Obecné nařízení o ochraně údajů
Na 25th května vstoupí v platnost obecné nařízení o ochraně údajů (GDPR). S instalací GDPR se ochrana osobních údajů stává stále důležitější. Společnosti musí při ochraně údajů zohlednit přísnější pravidla. V důsledku splátky GDPR však vyvstávají různé otázky. U společností může být nejasné, které údaje jsou považovány za osobní údaje a nespadají do oblasti působnosti GDPR. To je případ e-mailových adres: považuje se e-mailová adresa za osobní údaje? Podléhají společnosti, které používají e-mailové adresy, GDPR? Na tyto otázky odpovíme v tomto článku.
Osobní data
Pro zodpovězení otázky, zda je e-mailová adresa považována za osobní údaje, je třeba definovat pojem osobní údaje. Tento pojem je vysvětlen v GDPR. Na základě čl. 4 písm. A) GDPR se za osobní údaje považují veškeré informace týkající se identifikované nebo identifikovatelné fyzické osoby. Identifikovatelná fyzická osoba je osoba, kterou lze přímo nebo nepřímo identifikovat, zejména s odkazem na identifikátor, jako je jméno, identifikační číslo, údaje o poloze nebo online identifikátor. Osobní údaje se vztahují na fyzické osoby. Proto se informace o zesnulých nebo právnických osobách nepovažují za osobní údaje.
Nyní, když je definována definice osobních údajů, je třeba ji posoudit, pokud je e-mailová adresa považována za osobní údaje. Nizozemská judikatura naznačuje, že e-mailové adresy mohou být možná osobními údaji, ale není tomu tak vždy. Záleží na tom, zda je fyzická osoba identifikována nebo identifikovatelná na základě e-mailové adresy. [1] Je třeba vzít v úvahu způsob, jakým osoby strukturovaly své e-mailové adresy, aby bylo možné určit, zda lze e-mailovou adresu považovat za osobní údaje, či nikoli. Mnoho fyzických osob strukturuje svou e-mailovou adresu takovým způsobem, že adresu je třeba považovat za osobní údaje. Jedná se například o případ, kdy je e-mailová adresa strukturována následujícím způsobem: firstname.lastname@gmail.com. Tato e-mailová adresa odhaluje jméno a příjmení fyzické osoby, která adresu používá. Proto lze tuto osobu identifikovat na základě této e-mailové adresy. E-mailové adresy, které se používají pro obchodní aktivity, mohou také obsahovat osobní údaje. To je případ, kdy je e-mailová adresa strukturována následujícím způsobem: initials.lastname@nameofcompany.com. Z této e-mailové adresy lze odvodit, jaké jsou iniciály osoby používající e-mailovou adresu, jaké je její příjmení a kde tato osoba pracuje. Osoba používající tuto e-mailovou adresu je proto identifikovatelná na základě e-mailové adresy.
E-mailová adresa se nepovažuje za osobní údaje, pokud z ní nelze zjistit žádnou fyzickou osobu. To je případ, kdy je použita například následující e-mailová adresa: puppy12@hotmail.com. Tato e-mailová adresa neobsahuje žádné údaje, ze kterých lze identifikovat fyzickou osobu. Obecné osobní e-mailové adresy, které společnosti používají, například info@nameofcompany.com, se také nepovažují za osobní údaje. Tato e-mailová adresa neobsahuje žádné osobní údaje, z nichž lze identifikovat fyzickou osobu. E-mailovou adresu navíc nepoužívá fyzická osoba, ale právnická osoba. Proto se nepovažuje za osobní údaje. Z nizozemské judikatury lze vyvodit, že e-mailové adresy mohou být osobními údaji, ale není tomu tak vždy; záleží na struktuře e-mailové adresy.
