Е-адресе и опсег ГДПР-а. Општа уредба о заштити података

На КСНУМКС-уth маја, ступиће на снагу Општа уредба о заштити података (ГДПР). Са применом ГДПР-а, заштита личних података постаје све важнија. Компаније морају узети у обзир још строжа правила у погледу заштите података. Међутим, разна питања се јављају као последица раста ГДПР-а. За компаније може бити нејасно који се подаци сматрају личним подацима и потпадају под опсег ГДПР-а. То је случај са адресама е-поште: да ли се адреса е-поште сматра личним подацима? Да ли компаније које користе адресе е-поште подлежу ГДПР-у? На ова питања биће одговорено у овом чланку.

Лични подаци

Да бисте одговорили на питање да ли се адреса е-поште сматра личним подацима или не, потребно је дефинисати термин лични подаци. Овај термин је објашњен у ГДПР-у. На основу члана 4. под ГДПР, лични подаци подразумевају све информације које се односе на идентификовану или идентификовану физичку особу. Физичка особа која се може идентификовати је особа која се може идентификовати, директно или индиректно, посебно у вези са идентификатором попут имена, идентификационог броја, података о локацији или мрежног идентификатора. Лични подаци односе се на физичка лица. Стога се информације које се тичу умрлих или правних лица не сматрају личним подацима.

Е-адресе и опсег ГДПР-а

Адреса Е-поште

Now that the definition of personal data is determined, it needs to be assed if an email address is considered to be personal data. Dutch case law indicates that email addresses could possibly be personal data, but that this is not always the case. It depends whether or not a natural person is identified or identifiable based on the email address.[1] The way persons have structured their email addresses has to be taken into account in order to determine whether the email address can be seen as personal data or not. A lot of natural persons structure their email address in such a way that the address has to be considered personal data. This is for example the case when an email address is structured in the following way: firstname.lastname@gmail.com. This email address exposes the first and last name of the natural person that uses the address. Therefore, this person can be identified based on this email address. Email addresses that are used for business activities could also contain personal data. This is the case when an e-mail address is structured in the following way: initials.lastname@nameofcompany.com. From this email address can be derived what the initials of the person using the email address are, what his last name is and where this person works. Therefore, the person using this email address is identifiable based on the email address.

An email address is not considered to be personal data when no natural person can be identified from it. This is the case when for example the following email address is used: puppy12@hotmail.com. This email address does not contain any data from which a natural person can be identified. General email addresses that are used by companies, like info@nameofcompany.com, are also not considered to be personal data. This email address does not contain any personal information from which a natural person can be identified. Moreover, the email address is not used by a natural person, but by a legal entity. Therefore, it is not considered to be personal data. From Dutch case law can be concluded that email addresses can be personal data, but this is not always the case; it depends of the structure of the email address.

Постоји велика шанса да се физичке особе могу препознати по адреси е-поште коју користе, што е-маил адресе чини личним подацима. Да би се адресе е-поште класификовале као лични подаци, није важно да ли компанија заиста користи адресе е-поште како би идентификовала кориснике. Чак и ако компанија не користи адресе е-поште у сврху идентификације физичких лица, адресе е-поште са којих се могу идентификовати физичке особе се и даље сматрају личним подацима. Није свака техничка или случајна веза између особе и података довољна да би се ти подаци могли именовати као лични подаци. Ипак, ако постоји могућност да се адресе е-поште могу користити за идентификацију корисника, на пример за откривање случајева преваре, адресе е-поште сматрају се личним подацима. При томе није важно да ли је компанија намеравала да користи адресе е-поште у ту сврху. Закон говори о личним подацима када постоји могућност да се подаци могу користити у сврху која идентификује физичку особу. [2]

Посебни лични подаци

Иако се адресе е-поште углавном сматрају личним подацима, они нису посебни лични подаци. Посебни лични подаци су лични подаци који откривају расно или етничко порекло, политичка мишљења, верска или филозофска уверења или чланство у трговини, као и генетски или биометријски подаци. Ово произилази из чланка 9 ГДПР. Такође, адреса е-поште садржи мање јавних информација него на пример кућна адреса. Теже је стећи знање о нечијој адреси е-поште од његове кућне адресе и у великој мери зависи од корисника адресе е-поште да ли ће се адреса е-поште објавити или не. Надаље, откривање адресе е-поште која је требала остати скривена има мање озбиљне посљедице од откривања кућне адресе која је требала остати скривена. Лакше је променити адресу е-поште него кућна адреса и откривање адресе е-поште може довести до дигиталног контакта, док откривање кућне адресе може довести до личног контакта. [3]

Обрада личних података

Установили смо да се адресе е-поште већину времена сматрају личним подацима. Међутим, ГДПР се односи само на компаније које обрађују личне податке. Обрада личних података постоји у свакој радњи с обзиром на личне податке. Ово је даље дефинисано у ГДПР-у. Према члану 4 под 2 ГДПР, обрада личних података подразумева сваку операцију која се врши на личним подацима, без обзира да ли су аутоматски или не. Примери су прикупљање, снимање, организовање, структурирање, чување и употреба личних података. Када компаније обављају горе наведене активности у вези с адресама е-поште, оне обрађују личне податке. У том случају подлежу ГДПР-у.

Zakljucak

Није свака адреса е-поште сматрана личним подацима. Међутим, адресе е-поште сматрају се личним подацима када пружају препознатљиве податке о физичкој особи. Много адреса е-поште је структурирано на начин да се физичка особа која користи адресу е-поште може идентификовати. То је случај када адреса е-поште садржи име или радно место физичке особе. Стога ће се мноштво адреса е-поште сматрати личним подацима. Компанијама је тешко направити разлику између адреса е-поште која се сматрају личним подацима и адреса е-поште која то нису, јер то у потпуности зависи од структуре адресе е-поште. Стога је сигурно рећи да ће компаније које обрађују личне податке наићи на адресе е-поште за које се сматра да су лични подаци. То значи да ове компаније подлежу ГДПР-у и треба да спроведу политику приватности која је у складу са ГДПР-ом.

[1] ЕЦЛИ: НЛ: ГХАМС: 2002: АЕ5514.

[КСНУМКС] Камерстуккен ИИ 1979/80, 25 892, 3 (МвТ).

[3] ЕЦЛИ: НЛ: ГХАМС: 2002: АЕ5514.

удео