Адрасы электроннай пошты і аб'ём GDPR. Агульнае Палажэнне аб абароне дадзеных

на 25th траўня ўступіць у сілу Агульны рэгламент па абароне дадзеных (GDPR). З растэрміноўкай GDPR абарона асабістых дадзеных набывае ўсё большае значэнне. Кампаніі павінны ўлічваць больш строгія правілы ў дачыненні да абароны дадзеных. Аднак розныя пытанні ўзнікаюць у выніку растэрміноўкі GDPR. Для кампаній можа быць незразумела, якія дадзеныя лічацца асабістымі дадзенымі і падпадаюць пад сферу дзеяння GDPR. Гэта справа з адрасамі электроннай пошты: ці лічыцца электронны адрас асабістымі дадзенымі? Ці падлягаюць GDPR кампаніі, якія выкарыстоўваюць адрасы электроннай пошты? На гэтыя пытанні адкажуць у гэтым артыкуле.

Асабістыя дадзеныя

Каб адказаць на пытанне, ці лічыцца асабістым дадзеным адрас электроннай пошты ці не, неабходна вызначыць тэрмін асабістыя дадзеныя. Гэты тэрмін тлумачыцца ў GDPR. На падставе артыкула 4, падпункта GDPR, асабістыя дадзеныя азначаюць любую інфармацыю, якая тычыцца ідэнтыфікаванага альбо ідэнтыфікаванага фізічнага чалавека. Ідэнтыфікаваная фізічная асоба - гэта асоба, якую можна прама ці ўскосна ідэнтыфікаваць, у прыватнасці ў дачыненні да такога ідэнтыфікатара, як імя, ідэнтыфікацыйны нумар, дадзеныя аб месцазнаходжанні або Інтэрнэт-ідэнтыфікатар. Асабістыя дадзеныя адносяцца да фізічных асоб. Такім чынам, інфармацыя, якая тычыцца памерлых або юрыдычных асоб, не лічыцца асабістымі дадзенымі.

Адрасы электроннай пошты і аб'ём GDPR

Адрас электроннай пошты

Цяпер, калі вызначыцца з асабістымі дадзенымі, яго трэба вызначыць, ці будзе лічыцца асабістым адрасам электронны адрас. Судовая практыка Галандыі ўказвае, што адрасы электроннай пошты могуць быць асабістымі дадзенымі, але гэта не заўсёды так. Гэта залежыць ад таго, вызначыць ці ідэнтыфікаваць фізічную асобу на падставе адраса электроннай пошты [1]. Тое, як людзі структуравалі свае адрасы электроннай пошты, трэба ўлічваць, каб вызначыць, ці можна адрас электроннай пошты разглядаць як асабістыя дадзеныя ці не. Шмат фізічных асоб структуруе свой адрас электроннай пошты такім чынам, што адрас павінен лічыцца асабістымі дадзенымі. Напрыклад, у выпадку, калі адрас электроннай пошты пабудаваны наступным чынам: [Электронная пошта абаронена] Гэты электронны адрас паказвае імя і прозвішча фізічнай асобы, якая выкарыстоўвае адрас. Такім чынам, гэты чалавек можа быць ідэнтыфікаваны на аснове гэтага адраса электроннай пошты. Адрасы электроннай пошты, якія выкарыстоўваюцца для прадпрымальніцкай дзейнасці, могуць таксама ўтрымліваць асабістыя дадзеныя. У тым выпадку, калі адрас электроннай пошты пабудаваны наступным чынам: [Электронная пошта абаронена] З гэтага адраса электроннай пошты можна даведацца, у чым ініцыялы чалавека, які карыстаецца адрасам электроннай пошты, як яго прозвішча і дзе гэты чалавек працуе. Такім чынам, чалавек, які выкарыстоўвае гэты адрас электроннай пошты, ідэнтыфікуецца на аснове адраса электроннай пошты.

Адрас электроннай пошты не лічыцца асабістымі дадзенымі, калі ніякая фізічная асоба не можа ідэнтыфікаваць з яго. У тым выпадку, калі выкарыстоўваецца, напрыклад, наступны адрас электроннай пошты: [Электронная пошта абаронена] Гэты электронны адрас не ўтрымлівае ніякіх дадзеных, з якіх фізічная асоба можа быць ідэнтыфікавана. Агульныя адрасы электроннай пошты, якія выкарыстоўваюцца кампаніямі, напрыклад [Электронная пошта абаронена], таксама не лічацца асабістымі дадзенымі. Гэты электронны адрас не ўтрымлівае ніякай асабістай інфармацыі, з якой можа быць ідэнтыфікавана фізічная асоба. Прычым адрас электроннай пошты выкарыстоўваецца не фізічнай асобай, а юрыдычнай асобай. Таму гэта не лічыцца асабістымі дадзенымі. З нідэрландскай судовай практыкі можна зрабіць выснову, што адрасы электроннай пошты могуць быць асабістымі дадзенымі, але гэта не заўсёды так; гэта залежыць ад структуры адраса электроннай пошты.

