Палажэнне аб абароне дадзеных Агульныя
на 25th траўня ўступіць у сілу Агульны рэгламент па абароне дадзеных (GDPR). З растэрміноўкай GDPR абарона асабістых дадзеных набывае ўсё большае значэнне. Кампаніі павінны ўлічваць больш строгія правілы ў дачыненні да абароны дадзеных. Аднак розныя пытанні ўзнікаюць у выніку растэрміноўкі GDPR. Для кампаній можа быць незразумела, якія дадзеныя лічацца асабістымі дадзенымі і падпадаюць пад сферу дзеяння GDPR. Гэта справа з адрасамі электроннай пошты: ці лічыцца электронны адрас асабістымі дадзенымі? Ці падлягаюць GDPR кампаніі, якія выкарыстоўваюць адрасы электроннай пошты? На гэтыя пытанні адкажуць у гэтым артыкуле.
Асабістыя дадзеныя
Каб адказаць на пытанне, ці лічыцца асабістым дадзеным адрас электроннай пошты ці не, неабходна вызначыць тэрмін асабістыя дадзеныя. Гэты тэрмін тлумачыцца ў GDPR. На падставе артыкула 4, падпункта GDPR, асабістыя дадзеныя азначаюць любую інфармацыю, якая тычыцца ідэнтыфікаванага альбо ідэнтыфікаванага фізічнага чалавека. Ідэнтыфікаваная фізічная асоба - гэта асоба, якую можна прама ці ўскосна ідэнтыфікаваць, у прыватнасці ў дачыненні да такога ідэнтыфікатара, як імя, ідэнтыфікацыйны нумар, дадзеныя аб месцазнаходжанні або Інтэрнэт-ідэнтыфікатар. Асабістыя дадзеныя адносяцца да фізічных асоб. Такім чынам, інфармацыя, якая тычыцца памерлых або юрыдычных асоб, не лічыцца асабістымі дадзенымі.
Адрас электроннай пошты
Цяпер, калі вызначэнне асабістых даных вызначана, трэба вызначыць, ці лічыцца адрас электроннай пошты асабістымі данымі. Нідэрландская судовая практыка паказвае, што адрасы электроннай пошты могуць быць асабістымі дадзенымі, але гэта не заўсёды так. Гэта залежыць ад таго, ідэнтыфікавана ці не ідэнтыфікавана фізічная асоба па адрасе электроннай пошты.[1] Тое, як людзі структуравалі свае адрасы электроннай пошты, трэба ўлічваць, каб вызначыць, ці можна адрас электроннай пошты разглядаць як асабістыя дадзеныя ці не. Многія фізічныя асобы структуруюць свой адрас электроннай пошты такім чынам, што адрас павінен лічыцца асабістымі дадзенымі. Гэта, напрыклад, выпадак, калі адрас электроннай пошты структураваны наступным чынам: імя.прозвішча@gmail.com. Гэты адрас электроннай пошты паказвае імя і прозвішча фізічнай асобы, якая выкарыстоўвае гэты адрас. Такім чынам, гэтага чалавека можна ідэнтыфікаваць па гэтым адрасе электроннай пошты. Адрасы электроннай пошты, якія выкарыстоўваюцца для прадпрымальніцкай дзейнасці, таксама могуць утрымліваць асабістыя даныя. Гэта той выпадак, калі адрас электроннай пошты структураваны наступным чынам: initials.lastname@nameofcompany.com. З гэтага адраса электроннай пошты можна даведацца, якія ініцыялы чалавека, які выкарыстоўвае адрас электроннай пошты, яго прозвішча і дзе гэты чалавек працуе. Такім чынам, чалавека, які выкарыстоўвае гэты адрас электроннай пошты, можна ідэнтыфікаваць на аснове адраса электроннай пошты.
Адрас электроннай пошты не лічыцца персанальнымі дадзенымі, калі па ім нельга ідэнтыфікаваць фізічную асобу. Гэта той выпадак, калі, напрыклад, выкарыстоўваецца наступны адрас электроннай пошты: puppy12@hotmail.com. Гэты адрас электроннай пошты не змяшчае ніякіх даных, па якіх можна было б ідэнтыфікаваць фізічную асобу. Агульныя адрасы электроннай пошты, якія выкарыстоўваюцца кампаніямі, напрыклад info@nameofcompany.com, таксама не лічацца асабістымі дадзенымі. Гэты адрас электроннай пошты не змяшчае асабістай інфармацыі, па якой можна было б ідэнтыфікаваць фізічную асобу. Прычым адрасам электроннай пошты карыстаецца не фізічная, а юрыдычная асоба. Такім чынам, гэта не лічыцца персанальнымі дадзенымі. З галандскай судовай практыкі можна зрабіць выснову, што адрасы электроннай пошты могуць быць асабістымі дадзенымі, але гэта не заўсёды так; гэта залежыць ад структуры адраса электроннай пошты.
