כתובות דוא"ל והיקף ה- GDPR. תקנה כללית להגנת נתונים

ב- 25th בחודש מאי תיכנס לתוקף תקנת הגנת המידע הכללית (GDPR). עם התקנת ה- GDPR, ההגנה על נתונים אישיים הופכת חשובה יותר ויותר. חברות צריכות לקחת בחשבון כללים מחמירים יותר ביחס להגנה על נתונים. עם זאת, שאלות שונות מתעוררות כתוצאה מתשלום ה- GDPR. עבור חברות יתכן ולא ברור אילו נתונים נחשבים לנתונים אישיים והם נופלים תחת היקף ה- GDPR. זה המקרה של כתובות דוא"ל: האם כתובת דואר אלקטרוני נחשבת לנתונים אישיים? האם חברות המשתמשות בכתובות דוא"ל כפופות ל- GDPR? שאלות אלה יענו במאמר זה.

מידע אישי

על מנת לענות על השאלה אם כתובת דוא"ל נחשבת לנתונים אישיים או לא, יש להגדיר את המונח מידע אישי. מונח זה מוסבר ב- GDPR. בהתבסס על סעיף 4 בסעיף ה- GDPR, מידע אישי פירושו כל מידע הנוגע לאדם טבעי מזוהה או מזוהה. אדם טבעי הניתן לזיהוי הוא אדם שניתן לזהות אותו, באופן ישיר או עקיף, בפרט בהתייחס למזהה כמו שם, מספר זיהוי, נתוני מיקום או מזהה מקוון. נתונים אישיים מתייחסים לאנשים טבעיים. לפיכך, מידע הנוגע לאנשים שנפטרו או לגורמים משפטיים אינו נחשב לנתונים אישיים.

כתובות דוא"ל והיקף ה- GDPR

כתובת אימ"ל

כעת, לאחר קביעת הגדרת הנתונים האישיים, יש לבדוק אם כתובת דוא"ל נחשבת כנתונים אישיים. הפסיקה ההולנדית מציינת שכתובות דוא"ל עשויות להיות נתונים אישיים, אך זה לא תמיד המקרה. זה תלוי אם אדם טבעי מזוהה או מזוהה על סמך כתובת הדוא"ל. [1] יש לקחת בחשבון את האופן שבו אנשים בנו את כתובות הדוא"ל שלהם כדי לקבוע אם ניתן לראות בכתובת הדוא"ל נתונים אישיים או לא. הרבה אנשים טבעיים בונים את כתובת הדואר האלקטרוני שלהם באופן שיש לראות את הכתובת כנתונים אישיים. זה למשל המקרה כאשר כתובת דוא"ל בנויה בצורה הבאה: [מוגן בדוא"ל] כתובת דוא"ל זו חושפת את שם פרטי ושם משפחה של האדם הטבעי המשתמש בכתובת. לכן ניתן לזהות אדם זה על סמך כתובת דוא"ל זו. כתובות דוא"ל המשמשות לפעילות עסקית עשויות להכיל גם נתונים אישיים. זה המקרה כאשר כתובת דואר אלקטרוני בנויה באופן הבא: [מוגן בדוא"ל] מכתובת דוא"ל זו ניתן לגזור מה הם ראשי התיבות של האדם המשתמש בכתובת הדוא"ל, מה שם המשפחה שלו והיכן עובד האדם הזה. לכן, האדם המשתמש בכתובת דוא"ל זו ניתן לזיהוי על סמך כתובת הדוא"ל.

כתובת דוא"ל אינה נחשבת לנתונים אישיים כאשר לא ניתן לזהות ממנה אדם טבעי. זה המקרה כאשר למשל משתמשים בכתובת הדוא"ל הבאה: [מוגן בדוא"ל] כתובת דוא"ל זו אינה מכילה נתונים מהם ניתן לזהות אדם טבעי. כתובות דוא"ל כלליות המשמשות חברות, כמו למשל [מוגן בדוא"ל], גם אינם נחשבים לנתונים אישיים. כתובת דוא"ל זו אינה מכילה מידע אישי ממנו ניתן לזהות אדם טבעי. יתר על כן, כתובת הדוא"ל אינה משמשת אדם טבעי, אלא ישות משפטית. לכן, זה לא נחשב לנתונים אישיים. מהפסיקה ההולנדית ניתן להסיק שכתובות דוא"ל יכולות להיות נתונים אישיים, אך לא תמיד זה המצב; זה תלוי במבנה כתובת הדוא"ל.

