E-mail-adresser og omfanget af GDPR. Generel databeskyttelsesforordning

På 25th i maj træder den almindelige databeskyttelsesforordning (GDPR) i kraft. Med installationen af ​​GDPR bliver beskyttelsen af ​​personoplysninger stadig vigtigere. Virksomheder skal tage højde for mere og strengere regler for databeskyttelse. Imidlertid opstår forskellige spørgsmål som følge af afdraget af GDPR. For virksomheder kan det være uklart, hvilke data der anses for at være personlige data og falder ind under anvendelsesområdet for GDPR. Dette er tilfældet med e-mail-adresser: betragtes en e-mail-adresse som personlige data? Er virksomheder, der bruger e-mail-adresser, underlagt GDPR? Disse spørgsmål vil blive besvaret i denne artikel.

Personoplysninger

For at besvare spørgsmålet om, hvorvidt en e-mail-adresse anses for at være personlige data, skal udtrykket personlige data defineres. Dette udtryk forklares i GDPR. Baseret på artikel 4 under en GDPR betyder personoplysninger alle oplysninger, der vedrører en identificeret eller identificerbar fysisk person. En identificerbar fysisk person er en person, der kan identificeres, direkte eller indirekte, især under henvisning til en identifikator, såsom et navn, et identifikationsnummer, lokaliseringsdata eller en online identifikator. Personoplysninger henviser til fysiske personer. Derfor betragtes oplysninger om afdøde personer eller juridiske enheder ikke som personlige data.

E-mail-adresser og omfanget af GDPR

 

Email adresse

Nu, hvor definitionen af ​​personlige data er bestemt, skal den vurderes, hvis en e-mail-adresse betragtes som personlige data. Hollandsk retspraksis viser, at e-mail-adresser muligvis kan være personlige data, men at dette ikke altid er tilfældet. Det afhænger af, om en fysisk person identificeres eller identificeres på baggrund af e-mail-adressen. [1] Den måde, personer har struktureret deres e-mail-adresser på, skal tages i betragtning for at afgøre, om e-mail-adressen kan ses som personlige data eller ej. Mange fysiske personer strukturerer deres e-mail-adresse på en sådan måde, at adressen skal betragtes som personlige data. Dette er for eksempel tilfældet, når en e-mail-adresse er struktureret på følgende måde: fornavn.lastnavn@gmail.com. Denne e-mail-adresse afslører for- og efternavnet på den fysiske person, der bruger adressen. Derfor kan denne person identificeres på baggrund af denne e-mail-adresse. E-mail-adresser, der bruges til forretningsaktiviteter, kan også indeholde personlige data. Dette er tilfældet, når en e-mail-adresse er struktureret på følgende måde: initials.lastname@nameofcompany.com. Fra denne e-mail-adresse kan der udledes, hvad initialerne til den person, der bruger e-mail-adressen er, hvad hans efternavn er, og hvor denne person fungerer. Derfor identificeres den person, der bruger denne e-mail-adresse, baseret på e-mail-adressen.

En e-mail-adresse anses ikke for at være personlige data, når ingen fysisk person kan identificeres ud fra den. Dette er tilfældet, når for eksempel følgende e-mail-adresse bruges: puppy12@hotmail.com. Denne e-mail-adresse indeholder ingen data, hvorfra en fysisk person kan identificeres. Generelle e-mail-adresser, der bruges af virksomheder, som info@nameofcompany.com, betragtes heller ikke som personlige data. Denne e-mail-adresse indeholder ingen personlige oplysninger, hvorfra en fysisk person kan identificeres. Desuden bruges e-mail-adressen ikke af en fysisk person, men af ​​en juridisk enhed. Derfor betragtes det ikke som personlige data. Fra hollandsk retspraksis kan man konkludere, at e-mail-adresser kan være personlige data, men dette er ikke altid tilfældet; det afhænger af strukturen af ​​e-mail-adressen.

