Opća uredba o zaštiti podataka
Na 25th svibnja stupit će na snagu Opća uredba o zaštiti podataka (GDPR). S obrokom GDPR-a, zaštita osobnih podataka postaje sve važnija. Tvrtke moraju uzeti u obzir više i strožija pravila u pogledu zaštite podataka. Međutim, različita pitanja nastaju kao rezultat pada GDPR-a. Za tvrtke može biti nejasno koji se podaci smatraju osobnim podacima i potpadaju pod područje primjene GDPR-a. To je slučaj s adresama e-pošte: smatra li se adresa e-pošte osobnim podacima? Podliježu li tvrtke koje koriste adrese e-pošte GDPR? Na ova će pitanja biti odgovoreno u ovom članku.
Osobni podaci
Da biste odgovorili na pitanje smatra li se adresa e-pošte osobnim podacima ili ne, potrebno je definirati izraz osobni podaci. Taj se pojam objašnjava u GDPR-u. Temeljem članka 4. pod GDPR-om, osobni podaci podrazumijevaju sve podatke koji se odnose na identificiranu ili prepoznatljivu fizičku osobu. Fizička osoba koja se može identificirati je osoba koja se može izravno ili neizravno identificirati, posebno u odnosu na identifikator poput imena, identifikacijskog broja, podataka o lokaciji ili mrežnog identifikatora. Osobni se podaci odnose na fizičke osobe. Stoga se podaci koji se odnose na umrle osobe ili pravne osobe ne smatraju osobnim podacima.
Adresa e-pošte
Sad kad je utvrđena definicija osobnih podataka, treba je procijeniti smatra li se adresa e-pošte osobnim podacima. Nizozemska sudska praksa pokazuje da bi adrese e-pošte mogle biti osobni podaci, ali da to nije uvijek slučaj. Ovisi je li fizička osoba identificirana ili nije moguće identificirati na temelju adrese e-pošte. [1] Mora se uzeti u obzir način na koji su osobe strukturirale svoje adrese e-pošte kako bi se utvrdilo može li se adresa e-pošte smatrati osobnim podacima. Mnogo fizičkih osoba strukturira svoju e-adresu na takav način da se adresa mora smatrati osobnim podacima. To je na primjer slučaj kada je adresa e-pošte strukturirana na sljedeći način: firstname.lastname@gmail.com. Ova adresa e-pošte otkriva ime i prezime fizičke osobe koja koristi adresu. Stoga se ta osoba može identificirati na temelju ove adrese e-pošte. Adrese e-pošte koje se koriste za poslovne aktivnosti mogu sadržavati i osobne podatke. To je slučaj kada je adresa e-pošte strukturirana na sljedeći način: inicijali.lastname@nameofcompany.com. Iz ove adrese e-pošte mogu se izvesti koji su inicijali osobe koja koristi adresu e-pošte, kako se preziva i gdje ta osoba radi. Stoga je osoba koja koristi ovu adresu e-pošte moguće identificirati na temelju adrese e-pošte.
Adresa e-pošte ne smatra se osobnim podacima kada se s nje ne može identificirati fizička osoba. To je slučaj kada se na primjer koristi sljedeća adresa e-pošte: puppy12@hotmail.com. Ova adresa e-pošte ne sadrži podatke iz kojih se može identificirati fizička osoba. Opće adrese e-pošte koje koriste tvrtke, poput info@nameofcompany.com, također se ne smatraju osobnim podacima. Ova adresa e-pošte ne sadrži nikakve osobne podatke iz kojih se može identificirati fizička osoba. Štoviše, adresu e-pošte ne koristi fizička osoba, već pravna osoba. Stoga se ne smatra osobnim podacima. Iz nizozemske sudske prakse može se zaključiti da adrese e-pošte mogu biti osobni podaci, ali to nije uvijek slučaj; to ovisi o strukturi adrese e-pošte.
