemmelse med GDPR.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

Del