כתובות דוא"ל והיקף ה- GDPR. תקנה כללית להגנת נתונים

ב- 25th בחודש מאי תיכנס לתוקף תקנת הגנת המידע הכללית (GDPR). עם התקנת ה- GDPR, ההגנה על נתונים אישיים הופכת חשובה יותר ויותר. חברות צריכות לקחת בחשבון כללים מחמירים יותר ביחס להגנה על נתונים. עם זאת, שאלות שונות מתעוררות כתוצאה מתשלום ה- GDPR. עבור חברות יתכן ולא ברור אילו נתונים נחשבים לנתונים אישיים והם נופלים תחת היקף ה- GDPR. זה המקרה של כתובות דוא"ל: האם כתובת דואר אלקטרוני נחשבת לנתונים אישיים? האם חברות המשתמשות בכתובות דוא"ל כפופות ל- GDPR? שאלות אלה יענו במאמר זה.

מידע אישי

על מנת לענות על השאלה אם כתובת דוא"ל נחשבת לנתונים אישיים או לא, יש להגדיר את המונח מידע אישי. מונח זה מוסבר ב- GDPR. בהתבסס על סעיף 4 בסעיף ה- GDPR, מידע אישי פירושו כל מידע הנוגע לאדם טבעי מזוהה או מזוהה. אדם טבעי הניתן לזיהוי הוא אדם שניתן לזהות אותו, באופן ישיר או עקיף, בפרט בהתייחס למזהה כמו שם, מספר זיהוי, נתוני מיקום או מזהה מקוון. נתונים אישיים מתייחסים לאנשים טבעיים. לפיכך, מידע הנוגע לאנשים שנפטרו או לגורמים משפטיים אינו נחשב לנתונים אישיים.

כתובות דוא"ל והיקף ה- GDPR

 

כתובת אימ"ל

כעת, לאחר שקובעת ההגדרה של נתונים אישיים, יש להעריך אותה אם כתובת דוא"ל נחשבת לנתונים אישיים. מהפסיקה ההולנדית עולה כי כתובות דוא"ל יכולות להיות מידע אישי, אך לא תמיד זה המצב. תלוי אם אדם טבעי מזוהה או ניתן לזיהוי בהתבסס על כתובת הדוא"ל. [1] יש לקחת בחשבון את הדרך בה אנשים בנה את כתובות הדואר האלקטרוני שלהם כדי לקבוע אם ניתן לראות בכתובת הדוא"ל נתונים אישיים או לא. הרבה אנשים טבעיים מבנים את כתובת הדואר האלקטרוני שלהם באופן שיש להתחשב בנתונים אישיים. זה לדוגמא המקרה כאשר כתובת דוא"ל מובנית באופן הבא: firstname.lastname@gmail.com. כתובת דוא"ל זו חושפת את שמו הפרטי ושם המשפחה של האדם הטבעי המשתמש בכתובת. לכן ניתן לזהות אדם זה על סמך כתובת דוא"ל זו. כתובות דוא"ל המשמשות לפעילות עסקית עשויות להכיל גם מידע אישי. זה המקרה כאשר כתובת דואר אלקטרוני מובנית באופן הבא: initials.lastname@nameofcompany.com. מכתובת דוא"ל זו ניתן לגזור מהם ראשי התיבות של האדם המשתמש בכתובת הדואר האלקטרוני, מה שם משפחתו והיכן עובד אדם זה. לפיכך, האדם המשתמש בכתובת דוא"ל זו ניתן לזיהוי על סמך כתובת הדוא"ל.

כתובת דוא"ל לא נחשבת כנתונים אישיים כאשר לא ניתן לזהות ממנה אדם טבעי. זה המקרה כאשר לדוגמא משתמשים בכתובת הדוא"ל הבאה: puppy12@hotmail.com. כתובת דוא"ל זו אינה מכילה נתונים מהם ניתן לזהות אדם טבעי. כתובות דוא"ל כלליות המשמשות חברות, כמו info@nameofcompany.com, אינן נחשבות לנתונים אישיים. כתובת דוא"ל זו אינה מכילה מידע אישי ממנו ניתן לזהות אדם טבעי. יתר על כן, כתובת הדוא"ל אינה משמשת אדם טבעי, אלא על ידי גורם משפטי. לכן זה לא נחשב לנתונים אישיים. מהפסיקה ההולנדית ניתן להסיק שכתובות דוא"ל יכולות להיות נתונים אישיים, אך זה לא תמיד המקרה; זה תלוי במבנה כתובת הדוא"ל.

