E-posti aadressid ja GDPR-i ulatus. Andmekaitse üldmäärus

25isth maist jõustub andmekaitse üldmäärus (GDPR). Koos GDPR-i osamaksega muutub isikuandmete kaitse üha olulisemaks. Ettevõtted peavad andmekaitse osas arvestama rohkemate ja rangemate eeskirjadega. Kuid GDPR-i sissemakse tõttu tekivad mitmesugused küsimused. Ettevõtjate jaoks võib olla ebaselge, milliseid andmeid peetakse isikuandmeteks ja mis jäävad GDPR-i reguleerimisalasse. See kehtib e-posti aadresside kohta: kas e-posti aadressi peetakse isikuandmeteks? Kas ettevõtted, kes kasutavad e-posti aadresse, kuuluvad GDPR-i alla? Nendele küsimustele vastatakse selles artiklis.

Isiklikud andmed

Küsimusele, kas e-posti aadressi peetakse isikuandmeteks või mitte, tuleb määratleda mõiste isikuandmed. Seda mõistet on selgitatud GDPR-is. Vastavalt GDPR-i artiklile 4 tähendavad isikuandmed mis tahes teavet tuvastatud või tuvastatava füüsilise isiku kohta. Identifitseeritav füüsiline isik on isik, keda on võimalik otseselt või kaudselt tuvastada, eriti seoses identifikaatori, näiteks nime, identifitseerimisnumbri, asukohaandmete või veebipõhise identifikaatoriga. Isikuandmed viitavad füüsilistele isikutele. Seetõttu ei loeta surnud isikute või juriidiliste isikute teavet isikuandmeteks.

E-posti aadressid ja GDPR-i ulatus

E-posti aadress

Now that the definition of personal data is determined, it needs to be assed if an email address is considered to be personal data. Dutch case law indicates that email addresses could possibly be personal data, but that this is not always the case. It depends whether or not a natural person is identified or identifiable based on the email address.[1] The way persons have structured their email addresses has to be taken into account in order to determine whether the email address can be seen as personal data or not. A lot of natural persons structure their email address in such a way that the address has to be considered personal data. This is for example the case when an email address is structured in the following way: firstname.lastname@gmail.com. This email address exposes the first and last name of the natural person that uses the address. Therefore, this person can be identified based on this email address. Email addresses that are used for business activities could also contain personal data. This is the case when an e-mail address is structured in the following way: initials.lastname@nameofcompany.com. From this email address can be derived what the initials of the person using the email address are, what his last name is and where this person works. Therefore, the person using this email address is identifiable based on the email address.

An email address is not considered to be personal data when no natural person can be identified from it. This is the case when for example the following email address is used: puppy12@hotmail.com. This email address does not contain any data from which a natural person can be identified. General email addresses that are used by companies, like info@nameofcompany.com, are also not considered to be personal data. This email address does not contain any personal information from which a natural person can be identified. Moreover, the email address is not used by a natural person, but by a legal entity. Therefore, it is not considered to be personal data. From Dutch case law can be concluded that email addresses can be personal data, but this is not always the case; it depends of the structure of the email address.

On suur võimalus, et füüsilisi isikuid saab tuvastada nende kasutatava e-posti aadressi järgi, mis muudab e-posti aadressid isikuandmeteks. E-posti aadresside liigitamiseks isikuandmete hulka pole vahet, kas ettevõte kasutab e-posti aadresse tegelikult kasutajate tuvastamiseks. Isegi kui ettevõte ei kasuta e-posti aadresse füüsiliste isikute tuvastamiseks, peetakse e-posti aadresse, mille alusel saab füüsilisi isikuid tuvastada, siiski isikuandmeteks. Mitte igast tehnilisest või juhuslikust seosest inimese ja andmete vahel ei piisa andmete isikuandmeteks määramiseks. Kui aga on olemas võimalus, et e-posti aadresse saab kasutada kasutajate tuvastamiseks, näiteks pettuste tuvastamiseks, loetakse e-posti aadressid isikuandmeteks. Selles pole vahet, kas ettevõte kavatses sellel eesmärgil e-posti aadresse kasutada või mitte. Seadus räägib isikuandmetest, kui on olemas võimalus, et andmeid saab kasutada füüsilise isiku tuvastamiseks. [2]

Isikuandmed

Kuigi e-posti aadresse peetakse enamasti isikuandmeteks, ei ole need erilised isikuandmed. Spetsiaalsed isikuandmed on isikuandmed, mis paljastavad rassilise või etnilise päritolu, poliitilised arvamused, usulised või filosoofilised veendumused või kaubandusliku kuuluvuse ning geneetilised või biomeetrilised andmed. See tuleneb GDPR artiklist 9. Samuti sisaldab e-posti aadress vähem avalikku teavet kui näiteks kodune aadress. Kellegi e-posti aadressist on keerulisem teada saada kui tema kodust aadressi ja suuresti sõltub e-posti aadressi kasutajast see, kas e-posti aadress avalikustatakse või mitte. Lisaks on e-posti aadressi avastamisel, mis oleks pidanud varjatud olema, vähem tõsised tagajärjed kui koduse aadressi avastamisel, mis oleks pidanud varjatud olema. E-posti aadressi on lihtsam muuta kui kodust aadressi ja e-posti aadressi avastamine võib põhjustada digitaalse kontakti, samas kui koduse aadressi avastamine võib põhjustada isikliku kontakti. [3]

Isikuandmete töötlemine

Oleme tuvastanud, et e-posti aadresse peetakse enamasti isikuandmeteks. Kuid GDPR kehtib ainult nende ettevõtete kohta, kes töötlevad isikuandmeid. Isikuandmete töötlemine toimub igal viisil seoses isikuandmetega. Seda on täpsemalt määratletud GDPR-is. Vastavalt GDPR artikli 4 lõikele 2 tähendab isikuandmete töötlemine mis tahes toimingut, mida teostatakse isikuandmetega, kas automaatselt või mitte. Näited on isikuandmete kogumine, salvestamine, korraldamine, struktureerimine, säilitamine ja kasutamine. Kui ettevõtted teostavad eelnimetatud toiminguid e-posti aadresside osas, töötlevad nad isikuandmeid. Sel juhul kehtib neile GDPR.

järeldus

Mitte iga e-posti aadressi ei loeta isikuandmeteks. E-posti aadresse peetakse aga isikuandmeteks, kui need pakuvad füüsilise isiku kohta tuvastatavat teavet. Paljud e-posti aadressid on üles ehitatud selliselt, et e-posti aadressi kasutav füüsiline isik on tuvastatav. Seda juhul, kui e-posti aadress sisaldab füüsilise isiku nime või töökohta. Seetõttu loetakse isikuandmeteks palju e-posti aadresse. Ettevõttel on keeruline eristada e-posti aadresse, mida peetakse isikuandmeteks, ja e-posti aadresse, mida mitte, kuna see sõltub täielikult e-posti aadressi struktuurist. Seetõttu on ohutu öelda, et ettevõtted, kes töötlevad isikuandmeid, puutuvad kokku e-posti aadressidega, mida peetakse isikuandmeteks. See tähendab, et nendele ettevõtetele kehtib GDPR ja nad peaksid rakendama GDPRile vastavat privaatsuspoliitikat.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

Jaga