Regulasie Algemene Data Protection
Op die 25th van Mei, sal die Algemene Regulering van Data-beskerming (GDPR) in werking tree. Met die afbetaling van die BBP word die beskerming van persoonlike data toenemend belangrik. Ondernemings moet meer en strenger reëls met betrekking tot databeskerming in ag neem. Verskeie vrae ontstaan egter as gevolg van die afbetaling van die GDPR. Vir maatskappye kan dit onduidelik wees watter data as persoonlike data beskou word en val onder die omvang van die BBP. Dit is die geval met e-posadresse: word 'n e-posadres as persoonlike data beskou? Is maatskappye wat e-posadresse gebruik onderworpe aan die BBP? Hierdie vrae word in hierdie artikel beantwoord.
Persoonlike data
Om die vraag te beantwoord of 'n e-posadres as persoonlike data beskou word, al dan nie, moet die term persoonlike data gedefinieer word. Hierdie term word in die BBP verduidelik. Op grond van artikel 4 onder 'n BBR, beteken persoonlike inligting enige inligting met betrekking tot 'n geïdentifiseerde of identifiseerbare natuurlike persoon. 'N Identifiseerbare natuurlike persoon is 'n persoon wat direk of indirek geïdentifiseer kan word, veral met verwysing na 'n identifiseerder soos 'n naam, 'n identifikasienommer, liggingsdata of 'n aanlyn identifiseerder. Persoonlike gegewens verwys na natuurlike persone. Daarom word inligting oor afgestorwe persone of regspersone nie as persoonlike data beskou nie.
E-posadres
Noudat die definisie van persoonlike data bepaal word, moet dit beoordeel word as 'n e-posadres as persoonlike data beskou word. Nederlandse regspraak dui aan dat e-posadresse moontlik persoonlike data kan wees, maar dat dit nie altyd die geval is nie. Dit hang af of 'n natuurlike persoon op grond van die e-posadres geïdentifiseer of identifiseerbaar is. [1] Die manier waarop persone hul e-posadresse gestruktureer het, moet in ag geneem word om te bepaal of die e-posadres as persoonlike data gesien kan word of nie. Baie natuurlike persone struktureer hul e-posadres op so 'n manier dat die adres as persoonlike data beskou moet word. Dit is byvoorbeeld die geval wanneer 'n e-posadres op die volgende manier gestruktureer is: voornaam. agternaam@gmail.com. Hierdie e-posadres openbaar die voor- en vannaam van die natuurlike persoon wat die adres gebruik. Daarom kan hierdie persoon op grond van hierdie e-posadres geïdentifiseer word. E-posadresse wat vir sakeaktiwiteite gebruik word, kan ook persoonlike data bevat. Dit is die geval wanneer 'n e-posadres op die volgende manier gestruktureer is: voorletters.naam@nameofcompany.com. Van hierdie e-posadres kan afgelei word wat die voorletters is van die persoon wat die e-posadres gebruik, wat sy van is en waar hierdie persoon werk. Die persoon wat hierdie e-posadres gebruik, is dus herkenbaar op grond van die e-posadres.
'N E-posadres word nie as persoonlike data beskou as daar geen natuurlike persoon daaruit geïdentifiseer kan word nie. Dit is die geval wanneer die volgende e-posadres byvoorbeeld gebruik word: puppy12@hotmail.com. Hierdie e-posadres bevat geen data waaruit 'n natuurlike persoon geïdentifiseer kan word nie. Algemene e-posadresse wat deur maatskappye gebruik word, soos info@nameofcompany.com, word ook nie as persoonlike data beskou nie. Hierdie e-posadres bevat geen persoonlike inligting waaruit 'n natuurlike persoon geïdentifiseer kan word nie. Boonop word die e-posadres nie deur 'n natuurlike persoon gebruik nie, maar deur 'n regspersoon. Daarom word dit nie as persoonlike data beskou nie. Uit die Nederlandse regspraak kan afgelei word dat e-posadresse persoonlike data kan wees, maar dit is nie altyd die geval nie; dit hang af van die struktuur van die e-posadres.
