Địa chỉ email và phạm vi của GDPR. Quy định bảo vệ dữ liệu chung

Trên 25th của tháng XNUMX, Quy định bảo vệ dữ liệu chung (GDPR) sẽ có hiệu lực. Với việc cài đặt GDPR, việc bảo vệ dữ liệu cá nhân ngày càng trở nên quan trọng. Các công ty phải tính đến các quy tắc chặt chẽ và chặt chẽ hơn liên quan đến bảo vệ dữ liệu. Tuy nhiên, nhiều câu hỏi khác nhau xuất hiện do việc trả góp GDPR. Đối với các công ty, có thể không rõ dữ liệu nào được coi là dữ liệu cá nhân và nằm dưới phạm vi của GDPR. Đây là trường hợp với địa chỉ email: địa chỉ email có được coi là dữ liệu cá nhân không? Là các công ty sử dụng địa chỉ email tuân theo GDPR? Những câu hỏi này sẽ được trả lời trong bài viết này.

Dữ liệu cá nhân

Để trả lời câu hỏi liệu địa chỉ email có được coi là dữ liệu cá nhân hay không, thuật ngữ dữ liệu cá nhân cần được xác định. Thuật ngữ này được giải thích trong GDPR. Dựa trên điều 4 phụ GDPR, dữ liệu cá nhân có nghĩa là bất kỳ thông tin nào liên quan đến một thể nhân được xác định hoặc nhận dạng. Một người tự nhiên có thể nhận dạng là một người có thể được xác định, trực tiếp hoặc gián tiếp, cụ thể liên quan đến một định danh như tên, số nhận dạng, dữ liệu vị trí hoặc số nhận dạng trực tuyến. Dữ liệu cá nhân đề cập đến thể nhân. Do đó, thông tin liên quan đến người quá cố hoặc pháp nhân không được coi là dữ liệu cá nhân.

Địa chỉ email và phạm vi của GDPR

 

Địa chỉ email

Bây giờ định nghĩa về dữ liệu cá nhân đã được xác định, nó cần được đánh giá xem một địa chỉ email có được coi là dữ liệu cá nhân hay không. Án lệ của Hà Lan chỉ ra rằng địa chỉ email có thể là dữ liệu cá nhân, nhưng điều này không phải lúc nào cũng đúng. Nó phụ thuộc vào việc một thể nhân được xác định hoặc có thể nhận dạng được dựa trên địa chỉ email. [1] Cách mọi người cấu trúc địa chỉ email của họ phải được tính đến để xác định liệu địa chỉ email có thể được xem là dữ liệu cá nhân hay không. Rất nhiều thể nhân cấu trúc địa chỉ email của họ theo cách mà địa chỉ đó phải được coi là dữ liệu cá nhân. Đây là trường hợp ví dụ khi địa chỉ email được cấu trúc theo cách sau: firstname.lastname@gmail.com. Địa chỉ email này cho biết họ và tên của thể nhân sử dụng địa chỉ. Do đó, người này có thể được xác định dựa trên địa chỉ email này. Địa chỉ email được sử dụng cho các hoạt động kinh doanh cũng có thể chứa dữ liệu cá nhân. Đây là trường hợp khi một địa chỉ e-mail được cấu trúc theo cách sau: initialals.lastname@nameofcompany.com. Từ địa chỉ email này có thể rút ra được tên viết tắt của người sử dụng địa chỉ email là gì, họ của anh ta là gì và người này làm việc ở đâu. Do đó, người sử dụng địa chỉ email này có thể được xác định dựa trên địa chỉ email.

Địa chỉ email không được coi là dữ liệu cá nhân khi không thể xác định được thể nhân từ đó. Đây là trường hợp ví dụ khi sử dụng địa chỉ email sau: dog12@hotmail.com. Địa chỉ email này không chứa bất kỳ dữ liệu nào mà từ đó có thể xác định được một thể nhân. Địa chỉ email chung được các công ty sử dụng, như info@nameofcompany.com, cũng không được coi là dữ liệu cá nhân. Địa chỉ email này không chứa bất kỳ thông tin cá nhân nào mà từ đó một thể nhân có thể được xác định. Hơn nữa, địa chỉ email không được sử dụng bởi một thể nhân, mà bởi một pháp nhân. Do đó, nó không được coi là dữ liệu cá nhân. Từ án lệ Hà Lan có thể kết luận rằng địa chỉ email có thể là dữ liệu cá nhân, nhưng điều này không phải lúc nào cũng đúng; nó phụ thuộc vào cấu trúc của địa chỉ email.