Існуе вялікая верагоднасць, што фізічныя асобы могуць быць ідэнтыфікаваны па адрасе электроннай пошты, які яны выкарыстоўваюць, што робіць адрасы электроннай пошты асабістымі дадзенымі. Для таго, каб класіфікаваць адрасы электроннай пошты як асабістыя дадзеныя, не мае значэння, ці сапраўды кампанія выкарыстоўвае адрасы электроннай пошты для ідэнтыфікацыі карыстальнікаў. Нават калі кампанія не выкарыстоўвае адрасы электроннай пошты з мэтай ідэнтыфікацыі фізічных асоб, адрасы электроннай пошты, з якіх можна ідэнтыфікаваць фізічных асоб, па-ранейшаму лічацца асабістымі дадзенымі. Не кожная тэхнічная ці выпадковая сувязь паміж чалавекам і дадзенымі дастаткова для таго, каб прызначыць гэтыя дадзеныя асабістымі дадзенымі. Тым не менш, калі існуе магчымасць таго, што адрасы электроннай пошты могуць выкарыстоўвацца для ідэнтыфікацыі карыстальнікаў, напрыклад, для выяўлення выпадкаў махлярства, адрасы электроннай пошты лічацца асабістымі дадзенымі. У гэтым не мае значэння, ці плануе кампанія выкарыстаць адрасы электроннай пошты для гэтай мэты. Закон кажа пра асабістыя дадзеныя, калі існуе магчымасць таго, што дадзеныя могуць быць выкарыстаны ў мэтах, якія вызначаюць фізічную асобу [2].
Спецыяльныя асабістыя дадзеныя
У той час як адрасы электроннай пошты большасць часу лічацца асабістымі дадзенымі, яны не з'яўляюцца адмысловымі асабістымі дадзенымі. Асаблівыя асабістыя дадзеныя - гэта асабістыя дадзеныя, якія раскрываюць расавае ці этнічнае паходжанне, палітычныя погляды, рэлігійныя або філасофскія перакананні альбо гандлёвае сяброўства, а таксама генетычныя ці біяметрычныя дадзеныя. Гэта вынікае з артыкула 9 GDPR. Таксама адрас электроннай пошты змяшчае менш публічнай інфармацыі, чым, напрыклад, хатні адрас. Цяжэй даведацца пра чыйсьці адрас электроннай пошты, чым яго хатні адрас, і ў значнай ступені залежыць ад таго, ці будзе гэты адрас электроннай пошты агучаны. Акрамя таго, выяўленне адраса электроннай пошты, які павінен заставацца схаваным, мае менш сур'ёзныя наступствы, чым знаходжанне хатняга адрасу, які павінен заставацца схаваным. Лягчэй змяніць адрас электроннай пошты, чым хатні адрас, і выяўленне адраса электроннай пошты можа прывесці да лічбавага кантакту, у той час як выяўленне хатняга адраса можа прывесці да асабістага кантакту [3].
Апрацоўка асабістых дадзеных
Мы ўстанавілі, што адрасы электроннай пошты большую частку часу лічацца асабістымі дадзенымі. Аднак GDPR распаўсюджваецца толькі на кампаніі, якія апрацоўваюць асабістыя дадзеныя. Апрацоўка персанальных дадзеных існуе ў кожным дзеянні ў дачыненні да асабістых дадзеных. Далей вызначаецца GDPR. Згодна з падпунктам 4 артыкула 2 GDPR, апрацоўка персанальных дадзеных азначае любую аперацыю, якая выконваецца над асабістымі дадзенымі, незалежна ад таго, аўтаматычна ці не. Прыкладамі з'яўляюцца збор, запіс, арганізацыя, структураванне, захоўванне і выкарыстанне асабістых дадзеных. Калі кампаніі ажыццяўляюць вышэйзгаданую дзейнасць у дачыненні да адрасоў электроннай пошты, яны апрацоўваюць асабістыя дадзеныя. У гэтым выпадку яны падпарадкоўваюцца GDPR.
заключэнне
Не кожны адрас электроннай пошты лічыцца асабістымі дадзенымі. Аднак адрасы электроннай пошты лічацца асабістымі дадзенымі, калі яны даюць ідэнтыфікацыйную інфармацыю пра фізічную асобу. Шмат адрасоў электроннай пошты пабудаваны такім чынам, што фізічная асоба, якая выкарыстоўвае адрас электроннай пошты, можа быць ідэнтыфікаваная. Гэта той выпадак, калі адрас электроннай пошты ўтрымлівае імя або працоўнае месца фізічнай асобы. Такім чынам, шмат лістоў электроннай пошты будзе лічыцца асабістымі дадзенымі. Кампаніям цяжка зрабіць адрозненні паміж адрасамі электроннай пошты, якія лічацца асабістымі дадзенымі, і адрасамі электроннай пошты, якія не з'яўляюцца, бо гэта цалкам залежыць ад структуры адраса электроннай пошты. Таму з упэўненасцю можна сказаць, што кампаніі, якія апрацоўваюць асабістыя дадзеныя, будуць натыкацца на адрасы электроннай пошты, якія лічацца асабістымі дадзенымі. Гэта азначае, што гэтыя кампаніі падпарадкоўваюцца GDPR і павінны праводзіць палітыку прыватнасці, якая адпавядае GDPR.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Камерстуккен II 1979/80, 25 892, 3 (МвТ).
[3] ECLI: NL: GHAMS: 2002: AE5514.