Der er en stor chance for, at fysiske personer kan identificeres ved hjælp af den e-mail-adresse, de bruger, hvilket gør e-mail-adresser til personlige data. For at klassificere e-mail-adresser som personlige data, betyder det ikke noget, om virksomheden rent faktisk bruger e-mail-adresserne til at identificere brugerne. Selv hvis et firma ikke bruger e-mail-adresserne med det formål at identificere fysiske personer, betragtes de e-mail-adresser, hvorfra fysiske personer kan identificeres, stadigvæk som personlige data. Ikke enhver teknisk eller tilfældig forbindelse mellem en person og data er tilstrækkelig til at udpege dataene som personlige data. Hvis muligheden dog eksisterer for, at e-mail-adresserne kan bruges til at identificere brugerne, for eksempel til at opdage tilfælde af svig, betragtes e-mail-adresserne som personlige data. I dette betyder det ikke noget, om virksomheden har til hensigt at bruge e-mail-adresserne til dette formål eller ej. Loven taler om personoplysninger, når der er mulighed for, at dataene kan bruges til et formål, der identificerer en fysisk person. [2]

Særlige personlige data

Mens e-mail-adresser det meste af tiden betragtes som personlige data, er de ikke særlige personlige data. Særlige personoplysninger er personoplysninger, der afslører racemæssig eller etnisk oprindelse, politiske meninger, religiøs eller filosofisk tro eller handelsmedlemskab og genetiske eller biometriske data. Dette stammer fra artikel 9 GDPR. En e-mail-adresse indeholder også mindre offentlige oplysninger end for eksempel en hjemmeadresse. Det er vanskeligere at få kendskab til nogens e-mail-adresse end hans hjemmeadresse, og det afhænger for en stor del af brugeren af ​​e-mail-adressen, om e-mail-adressen bliver offentliggjort eller ej. Desuden har opdagelsen af ​​en e-mail-adresse, der skulle have været skjult, mindre alvorlige konsekvenser end opdagelsen af ​​en hjemmeadresse, der burde have været skjult. Det er lettere at ændre en e-mail-adresse end en hjemmeadresse, og opdagelse af en e-mail-adresse kan føre til digital kontakt, mens opdagelse af en hjemmeadresse kan føre til personlig kontakt. [3]

Behandling af personoplysninger

Vi har konstateret, at e-mail-adresser betragtes som personlige data det meste af tiden. GDPR gælder dog kun for virksomheder, der behandler personoplysninger. Behandling af personlige data findes af enhver handling med hensyn til personlige data. Dette er yderligere defineret i GDPR. I henhold til artikel 4, stk. 2, i GDPR, betyder behandling af personoplysninger enhver handling, der udføres på personlige data, uanset om de er automatiske. Eksempler er indsamling, registrering, organisering, strukturering, opbevaring og brug af personlige data. Når virksomheder udfører ovennævnte aktiviteter med hensyn til e-mail-adresser, behandler de personoplysninger. I dette tilfælde er de underlagt GDPR.

Konklusion

Ikke hver e-mail-adresse anses for at være personlige data. E-mail-adresser anses dog for at være personlige data, når de giver identificerbare oplysninger om en fysisk person. En masse e-mail-adresser er struktureret på en måde, som den fysiske person, der bruger e-mail-adressen, kan identificeres. Dette er tilfældet, når e-mail-adressen indeholder en fysisk persons navn eller arbejdsplads. Derfor vil mange e-mail-adresser blive betragtet som personlige data. Det er vanskeligt for virksomheder at skelne mellem e-mail-adresser, der betragtes som personlige data og e-mail-adresser, der ikke er det, da dette helt afhænger af strukturen af ​​e-mail-adressen. Derfor er det sikkert at sige, at virksomheder, der behandler personoplysninger, vil støde på e-mail-adresser, der betragtes som personlige data. Dette betyder, at disse virksomheder er underlagt GDPR og bør implementere en privatlivspolitik, der er i overensstemmelse med GDPR.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Kamerstukken II 1979-80, 25 892, 3 (MVT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

Del