Існуе вялікая верагоднасць, што фізічныя асобы могуць быць ідэнтыфікаваны па адрасе электроннай пошты, які яны выкарыстоўваюць, што робіць адрасы электроннай пошты асабістымі дадзенымі. Для таго, каб класіфікаваць адрасы электроннай пошты як асабістыя дадзеныя, не мае значэння, ці сапраўды кампанія выкарыстоўвае адрасы электроннай пошты для ідэнтыфікацыі карыстальнікаў. Нават калі кампанія не выкарыстоўвае адрасы электроннай пошты з мэтай ідэнтыфікацыі фізічных асоб, адрасы электроннай пошты, з якіх можна ідэнтыфікаваць фізічных асоб, па-ранейшаму лічацца асабістымі дадзенымі. Не кожная тэхнічная ці выпадковая сувязь паміж чалавекам і дадзенымі дастаткова для таго, каб прызначыць гэтыя дадзеныя асабістымі дадзенымі. Тым не менш, калі існуе магчымасць таго, што адрасы электроннай пошты могуць выкарыстоўвацца для ідэнтыфікацыі карыстальнікаў, напрыклад, для выяўлення выпадкаў махлярства, адрасы электроннай пошты лічацца асабістымі дадзенымі. У гэтым не мае значэння, ці плануе кампанія выкарыстаць адрасы электроннай пошты для гэтай мэты. Закон кажа пра асабістыя дадзеныя, калі існуе магчымасць таго, што дадзеныя могуць быць выкарыстаны ў мэтах, якія вызначаюць фізічную асобу [2].

Спецыяльныя асабістыя дадзеныя

У той час як адрасы электроннай пошты большасць часу лічацца асабістымі дадзенымі, яны не з'яўляюцца адмысловымі асабістымі дадзенымі. Асаблівыя асабістыя дадзеныя - гэта асабістыя дадзеныя, якія раскрываюць расавае ці этнічнае паходжанне, палітычныя погляды, рэлігійныя або філасофскія перакананні альбо гандлёвае сяброўства, а таксама генетычныя ці біяметрычныя дадзеныя. Гэта вынікае з артыкула 9 GDPR. Таксама адрас электроннай пошты змяшчае менш публічнай інфармацыі, чым, напрыклад, хатні адрас. Цяжэй даведацца пра чыйсьці адрас электроннай пошты, чым яго хатні адрас, і ў значнай ступені залежыць ад таго, ці будзе гэты адрас электроннай пошты агучаны. Акрамя таго, выяўленне адраса электроннай пошты, які павінен заставацца схаваным, мае менш сур'ёзныя наступствы, чым знаходжанне хатняга адрасу, які павінен заставацца схаваным. Лягчэй змяніць адрас электроннай пошты, чым хатні адрас, і выяўленне адраса электроннай пошты можа прывесці да лічбавага кантакту, у той час як выяўленне хатняга адраса можа прывесці да асабістага кантакту [3].

Апрацоўка асабістых дадзеных

Мы ўстанавілі, што адрасы электроннай пошты большую частку часу лічацца асабістымі дадзенымі. Аднак GDPR распаўсюджваецца толькі на кампаніі, якія апрацоўваюць асабістыя дадзеныя. Апрацоўка персанальных дадзеных існуе ў кожным дзеянні ў дачыненні да асабістых дадзеных. Далей вызначаецца GDPR. Згодна з падпунктам 4 артыкула 2 GDPR, апрацоўка персанальных дадзеных азначае любую аперацыю, якая выконваецца над асабістымі дадзенымі, незалежна ад таго, аўтаматычна ці не. Прыкладамі з'яўляюцца збор, запіс, арганізацыя, структураванне, захоўванне і выкарыстанне асабістых дадзеных. Калі кампаніі ажыццяўляюць вышэйзгаданую дзейнасць у дачыненні да адрасоў электроннай пошты, яны апрацоўваюць асабістыя дадзеныя. У гэтым выпадку яны падпарадкоўваюцца GDPR.

заключэнне

Не кожны адрас электроннай пошты лічыцца асабістымі дадзенымі. Аднак адрасы электроннай пошты лічацца асабістымі дадзенымі, калі яны даюць ідэнтыфікацыйную інфармацыю пра фізічную асобу. Шмат адрасоў электроннай пошты пабудаваны такім чынам, што фізічная асоба, якая выкарыстоўвае адрас электроннай пошты, можа быць ідэнтыфікаваная. Гэта той выпадак, калі адрас электроннай пошты ўтрымлівае імя або працоўнае месца фізічнай асобы. Такім чынам, шмат лістоў электроннай пошты будзе лічыцца асабістымі дадзенымі. Кампаніям цяжка зрабіць адрозненні паміж адрасамі электроннай пошты, якія лічацца асабістымі дадзенымі, і адрасамі электроннай пошты, якія не з'яўляюцца, бо гэта цалкам залежыць ад структуры адраса электроннай пошты. Таму з упэўненасцю можна сказаць, што кампаніі, якія апрацоўваюць асабістыя дадзеныя, будуць натыкацца на адрасы электроннай пошты, якія лічацца асабістымі дадзенымі. Гэта азначае, што гэтыя кампаніі падпарадкоўваюцца GDPR і павінны праводзіць палітыку прыватнасці, якая адпавядае GDPR.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Камерстуккен II 1979/80, 25 892, 3 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

доля