E-posadresse en die omvang van die GDPR. Algemene verordening van data-beskerming

Op die 25th van Mei, sal die Algemene Regulering van Data-beskerming (GDPR) in werking tree. Met die afbetaling van die BBP word die beskerming van persoonlike data toenemend belangrik. Ondernemings moet meer en strenger reëls met betrekking tot databeskerming in ag neem. Verskeie vrae ontstaan ​​egter as gevolg van die afbetaling van die GDPR. Vir maatskappye kan dit onduidelik wees watter data as persoonlike data beskou word en val onder die omvang van die BBP. Dit is die geval met e-posadresse: word 'n e-posadres as persoonlike data beskou? Is maatskappye wat e-posadresse gebruik onderworpe aan die BBP? Hierdie vrae word in hierdie artikel beantwoord.

Persoonlike data

Om die vraag te beantwoord of 'n e-posadres as persoonlike data beskou word, al dan nie, moet die term persoonlike data gedefinieer word. Hierdie term word in die BBP verduidelik. Op grond van artikel 4 onder 'n BBR, beteken persoonlike inligting enige inligting met betrekking tot 'n geïdentifiseerde of identifiseerbare natuurlike persoon. 'N Identifiseerbare natuurlike persoon is 'n persoon wat direk of indirek geïdentifiseer kan word, veral met verwysing na 'n identifiseerder soos 'n naam, 'n identifikasienommer, liggingsdata of 'n aanlyn identifiseerder. Persoonlike gegewens verwys na natuurlike persone. Daarom word inligting oor afgestorwe persone of regspersone nie as persoonlike data beskou nie.

E-posadresse en die omvang van die GDPR

E-posadres

Now that the definition of personal data is determined, it needs to be assed if an email address is considered to be personal data. Dutch case law indicates that email addresses could possibly be personal data, but that this is not always the case. It depends whether or not a natural person is identified or identifiable based on the email address.[1] The way persons have structured their email addresses has to be taken into account in order to determine whether the email address can be seen as personal data or not. A lot of natural persons structure their email address in such a way that the address has to be considered personal data. This is for example the case when an email address is structured in the following way: firstname.lastname@gmail.com. This email address exposes the first and last name of the natural person that uses the address. Therefore, this person can be identified based on this email address. Email addresses that are used for business activities could also contain personal data. This is the case when an e-mail address is structured in the following way: initials.lastname@nameofcompany.com. From this email address can be derived what the initials of the person using the email address are, what his last name is and where this person works. Therefore, the person using this email address is identifiable based on the email address.

An email address is not considered to be personal data when no natural person can be identified from it. This is the case when for example the following email address is used: puppy12@hotmail.com. This email address does not contain any data from which a natural person can be identified. General email addresses that are used by companies, like info@nameofcompany.com, are also not considered to be personal data. This email address does not contain any personal information from which a natural person can be identified. Moreover, the email address is not used by a natural person, but by a legal entity. Therefore, it is not considered to be personal data. From Dutch case law can be concluded that email addresses can be personal data, but this is not always the case; it depends of the structure of the email address.

Die kans is groot dat natuurlike persone geïdentifiseer kan word deur die e-posadres wat hulle gebruik, wat e-posadresse tot persoonlike inligting maak. Om e-posadresse as persoonlike gegewens te klassifiseer, maak dit nie saak of die onderneming die e-posadresse gebruik om die gebruikers te identifiseer nie. Selfs as 'n onderneming nie die e-posadresse gebruik met die doel om natuurlike persone te identifiseer nie, word die e-posadresse waaruit natuurlike persone geïdentifiseer kan word, steeds as persoonlike data beskou. Nie elke tegniese of toevallige verband tussen 'n persoon en data is voldoende om die data as persoonlike data aan te stel nie. As die moontlikheid bestaan ​​dat die e-posadresse gebruik kan word om die gebruikers te identifiseer, byvoorbeeld om bedroggevalle op te spoor, word die e-posadresse as persoonlike data beskou. Hierin maak dit nie saak of die onderneming van voorneme is om die e-posadresse vir hierdie doel te gebruik nie. Die wet praat van persoonlike inligting as die moontlikheid bestaan ​​dat die inligting gebruik kan word vir 'n doel wat 'n natuurlike persoon identifiseer. [2]

Spesiale persoonlike inligting

Terwyl e-posadresse meestal as persoonlike data beskou word, is dit nie spesiale persoonlike data nie. Spesiale persoonlike gegewens is persoonlike inligting wat ras- of etniese oorsprong, politieke menings, godsdienstige of filosofiese oortuigings of handelslidmaatskap, en genetiese of biometriese gegewens openbaar. Dit spruit uit artikel 9 BBP. 'N E-posadres bevat ook minder openbare inligting as byvoorbeeld 'n huisadres. Dit is moeiliker om kennis van iemand se e-posadres te kry as sy huisadres en dit hang grootliks van die gebruiker van die e-posadres af of die e-posadres openbaar gemaak word of nie. Verder het die ontdekking van 'n e-posadres wat weggesteek moes gewees het minder ernstige gevolge gehad as die ontdekking van 'n huisadres wat verborge moes bly. Dit is makliker om 'n e-posadres te verander as 'n huisadres, en die ontdekking van 'n e-posadres kan lei tot digitale kontak, terwyl die ontdekking van 'n huisadres tot persoonlike kontak kan lei. [3]

Verwerking van persoonlike gegewens

Ons het vasgestel dat e-posadresse die meeste van die tyd as persoonlike inligting beskou word. Die GDPR is egter slegs van toepassing op maatskappye wat persoonlike data verwerk. Die verwerking van persoonlike data bestaan ​​uit elke handeling met betrekking tot persoonlike data. Dit word verder in die BBP gedefinieer. Volgens artikel 4 sub 2 BBR, beteken die verwerking van persoonlike data enige handeling wat op persoonlike data uitgevoer word, hetsy outomaties. Voorbeelde hiervan is die versameling, optekening, organisering, strukturering, berging en gebruik van persoonlike data. Wanneer ondernemings bogenoemde aktiwiteite met betrekking tot e-posadresse uitvoer, verwerk hulle persoonlike inligting. In daardie geval is hulle onderhewig aan die BBPR.

Gevolgtrekking

Nie elke e-posadres word as persoonlike data beskou nie. E-posadresse word egter as persoonlike data beskou as dit identifiseerbare inligting oor 'n natuurlike persoon verskaf. Baie e-posadresse is so gestruktureer dat die natuurlike persoon wat die e-posadres gebruik, geïdentifiseer kan word. Dit is die geval wanneer die e-posadres die naam of werkplek van 'n natuurlike persoon bevat. Daarom sal baie e-posadresse as persoonlike data beskou word. Dit is moeilik vir maatskappye om 'n onderskeid te tref tussen e-posadresse wat beskou word as persoonlike data en e-posadresse wat nie is nie, aangesien dit geheel en al afhang van die struktuur van die e-posadres. Daarom is dit veilig om te sê dat maatskappye wat persoonlike data verwerk, e-posadresse sal teëkom wat as persoonlike data beskou word. Dit beteken dat hierdie ondernemings aan die BBP onderworpe is en 'n privaatheidsbeleid moet implementeer wat aan die BBP voldoen.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

Deel