Allmän uppgiftsskyddsförordning
På 25th i maj kommer den allmänna dataskyddsförordningen (GDPR) att träda i kraft. Med installationen av GDPR blir skyddet av personuppgifter allt viktigare. Företag måste ta hänsyn till mer och striktare regler för dataskydd. Emellertid uppstår olika frågor till följd av avdraget av GDPR. För företag kan det vara oklart vilka uppgifter som anses vara personuppgifter och faller under ramen för GDPR. Detta är fallet med e-postadresser: anses en e-postadress vara personuppgifter? Är företag som använder e-postadresser omfattade av GDPR? Dessa frågor kommer att besvaras i den här artikeln.
Personuppgifter
För att besvara frågan om en e-postadress anses vara personuppgifter eller inte, måste termen personuppgifter definieras. Denna term förklaras i GDPR. Baserat på artikel 4 under a GDPR, betyder personuppgifter all information som rör en identifierad eller identifierbar fysisk person. En identifierbar fysisk person är en person som kan identifieras, direkt eller indirekt, särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, platsdata eller en online-identifierare. Personuppgifter avser fysiska personer. Därför anses information om avlidna personer eller juridiska personer inte vara personuppgifter.
E-postadress
Nu när definitionen av personuppgifter är fastställd måste det bedömas om en e-postadress anses vara personuppgifter. Holländsk rättspraxis indikerar att e-postadresser möjligen kan vara personuppgifter, men att så inte alltid är fallet. Det beror på om en fysisk person är identifierad eller identifierbar baserat på e-postadressen.[1] Hur personer har strukturerat sina e-postadresser måste beaktas för att avgöra om e-postadressen kan ses som personlig data eller inte. Många fysiska personer strukturerar sin e-postadress på ett sådant sätt att adressen måste betraktas som personuppgifter. Detta är till exempel fallet när en e-postadress är strukturerad på följande sätt: förnamn.efternamn@gmail.com. Denna e-postadress visar för- och efternamnet på den fysiska person som använder adressen. Därför kan denna person identifieras utifrån denna e-postadress. E-postadresser som används för affärsverksamhet kan också innehålla personuppgifter. Detta är fallet när en e-postadress är strukturerad på följande sätt: initials.eftername@nameofcompany.com. Från denna e-postadress kan man härleda vad initialerna för den person som använder e-postadressen är, vad dennes efternamn är och var denna person arbetar. Därför kan personen som använder den här e-postadressen identifieras utifrån e-postadressen.
En e-postadress anses inte vara personuppgifter när ingen fysisk person kan identifieras utifrån den. Detta är fallet när till exempel följande e-postadress används: puppy12@hotmail.com. Denna e-postadress innehåller inga uppgifter från vilka en fysisk person kan identifieras. Allmänna e-postadresser som används av företag, som info@nameofcompany.com, anses inte heller vara personuppgifter. Denna e-postadress innehåller ingen personlig information från vilken en fysisk person kan identifieras. Dessutom används e-postadressen inte av en fysisk person, utan av en juridisk person. Därför anses det inte vara personuppgifter. Av holländsk rättspraxis kan man dra slutsatsen att e-postadresser kan vara personuppgifter, men så är inte alltid fallet; det beror på e-postadressens struktur.
Det finns en stor chans att fysiska personer kan identifieras med den e-postadress de använder, vilket gör e-postadresser till personuppgifter. För att klassificera e-postadresser som personuppgifter, spelar det ingen roll om företaget faktiskt använder e-postadresserna för att identifiera användarna. Även om ett företag inte använder e-postadresserna i syfte att identifiera fysiska personer, betraktas fortfarande de e-postadresser som fysiska personer kan identifieras som personuppgifter. Inte alla tekniska eller sammanfallande förbindelser mellan en person och data är tillräckliga för att utse uppgifterna som personuppgifter. Men om det finns möjlighet att e-postadresserna kan användas för att identifiera användarna, till exempel för att upptäcka fall av bedrägeri, betraktas e-postadresserna som personuppgifter. I det här spelar det ingen roll om företaget avser att använda e-postadresserna för detta ändamål. Lagen talar om personuppgifter när det finns möjlighet att uppgifterna kan användas för ett syfte som identifierar en fysisk person. [2]
Särskilda personuppgifter
Medan e-postadresser anses vara personuppgifter för det mesta, är de inte speciella personuppgifter. Särskilda personuppgifter är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelser eller handelsmedlemskap och genetiska eller biometriska uppgifter. Detta härrör från artikel 9 GDPR. En e-postadress innehåller också mindre offentlig information än till exempel en hemadress. Det är svårare att få kunskap om någons e-postadress än hans hemadress och det beror till stor del på användaren av e-postadressen om e-postadressen offentliggörs eller inte. Dessutom har upptäckten av en e-postadress som borde ha varit dold, mindre allvarliga konsekvenser än upptäckten av en hemadress som borde ha varit dold. Det är lättare att ändra en e-postadress än en hemadress och upptäckten av en e-postadress kan leda till digital kontakt, medan upptäckten av en hemadress kan leda till personlig kontakt. [3]
Hantering av personuppgifter
Vi har konstaterat att e-postadresser anses vara personuppgifter för det mesta. GDPR gäller dock endast för företag som behandlar personuppgifter. Behandling av personuppgifter existerar av varje handling med avseende på personuppgifter. Detta definieras ytterligare i GDPR. Enligt artikel 4 sub 2 GDPR betyder behandling av personuppgifter varje operation som utförs på personuppgifter, oavsett om det sker automatiskt. Exempel är insamling, inspelning, organisering, strukturering, lagring och användning av personuppgifter. När företag utför ovannämnda aktiviteter med avseende på e-postadresser, behandlar de personuppgifter. I så fall är de föremål för GDPR.
Slutsats
Inte varje e-postadress anses vara personuppgifter. E-postadresser anses dock vara personuppgifter när de ger identifierbar information om en fysisk person. Många e-postadresser är strukturerade på ett sätt som den fysiska personen som använder e-postadressen kan identifieras. Detta är fallet när e-postadressen innehåller namnet eller arbetsplatsen för en fysisk person. Därför kommer många e-postadresser att betraktas som personuppgifter. Det är svårt för företag att skilja mellan e-postadresser som anses vara personuppgifter och e-postadresser som inte är det, eftersom det helt beror på e-postadressens struktur. Därför är det säkert att säga att företag som behandlar personuppgifter kommer över e-postadresser som anses vara personuppgifter. Detta innebär att dessa företag omfattas av GDPR och bör genomföra en integritetspolicy som överensstämmer med GDPR.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.