Postoji velika vjerojatnost da se fizičke osobe mogu prepoznati po adresi e-pošte koju koriste, što čini e-adrese osobnim podacima. Da biste adrese e-pošte klasificirali kao osobne podatke, nije važno koristi li tvrtka adrese e-pošte u svrhu identifikacije korisnika. Čak i ako tvrtka ne koristi adrese e-pošte u svrhu identifikacije fizičkih osoba, adrese e-pošte s kojih se mogu identificirati fizičke osobe i dalje se smatraju osobnim podacima. Nije svaka tehnička ili slučajna veza između osobe i podataka dovoljna da bi ih imenovala kao osobne podatke. Ipak, ako postoji mogućnost da se adrese e-pošte mogu koristiti za identifikaciju korisnika, primjerice za otkrivanje slučajeva prijevare, adrese e-pošte smatraju se osobnim podacima. Pri tome nije važno je li tvrtka u tu svrhu namjeravala koristiti adrese e-pošte ili ne. Zakon govori o osobnim podacima kada postoji mogućnost da se podaci mogu koristiti u svrhu koja identificira fizičku osobu. [2]
Posebni osobni podaci
Iako se adrese e-pošte većinom smatraju osobnim podacima, oni nisu posebni osobni podaci. Posebni osobni podaci jesu osobni podaci koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili trgovačko članstvo, te genetski ili biometrijski podaci. To proizlazi iz članka 9 GDPR. Također, adresa e-pošte sadrži manje javnih informacija nego na primjer kućna adresa. Teže je steći znanje o nečijoj adresi e-pošte od njegove kućne adrese, a o velikom dijelu korisnika korisnika adrese e-pošte ovisi hoće li se adresa e-pošte objaviti ili ne. Nadalje, otkrivanje adrese e-pošte koja je trebala ostati skrivena ima manje ozbiljne posljedice od otkrivanja kućne adrese koja bi trebala ostati skrivena. Lakše je promijeniti adresu e-pošte nego kućna adresa i otkrivanje adrese e-pošte može dovesti do digitalnog kontakta, dok otkrivanje kućne adrese može dovesti do osobnog kontakta. [3]
Obrada osobnih podataka
Ustanovili smo da se adrese e-pošte većinu vremena smatraju osobnim podacima. Međutim, GDPR se odnosi samo na tvrtke koje obrađuju osobne podatke. Obrada osobnih podataka postoji u svakoj radnji s obzirom na osobne podatke. To je dalje definirano u GDPR-u. Prema članku 4 pod 2 GDPR, obrada osobnih podataka podrazumijeva svaku operaciju koja se vrši na osobnim podacima, bez obzira je li automatskim ili ne. Primjeri su prikupljanje, snimanje, organiziranje, strukturiranje, pohrana i uporaba osobnih podataka. Kada tvrtke obavljaju gore navedene aktivnosti u vezi s adresama e-pošte, obrađuju osobne podatke. U tom slučaju oni podliježu GDPR-u.
Zaključak
Ne smatra se da se svaka adresa e-pošte smatra osobnim podacima. Međutim, adrese e-pošte smatraju se osobnim podacima kada pružaju prepoznatljive podatke o fizičkoj osobi. Mnogo je adresa e-pošte oblikovano na način da se fizička osoba koja koristi adresu e-pošte može prepoznati. To je slučaj kada adresa e-pošte sadrži ime ili radno mjesto fizičke osobe. Stoga će se mnoštvo adresa e-pošte smatrati osobnim podacima. Tvrtke je teško napraviti razliku između adresa e-pošte koje se smatraju osobnim podacima i e-mail adrese koje nisu, jer to u potpunosti ovisi o strukturi adrese e-pošte. Stoga je sigurno reći da će tvrtke koje obrađuju osobne podatke naići na adrese e-pošte koje se smatraju osobnim podacima. To znači da ta poduzeća podliježu GDPR-u i trebala bi provoditi politiku privatnosti koja je u skladu s GDPR-om.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.