Generell databeskyttelsesforskrift
På 25th mai vil den generelle databeskyttelsesforordningen (GDPR) tre i kraft. Med avdrag på GDPR blir beskyttelse av personopplysninger stadig viktigere. Bedrifter må ta hensyn til flere og strengere regler når det gjelder databeskyttelse. Imidlertid oppstår forskjellige spørsmål som et resultat av avbetalingen av GDPR. For selskaper kan det være uklart hvilke data som anses som personopplysninger og faller inn under rammen av GDPR. Dette er tilfelle med e-postadresser: regnes en e-postadresse som personopplysninger? Er selskaper som bruker e-postadresser underlagt GDPR? Disse spørsmålene vil bli besvart i denne artikkelen.
Personlig informasjon
For å svare på spørsmålet om en e-postadresse anses å være personopplysninger eller ikke, må begrepet personopplysninger defineres. Dette begrepet er forklart i GDPR. Basert på artikkel 4 under en GDPR, betyr personopplysninger all informasjon knyttet til en identifisert eller identifiserbar fysisk person. En identifiserbar fysisk person er en person som kan identifiseres, direkte eller indirekte, spesielt med henvisning til en identifikator som et navn, et identifikasjonsnummer, stedsdata eller en online identifikator. Personopplysninger refererer til fysiske personer. Derfor anses ikke informasjon om avdøde personer eller juridiske personer å være personopplysninger.
Epostadresse
Nå som definisjonen av personopplysninger er bestemt, må den vurderes hvis en e-postadresse anses å være personopplysninger. Nederlandsk rettspraksis indikerer at e-postadresser muligens kan være personopplysninger, men at dette ikke alltid er tilfelle. Det avhenger av om en fysisk person blir identifisert eller identifiserbar basert på e-postadressen. [1] Måten personer har strukturert e-postadressene på, må tas i betraktning for å avgjøre om e-postadressen kan sees på som personlige data eller ikke. Mange fysiske personer strukturerer e-postadressen sin på en slik måte at adressen må betraktes som personopplysninger. Dette er for eksempel tilfelle når en e-postadresse er strukturert på følgende måte: fornavn.efternamn@gmail.com. Denne e-postadressen avslører for- og etternavnet til den fysiske personen som bruker adressen. Derfor kan denne personen identifiseres ut fra denne e-postadressen. E-postadresser som brukes til forretningsaktiviteter kan også inneholde personopplysninger. Dette er tilfelle når en e-postadresse er strukturert på følgende måte: initials.efternamme@nameofcompany.com. Fra denne e-postadressen kan det avledes hva initialene til personen som bruker e-postadressen er, hva hans etternavn er og hvor denne personen jobber. Derfor kan personen som bruker denne e-postadressen identifiseres basert på e-postadressen.
En e-postadresse anses ikke å være personlig informasjon når ingen fysisk person kan identifiseres fra den. Dette er tilfelle når for eksempel følgende e-postadresse brukes: puppy12@hotmail.com. Denne e-postadressen inneholder ingen data som en fysisk person kan identifiseres fra. Generelle e-postadresser som brukes av selskaper, som info@nameofcompany.com, blir heller ikke ansett å være personlige data. Denne e-postadressen inneholder ingen personlig informasjon som en fysisk person kan identifiseres fra. Dessuten brukes ikke e-postadressen av en fysisk person, men av en juridisk enhet. Derfor anses det ikke å være personopplysninger. Fra nederlandsk rettspraksis kan man konkludere med at e-postadresser kan være personopplysninger, men dette er ikke alltid tilfelle; det avhenger av strukturen til e-postadressen.
Det er stor sjanse for at fysiske personer kan bli identifisert av e-postadressen de bruker, noe som gjør e-postadresser til personopplysninger. For å klassifisere e-postadresser som personopplysninger, spiller det ingen rolle om selskapet faktisk bruker e-postadressene for å identifisere brukerne. Selv om et selskap ikke bruker e-postadressene med det formål å identifisere fysiske personer, anses e-postadressene som fysiske personer kan identifiseres fra fortsatt til å være personopplysninger. Ikke alle tekniske eller tilfeldige forbindelser mellom en person og data er tilstrekkelige for å utnevne dataene til personopplysninger. Likevel, hvis muligheten eksisterer at e-postadressene kan brukes for å identifisere brukerne, for eksempel for å oppdage tilfeller av svindel, blir e-postadressene ansett som personopplysninger. I dette spiller det ingen rolle om selskapet hadde tenkt å bruke e-postadressene til dette formålet. Loven snakker om personopplysninger når muligheten eksisterer at dataene kan brukes til et formål som identifiserer en fysisk person. [2]
Spesielle personopplysninger
Mens e-postadresser anses å være personopplysninger mesteparten av tiden, er de ikke spesielle personopplysninger. Spesielle personopplysninger er personopplysninger som avslører ras eller etnisk opprinnelse, politiske meninger, religiøse eller filosofiske oppfatninger eller handelsmedlemskap, og genetiske eller biometriske data. Dette stammer fra artikkel 9 GDPR. I tillegg inneholder en e-postadresse mindre offentlig informasjon enn for eksempel en hjemmeadresse. Det er vanskeligere å få kunnskap om noens e-postadresse enn hjemmeadressen, og det avhenger for en stor del av brukeren av e-postadressen om e-postadressen blir offentliggjort eller ikke. Videre har funn av en e-postadresse som skal ha holdt seg skjult, mindre alvorlige konsekvenser enn funn av en hjemmeadresse som burde ha holdt seg skjult. Det er lettere å endre en e-postadresse enn en hjemmeadresse og oppdagelse av en e-postadresse kan føre til digital kontakt, mens oppdagelse av en hjemmeadresse kan føre til personlig kontakt. [3]
Behandling av personopplysninger
Vi har slått fast at e-postadresser anses å være personopplysninger mesteparten av tiden. GDPR gjelder imidlertid bare selskaper som behandler personopplysninger. Behandling av personopplysninger eksisterer av alle handlinger med hensyn til personopplysninger. Dette er ytterligere definert i GDPR. I henhold til artikkel 4 under 2 GDPR, betyr behandling av personopplysninger enhver operasjon som utføres på personopplysninger, enten med automatiske midler eller ikke. Eksempler er innsamling, registrering, organisering, strukturering, lagring og bruk av personopplysninger. Når selskaper utfører nevnte aktiviteter med hensyn til e-postadresser, behandler de personopplysninger. I så fall er de underlagt GDPR.
konklusjonen
Ikke alle e-postadresser anses som personopplysninger. E-postadresser anses imidlertid som personopplysninger når de gir identifiserbar informasjon om en fysisk person. Mange e-postadresser er strukturert på en måte som den fysiske personen som bruker e-postadressen kan identifiseres. Dette er tilfelle når e-postadressen inneholder en fysisk persons navn eller arbeidsplass. Derfor vil mange e-postadresser bli ansett som personopplysninger. Det er vanskelig for selskaper å skille mellom e-postadresser som anses å være personopplysninger og e-postadresser som ikke er det, siden dette helt avhenger av strukturen til e-postadressen. Derfor er det trygt å si at selskaper som behandler personopplysninger, vil komme over e-postadresser som anses å være personopplysninger. Dette betyr at disse selskapene er underlagt GDPR og bør implementere en personvernpolitikk som er i samsvar med GDPR.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.