一般数据保护条例
在25上th XNUMX月,通用数据保护条例(GDPR)将生效。 随着GDPR的安装,对个人数据的保护变得越来越重要。 公司必须在数据保护方面考虑更多和更严格的规则。 但是,由于GDPR的设置,出现了各种问题。 对于公司而言,可能不清楚哪些数据被视为个人数据,并且属于GDPR范围之内。 电子邮件地址就是这种情况:电子邮件地址是否被视为个人数据? 使用电子邮件地址的公司是否受GDPR约束? 这些问题将在本文中得到解答。
个人数据
为了回答是否将电子邮件地址视为个人数据的问题,需要定义术语“个人数据”。 该术语在GDPR中进行了解释。 根据GDPR第4条的规定,个人数据是指与已识别或可识别的自然人有关的任何信息。 可识别的自然人是指可以直接或间接识别的人,尤其是可以参考诸如姓名,识别号,位置数据或在线标识符之类的标识符。 个人数据是指自然人。 因此,有关死者或法人的信息不被视为个人数据。
邮箱
现在确定了个人数据的定义,如果将电子邮件地址视为个人数据,则需要对其进行评估。 荷兰判例法表明,电子邮件地址可能是个人数据,但并非总是如此。 这取决于是否根据电子邮件地址识别或识别了自然人。[1] 为了确定是否可以将电子邮件地址视为个人数据,必须考虑人们构造其电子邮件地址的方式。 许多自然人以必须将其视为个人数据的方式来构造其电子邮件地址。 例如,以以下方式构造电子邮件地址时就是这种情况:firstname.lastname@gmail.com。 该电子邮件地址公开了使用该地址的自然人的名字和姓氏。 因此,可以根据此电子邮件地址识别此人。 用于业务活动的电子邮件地址也可能包含个人数据。 当电子邮件地址以以下方式构造时就是这种情况:initials.lastname@nameofcompany.com。 从该电子邮件地址可以得出使用该电子邮件地址的人的姓名缩写,其姓氏是什么以及该人的工作地点。 因此,根据该电子邮件地址可以识别使用该电子邮件地址的人。
如果无法从中识别出自然人,则该电子邮件地址不被视为个人数据。 例如,使用以下电子邮件地址时就是这种情况:puppy12@hotmail.com。 该电子邮件地址不包含任何可以识别自然人的数据。 公司使用的一般电子邮件地址,例如info@nameofcompany.com,也不会被视为个人数据。 该电子邮件地址不包含任何可以识别自然人的个人信息。 此外,该电子邮件地址不是自然人使用的,而是法律实体使用的。 因此,它不被视为个人数据。 从荷兰判例法可以得出结论,电子邮件地址可以是个人数据,但情况并非总是如此。 这取决于电子邮件地址的结构。
自然人很有可能通过他们使用的电子邮件地址来识别,这使电子邮件地址成为个人数据。 为了将电子邮件地址分类为个人数据,公司是否实际使用电子邮件地址来识别用户并不重要。 即使公司不出于识别自然人的目的而使用电子邮件地址,仍可以从中识别自然人的电子邮件地址仍被视为个人数据。 为了将数据指定为个人数据,人与数据之间的每种技术或偶然联系都不足够。 但是,如果存在可以使用电子邮件地址来识别用户(例如,检测欺诈案件)的可能性,则将电子邮件地址视为个人数据。 在此,公司是否打算为此目的使用电子邮件地址都没有关系。 当有可能将数据用于识别自然人的目的时,法律将提及个人数据。[2]
特殊个人资料
尽管电子邮件地址在大多数情况下被视为个人数据,但它们不是特殊的个人数据。 特殊个人数据是指揭示种族或族裔血统,政治见解,宗教或哲学信仰或贸易会员资格的个人数据,以及遗传或生物统计数据。 这源自GDPR第9条。 同样,电子邮件地址包含的公共信息少于家庭地址。 要获得某人的电子邮件地址的知识要比其家庭地址困难得多,并且该电子邮件地址的公开与否在很大程度上取决于电子邮件地址的用户。 此外,发现应该隐藏的电子邮件地址的后果不如发现应该隐藏的家庭地址严重。 更改电子邮件地址要比家庭地址容易,发现电子邮件地址可能导致数字联系,而发现家庭地址可能导致个人联系。[3]
处理个人资料
我们已经确定,大多数情况下,电子邮件地址被视为个人数据。 但是,GDPR仅适用于处理个人数据的公司。 个人数据的处理涉及个人数据的每项操作。 GDPR中对此进行了进一步定义。 根据GDPR第4条第2款,对个人数据的处理是指对个人数据执行的任何操作,无论是否通过自动方式进行。 例如收集,记录,组织,组织,存储和使用个人数据。 当公司针对电子邮件地址执行上述活动时,他们正在处理个人数据。 在这种情况下,它们必须遵守GDPR。
结论
并非每个电子邮件地址都被视为个人数据。 但是,当电子邮件地址提供有关自然人的可识别信息时,它们被视为个人数据。 许多电子邮件地址的结构都可以识别使用该电子邮件地址的自然人。 当电子邮件地址包含自然人的姓名或工作地点时,就是这种情况。 因此,许多电子邮件地址将被视为个人数据。 对于公司来说,很难区分被认为是个人数据的电子邮件地址和不是个人数据的电子邮件地址,因为这完全取决于电子邮件地址的结构。 因此,可以肯定地说,处理个人数据的公司会遇到被认为是个人数据的电子邮件地址。 这意味着这些公司必须遵守GDPR,并应实施符合GDPR的隐私政策。
[1] ECLI:NL:GHAMS:2002:AE5514。
[2] 卡默斯图肯二世 1979/80,25,892(MvT)。
[3] ECLI:NL:GHAMS:2002:AE5514。