電子郵件地址和GDPR的範圍。 通用數據保護條例

在25上th XNUMX月,通用數據保護條例(GDPR)將生效。 隨著GDPR的安裝,對個人數據的保護變得越來越重要。 公司必須在數據保護方面考慮更多和更嚴格的規則。 但是,由於GDPR的設置,出現了各種問題。 對於公司而言,可能不清楚哪些數據被視為個人數據,並且屬於GDPR範圍之內。 電子郵件地址就是這種情況:電子郵件地址是否被視為個人數據? 使用電子郵件地址的公司是否受GDPR約束? 這些問題將在本文中得到解答。

個人數據

為了回答是否將電子郵件地址視為個人數據的問題,需要定義術語“個人數據”。 該術語在GDPR中進行了解釋。 根據GDPR第4條的規定,個人數據是指與已識別或可識別的自然人有關的任何信息。 可識別的自然人是指可以直接或間接識別的人,尤其是可以參考諸如姓名,識別號,位置數據或在線標識符之類的標識符。 個人數據是指自然人。 因此,有關死者或法人的信息不被視為個人數據。

電子郵件地址和GDPR的範圍

電子郵件地址

Now that the definition of personal data is determined, it needs to be assed if an email address is considered to be personal data. Dutch case law indicates that email addresses could possibly be personal data, but that this is not always the case. It depends whether or not a natural person is identified or identifiable based on the email address.[1] The way persons have structured their email addresses has to be taken into account in order to determine whether the email address can be seen as personal data or not. A lot of natural persons structure their email address in such a way that the address has to be considered personal data. This is for example the case when an email address is structured in the following way: firstname.lastname@gmail.com. This email address exposes the first and last name of the natural person that uses the address. Therefore, this person can be identified based on this email address. Email addresses that are used for business activities could also contain personal data. This is the case when an e-mail address is structured in the following way: initials.lastname@nameofcompany.com. From this email address can be derived what the initials of the person using the email address are, what his last name is and where this person works. Therefore, the person using this email address is identifiable based on the email address.

An email address is not considered to be personal data when no natural person can be identified from it. This is the case when for example the following email address is used: puppy12@hotmail.com. This email address does not contain any data from which a natural person can be identified. General email addresses that are used by companies, like info@nameofcompany.com, are also not considered to be personal data. This email address does not contain any personal information from which a natural person can be identified. Moreover, the email address is not used by a natural person, but by a legal entity. Therefore, it is not considered to be personal data. From Dutch case law can be concluded that email addresses can be personal data, but this is not always the case; it depends of the structure of the email address.

自然人很有可能通過他們使用的電子郵件地址來識別,這使電子郵件地址成為個人數據。 為了將電子郵件地址分類為個人數據,公司是否實際使用電子郵件地址來識別用戶並不重要。 即使公司不出於識別自然人的目的而使用電子郵件地址,仍可以從中識別自然人的電子郵件地址仍被視為個人數據。 為了將數據指定為個人數據,人與數據之間的每種技術或偶然聯繫都不足夠。 但是,如果存在可以使用電子郵件地址來識別用戶(例如,檢測欺詐案件)的可能性,則將電子郵件地址視為個人數據。 在此,公司是否打算為此目的使用電子郵件地址都沒有關係。 當有可能將數據用於識別自然人的目的時,法律將提及個人數據。[2]

特殊個人資料

儘管電子郵件地址在大多數情況下被視為個人數據,但它們不是特殊的個人數據。 特殊個人數據是指揭示種族或族裔血統,政治見解,宗教或哲學信仰或貿易會員資格的個人數據,以及遺傳或生物統計數據。 這源自GDPR第9條。 同樣,電子郵件地址包含的公共信息少於家庭地址。 要獲得某人的電子郵件地址的知識要比其家庭地址困難得多,並且該電子郵件地址的公開與否在很大程度上取決於電子郵件地址的用戶。 此外,發現本應隱藏的電子郵件地址的後果不如發現本應隱藏的家庭地址嚴重。 更改電子郵件地址要比家庭地址容易,發現電子郵件地址可能導致數字聯繫,而發現家庭地址可能導致個人聯繫。[3]

個人資料處理

我們已經確定,大多數情況下,電子郵件地址被視為個人數據。 但是,GDPR僅適用於處理個人數據的公司。 個人數據的處理涉及個人數據的每項操作。 GDPR中對此進行了進一步定義。 根據GDPR第4條第2款,對個人數據的處理是指對個人數據執行的任何操作,無論是否通過自動方式進行。 例如收集,記錄,組織,組織,存儲和使用個人數據。 當公司針對電子郵件地址執行上述活動時,他們正在處理個人數據。 在這種情況下,它們必須遵守GDPR。

結論

並非每個電子郵件地址都被視為個人數據。 但是,當電子郵件地址提供有關自然人的可識別信息時,它們被視為個人數據。 許多電子郵件地址的結構都可以識別使用電子郵件地址的自然人。 當電子郵件地址包含自然人的姓名或工作地點時,就是這種情況。 因此,許多電子郵件地址將被視為個人數據。 對於公司來說,很難區分被認為是個人數據的電子郵件地址和不是個人數據的電子郵件地址,因為這完全取決於電子郵件地址的結構。 因此,可以肯定地說,處理個人數據的公司會遇到被認為是個人數據的電子郵件地址。 這意味著這些公司必須遵守GDPR,並應實施符合GDPR的隱私政策。

[1] ECLI:NL:GHAMS:2002:AE5514。

[2] Kamerstukken II 1979/80,25,892(MvT)。

[3] ECLI:NL:GHAMS:2002:AE5514。

分享到