電子郵件地址和GDPR的範圍。 通用數據保護條例

在25上th XNUMX月,通用數據保護條例(GDPR)將生效。 隨著GDPR的安裝,對個人數據的保護變得越來越重要。 公司必須在數據保護方面考慮更多和更嚴格的規則。 但是,由於GDPR的設置,出現了各種問題。 對於公司而言,可能不清楚哪些數據被視為個人數據,並且屬於GDPR範圍之內。 電子郵件地址就是這種情況:電子郵件地址是否被視為個人數據? 使用電子郵件地址的公司是否受GDPR約束? 這些問題將在本文中得到解答。

個人數據

為了回答是否將電子郵件地址視為個人數據的問題,需要定義術語“個人數據”。 該術語在GDPR中進行了解釋。 根據GDPR第4條的規定,個人數據是指與已識別或可識別的自然人有關的任何信息。 可識別的自然人是指可以直接或間接識別的人,尤其是可以參考諸如姓名,識別號,位置數據或在線標識符之類的標識符。 個人數據是指自然人。 因此,有關死者或法人的信息不被視為個人數據。

電子郵件地址和GDPR的範圍

電子郵件

現在確定了個人數據的定義,如果將電子郵件地址視為個人數據,則需要對其進行評估。 荷蘭判例法表明,電子郵件地址可能是個人數據,但並非總是如此。 這取決於是否根據電子郵件地址識別或識別了自然人。[1] 為了確定是否可以將電子郵件地址視為個人數據,必須考慮人們構造其電子郵件地址的方式。 許多自然人以必須將其視為個人數據的方式來構造其電子郵件地址。 例如,當電子郵件地址的結構如下時: [電子郵件保護] 該電子郵件地址公開了使用該地址的自然人的名字和姓氏。 因此,可以根據此電子郵件地址識別此人。 用於業務活動的電子郵件地址也可能包含個人數據。 當電子郵件地址的結構如下時,就是這種情況: [電子郵件保護] 從該電子郵件地址可以得出使用該電子郵件地址的人的姓名縮寫,其姓氏是什麼以及該人的工作地點。 因此,根據該電子郵件地址可以識別使用該電子郵件地址的人。

如果無法從中識別出自然人,則該電子郵件地址不被視為個人數據。 例如,使用以下電子郵件地址時就是這種情況: [電子郵件保護] 該電子郵件地址不包含任何可以識別自然人的數據。 公司使用的常規電子郵件地址,例如 [電子郵件保護],也不被視為個人數據。 該電子郵件地址不包含可以識別自然人的任何個人信息。 此外,該電子郵件地址不是自然人使用的,而是法律實體使用的。 因此,它不被視為個人數據。 從荷蘭判例法可以得出結論,電子郵件地址可以是個人數據,但情況並非總是如此。 這取決於電子郵件地址的結構。

自然人很有可能通過他們使用的電子郵件地址來識別,這使電子郵件地址成為個人數據。 為了將電子郵件地址分類為個人數據,公司是否實際使用電子郵件地址來識別用戶並不重要。 即使公司不出於識別自然人的目的而使用電子郵件地址,仍可以從中識別自然人的電子郵件地址仍被視為個人數據。 為了將數據指定為個人數據,人與數據之間的每種技術或偶然聯繫都不足夠。 但是,如果存在可以使用電子郵件地址來識別用戶(例如,檢測欺詐案件)的可能性,則將電子郵件地址視為個人數據。 在此,公司是否打算為此目的使用電子郵件地址都沒有關係。 當有可能將數據用於識別自然人的目的時,法律將提及個人數據。[2]

特殊個人資料

儘管電子郵件地址在大多數情況下被視為個人數據,但它們不是特殊的個人數據。 特殊個人數據是指揭示種族或族裔血統,政治見解,宗教或哲學信仰或貿易會員資格的個人數據,以及遺傳或生物統計數據。 這源自GDPR第9條。 同樣,電子郵件地址包含的公共信息少於家庭地址。 要獲得某人的電子郵件地址的知識要比其家庭地址困難得多,並且該電子郵件地址的公開與否在很大程度上取決於電子郵件地址的用戶。 此外,發現本應隱藏的電子郵件地址的後果不如發現本應隱藏的家庭地址嚴重。 更改電子郵件地址要比家庭地址容易,發現電子郵件地址可能導致數字聯繫,而發現家庭地址可能導致個人聯繫。[3]

個人資料處理

我們已經確定,大多數情況下,電子郵件地址被視為個人數據。 但是,GDPR僅適用於處理個人數據的公司。 個人數據的處理涉及個人數據的每項操作。 GDPR中對此進行了進一步定義。 根據GDPR第4條第2款,對個人數據的處理是指對個人數據執行的任何操作,無論是否通過自動方式進行。 例如收集,記錄,組織,組織,存儲和使用個人數據。 當公司針對電子郵件地址執行上述活動時,他們正在處理個人數據。 在這種情況下,它們必須遵守GDPR。

結論

並非每個電子郵件地址都被視為個人數據。 但是,當電子郵件地址提供有關自然人的可識別信息時,它們被視為個人數據。 許多電子郵件地址的結構都可以識別使用電子郵件地址的自然人。 當電子郵件地址包含自然人的姓名或工作地點時,就是這種情況。 因此,許多電子郵件地址將被視為個人數據。 對於公司來說,很難區分被認為是個人數據的電子郵件地址和不是個人數據的電子郵件地址,因為這完全取決於電子郵件地址的結構。 因此,可以肯定地說,處理個人數據的公司會遇到被認為是個人數據的電子郵件地址。 這意味著這些公司必須遵守GDPR,並應實施符合GDPR的隱私政策。

[1] ECLI:NL:GHAMS:2002:AE5514。

[2] Kamerstukken II 1979/80,25,892(MvT)。

[3] ECLI:NL:GHAMS:2002:AE5514。

分享到
Law & More B.V.