E-postadresser og omfanget av GDPR. Generell databeskyttelsesforordning

På 25th mai vil den generelle databeskyttelsesforordningen (GDPR) tre i kraft. Med avdrag på GDPR blir beskyttelse av personopplysninger stadig viktigere. Bedrifter må ta hensyn til flere og strengere regler når det gjelder databeskyttelse. Imidlertid oppstår forskjellige spørsmål som et resultat av avbetalingen av GDPR. For selskaper kan det være uklart hvilke data som anses som personopplysninger og faller inn under rammen av GDPR. Dette er tilfelle med e-postadresser: regnes en e-postadresse som personopplysninger? Er selskaper som bruker e-postadresser underlagt GDPR? Disse spørsmålene vil bli besvart i denne artikkelen.

Personlig informasjon

For å svare på spørsmålet om en e-postadresse anses å være personopplysninger eller ikke, må begrepet personopplysninger defineres. Dette begrepet er forklart i GDPR. Basert på artikkel 4 under en GDPR, betyr personopplysninger all informasjon knyttet til en identifisert eller identifiserbar fysisk person. En identifiserbar fysisk person er en person som kan identifiseres, direkte eller indirekte, spesielt med henvisning til en identifikator som et navn, et identifikasjonsnummer, stedsdata eller en online identifikator. Personopplysninger refererer til fysiske personer. Derfor anses ikke informasjon om avdøde personer eller juridiske personer å være personopplysninger.

E-postadresser og omfanget av GDPR

Epostadresse

Now that the definition of personal data is determined, it needs to be assed if an email address is considered to be personal data. Dutch case law indicates that email addresses could possibly be personal data, but that this is not always the case. It depends whether or not a natural person is identified or identifiable based on the email address.[1] The way persons have structured their email addresses has to be taken into account in order to determine whether the email address can be seen as personal data or not. A lot of natural persons structure their email address in such a way that the address has to be considered personal data. This is for example the case when an email address is structured in the following way: firstname.lastname@gmail.com. This email address exposes the first and last name of the natural person that uses the address. Therefore, this person can be identified based on this email address. Email addresses that are used for business activities could also contain personal data. This is the case when an e-mail address is structured in the following way: initials.lastname@nameofcompany.com. From this email address can be derived what the initials of the person using the email address are, what his last name is and where this person works. Therefore, the person using this email address is identifiable based on the email address.

An email address is not considered to be personal data when no natural person can be identified from it. This is the case when for example the following email address is used: puppy12@hotmail.com. This email address does not contain any data from which a natural person can be identified. General email addresses that are used by companies, like info@nameofcompany.com, are also not considered to be personal data. This email address does not contain any personal information from which a natural person can be identified. Moreover, the email address is not used by a natural person, but by a legal entity. Therefore, it is not considered to be personal data. From Dutch case law can be concluded that email addresses can be personal data, but this is not always the case; it depends of the structure of the email address.

Det er stor sjanse for at fysiske personer kan bli identifisert av e-postadressen de bruker, noe som gjør e-postadresser til personopplysninger. For å klassifisere e-postadresser som personopplysninger, spiller det ingen rolle om selskapet faktisk bruker e-postadressene for å identifisere brukerne. Selv om et selskap ikke bruker e-postadressene med det formål å identifisere fysiske personer, anses e-postadressene som fysiske personer kan identifiseres fra fortsatt til å være personopplysninger. Ikke alle tekniske eller tilfeldige forbindelser mellom en person og data er tilstrekkelige for å utnevne dataene til personopplysninger. Likevel, hvis muligheten eksisterer at e-postadressene kan brukes for å identifisere brukerne, for eksempel for å oppdage tilfeller av svindel, blir e-postadressene ansett som personopplysninger. I dette spiller det ingen rolle om selskapet hadde tenkt å bruke e-postadressene til dette formålet. Loven snakker om personopplysninger når muligheten eksisterer at dataene kan brukes til et formål som identifiserer en fysisk person. [2]

Spesielle personopplysninger

Mens e-postadresser anses å være personopplysninger mesteparten av tiden, er de ikke spesielle personopplysninger. Spesielle personopplysninger er personopplysninger som avslører ras eller etnisk opprinnelse, politiske meninger, religiøse eller filosofiske oppfatninger eller handelsmedlemskap, og genetiske eller biometriske data. Dette stammer fra artikkel 9 GDPR. I tillegg inneholder en e-postadresse mindre offentlig informasjon enn for eksempel en hjemmeadresse. Det er vanskeligere å få kunnskap om noens e-postadresse enn hjemmeadressen, og det avhenger for en stor del av brukeren av e-postadressen om e-postadressen blir offentliggjort eller ikke. Videre har funn av en e-postadresse som skal ha holdt seg skjult, mindre alvorlige konsekvenser enn funn av en hjemmeadresse som burde ha holdt seg skjult. Det er lettere å endre en e-postadresse enn en hjemmeadresse og oppdagelse av en e-postadresse kan føre til digital kontakt, mens oppdagelse av en hjemmeadresse kan føre til personlig kontakt. [3]

Behandling av personopplysninger

Vi har slått fast at e-postadresser anses å være personopplysninger mesteparten av tiden. GDPR gjelder imidlertid bare selskaper som behandler personopplysninger. Behandling av personopplysninger eksisterer av alle handlinger med hensyn til personopplysninger. Dette er ytterligere definert i GDPR. I henhold til artikkel 4 under 2 GDPR, betyr behandling av personopplysninger enhver operasjon som utføres på personopplysninger, enten med automatiske midler eller ikke. Eksempler er innsamling, registrering, organisering, strukturering, lagring og bruk av personopplysninger. Når selskaper utfører nevnte aktiviteter med hensyn til e-postadresser, behandler de personopplysninger. I så fall er de underlagt GDPR.

konklusjonen

Ikke alle e-postadresser anses som personopplysninger. E-postadresser anses imidlertid som personopplysninger når de gir identifiserbar informasjon om en fysisk person. Mange e-postadresser er strukturert på en måte som den fysiske personen som bruker e-postadressen kan identifiseres. Dette er tilfelle når e-postadressen inneholder en fysisk persons navn eller arbeidsplass. Derfor vil mange e-postadresser bli ansett som personopplysninger. Det er vanskelig for selskaper å skille mellom e-postadresser som anses å være personopplysninger og e-postadresser som ikke er det, siden dette helt avhenger av strukturen til e-postadressen. Derfor er det trygt å si at selskaper som behandler personopplysninger, vil komme over e-postadresser som anses å være personopplysninger. Dette betyr at disse selskapene er underlagt GDPR og bør implementere en personvernpolitikk som er i samsvar med GDPR.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

Dele