Διευθύνσεις ηλεκτρονικού ταχυδρομείου και το πεδίο εφαρμογής του GDPR. Γενικός κανονισμός για την προστασία δεδομένων

Στο 25th του Μαΐου, θα τεθεί σε ισχύ ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR). Με την εγκατάσταση του GDPR, η προστασία των προσωπικών δεδομένων γίνεται όλο και πιο σημαντική. Οι εταιρείες πρέπει να λάβουν υπόψη τους αυστηρότερους κανόνες όσον αφορά την προστασία δεδομένων. Ωστόσο, προκύπτουν διάφορα ερωτήματα ως αποτέλεσμα της δόσης του GDPR. Για εταιρείες, μπορεί να μην είναι σαφές ποια δεδομένα θεωρούνται προσωπικά δεδομένα και εμπίπτουν στο πεδίο εφαρμογής του GDPR. Αυτό ισχύει για τις διευθύνσεις email: θεωρείται μια διεύθυνση e-mail προσωπικά δεδομένα; Οι εταιρείες που χρησιμοποιούν διευθύνσεις ηλεκτρονικού ταχυδρομείου υπόκεινται στον GDPR; Αυτές οι ερωτήσεις θα απαντηθούν σε αυτό το άρθρο.

Προσωπικά δεδομένα

Προκειμένου να απαντηθεί το ερώτημα εάν μια διεύθυνση ηλεκτρονικού ταχυδρομείου θεωρείται ή όχι προσωπικά δεδομένα, πρέπει να οριστεί ο όρος προσωπικά δεδομένα. Αυτός ο όρος εξηγείται στο GDPR. Με βάση το άρθρο 4 υπό GDPR, τα προσωπικά δεδομένα σημαίνουν κάθε πληροφορία που σχετίζεται με ένα φυσικό πρόσωπο που έχει ταυτοποιηθεί ή προσδιοριστεί. Ένα αναγνωρίσιμο φυσικό πρόσωπο είναι ένα άτομο που μπορεί να ταυτοποιηθεί, άμεσα ή έμμεσα, ιδίως σε σχέση με ένα αναγνωριστικό όπως ένα όνομα, έναν αριθμό αναγνώρισης, δεδομένα τοποθεσίας ή ένα ηλεκτρονικό αναγνωριστικό. Τα προσωπικά δεδομένα αναφέρονται σε φυσικά πρόσωπα. Επομένως, οι πληροφορίες που αφορούν νεκρούς ή νομικά πρόσωπα δεν θεωρούνται προσωπικά δεδομένα.

Διευθύνσεις ηλεκτρονικού ταχυδρομείου και το πεδίο εφαρμογής του GDPR

Διεύθυνση email

Now that the definition of personal data is determined, it needs to be assed if an email address is considered to be personal data. Dutch case law indicates that email addresses could possibly be personal data, but that this is not always the case. It depends whether or not a natural person is identified or identifiable based on the email address.[1] The way persons have structured their email addresses has to be taken into account in order to determine whether the email address can be seen as personal data or not. A lot of natural persons structure their email address in such a way that the address has to be considered personal data. This is for example the case when an email address is structured in the following way: firstname.lastname@gmail.com. This email address exposes the first and last name of the natural person that uses the address. Therefore, this person can be identified based on this email address. Email addresses that are used for business activities could also contain personal data. This is the case when an e-mail address is structured in the following way: initials.lastname@nameofcompany.com. From this email address can be derived what the initials of the person using the email address are, what his last name is and where this person works. Therefore, the person using this email address is identifiable based on the email address.

An email address is not considered to be personal data when no natural person can be identified from it. This is the case when for example the following email address is used: puppy12@hotmail.com. This email address does not contain any data from which a natural person can be identified. General email addresses that are used by companies, like info@nameofcompany.com, are also not considered to be personal data. This email address does not contain any personal information from which a natural person can be identified. Moreover, the email address is not used by a natural person, but by a legal entity. Therefore, it is not considered to be personal data. From Dutch case law can be concluded that email addresses can be personal data, but this is not always the case; it depends of the structure of the email address.

Υπάρχει μεγάλη πιθανότητα τα φυσικά πρόσωπα να αναγνωριστούν από τη διεύθυνση ηλεκτρονικού ταχυδρομείου που χρησιμοποιούν, η οποία καθιστά τις διευθύνσεις ηλεκτρονικού ταχυδρομείου προσωπικά δεδομένα. Προκειμένου να ταξινομηθούν οι διευθύνσεις email ως προσωπικά δεδομένα, δεν έχει σημασία αν η εταιρεία χρησιμοποιεί πραγματικά τις διευθύνσεις email για να προσδιορίσει τους χρήστες. Ακόμα και αν μια εταιρεία δεν χρησιμοποιεί τις διευθύνσεις ηλεκτρονικού ταχυδρομείου με σκοπό την αναγνώριση φυσικών προσώπων, οι διευθύνσεις ηλεκτρονικού ταχυδρομείου από τις οποίες μπορούν να προσδιοριστούν φυσικά πρόσωπα εξακολουθούν να θεωρούνται προσωπικά δεδομένα. Δεν αρκεί κάθε τεχνική ή συμπτωματική σύνδεση μεταξύ ενός ατόμου και δεδομένων για τον ορισμό των δεδομένων ως προσωπικών δεδομένων. Ωστόσο, εάν υπάρχει η πιθανότητα ότι οι διευθύνσεις ηλεκτρονικού ταχυδρομείου μπορούν να χρησιμοποιηθούν για την αναγνώριση των χρηστών, για παράδειγμα για τον εντοπισμό περιπτώσεων απάτης, οι διευθύνσεις ηλεκτρονικού ταχυδρομείου θεωρούνται προσωπικά δεδομένα. Σε αυτό, δεν έχει σημασία αν η εταιρεία σκόπευε να χρησιμοποιήσει τις διευθύνσεις ηλεκτρονικού ταχυδρομείου για το σκοπό αυτό. Ο νόμος μιλά για προσωπικά δεδομένα όταν υπάρχει η πιθανότητα τα δεδομένα να χρησιμοποιηθούν για έναν σκοπό που προσδιορίζει ένα φυσικό πρόσωπο. [2]

