E-postadresser och omfattning av GDPR. Allmän uppgiftsskyddsförordning

På 25th i maj kommer den allmänna dataskyddsförordningen (GDPR) att träda i kraft. Med installationen av GDPR blir skyddet av personuppgifter allt viktigare. Företag måste ta hänsyn till mer och striktare regler för dataskydd. Emellertid uppstår olika frågor till följd av avdraget av GDPR. För företag kan det vara oklart vilka uppgifter som anses vara personuppgifter och faller under ramen för GDPR. Detta är fallet med e-postadresser: anses en e-postadress vara personuppgifter? Är företag som använder e-postadresser omfattade av GDPR? Dessa frågor kommer att besvaras i den här artikeln.

Personuppgifter

För att besvara frågan om en e-postadress anses vara personuppgifter eller inte, måste termen personuppgifter definieras. Denna term förklaras i GDPR. Baserat på artikel 4 under a GDPR, betyder personuppgifter all information som rör en identifierad eller identifierbar fysisk person. En identifierbar fysisk person är en person som kan identifieras, direkt eller indirekt, särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, platsdata eller en online-identifierare. Personuppgifter avser fysiska personer. Därför anses information om avlidna personer eller juridiska personer inte vara personuppgifter.

E-postadresser och omfattning av GDPR

 

E-postadress

Nu när definitionen av personuppgifter bestäms måste den bedömas om en e-postadress anses vara personlig information. Holländsk rättspraxis indikerar att e-postadresser möjligen kan vara personuppgifter, men att detta inte alltid är fallet. Det beror på om en fysisk person identifieras eller identifieras baserat på e-postadressen. [1] Man måste ta hänsyn till hur personer har strukturerat sina e-postadresser för att avgöra om e-postadressen kan ses som personuppgifter eller inte. Många fysiska personer strukturerar sin e-postadress på ett sådant sätt att adressen måste betraktas som personuppgifter. Detta är till exempel fallet när en e-postadress är uppbyggd på följande sätt: förnamn.efternamn@gmail.com. Den här e-postadressen avslöjar för- och efternamnet på den fysiska person som använder adressen. Därför kan personen identifieras utifrån denna e-postadress. E-postadresser som används för affärsaktiviteter kan också innehålla personuppgifter. Detta är fallet när en e-postadress är uppbyggd på följande sätt: initials.efternamn@namnföretag.com. Från denna e-postadress kan härledas vad initialerna för den person som använder e-postadressen är, vad hans efternamn är och var den här personen arbetar. Därför är personen som använder den här e-postadressen identifierbar utifrån e-postadressen.

En e-postadress anses inte vara personlig information när ingen fysisk person kan identifieras från den. Detta är fallet när till exempel följande e-postadress används: puppy12@hotmail.com. Den här e-postadressen innehåller inga uppgifter som en fysisk person kan identifieras från. Allmänna e-postadresser som används av företag, som info@nameofcompany.com, anses inte heller vara personuppgifter. Den här e-postadressen innehåller ingen personlig information som en fysisk person kan identifieras från. Dessutom används e-postadressen inte av en fysisk person utan av en juridisk person. Därför anses det inte vara personuppgifter. Från nederländsk rättspraxis kan man dra slutsatsen att e-postadresser kan vara personuppgifter, men så är inte alltid fallet; det beror på e-postadressens struktur.

Det finns en stor chans att fysiska personer kan identifieras med den e-postadress de använder, vilket gör e-postadresser till personuppgifter. För att klassificera e-postadresser som personuppgifter, spelar det ingen roll om företaget faktiskt använder e-postadresserna för att identifiera användarna. Även om ett företag inte använder e-postadresserna i syfte att identifiera fysiska personer, betraktas fortfarande de e-postadresser som fysiska personer kan identifieras som personuppgifter. Inte alla tekniska eller sammanfallande förbindelser mellan en person och data är tillräckliga för att utse uppgifterna som personuppgifter. Men om det finns möjlighet att e-postadresserna kan användas för att identifiera användarna, till exempel för att upptäcka fall av bedrägeri, betraktas e-postadresserna som personuppgifter. I det här spelar det ingen roll om företaget avser att använda e-postadresserna för detta ändamål. Lagen talar om personuppgifter när det finns möjlighet att uppgifterna kan användas för ett syfte som identifierar en fysisk person. [2]

Särskilda personuppgifter

Medan e-postadresser anses vara personuppgifter för det mesta, är de inte speciella personuppgifter. Särskilda personuppgifter är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelser eller handelsmedlemskap och genetiska eller biometriska uppgifter. Detta härrör från artikel 9 GDPR. En e-postadress innehåller också mindre offentlig information än till exempel en hemadress. Det är svårare att få kunskap om någons e-postadress än hans hemadress och det beror till stor del på användaren av e-postadressen om e-postadressen offentliggörs eller inte. Dessutom har upptäckten av en e-postadress som borde ha varit dold, mindre allvarliga konsekvenser än upptäckten av en hemadress som borde ha varit dold. Det är lättare att ändra en e-postadress än en hemadress och upptäckten av en e-postadress kan leda till digital kontakt, medan upptäckten av en hemadress kan leda till personlig kontakt. [3]

Hantering av personuppgifter

Vi har konstaterat att e-postadresser anses vara personuppgifter för det mesta. GDPR gäller dock endast för företag som behandlar personuppgifter. Behandling av personuppgifter existerar av varje handling med avseende på personuppgifter. Detta definieras ytterligare i GDPR. Enligt artikel 4 sub 2 GDPR betyder behandling av personuppgifter varje operation som utförs på personuppgifter, oavsett om det sker automatiskt. Exempel är insamling, inspelning, organisering, strukturering, lagring och användning av personuppgifter. När företag utför ovannämnda aktiviteter med avseende på e-postadresser, behandlar de personuppgifter. I så fall är de föremål för GDPR.

Slutsats

Inte varje e-postadress anses vara personuppgifter. E-postadresser anses dock vara personuppgifter när de ger identifierbar information om en fysisk person. Många e-postadresser är strukturerade på ett sätt som den fysiska personen som använder e-postadressen kan identifieras. Detta är fallet när e-postadressen innehåller namnet eller arbetsplatsen för en fysisk person. Därför kommer många e-postadresser att betraktas som personuppgifter. Det är svårt för företag att skilja mellan e-postadresser som anses vara personuppgifter och e-postadresser som inte är det, eftersom det helt beror på e-postadressens struktur. Därför är det säkert att säga att företag som behandlar personuppgifter kommer över e-postadresser som anses vara personuppgifter. Detta innebär att dessa företag omfattas av GDPR och bör genomföra en integritetspolicy som överensstämmer med GDPR.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

Dela