Andmekaitse üldmäärus
25isth maist jõustub andmekaitse üldmäärus (GDPR). Koos GDPR-i osamaksega muutub isikuandmete kaitse üha olulisemaks. Ettevõtted peavad andmekaitse osas arvestama rohkemate ja rangemate eeskirjadega. Kuid GDPR-i sissemakse tõttu tekivad mitmesugused küsimused. Ettevõtjate jaoks võib olla ebaselge, milliseid andmeid peetakse isikuandmeteks ja mis jäävad GDPR-i reguleerimisalasse. See kehtib e-posti aadresside kohta: kas e-posti aadressi peetakse isikuandmeteks? Kas ettevõtted, kes kasutavad e-posti aadresse, kuuluvad GDPR-i alla? Nendele küsimustele vastatakse selles artiklis.
Isiklikud andmed
Küsimusele, kas e-posti aadressi peetakse isikuandmeteks või mitte, tuleb määratleda mõiste isikuandmed. Seda mõistet on selgitatud GDPR-is. Vastavalt GDPR-i artiklile 4 tähendavad isikuandmed mis tahes teavet tuvastatud või tuvastatava füüsilise isiku kohta. Identifitseeritav füüsiline isik on isik, keda on võimalik otseselt või kaudselt tuvastada, eriti seoses identifikaatori, näiteks nime, identifitseerimisnumbri, asukohaandmete või veebipõhise identifikaatoriga. Isikuandmed viitavad füüsilistele isikutele. Seetõttu ei loeta surnud isikute või juriidiliste isikute teavet isikuandmeteks.
E-posti aadress
Nüüd, kui isikuandmete määratlus on kindlaks määratud, tuleb seda kinnitada, kui e-posti aadressi peetakse isikuandmeteks. Hollandi kohtupraktika kohaselt võivad e-posti aadressid olla isikuandmed, kuid see pole alati nii. See sõltub sellest, kas füüsiline isik on e-posti aadressi põhjal tuvastatav või tuvastatav. [1] Selleks, et teha kindlaks, kas e-posti aadressi saab vaadata isikuandmetena, tuleb arvesse võtta seda, kuidas isikud on oma e-posti aadresse struktureerinud. Paljud füüsilised isikud struktureerivad oma e-posti aadressi nii, et aadressi tuleb pidada isikuandmeteks. Seda näiteks juhul, kui e-posti aadress on struktureeritud järgmiselt: eesnimi.perenimi@gmail.com. Sellel e-posti aadressil kuvatakse aadressi kasutava füüsilise isiku ees- ja perekonnanimi. Seetõttu saab selle inimese tuvastada selle e-posti aadressi põhjal. Äritegevuseks kasutatavad e-posti aadressid võivad sisaldada ka isikuandmeid. Seda juhul, kui e-posti aadress on struktureeritud järgmiselt: initsiaalid.perenimi@ettevõte.com. Sellelt e-posti aadressilt saab tuletada, millised on e-posti aadressi kasutava inimese initsiaalid, mis on tema perekonnanimi ja kus see inimene töötab. Seetõttu on seda e-posti aadressi kasutav isik tuvastatav e-posti aadressi põhjal.
E-posti aadressi ei loeta isikuandmeteks, kui selle järgi pole võimalik tuvastada ühtegi füüsilist isikut. Seda juhul, kui kasutatakse näiteks järgmist e-posti aadressi: puppy12@hotmail.com. See e-posti aadress ei sisalda andmeid, mille järgi oleks võimalik füüsilist isikut tuvastada. Samuti ei loeta isikuandmeteks üldisi e-posti aadresse, mida ettevõtted kasutavad, näiteks info@nameofcompany.com. See e-posti aadress ei sisalda isiklikke andmeid, mille alusel oleks võimalik füüsilist isikut tuvastada. Pealegi ei kasuta e-posti aadressi füüsiline isik, vaid juriidiline isik. Seetõttu ei peeta neid isikuandmeteks. Hollandi kohtupraktikast võib järeldada, et e-posti aadressid võivad olla isikuandmed, kuid see pole alati nii; see sõltub e-posti aadressi struktuurist.
