Andmekaitse üldmäärus (GDPR)
25isth maist jõustub andmekaitse üldmäärus (GDPR). Koos GDPR-i osamaksega muutub isikuandmete kaitse üha olulisemaks. Ettevõtted peavad andmekaitse osas arvestama rohkemate ja rangemate eeskirjadega. Kuid GDPR-i sissemakse tõttu tekivad mitmesugused küsimused. Ettevõtjate jaoks võib olla ebaselge, milliseid andmeid peetakse isikuandmeteks ja mis jäävad GDPR-i reguleerimisalasse. See kehtib e-posti aadresside kohta: kas e-posti aadressi peetakse isikuandmeteks? Kas ettevõtted, kes kasutavad e-posti aadresse, kuuluvad GDPR-i alla? Nendele küsimustele vastatakse selles artiklis.
Isiklikud andmed
Küsimusele, kas e-posti aadressi peetakse isikuandmeteks või mitte, tuleb määratleda mõiste isikuandmed. Seda mõistet on selgitatud GDPR-is. Vastavalt GDPR-i artiklile 4 tähendavad isikuandmed mis tahes teavet tuvastatud või tuvastatava füüsilise isiku kohta. Identifitseeritav füüsiline isik on isik, keda on võimalik otseselt või kaudselt tuvastada, eriti seoses identifikaatori, näiteks nime, identifitseerimisnumbri, asukohaandmete või veebipõhise identifikaatoriga. Isikuandmed viitavad füüsilistele isikutele. Seetõttu ei loeta surnud isikute või juriidiliste isikute teavet isikuandmeteks.
E-posti aadress
Nüüd, kui isikuandmete määratlus on kindlaks määratud, tuleb hinnata, kas e-posti aadressi loetakse isikuandmeteks. Hollandi juhtum seadus näitab, et e-posti aadressid võivad olla isikuandmed, kuid see ei ole alati nii. See sõltub sellest, kas füüsiline isik on e-posti aadressi alusel tuvastatav või tuvastatav.[1] Selleks et teha kindlaks, kas e-posti aadressi saab vaadelda isikuandmetena või mitte, tuleb arvesse võtta seda, kuidas isikud on oma e-posti aadressid üles ehitanud.
Paljud füüsilised isikud struktureerivad oma e-posti aadressi selliselt, et seda tuleb käsitleda isikuandmetena. Näiteks on see nii, kui e-posti aadress on struktureeritud järgmiselt: [meiliga kaitstud]See e-posti aadress paljastab aadressi kasutava füüsilise isiku ees- ja perekonnanime.
Seega saab selle isiku tuvastada selle e-posti aadressi põhjal. Äritegevuseks kasutatavad e-posti aadressid võivad samuti sisaldada isikuandmeid. See on nii juhul, kui e-posti aadress on struktureeritud järgmisel viisil: [meiliga kaitstud]Sellest e-posti aadressist saab tuletada kasutaja initsiaalid, perekonnanime ja töökoha. Seega on kasutaja e-posti aadressi järgi tuvastatav.
E-posti aadressi ei loeta isikuandmeteks, kui selle põhjal ei ole võimalik tuvastada ühtegi füüsilist isikut. See on nii näiteks järgmise e-posti aadressi kasutamisel: [meiliga kaitstud]See e-posti aadress ei sisalda andmeid, mille abil saaks füüsilist isikut tuvastada. Üldised e-posti aadressid, mida kasutavad ettevõtted, näiteks [meiliga kaitstud], ei loeta samuti isikuandmeteks.
See e-posti aadress ei sisalda isikuandmeid, mille põhjal oleks võimalik füüsilist isikut tuvastada. Pealegi ei kasuta e-posti aadressi mitte füüsiline, vaid juriidiline isik. Seetõttu ei loeta neid isikuandmeteks. Hollandi kohtupraktikast võib järeldada, et e-posti aadressid võivad olla isikuandmed, kuid see ei ole alati nii; see oleneb meiliaadressi struktuurist.
