Bendrasis duomenų apsaugos reglamentas (GDPR)
25th gegužės įsigalios Bendrasis duomenų apsaugos reglamentas (GDPR). Įmokėjus GDPR, asmens duomenų apsauga tampa vis svarbesnė. Bendrovės turi atsižvelgti į daugiau ir griežtesnių duomenų apsaugos taisyklių. Tačiau, sumokėjus GDPR, kyla įvairių klausimų. Bendrovėms gali būti neaišku, kurie duomenys laikomi asmens duomenimis ir patenka į GDPR taikymo sritį. Taip yra el. Pašto adresų atveju: ar el. Pašto adresas laikomas asmeniniais duomenimis? Ar įmonėms, naudojančioms el. Pašto adresus, taikoma GDPR? Į šiuos klausimus bus atsakyta šiame straipsnyje.
Asmeniniai duomenys
Norint atsakyti į klausimą, ar el. Pašto adresas laikomas asmens duomenimis, reikia apibrėžti asmens duomenų sąvoką. Šis terminas paaiškintas GDPR. Remiantis GDPR 4 straipsniu, asmens duomenys reiškia bet kokią informaciją apie fizinį asmenį, kurio tapatybė nustatyta arba gali būti nustatyta. Fizinis asmuo, kurio tapatybė gali būti nustatyta - tai asmuo, kurį galima tiesiogiai ar netiesiogiai identifikuoti atsižvelgiant į tokį identifikatorių kaip vardas, identifikavimo numeris, buvimo vietos duomenys arba internetinis identifikatorius. Asmens duomenys reiškia fizinius asmenis. Todėl informacija apie mirusius asmenis ar juridinius asmenis nelaikoma asmens duomenimis.
El-pašto adresas
Dabar, kai yra nustatytas asmens duomenų apibrėžimas, reikia įvertinti, ar el. pašto adresas laikomas asmens duomenimis. Olandijos atvejis įstatymas nurodo, kad el. pašto adresai gali būti asmens duomenys, tačiau taip yra ne visada. Tai priklauso nuo to, ar fizinis asmuo yra nustatytas arba gali būti identifikuojamas pagal el. pašto adresą.[1] Norint nustatyti, ar el. pašto adresas gali būti laikomas asmens duomenimis, reikia atsižvelgti į tai, kaip asmenys suskirstė savo el. pašto adresus.
Daugelis fizinių asmenų savo elektroninio pašto adresą struktūrizuoja taip, kad adresas turi būti laikomas asmens duomenimis. Tai, pavyzdžiui, atvejis, kai el. pašto adreso struktūra yra tokia: vardas.pavardė@gmail.com. Šis el. pašto adresas atskleidžia adresą naudojančio fizinio asmens vardą ir pavardę.
Todėl šį asmenį galima atpažinti pagal šį el. pašto adresą. El. pašto adresuose, kurie naudojami verslo veiklai, taip pat gali būti asmens duomenų. Taip yra, kai el. pašto adreso struktūra yra tokia: inicialai.pavardė@įmonės pavadinimas.com. Iš šio el. pašto adreso galima nustatyti, kokie yra asmens, naudojančio elektroninio pašto adresą, inicialai, kokia jo pavardė ir kur šis asmuo dirba. Todėl šį el. pašto adresą naudojantį asmenį galima identifikuoti pagal el. pašto adresą.
Pašto adresas nelaikomas asmens duomenimis, kai iš jo negalima nustatyti jokio fizinio asmens tapatybės. Taip yra, kai, pavyzdžiui, naudojamas šis el. pašto adresas: puppy12@hotmail.com. Šiame elektroninio pašto adresu nėra duomenų, pagal kuriuos būtų galima nustatyti fizinio asmens tapatybę. Bendrieji el. pašto adresai, kuriuos naudoja įmonės, pvz., info@company.com, taip pat nelaikomi asmens duomenimis.
Šiame el. pašto adresu nėra jokios asmeninės informacijos, pagal kurią būtų galima atpažinti fizinį asmenį. Be to, elektroninio pašto adresą naudoja ne fizinis, o juridinis asmuo. Todėl tai nelaikoma asmens duomenimis. Iš Nyderlandų teismų praktikos galima daryti išvadą, kad el. pašto adresai gali būti asmens duomenys, tačiau taip yra ne visada; tai priklauso nuo el. pašto adreso struktūros.