Ειδικά προσωπικά δεδομένα

Ενώ οι διευθύνσεις email θεωρούνται προσωπικά δεδομένα τις περισσότερες φορές, δεν είναι ειδικά προσωπικά δεδομένα. Ειδικά προσωπικά δεδομένα είναι προσωπικά δεδομένα που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή συμμετοχή στο εμπόριο, καθώς και γενετικά ή βιομετρικά δεδομένα. Αυτό προέρχεται από το άρθρο 9 του GDPR. Επίσης, μια διεύθυνση email περιέχει λιγότερες δημόσιες πληροφορίες από ό, τι για παράδειγμα μια διεύθυνση σπιτιού. Είναι πιο δύσκολο να αποκτήσετε γνώση της διεύθυνσης email κάποιου από τη διεύθυνση του σπιτιού του και εξαρτάται σε μεγάλο βαθμό από τον χρήστη της διεύθυνσης email εάν η διεύθυνση ηλεκτρονικού ταχυδρομείου δημοσιοποιείται ή όχι. Επιπλέον, η ανακάλυψη μιας διεύθυνσης email που θα έπρεπε να έχει παραμείνει κρυμμένη, έχει λιγότερο σοβαρές συνέπειες από την ανακάλυψη μιας διεύθυνσης κατοικίας που θα έπρεπε να είχε παραμείνει κρυμμένη. Είναι πιο εύκολο να αλλάξετε μια διεύθυνση email από μια διεύθυνση σπιτιού και η ανακάλυψη μιας διεύθυνσης email θα μπορούσε να οδηγήσει σε ψηφιακή επαφή, ενώ η ανακάλυψη μιας διεύθυνσης σπιτιού θα μπορούσε να οδηγήσει σε προσωπική επαφή. [3]

Επεξεργασία προσωπικών δεδομένων

Διαπιστώσαμε ότι οι διευθύνσεις ηλεκτρονικού ταχυδρομείου θεωρούνται ως προσωπικά δεδομένα τις περισσότερες φορές. Ωστόσο, ο GDPR ισχύει μόνο για εταιρείες που επεξεργάζονται προσωπικά δεδομένα. Η επεξεργασία των προσωπικών δεδομένων υπάρχει για κάθε ενέργεια σχετικά με τα προσωπικά δεδομένα. Αυτό ορίζεται περαιτέρω στον GDPR. Σύμφωνα με το άρθρο 4 εδάφιο 2 του GDPR, η επεξεργασία δεδομένων προσωπικού χαρακτήρα σημαίνει οποιαδήποτε λειτουργία που εκτελείται σε προσωπικά δεδομένα, είτε αυτοματοποιείται είτε όχι. Παραδείγματα είναι η συλλογή, καταγραφή, οργάνωση, διάρθρωση, αποθήκευση και χρήση προσωπικών δεδομένων. Όταν οι εταιρείες εκτελούν τις προαναφερθείσες δραστηριότητες σε σχέση με τις διευθύνσεις ηλεκτρονικού ταχυδρομείου, επεξεργάζονται προσωπικά δεδομένα. Σε αυτήν την περίπτωση, υπόκεινται στον GDPR.

Συμπέρασμα

Δεν θεωρείται κάθε διεύθυνση ηλεκτρονικού ταχυδρομείου προσωπικά δεδομένα. Ωστόσο, οι διευθύνσεις ηλεκτρονικού ταχυδρομείου θεωρούνται προσωπικά δεδομένα όταν παρέχουν αναγνωρίσιμες πληροφορίες σχετικά με ένα φυσικό πρόσωπο. Πολλές διευθύνσεις email είναι δομημένες με τρόπο ώστε να μπορεί να αναγνωριστεί το φυσικό πρόσωπο που χρησιμοποιεί τη διεύθυνση email. Αυτό συμβαίνει όταν η διεύθυνση ηλεκτρονικού ταχυδρομείου περιέχει το όνομα ή τον χώρο εργασίας ενός φυσικού προσώπου. Επομένως, πολλές διευθύνσεις email θα θεωρούνται προσωπικά δεδομένα. Είναι δύσκολο για τις εταιρείες να κάνουν διάκριση μεταξύ διευθύνσεων email που θεωρούνται προσωπικά δεδομένα και διευθύνσεων email που δεν είναι, καθώς αυτό εξαρτάται εξ ολοκλήρου από τη δομή της διεύθυνσης email. Επομένως, είναι ασφαλές να πούμε ότι οι εταιρείες που επεξεργάζονται προσωπικά δεδομένα, θα συναντήσουν διευθύνσεις ηλεκτρονικού ταχυδρομείου που θεωρούνται προσωπικά δεδομένα. Αυτό σημαίνει ότι αυτές οι εταιρείες υπόκεινται στον GDPR και πρέπει να εφαρμόσουν μια πολιτική απορρήτου που συμμορφώνεται με τον GDPR.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

Κοινοποίηση