Có một cơ hội tuyệt vời mà người tự nhiên có thể được xác định bằng địa chỉ email họ đang sử dụng, điều này làm cho địa chỉ email là dữ liệu cá nhân. Để phân loại địa chỉ email dưới dạng dữ liệu cá nhân, không có vấn đề gì nếu công ty thực sự sử dụng địa chỉ email để xác định người dùng. Ngay cả khi một công ty không sử dụng các địa chỉ email với mục đích nhận dạng thể nhân, các địa chỉ email mà từ đó thể nhân có thể được xác định vẫn được coi là dữ liệu cá nhân. Không phải mọi kết nối kỹ thuật hoặc trùng hợp giữa một người và dữ liệu đều đủ để chỉ định dữ liệu là dữ liệu cá nhân. Tuy nhiên, nếu có khả năng các địa chỉ email có thể được sử dụng để xác định người dùng, ví dụ để phát hiện các trường hợp lừa đảo, thì các địa chỉ email được coi là dữ liệu cá nhân. Trong trường hợp này, việc công ty có ý định sử dụng địa chỉ email cho mục đích này hay không không quan trọng. Luật nói về dữ liệu cá nhân khi có khả năng dữ liệu có thể được sử dụng cho mục đích xác định một thể nhân. [2]

Dữ liệu cá nhân đặc biệt

Mặc dù địa chỉ email được coi là dữ liệu cá nhân hầu hết thời gian, nhưng chúng không phải là dữ liệu cá nhân đặc biệt. Dữ liệu cá nhân đặc biệt là dữ liệu cá nhân tiết lộ nguồn gốc chủng tộc hoặc sắc tộc, ý kiến ​​chính trị, niềm tin tôn giáo hoặc triết học hoặc thành viên thương mại và dữ liệu di truyền hoặc sinh trắc học. Điều này xuất phát từ điều 9 GDPR. Ngoài ra, một địa chỉ email chứa ít thông tin công khai hơn là địa chỉ nhà. Khó có được kiến ​​thức về địa chỉ email của ai đó hơn địa chỉ nhà của anh ta và nó phụ thuộc phần lớn vào người sử dụng địa chỉ email cho dù địa chỉ email có được công khai hay không. Hơn nữa, việc phát hiện ra một địa chỉ email đáng lẽ phải được giấu kín, có những hậu quả ít nghiêm trọng hơn so với việc phát hiện ra một địa chỉ nhà đáng lẽ phải ở ẩn. Thay đổi địa chỉ email sẽ dễ dàng hơn địa chỉ nhà và việc phát hiện địa chỉ email có thể dẫn đến liên hệ kỹ thuật số, trong khi việc phát hiện địa chỉ nhà có thể dẫn đến liên hệ cá nhân. [3]

Xử lý dữ liệu cá nhân

Chúng tôi đã thiết lập rằng hầu hết các địa chỉ email được coi là dữ liệu cá nhân. Tuy nhiên, GDPR chỉ áp dụng cho các công ty đang xử lý dữ liệu cá nhân. Xử lý dữ liệu cá nhân tồn tại của mọi hành động liên quan đến dữ liệu cá nhân. Điều này được xác định rõ hơn trong GDPR. Theo điều 4 tiểu 2 GDPR, xử lý dữ liệu cá nhân có nghĩa là bất kỳ hoạt động nào được thực hiện trên dữ liệu cá nhân, cho dù có hay không bằng phương tiện tự động. Ví dụ là thu thập, ghi lại, tổ chức, cấu trúc, lưu trữ và sử dụng dữ liệu cá nhân. Khi các công ty thực hiện các hoạt động nói trên liên quan đến địa chỉ email, họ đang xử lý dữ liệu cá nhân. Trong trường hợp đó, họ phải chịu GDPR.

Kết luận

Không phải mọi địa chỉ email được coi là dữ liệu cá nhân. Tuy nhiên, địa chỉ email được coi là dữ liệu cá nhân khi họ cung cấp thông tin nhận dạng về một người tự nhiên. Rất nhiều địa chỉ email được cấu trúc theo cách mà người tự nhiên sử dụng địa chỉ email có thể được xác định. Đây là trường hợp khi địa chỉ email chứa tên hoặc nơi làm việc của một người tự nhiên. Do đó, rất nhiều địa chỉ email sẽ được coi là dữ liệu cá nhân. Các công ty rất khó phân biệt giữa các địa chỉ email được coi là dữ liệu cá nhân và địa chỉ email không có, vì điều này phụ thuộc hoàn toàn vào cấu trúc của địa chỉ email. Do đó, có thể an toàn khi nói rằng các công ty xử lý dữ liệu cá nhân, sẽ đi qua các địa chỉ email được coi là dữ liệu cá nhân. Điều này có nghĩa là các công ty này tuân theo GDPR và nên thực hiện chính sách quyền riêng tư tuân thủ GDPR.

[1] ECLI: NL: GHAM: 2002: AE5514.

[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).

[3] ECLI: NL: GHAM: 2002: AE5514.

Chia sẻ