Didelė tikimybė, kad fizinius asmenis bus galima atpažinti pagal jų naudojamą el. pašto adresą, todėl el. pašto adresai yra asmens duomenys. Norint priskirti el. pašto adresus asmens duomenims, nesvarbu, ar įmonė iš tikrųjų naudoja el. pašto adresus, siekdama identifikuoti vartotojus. Net jei įmonė elektroninio pašto adresų nenaudoja fizinių asmenų tapatybei nustatyti, elektroninio pašto adresai, iš kurių galima nustatyti fizinių asmenų tapatybę, vis tiek laikomi asmens duomenimis.
Ne kiekvienas techninis ar atsitiktinis ryšys tarp asmens ir duomenų yra pakankamas, kad duomenys būtų priskirti asmens duomenimis. Tačiau, jei yra galimybė, kad el. pašto adresai gali būti naudojami siekiant identifikuoti vartotojus, pavyzdžiui, nustatyti sukčiavimo atvejus, el. pašto adresai laikomi asmens duomenimis. Šiuo atveju nesvarbu, ar įmonė ketino naudoti el. pašto adresus šiuo tikslu, ar ne. Įstatyme kalbama apie asmens duomenis, kai yra galimybė, kad duomenys gali būti naudojami fizinį asmenį identifikuojančiam tikslui.[2]
Ypatingi asmens duomenys
Nors elektroninio pašto adresai dažniausiai laikomi asmens duomenimis, jie nėra specialūs asmens duomenys. Ypatingi asmens duomenys – tai asmens duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus arba prekybinę priklausomybę, taip pat genetiniai ar biometriniai duomenys. Tai išplaukia iš BDAR 9 straipsnio. Be to, el. pašto adresu yra mažiau viešos informacijos nei, pavyzdžiui, a home adresas
Sužinoti apie kieno nors el. pašto adresą yra sunkiau nei apie jo namų adresą ir didžiąja dalimi nuo el. pašto adreso vartotojo priklauso, ar el. pašto adresas yra viešas, ar ne. Be to, aptiktas el. pašto adresas, kuris turėjo likti paslėptas, turi mažiau rimtų pasekmių nei namų adreso, kuris turėjo likti paslėptas, atradimas. Pakeisti el. pašto adresą lengviau nei namų adresą, o aptikus el. pašto adresą galima užmegzti skaitmeninį kontaktą, o atradus namų adresą – asmeninį kontaktą.[3]
Asmens duomenų tvarkymas
Mes nustatėme, kad el. Pašto adresai dažniausiai laikomi asmeniniais duomenimis. Tačiau GDPR galioja tik toms įmonėms, kurios tvarko asmens duomenis. Asmens duomenų tvarkymas yra bet koks veiksmas, susijęs su asmens duomenimis. Tai išsamiau apibrėžta GDPR. Pagal GDPR 4 straipsnio 2 dalį asmens duomenų tvarkymas reiškia bet kokią operaciją, kuri vykdoma asmens duomenimis, automatinėmis priemonėmis ar ne. Pavyzdžiai yra asmens duomenų rinkimas, įrašymas, tvarkymas, struktūrizavimas, saugojimas ir naudojimas. Kai įmonės vykdo aukščiau nurodytą veiklą el. Pašto adresų srityje, jos tvarko asmens duomenis. Tokiu atveju jiems taikoma GDPR.
Išvada
Ne kiekvienas el. pašto adresas laikomas asmeniniais duomenimis. Tačiau elektroninio pašto adresai laikomi asmens duomenimis, kai juose pateikiama identifikuojama informacija apie fizinį asmenį. Daugelio el. pašto adresų struktūra yra tokia, kad būtų galima identifikuoti el. pašto adresą naudojantį fizinį asmenį. Taip yra, kai elektroninio pašto adresu yra nurodytas fizinio asmens vardas, pavardė arba darbovietė. Todėl daugelis el. pašto adresų bus laikomi asmens duomenimis.
Įmonėms sunku atskirti el. pašto adresus, kurie laikomi asmeniniais duomenimis, ir el. pašto adresus, kurie nėra laikomi asmeniniais duomenimis, nes tai visiškai priklauso nuo el. pašto adreso struktūros. Todėl galima drąsiai teigti, kad įmonės, kurios tvarko asmens duomenis, susidurs su el. pašto adresais, kurie laikomi asmens duomenimis. Tai reiškia, kad šioms įmonėms taikomas GDPR ir jos turėtų įgyvendinti tokią privatumo politiką Atitinka reikalavimus su GDPR.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.