On suur võimalus, et füüsilisi isikuid saab tuvastada nende kasutatava e-posti aadressi järgi, mis muudab e-posti aadressid isikuandmeteks. E-posti aadresside liigitamiseks isikuandmete hulka pole vahet, kas ettevõte kasutab e-posti aadresse tegelikult kasutajate tuvastamiseks. Isegi kui ettevõte ei kasuta e-posti aadresse füüsiliste isikute tuvastamiseks, peetakse e-posti aadresse, mille alusel saab füüsilisi isikuid tuvastada, siiski isikuandmeteks. Mitte igast tehnilisest või juhuslikust seosest inimese ja andmete vahel ei piisa andmete isikuandmeteks määramiseks. Kui aga on olemas võimalus, et e-posti aadresse saab kasutada kasutajate tuvastamiseks, näiteks pettuste tuvastamiseks, loetakse e-posti aadressid isikuandmeteks. Selles pole vahet, kas ettevõte kavatses sellel eesmärgil e-posti aadresse kasutada või mitte. Seadus räägib isikuandmetest, kui on olemas võimalus, et andmeid saab kasutada füüsilise isiku tuvastamiseks. [2]
Isikuandmed
Kuigi e-posti aadresse peetakse enamasti isikuandmeteks, ei ole need erilised isikuandmed. Spetsiaalsed isikuandmed on isikuandmed, mis paljastavad rassilise või etnilise päritolu, poliitilised arvamused, usulised või filosoofilised veendumused või kaubandusliku kuuluvuse ning geneetilised või biomeetrilised andmed. See tuleneb GDPR artiklist 9. Samuti sisaldab e-posti aadress vähem avalikku teavet kui näiteks kodune aadress. Kellegi e-posti aadressist on keerulisem teada saada kui tema kodust aadressi ja suuresti sõltub e-posti aadressi kasutajast see, kas e-posti aadress avalikustatakse või mitte. Lisaks on e-posti aadressi avastamisel, mis oleks pidanud varjatud olema, vähem tõsised tagajärjed kui koduse aadressi avastamisel, mis oleks pidanud varjatud olema. E-posti aadressi on lihtsam muuta kui kodust aadressi ja e-posti aadressi avastamine võib põhjustada digitaalse kontakti, samas kui koduse aadressi avastamine võib põhjustada isikliku kontakti. [3]
Isikuandmete töötlemine
Oleme tuvastanud, et e-posti aadresse peetakse enamasti isikuandmeteks. Kuid GDPR kehtib ainult nende ettevõtete kohta, kes töötlevad isikuandmeid. Isikuandmete töötlemine toimub igal viisil seoses isikuandmetega. Seda on täpsemalt määratletud GDPR-is. Vastavalt GDPR artikli 4 lõikele 2 tähendab isikuandmete töötlemine mis tahes toimingut, mida teostatakse isikuandmetega, kas automaatselt või mitte. Näited on isikuandmete kogumine, salvestamine, korraldamine, struktureerimine, säilitamine ja kasutamine. Kui ettevõtted teostavad eelnimetatud toiminguid e-posti aadresside osas, töötlevad nad isikuandmeid. Sel juhul kehtib neile GDPR.
Järeldus
Mitte iga e-posti aadressi ei loeta isikuandmeteks. E-posti aadresse peetakse aga isikuandmeteks, kui need pakuvad füüsilise isiku kohta tuvastatavat teavet. Paljud e-posti aadressid on üles ehitatud selliselt, et e-posti aadressi kasutav füüsiline isik on tuvastatav. Seda juhul, kui e-posti aadress sisaldab füüsilise isiku nime või töökohta. Seetõttu loetakse isikuandmeteks palju e-posti aadresse. Ettevõttel on keeruline eristada e-posti aadresse, mida peetakse isikuandmeteks, ja e-posti aadresse, mida mitte, kuna see sõltub täielikult e-posti aadressi struktuurist. Seetõttu on ohutu öelda, et ettevõtted, kes töötlevad isikuandmeid, puutuvad kokku e-posti aadressidega, mida peetakse isikuandmeteks. See tähendab, et nendele ettevõtetele kehtib GDPR ja nad peaksid rakendama GDPRile vastavat privaatsuspoliitikat.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.