Γενικός κανονισμός για την προστασία των δεδομένων
Στο 25th του Μαΐου, θα τεθεί σε ισχύ ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR). Με την εγκατάσταση του GDPR, η προστασία των προσωπικών δεδομένων γίνεται όλο και πιο σημαντική. Οι εταιρείες πρέπει να λάβουν υπόψη τους αυστηρότερους κανόνες όσον αφορά την προστασία δεδομένων. Ωστόσο, προκύπτουν διάφορα ερωτήματα ως αποτέλεσμα της δόσης του GDPR. Για εταιρείες, μπορεί να μην είναι σαφές ποια δεδομένα θεωρούνται προσωπικά δεδομένα και εμπίπτουν στο πεδίο εφαρμογής του GDPR. Αυτό ισχύει για τις διευθύνσεις email: θεωρείται μια διεύθυνση e-mail προσωπικά δεδομένα; Οι εταιρείες που χρησιμοποιούν διευθύνσεις ηλεκτρονικού ταχυδρομείου υπόκεινται στον GDPR; Αυτές οι ερωτήσεις θα απαντηθούν σε αυτό το άρθρο.
Προσωπικά δεδομένα
Προκειμένου να απαντηθεί το ερώτημα εάν μια διεύθυνση ηλεκτρονικού ταχυδρομείου θεωρείται ή όχι προσωπικά δεδομένα, πρέπει να οριστεί ο όρος προσωπικά δεδομένα. Αυτός ο όρος εξηγείται στο GDPR. Με βάση το άρθρο 4 υπό GDPR, τα προσωπικά δεδομένα σημαίνουν κάθε πληροφορία που σχετίζεται με ένα φυσικό πρόσωπο που έχει ταυτοποιηθεί ή προσδιοριστεί. Ένα αναγνωρίσιμο φυσικό πρόσωπο είναι ένα άτομο που μπορεί να ταυτοποιηθεί, άμεσα ή έμμεσα, ιδίως σε σχέση με ένα αναγνωριστικό όπως ένα όνομα, έναν αριθμό αναγνώρισης, δεδομένα τοποθεσίας ή ένα ηλεκτρονικό αναγνωριστικό. Τα προσωπικά δεδομένα αναφέρονται σε φυσικά πρόσωπα. Επομένως, οι πληροφορίες που αφορούν νεκρούς ή νομικά πρόσωπα δεν θεωρούνται προσωπικά δεδομένα.
Διεύθυνση ηλεκτρονικού ταχυδρομείου *
Τώρα που έχει καθοριστεί ο ορισμός των προσωπικών δεδομένων, πρέπει να εκτιμηθεί εάν μια διεύθυνση email θεωρείται προσωπικά δεδομένα. Η ολλανδική νομολογία αναφέρει ότι οι διευθύνσεις ηλεκτρονικού ταχυδρομείου θα μπορούσαν ενδεχομένως να είναι προσωπικά δεδομένα, αλλά αυτό δεν συμβαίνει πάντα. Εξαρτάται εάν ένα φυσικό πρόσωπο είναι αναγνωρισμένο ή αναγνωρίσιμο με βάση τη διεύθυνση ηλεκτρονικού ταχυδρομείου.[1] Ο τρόπος με τον οποίο τα άτομα έχουν δομήσει τις διευθύνσεις ηλεκτρονικού ταχυδρομείου τους πρέπει να λαμβάνεται υπόψη προκειμένου να καθοριστεί εάν η διεύθυνση ηλεκτρονικού ταχυδρομείου μπορεί να θεωρηθεί ως προσωπικά δεδομένα ή όχι. Πολλά φυσικά πρόσωπα δομούν τη διεύθυνση email τους με τέτοιο τρόπο ώστε η διεύθυνση να θεωρείται προσωπικά δεδομένα. Αυτό συμβαίνει για παράδειγμα όταν μια διεύθυνση email είναι δομημένη με τον ακόλουθο τρόπο: firstname.lastname@gmail.com. Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου αποκαλύπτει το όνομα και το επώνυμο του φυσικού προσώπου που χρησιμοποιεί τη διεύθυνση. Επομένως, αυτό το άτομο μπορεί να αναγνωριστεί με βάση αυτήν τη διεύθυνση ηλεκτρονικού ταχυδρομείου. Οι διευθύνσεις ηλεκτρονικού ταχυδρομείου που χρησιμοποιούνται για επιχειρηματικές δραστηριότητες θα μπορούσαν επίσης να περιέχουν προσωπικά δεδομένα. Αυτό συμβαίνει όταν μια διεύθυνση ηλεκτρονικού ταχυδρομείου είναι δομημένη με τον ακόλουθο τρόπο: αρχικά.lastname@nameofcompany.com. Από αυτή τη διεύθυνση email μπορεί να εξαχθεί ποια είναι τα αρχικά του ατόμου που χρησιμοποιεί τη διεύθυνση email, ποιο είναι το επώνυμό του και πού εργάζεται αυτό το άτομο. Επομένως, το άτομο που χρησιμοποιεί αυτήν τη διεύθυνση ηλεκτρονικού ταχυδρομείου είναι αναγνωρίσιμο με βάση τη διεύθυνση ηλεκτρονικού ταχυδρομείου.