Suure tõenäosusega saab füüsilisi isikuid tuvastada nende kasutatava e-posti aadressi järgi, mis muudab meiliaadressid isikuandmeteks. Meiliaadresside isikuandmeteks klassifitseerimisel ei ole vahet, kas ettevõte kasutab neid meiliaadresse kasutajate tuvastamiseks. Isegi kui ettevõte ei kasuta e-posti aadresse füüsiliste isikute tuvastamise eesmärgil, loetakse e-posti aadressid, millelt saab füüsilisi isikuid tuvastada, ikkagi isikuandmeteks.
Igast tehnilisest või juhuslikust seosest isiku ja andmete vahel ei piisa andmete isikuandmeteks määramiseks. Kui aga on olemas võimalus, et e-posti aadresse saab kasutada kasutajate tuvastamiseks, näiteks pettusejuhtumite tuvastamiseks, loetakse need e-posti aadressid isikuandmeteks. Seejuures ei oma tähtsust, kas ettevõte kavatses meiliaadresse sel eesmärgil kasutada või mitte. Seadus räägib isikuandmetest siis, kui on olemas võimalus, et andmeid saab kasutada füüsilist isikut tuvastaval eesmärgil.[2]
Isikuandmed
Kuigi e-posti aadresse peetakse enamasti isikuandmeteks, ei ole need erilised isikuandmed. Erilised isikuandmed on isikuandmed, mis paljastavad rassilise või etnilise päritolu, poliitilised vaated, usulised või filosoofilised veendumused või kutseala kuuluvuse ning geneetilised või biomeetrilised andmed. See tuleneb isikuandmete kaitse üldmääruse artiklist 9. Samuti sisaldab e-posti aadress vähem avalikku teavet kui näiteks kodus aadress.
Kellegi e-posti aadressi on raskem teada saada kui tema kodust aadressi ning meiliaadressi kasutajast sõltub suuresti, kas meiliaadress tehakse avalikuks või mitte. Lisaks on peidetud e-posti aadressi avastamisel vähem tõsised tagajärjed kui koduse aadressi avastamisel, mis oleks pidanud varjatuks jääma. Lihtsam on muuta meiliaadressi kui kodu aadressi ja meiliaadressi avastamine võib viia digitaalse kontaktini, samas kui koduse aadressi avastamine võib viia isikliku kontaktini.[3]
Isikuandmete töötlemine
Oleme tuvastanud, et e-posti aadresse peetakse enamasti isikuandmeteks. Kuid GDPR kehtib ainult nende ettevõtete kohta, kes töötlevad isikuandmeid. Isikuandmete töötlemine toimub igal viisil seoses isikuandmetega. Seda on täpsemalt määratletud GDPR-is. Vastavalt GDPR artikli 4 lõikele 2 tähendab isikuandmete töötlemine mis tahes toimingut, mida teostatakse isikuandmetega, kas automaatselt või mitte. Näited on isikuandmete kogumine, salvestamine, korraldamine, struktureerimine, säilitamine ja kasutamine. Kui ettevõtted teostavad eelnimetatud toiminguid e-posti aadresside osas, töötlevad nad isikuandmeid. Sel juhul kehtib neile GDPR.
Järeldus
Iga e-posti aadressi ei peeta isikuandmeteks. E-posti aadresse loetakse aga isikuandmeteks, kui need annavad füüsilise isiku kohta tuvastatavat teavet. Paljud e-posti aadressid on üles ehitatud nii, et e-posti aadressi kasutav füüsiline isik on tuvastatav. Seda juhul, kui meiliaadress sisaldab füüsilise isiku nime või töökohta. Seetõttu käsitletakse paljusid e-posti aadresse isikuandmetena.
Ettevõtetel on raske vahet teha e-posti aadressidel, mida peetakse isikuandmeteks, ja meiliaadresse, mida mitte, kuna see sõltub täielikult meiliaadressi struktuurist. Seetõttu võib julgelt väita, et isikuandmeid töötlevad ettevõtted satuvad isikuandmeteks peetavatele meiliaadressidele. See tähendab, et nende ettevõtete suhtes kohaldatakse GDPR-i ja nad peaksid rakendama privaatsuspoliitikat Nõuetele vastav GDPR-iga.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.