Existuje velká šance, že fyzické osoby mohou být identifikovány pomocí e-mailové adresy, kterou používají, což z e-mailových adres vytváří osobní údaje. Za účelem klasifikace e-mailových adres jako osobních údajů nezáleží na tom, zda společnost skutečně používá e-mailové adresy k identifikaci uživatelů. I když společnost nepoužívá e-mailové adresy za účelem identifikace fyzických osob, e-mailové adresy, ze kterých lze fyzické osoby identifikovat, se stále považují za osobní údaje. Ne každé technické nebo náhodné spojení mezi osobou a údaji je dostatečné k tomu, aby bylo možné údaje označit jako osobní údaje. Pokud však existuje možnost, že e-mailové adresy mohou být použity k identifikaci uživatelů, například k odhalování případů podvodu, jsou e-mailové adresy považovány za osobní údaje. V tomto ohledu nezáleží na tom, zda společnost zamýšlela k tomuto účelu použít e-mailové adresy. Zákon hovoří o osobních údajích, pokud existuje možnost, že údaje mohou být použity k účelu, který identifikuje fyzickou osobu. [2]
Zvláštní osobní údaje
Přestože e-mailové adresy jsou většinou považovány za osobní údaje, nejedná se o zvláštní osobní údaje. Zvláštní osobní údaje jsou osobní údaje odhalující rasový nebo etnický původ, politické názory, náboženské nebo filozofické přesvědčení nebo obchodní členství a genetické nebo biometrické údaje. Vyplývá to z článku 9 GDPR. E-mailová adresa také obsahuje méně veřejných informací než například domovská adresa. Je obtížnější získat informace o něčí e-mailové adrese, než je jeho domovská adresa, a z velké části záleží na uživateli e-mailové adresy, zda bude nebo nebude zveřejněna. Zjištění e-mailové adresy, která měla zůstat skrytá, má navíc méně závažné důsledky než nalezení domovské adresy, která měla zůstat skrytá. Je snazší změnit e-mailovou adresu než domovskou adresu a zjišťování e-mailové adresy by mohlo vést k digitálnímu kontaktu, zatímco zjišťování domovské adresy by mohlo vést k osobnímu kontaktu. [3]
Zpracování osobních údajů
Zjistili jsme, že e-mailové adresy jsou většinou považovány za osobní údaje. GDPR se však vztahuje pouze na společnosti, které zpracovávají osobní údaje. Zpracování osobních údajů existuje ve všech ohledech týkajících se osobních údajů. To je dále definováno v GDPR. Podle čl. 4 odst. 2 GDPR se zpracováním osobních údajů rozumí jakákoli operace, která se provádí s osobními údaji, ať už automatickými prostředky či nikoli. Příkladem je sběr, zaznamenávání, organizování, strukturování, ukládání a použití osobních údajů. Pokud společnosti provádějí výše uvedené činnosti týkající se e-mailových adres, zpracovávají osobní údaje. V takovém případě podléhají GDPR.
Proč investovat do čističky vzduchu?
Ne každá e-mailová adresa se považuje za osobní údaje. E-mailové adresy se však považují za osobní údaje, pokud poskytují identifikovatelné informace o fyzické osobě. Mnoho e-mailových adres je strukturováno tak, aby bylo možné identifikovat fyzickou osobu, která používá e-mailovou adresu. To je případ, kdy e-mailová adresa obsahuje jméno nebo pracoviště fyzické osoby. Proto bude mnoho e-mailových adres považováno za osobní údaje. Pro společnosti je obtížné rozlišovat mezi e-mailovými adresami, které jsou považovány za osobní údaje, a e-mailovými adresami, které nejsou, protože to zcela závisí na struktuře e-mailové adresy. Proto lze s jistotou říci, že společnosti, které zpracovávají osobní údaje, narazí na e-mailové adresy, které jsou považovány za osobní údaje. To znamená, že tyto společnosti podléhají GDPR a měly by implementovat zásady ochrany osobních údajů, které jsou v souladu s GDPR.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.