Μια διεύθυνση email δεν θεωρείται προσωπικά δεδομένα όταν δεν μπορεί να αναγνωριστεί φυσικό πρόσωπο από αυτήν. Αυτό συμβαίνει όταν για παράδειγμα χρησιμοποιείται η ακόλουθη διεύθυνση email: puppy12@hotmail.com. Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου δεν περιέχει δεδομένα από τα οποία μπορεί να αναγνωριστεί ένα φυσικό πρόσωπο. Οι γενικές διευθύνσεις email που χρησιμοποιούνται από εταιρείες, όπως το info@nameofcompany.com, δεν θεωρούνται επίσης προσωπικά δεδομένα. Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου δεν περιέχει προσωπικές πληροφορίες από τις οποίες μπορεί να αναγνωριστεί ένα φυσικό πρόσωπο. Επιπλέον, η διεύθυνση email δεν χρησιμοποιείται από φυσικό πρόσωπο, αλλά από νομικό πρόσωπο. Επομένως, δεν θεωρούνται προσωπικά δεδομένα. Από την ολλανδική νομολογία μπορεί να συναχθεί το συμπέρασμα ότι οι διευθύνσεις ηλεκτρονικού ταχυδρομείου μπορεί να είναι προσωπικά δεδομένα, αλλά αυτό δεν συμβαίνει πάντα. Εξαρτάται από τη δομή της διεύθυνσης email.
Υπάρχει μεγάλη πιθανότητα τα φυσικά πρόσωπα να αναγνωριστούν από τη διεύθυνση ηλεκτρονικού ταχυδρομείου που χρησιμοποιούν, η οποία καθιστά τις διευθύνσεις ηλεκτρονικού ταχυδρομείου προσωπικά δεδομένα. Προκειμένου να ταξινομηθούν οι διευθύνσεις email ως προσωπικά δεδομένα, δεν έχει σημασία αν η εταιρεία χρησιμοποιεί πραγματικά τις διευθύνσεις email για να προσδιορίσει τους χρήστες. Ακόμα και αν μια εταιρεία δεν χρησιμοποιεί τις διευθύνσεις ηλεκτρονικού ταχυδρομείου με σκοπό την αναγνώριση φυσικών προσώπων, οι διευθύνσεις ηλεκτρονικού ταχυδρομείου από τις οποίες μπορούν να προσδιοριστούν φυσικά πρόσωπα εξακολουθούν να θεωρούνται προσωπικά δεδομένα. Δεν αρκεί κάθε τεχνική ή συμπτωματική σύνδεση μεταξύ ενός ατόμου και δεδομένων για τον ορισμό των δεδομένων ως προσωπικών δεδομένων. Ωστόσο, εάν υπάρχει η πιθανότητα ότι οι διευθύνσεις ηλεκτρονικού ταχυδρομείου μπορούν να χρησιμοποιηθούν για την αναγνώριση των χρηστών, για παράδειγμα για τον εντοπισμό περιπτώσεων απάτης, οι διευθύνσεις ηλεκτρονικού ταχυδρομείου θεωρούνται προσωπικά δεδομένα. Σε αυτό, δεν έχει σημασία αν η εταιρεία σκόπευε να χρησιμοποιήσει τις διευθύνσεις ηλεκτρονικού ταχυδρομείου για το σκοπό αυτό. Ο νόμος μιλά για προσωπικά δεδομένα όταν υπάρχει η πιθανότητα τα δεδομένα να χρησιμοποιηθούν για έναν σκοπό που προσδιορίζει ένα φυσικό πρόσωπο. [2]
Ειδικά προσωπικά δεδομένα
