Generel databeskyttelsesforordning
På 25th i maj træder den almindelige databeskyttelsesforordning (GDPR) i kraft. Med installationen af GDPR bliver beskyttelsen af personoplysninger stadig vigtigere. Virksomheder skal tage højde for mere og strengere regler for databeskyttelse. Imidlertid opstår forskellige spørgsmål som følge af afdraget af GDPR. For virksomheder kan det være uklart, hvilke data der anses for at være personlige data og falder ind under anvendelsesområdet for GDPR. Dette er tilfældet med e-mail-adresser: betragtes en e-mail-adresse som personlige data? Er virksomheder, der bruger e-mail-adresser, underlagt GDPR? Disse spørgsmål vil blive besvaret i denne artikel.
Personoplysninger
For at besvare spørgsmålet om, hvorvidt en e-mail-adresse anses for at være personlige data, skal udtrykket personlige data defineres. Dette udtryk forklares i GDPR. Baseret på artikel 4 under en GDPR betyder personoplysninger alle oplysninger, der vedrører en identificeret eller identificerbar fysisk person. En identificerbar fysisk person er en person, der kan identificeres, direkte eller indirekte, især under henvisning til en identifikator, såsom et navn, et identifikationsnummer, lokaliseringsdata eller en online identifikator. Personoplysninger henviser til fysiske personer. Derfor betragtes oplysninger om afdøde personer eller juridiske enheder ikke som personlige data.
E-mail adresse
Nu hvor definitionen af persondata er fastlagt, skal det vurderes, om en e-mailadresse anses for at være persondata. Hollandsk retspraksis indikerer, at e-mailadresser muligvis kan være personlige data, men at det ikke altid er tilfældet. Det afhænger af, om en fysisk person er identificeret eller identificerbar baseret på e-mailadressen.[1] Den måde, personer har struktureret deres e-mailadresser på, skal tages i betragtning for at afgøre, om e-mailadressen kan ses som personlige data eller ej. Mange fysiske personer strukturerer deres e-mailadresse på en sådan måde, at adressen skal betragtes som persondata. Dette er for eksempel tilfældet, når en e-mailadresse er struktureret på følgende måde: fornavn.efternavn@gmail.com. Denne e-mailadresse afslører for- og efternavnet på den fysiske person, der bruger adressen. Derfor kan denne person identificeres ud fra denne e-mailadresse. E-mailadresser, der bruges til forretningsaktiviteter, kan også indeholde personoplysninger. Dette er tilfældet, når en e-mailadresse er struktureret på følgende måde: initialer.efternavn@virksomhedsnavn.com. Fra denne e-mailadresse kan man udlede, hvad initialerne på den person, der bruger e-mailadressen er, hvad hans efternavn er, og hvor denne person arbejder. Derfor kan den person, der bruger denne e-mailadresse, identificeres baseret på e-mailadressen.
En e-mailadresse anses ikke for at være persondata, når ingen fysisk person kan identificeres ud fra den. Dette er tilfældet, når f.eks. følgende e-mailadresse bruges: puppy12@hotmail.com. Denne e-mailadresse indeholder ingen data, hvorfra en fysisk person kan identificeres. Generelle e-mailadresser, der bruges af virksomheder, såsom info@nameofcompany.com, anses heller ikke for at være personlige data. Denne e-mailadresse indeholder ingen personlige oplysninger, hvorfra en fysisk person kan identificeres. Desuden bruges e-mailadressen ikke af en fysisk person, men af en juridisk enhed. Det anses derfor ikke for at være persondata. Fra hollandsk retspraksis kan det konkluderes, at e-mailadresser kan være personlige data, men det er ikke altid tilfældet; det afhænger af e-mailadressens struktur.