יש סיכוי גדול שאפשר לזהות אנשים טבעיים באמצעות כתובת הדוא"ל שהם משתמשים בה, מה שהופך את כתובות הדוא"ל לנתונים אישיים. כדי לסווג כתובות דוא"ל כנתונים אישיים, לא משנה אם החברה אכן משתמשת בכתובות הדוא"ל כדי לזהות את המשתמשים. גם אם חברה לא משתמשת בכתובות הדוא"ל במטרה לזהות אנשים טבעיים, כתובות הדוא"ל מהן ניתן יהיה לזהות אנשים טבעיים עדיין נחשבות לנתונים אישיים. לא כל קשר טכני או מקרי בין אדם לנתונים מספיק בכדי למנות את הנתונים כנתונים אישיים. עם זאת, אם קיימת האפשרות שניתן להשתמש בכתובות הדואר האלקטרוני כדי לזהות את המשתמשים, למשל כדי לאתר מקרי הונאה, כתובות הדואר האלקטרוני נחשבות לנתונים אישיים. בכך לא משנה אם החברה התכוונה להשתמש בכתובות הדוא"ל למטרה זו. החוק מדבר על נתונים אישיים כאשר קיימת האפשרות שניתן להשתמש בנתונים למטרה שמזהה אדם טבעי. [2]

נתונים אישיים מיוחדים

בעוד כתובות דוא"ל נחשבות לנתונים אישיים רוב הזמן, הן אינן נתונים אישיים מיוחדים. נתונים אישיים מיוחדים הם נתונים אישיים החושפים ממוצא גזעי או אתני, דעות פוליטיות, אמונות דתיות או פילוסופיות או חברות מסחרית, ונתונים גנטיים או ביומטריים. זה נובע מסעיף 9 GDPR. כמו כן, כתובת דוא"ל מכילה פחות מידע ציבורי מאשר למשל כתובת בית. קשה יותר להכיר את כתובת הדוא"ל של מישהו מאשר את כתובת הבית שלו וזה תלוי בחלק גדול מהמשתמש בכתובת הדוא"ל אם כתובת הדואר האלקטרוני מתפרסמת או לא. יתרה מזאת, לגילוי כתובת דוא"ל שהייתה צריכה להיות מוסתרת, יש השלכות פחות חמורות מאשר לגילוי של כתובת בית שהייתה צריכה להישאר מוסתרת. קל יותר לשנות כתובת דוא"ל מאשר כתובת בית וגילוי כתובת דוא"ל יכול להוביל ליצירת קשר דיגיטלי, ואילו גילוי כתובת בית יכול להוביל ליצירת קשר אישי. [3]

עיבוד נתונים אישיים

קבענו שכתובות דוא"ל נחשבות לנתונים אישיים רוב הזמן. עם זאת, ה- GDPR חל רק על חברות המעבדות נתונים אישיים. עיבוד נתונים אישיים קיים מכל פעולה ביחס לנתונים אישיים. זה מוגדר עוד יותר ב- GDPR. על פי סעיף 4 תת-תק"ע 2, עיבוד נתונים אישיים פירושו כל פעולה המתבצעת על פי נתונים אישיים, בין אם באמצעים אוטומטיים ובין אם לא. דוגמאות לכך הן איסוף, הקלטה, ארגון, מבנה, אחסון ושימוש בנתונים אישיים. כאשר חברות מבצעות את הפעילויות האמורות לענין כתובות דוא"ל, הן מעבדות נתונים אישיים. במקרה זה, הם כפופים ל- GDPR.

סיכום

לא כל כתובת דוא"ל נחשבת לנתונים אישיים. עם זאת, כתובות דוא"ל נחשבות לנתונים אישיים כאשר הן מספקות מידע מזהה על אדם טבעי. הרבה כתובות דוא"ל מובנות באופן שניתן לזהות את האדם הטבעי המשתמש בכתובת הדוא"ל. זה המקרה כאשר כתובת הדוא"ל מכילה את שמו או מקום העבודה של אדם טבעי. לכן הרבה כתובות דוא"ל ייחשבו לנתונים אישיים. לחברות קשה להבחין בין כתובות דוא"ל הנחשבות לנתונים אישיים וכתובות דוא"ל שאינן, מכיוון שהדבר תלוי לחלוטין במבנה כתובת הדואר האלקטרוני. לכן, בטוח לומר שחברות שמעבדות נתונים אישיים יתקלו בכתובות דוא"ל הנחשבות לנתונים אישיים. המשמעות היא שחברות אלה כפופות ל- GDPR ועליהן ליישם מדיניות פרטיות התואמת את ה- GDPR.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] קאמרשטוקן II 1979/80, 25 892, 3 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

שתפו אותי
Law & More B.V.