Die kans is groot dat natuurlike persone geïdentifiseer kan word deur die e-posadres wat hulle gebruik, wat e-posadresse tot persoonlike inligting maak. Om e-posadresse as persoonlike gegewens te klassifiseer, maak dit nie saak of die onderneming die e-posadresse gebruik om die gebruikers te identifiseer nie. Selfs as 'n onderneming nie die e-posadresse gebruik met die doel om natuurlike persone te identifiseer nie, word die e-posadresse waaruit natuurlike persone geïdentifiseer kan word, steeds as persoonlike data beskou. Nie elke tegniese of toevallige verband tussen 'n persoon en data is voldoende om die data as persoonlike data aan te stel nie. As die moontlikheid bestaan dat die e-posadresse gebruik kan word om die gebruikers te identifiseer, byvoorbeeld om bedroggevalle op te spoor, word die e-posadresse as persoonlike data beskou. Hierin maak dit nie saak of die onderneming van voorneme is om die e-posadresse vir hierdie doel te gebruik nie. Die wet praat van persoonlike inligting as die moontlikheid bestaan dat die inligting gebruik kan word vir 'n doel wat 'n natuurlike persoon identifiseer. [2]
Spesiale persoonlike inligting
Terwyl e-posadresse meestal as persoonlike data beskou word, is dit nie spesiale persoonlike data nie. Spesiale persoonlike gegewens is persoonlike inligting wat ras- of etniese oorsprong, politieke menings, godsdienstige of filosofiese oortuigings of handelslidmaatskap, en genetiese of biometriese gegewens openbaar. Dit spruit uit artikel 9 BBP. 'N E-posadres bevat ook minder openbare inligting as byvoorbeeld 'n huisadres. Dit is moeiliker om kennis van iemand se e-posadres te kry as sy huisadres en dit hang grootliks van die gebruiker van die e-posadres af of die e-posadres openbaar gemaak word of nie. Verder het die ontdekking van 'n e-posadres wat weggesteek moes gewees het minder ernstige gevolge gehad as die ontdekking van 'n huisadres wat verborge moes bly. Dit is makliker om 'n e-posadres te verander as 'n huisadres, en die ontdekking van 'n e-posadres kan lei tot digitale kontak, terwyl die ontdekking van 'n huisadres tot persoonlike kontak kan lei. [3]
Verwerking van persoonlike gegewens
Ons het vasgestel dat e-posadresse die meeste van die tyd as persoonlike inligting beskou word. Die GDPR is egter slegs van toepassing op maatskappye wat persoonlike data verwerk. Die verwerking van persoonlike data bestaan uit elke handeling met betrekking tot persoonlike data. Dit word verder in die BBP gedefinieer. Volgens artikel 4 sub 2 BBR, beteken die verwerking van persoonlike data enige handeling wat op persoonlike data uitgevoer word, hetsy outomaties. Voorbeelde hiervan is die versameling, optekening, organisering, strukturering, berging en gebruik van persoonlike data. Wanneer ondernemings bogenoemde aktiwiteite met betrekking tot e-posadresse uitvoer, verwerk hulle persoonlike inligting. In daardie geval is hulle onderhewig aan die BBPR.
Gevolgtrekking
Nie elke e-posadres word as persoonlike data beskou nie. E-posadresse word egter as persoonlike data beskou as dit identifiseerbare inligting oor 'n natuurlike persoon verskaf. Baie e-posadresse is so gestruktureer dat die natuurlike persoon wat die e-posadres gebruik, geïdentifiseer kan word. Dit is die geval wanneer die e-posadres die naam of werkplek van 'n natuurlike persoon bevat. Daarom sal baie e-posadresse as persoonlike data beskou word. Dit is moeilik vir maatskappye om 'n onderskeid te tref tussen e-posadresse wat beskou word as persoonlike data en e-posadresse wat nie is nie, aangesien dit geheel en al afhang van die struktuur van die e-posadres. Daarom is dit veilig om te sê dat maatskappye wat persoonlike data verwerk, e-posadresse sal teëkom wat as persoonlike data beskou word. Dit beteken dat hierdie ondernemings aan die BBP onderworpe is en 'n privaatheidsbeleid moet implementeer wat aan die BBP voldoen.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.