Der er en stor chance for, at fysiske personer kan identificeres ved hjælp af den e-mail-adresse, de bruger, hvilket gør e-mail-adresser til personlige data. For at klassificere e-mail-adresser som personlige data, betyder det ikke noget, om virksomheden rent faktisk bruger e-mail-adresserne til at identificere brugerne. Selv hvis et firma ikke bruger e-mail-adresserne med det formål at identificere fysiske personer, betragtes de e-mail-adresser, hvorfra fysiske personer kan identificeres, stadigvæk som personlige data. Ikke enhver teknisk eller tilfældig forbindelse mellem en person og data er tilstrækkelig til at udpege dataene som personlige data. Hvis muligheden dog eksisterer for, at e-mail-adresserne kan bruges til at identificere brugerne, for eksempel til at opdage tilfælde af svig, betragtes e-mail-adresserne som personlige data. I dette betyder det ikke noget, om virksomheden har til hensigt at bruge e-mail-adresserne til dette formål eller ej. Loven taler om personoplysninger, når der er mulighed for, at dataene kan bruges til et formål, der identificerer en fysisk person. [2]
Særlige personlige data
Mens e-mail-adresser det meste af tiden betragtes som personlige data, er de ikke særlige personlige data. Særlige personoplysninger er personoplysninger, der afslører racemæssig eller etnisk oprindelse, politiske meninger, religiøs eller filosofisk tro eller handelsmedlemskab og genetiske eller biometriske data. Dette stammer fra artikel 9 GDPR. En e-mail-adresse indeholder også mindre offentlige oplysninger end for eksempel en hjemmeadresse. Det er vanskeligere at få kendskab til nogens e-mail-adresse end hans hjemmeadresse, og det afhænger for en stor del af brugeren af e-mail-adressen, om e-mail-adressen bliver offentliggjort eller ej. Desuden har opdagelsen af en e-mail-adresse, der skulle have været skjult, mindre alvorlige konsekvenser end opdagelsen af en hjemmeadresse, der burde have været skjult. Det er lettere at ændre en e-mail-adresse end en hjemmeadresse, og opdagelse af en e-mail-adresse kan føre til digital kontakt, mens opdagelse af en hjemmeadresse kan føre til personlig kontakt. [3]
Behandling af personoplysninger
Vi har konstateret, at e-mail-adresser betragtes som personlige data det meste af tiden. GDPR gælder dog kun for virksomheder, der behandler personoplysninger. Behandling af personlige data findes af enhver handling med hensyn til personlige data. Dette er yderligere defineret i GDPR. I henhold til artikel 4, stk. 2, i GDPR, betyder behandling af personoplysninger enhver handling, der udføres på personlige data, uanset om de er automatiske. Eksempler er indsamling, registrering, organisering, strukturering, opbevaring og brug af personlige data. Når virksomheder udfører ovennævnte aktiviteter med hensyn til e-mail-adresser, behandler de personoplysninger. I dette tilfælde er de underlagt GDPR.
Konklusion
Ikke hver e-mail-adresse anses for at være personlige data. E-mail-adresser anses dog for at være personlige data, når de giver identificerbare oplysninger om en fysisk person. En masse e-mail-adresser er struktureret på en måde, som den fysiske person, der bruger e-mail-adressen, kan identificeres. Dette er tilfældet, når e-mail-adressen indeholder en fysisk persons navn eller arbejdsplads. Derfor vil mange e-mail-adresser blive betragtet som personlige data. Det er vanskeligt for virksomheder at skelne mellem e-mail-adresser, der betragtes som personlige data og e-mail-adresser, der ikke er det, da dette helt afhænger af strukturen af e-mail-adressen. Derfor er det sikkert at sige, at virksomheder, der behandler personoplysninger, vil støde på e-mail-adresser, der betragtes som personlige data. Dette betyder, at disse virksomheder er underlagt GDPR og bør implementere en privatlivspolitik, der er i overensstemmelse med GDPR.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerstykker II 1979-80, 25 892, 3 (MVT).
[3] ECLI: NL: GHAMS: 2002: AE5514.