יש סיכוי גדול שאפשר לזהות אנשים טבעיים באמצעות כתובת הדוא"ל שהם משתמשים בה, מה שהופך את כתובות הדוא"ל לנתונים אישיים. כדי לסווג כתובות דוא"ל כנתונים אישיים, לא משנה אם החברה אכן משתמשת בכתובות הדוא"ל כדי לזהות את המשתמשים. גם אם חברה לא משתמשת בכתובות הדוא"ל במטרה לזהות אנשים טבעיים, כתובות הדוא"ל מהן ניתן יהיה לזהות אנשים טבעיים עדיין נחשבות לנתונים אישיים. לא כל קשר טכני או מקרי בין אדם לנתונים מספיק בכדי למנות את הנתונים כנתונים אישיים. עם זאת, אם קיימת האפשרות שניתן להשתמש בכתובות הדואר האלקטרוני כדי לזהות את המשתמשים, למשל כדי לאתר מקרי הונאה, כתובות הדואר האלקטרוני נחשבות לנתונים אישיים. בכך לא משנה אם החברה התכוונה להשתמש בכתובות הדוא"ל למטרה זו. החוק מדבר על נתונים אישיים כאשר קיימת האפשרות שניתן להשתמש בנתונים למטרה שמזהה אדם טבעי. [2]

נתונים אישיים מיוחדים

בעוד כתובות דוא"ל נחשבות לנתונים אישיים רוב הזמן, הן אינן נתונים אישיים מיוחדים. נתונים אישיים מיוחדים הם נתונים אישיים החושפים ממוצא גזעי או אתני, דעות פוליטיות, אמונות דתיות או פילוסופיות או חברות מסחרית, ונתונים גנטיים או ביומטריים. זה נובע מסעיף 9 GDPR. כמו כן, כתובת דוא"ל מכילה פחות מידע ציבורי מאשר למשל כתובת בית. קשה יותר להכיר את כתובת הדוא"ל של מישהו מאשר את כתובת הבית שלו וזה תלוי בחלק גדול מהמשתמש בכתובת הדוא"ל אם כתובת הדואר האלקטרוני מתפרסמת או לא. יתרה מזאת, לגילוי כתובת דוא"ל שהייתה צריכה להיות מוסתרת, יש השלכות פחות חמורות מאשר לגילוי של כתובת בית שהייתה צריכה להישאר מוסתרת. קל יותר לשנות כתובת דוא"ל מאשר כתובת בית וגילוי כתובת דוא"ל יכול להוביל ליצירת קשר דיגיטלי, ואילו גילוי כתובת בית יכול להוביל ליצירת קשר אישי. [3]

עיבוד נתונים אישיים

קבענו שכתובות דוא"ל נחשבות לנתונים אישיים רוב הזמן. עם זאת, ה- GDPR חל רק על חברות המעבדות נתונים אישיים. עיבוד נתונים אישיים קיים מכל פעולה ביחס לנתונים אישיים. זה מוגדר עוד יותר ב- GDPR. על פי סעיף 4 תת-תק"ע 2, עיבוד נתונים אישיים פירושו כל פעולה המתבצעת על פי נתונים אישיים, בין אם באמצעים אוטומטיים ובין אם לא. דוגמאות לכך הן איסוף, הקלטה, ארגון, מבנה, אחסון ושימוש בנתונים אישיים. כאשר חברות מבצעות את הפעילויות האמורות לענין כתובות דוא"ל, הן מעבדות נתונים אישיים. במקרה זה, הם כפופים ל- GDPR.

סיכום

לא כל כתובת דוא"ל נחשבת לנתונים אישיים. עם זאת, כתובות דוא"ל נחשבות לנתונים אישיים כאשר הן מספקות מידע מזהה על אדם טבעי. הרבה כתובות דוא"ל מובנות באופן שניתן לזהות את האדם הטבעי המשתמש בכתובת הדוא"ל. זה המקרה כאשר כתובת הדוא"ל מכילה את שמו או מקום העבודה של אדם טבעי. לכן הרבה כתובות דוא"ל ייחשבו לנתונים אישיים. לחברות קשה להבחין בין כתובות דוא"ל הנחשבות לנתונים אישיים וכתובות דוא"ל שאינן, מכיוון שהדבר תלוי לחלוטין במבנה כתובת הדואר האלקטרוני. לכן, בטוח לומר שחברות שמעבדות נתונים אישיים יתקלו בכתובות דוא"ל הנחשבות לנתונים אישיים. המשמעות היא שחברות אלה כפופות ל- GDPR ועליהן ליישם מדיניות פרטיות התואמת את ה- GDPR.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] קאמרשטוקן II 1979/80, 25 892, 3 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

שתפו אותי