Ενώ οι διευθύνσεις email θεωρούνται προσωπικά δεδομένα τις περισσότερες φορές, δεν είναι ειδικά προσωπικά δεδομένα. Ειδικά προσωπικά δεδομένα είναι προσωπικά δεδομένα που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή συμμετοχή στο εμπόριο, καθώς και γενετικά ή βιομετρικά δεδομένα. Αυτό προέρχεται από το άρθρο 9 του GDPR. Επίσης, μια διεύθυνση email περιέχει λιγότερες δημόσιες πληροφορίες από ό, τι για παράδειγμα μια διεύθυνση σπιτιού. Είναι πιο δύσκολο να αποκτήσετε γνώση της διεύθυνσης email κάποιου από τη διεύθυνση του σπιτιού του και εξαρτάται σε μεγάλο βαθμό από τον χρήστη της διεύθυνσης email εάν η διεύθυνση ηλεκτρονικού ταχυδρομείου δημοσιοποιείται ή όχι. Επιπλέον, η ανακάλυψη μιας διεύθυνσης email που θα έπρεπε να έχει παραμείνει κρυμμένη, έχει λιγότερο σοβαρές συνέπειες από την ανακάλυψη μιας διεύθυνσης κατοικίας που θα έπρεπε να είχε παραμείνει κρυμμένη. Είναι πιο εύκολο να αλλάξετε μια διεύθυνση email από μια διεύθυνση σπιτιού και η ανακάλυψη μιας διεύθυνσης email θα μπορούσε να οδηγήσει σε ψηφιακή επαφή, ενώ η ανακάλυψη μιας διεύθυνσης σπιτιού θα μπορούσε να οδηγήσει σε προσωπική επαφή. [3]
Επεξεργασία προσωπικών δεδομένων
Διαπιστώσαμε ότι οι διευθύνσεις ηλεκτρονικού ταχυδρομείου θεωρούνται ως προσωπικά δεδομένα τις περισσότερες φορές. Ωστόσο, ο GDPR ισχύει μόνο για εταιρείες που επεξεργάζονται προσωπικά δεδομένα. Η επεξεργασία των προσωπικών δεδομένων υπάρχει για κάθε ενέργεια σχετικά με τα προσωπικά δεδομένα. Αυτό ορίζεται περαιτέρω στον GDPR. Σύμφωνα με το άρθρο 4 εδάφιο 2 του GDPR, η επεξεργασία δεδομένων προσωπικού χαρακτήρα σημαίνει οποιαδήποτε λειτουργία που εκτελείται σε προσωπικά δεδομένα, είτε αυτοματοποιείται είτε όχι. Παραδείγματα είναι η συλλογή, καταγραφή, οργάνωση, διάρθρωση, αποθήκευση και χρήση προσωπικών δεδομένων. Όταν οι εταιρείες εκτελούν τις προαναφερθείσες δραστηριότητες σε σχέση με τις διευθύνσεις ηλεκτρονικού ταχυδρομείου, επεξεργάζονται προσωπικά δεδομένα. Σε αυτήν την περίπτωση, υπόκεινται στον GDPR.
Συμπέρασμα
Δεν θεωρείται κάθε διεύθυνση ηλεκτρονικού ταχυδρομείου προσωπικά δεδομένα. Ωστόσο, οι διευθύνσεις ηλεκτρονικού ταχυδρομείου θεωρούνται προσωπικά δεδομένα όταν παρέχουν αναγνωρίσιμες πληροφορίες σχετικά με ένα φυσικό πρόσωπο. Πολλές διευθύνσεις email είναι δομημένες με τρόπο ώστε να μπορεί να αναγνωριστεί το φυσικό πρόσωπο που χρησιμοποιεί τη διεύθυνση email. Αυτό συμβαίνει όταν η διεύθυνση ηλεκτρονικού ταχυδρομείου περιέχει το όνομα ή τον χώρο εργασίας ενός φυσικού προσώπου. Επομένως, πολλές διευθύνσεις email θα θεωρούνται προσωπικά δεδομένα. Είναι δύσκολο για τις εταιρείες να κάνουν διάκριση μεταξύ διευθύνσεων email που θεωρούνται προσωπικά δεδομένα και διευθύνσεων email που δεν είναι, καθώς αυτό εξαρτάται εξ ολοκλήρου από τη δομή της διεύθυνσης email. Επομένως, είναι ασφαλές να πούμε ότι οι εταιρείες που επεξεργάζονται προσωπικά δεδομένα, θα συναντήσουν διευθύνσεις ηλεκτρονικού ταχυδρομείου που θεωρούνται προσωπικά δεδομένα. Αυτό σημαίνει ότι αυτές οι εταιρείες υπόκεινται στον GDPR και πρέπει να εφαρμόσουν μια πολιτική απορρήτου που συμμορφώνεται με τον GDPR.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.