E-postadressen en de omfang fan 'e GDPR. Algemiene regeling foar beskerming fan gegevens

Op de 25th fan maaie sil de Algemiene regeling foar gegevensbeskerming (GDPR) yn wurking gean. Mei de ynstallaasje fan 'e GDPR wurdt beskerming fan persoanlike gegevens hieltyd wichtiger. Bedriuwen moatte rekken hâlde mei mear en strangere regels oangeande gegevensbeskerming. Ferskate fragen ûntsteane lykwols as gefolch fan 'e ynstallaasje fan' e GDPR. Foar bedriuwen kin it ûndúdlik wêze hokker gegevens wurde beskôge as persoanlike gegevens en falle ûnder it berik fan 'e GDPR. Dit is it gefal mei e-postadressen: wurdt in e-postadres beskôge as persoanlike gegevens? Binne bedriuwen dy't e-postadressen brûke ûnder foarbehâld fan de GDPR? Dizze fragen sille wurde beäntwurde yn dit artikel.

Persoanlike gegevens

Om de fraach te beantwurdzjen of in e-postadres wurdt beskôge as persoanlike gegevens, moat de term persoanlike gegevens wurde definieare. Dizze term wurdt ferklearre yn 'e GDPR. Op grûn fan artikel 4 sub a GDPR, persoanlike gegevens betsjutte alle ynformaasje oangeande in identifisearre of identifisearbere natuerlike persoan. In identifisearbere natuerlike persoan is in persoan dy't kin wurde identifisearre, direkt of yndirekt, benammen yn referinsje nei in identifier lykas in namme, in identifikaasjennûmer, lokaasjegegevens of in online identifier. Persoanlike gegevens ferwize nei natuerlike persoanen. Dêrom wurdt ynformaasje oangeande ferstoarne persoanen as juridyske entiteiten net beskôge as persoanlike gegevens.

E-postadressen en de omfang fan 'e GDPR

E-postadres

No't de definysje fan persoanlike gegevens wurdt bepaald, moat it beoardiele wurde as in e-postadres wurdt beskôge as persoanlike gegevens. Nederlânske rjochtspraak jout oan dat e-postadressen mooglik persoanlike gegevens kinne wêze, mar dat dit net altyd it gefal is. It hinget ôf of in natuerlike persoan wurdt identifisearre of identifisearje op basis fan it e-postadres. [1] De manier wêrop persoanen har e-postadressen hawwe struktureare, moat rekken holden wurde om te bepalen oft it e-postadres kin wurde sjoen as persoanlike gegevens of net. In protte natuerlike persoanen strukturearje har e-postadres op sa'n manier dat it adres moat wurde beskôge as persoanlike gegevens. Dit is bygelyks it gefal as in e-postadres op 'e folgjende manier wurdt strukturearre: [e-post beskerme] Dit e-postadres eksposearret de foar- en achternamme fan 'e natuerlike persoan dy't it adres brûkt. Dêrom kin dizze persoan wurde identifisearre op basis fan dit e-postadres. E-postadressen dy't wurde brûkt foar saaklike aktiviteiten koenen ek persoanlike gegevens befetsje. Dit is it gefal as in e-postadres op 'e folgjende manier wurdt strukturearre: [e-post beskerme] Fan dit e-postadres kin ôflaat wurde wat de initialen binne fan 'e persoan dy't it e-postadres brûkt, wat syn achternamme is en wêr't dizze persoan wurket. Dêrom is de persoan dy't dit e-postadres brûkt is identifisearber op basis fan it e-postadres.

In e-postadres wurdt net beskôge as persoanlike gegevens as der gjin natuerlike persoan fan identifisearre wurde kin. Dit is it gefal as bygelyks it folgjende e-postadres wurdt brûkt: [e-post beskerme] Dit e-postadres befettet gjin gegevens wêrfan in natuerlike persoan kin wurde identifisearre. Algemiene e-postadressen dy't wurde brûkt troch bedriuwen, lykas [e-post beskerme], wurde ek net beskôge as persoanlike gegevens. Dit e-postadres befettet gjin persoanlike ynformaasje wêrfan in natuerlike persoan kin wurde identifisearre. Boppedat wurdt it e-postadres net brûkt troch in natuerlike persoan, mar troch in juridyske entiteit. Dêrom wurdt it net beskôge as persoanlike gegevens. Fan 'e Nederlânske rjochtspraak kin konkludeare wurde dat e-postadressen persoanlike gegevens kinne wêze, mar dit is net altyd it gefal; it hinget fan de struktuer fan it e-postadres ôf.

D'r binne in grutte kâns dat natuerlike persoanen kinne wurde identifisearre troch it e-postadres dat se brûke, wat e-postadressen makket ta persoanlike gegevens. Om e-postadressen te klassifisearjen as persoanlike gegevens, makket it net út as it bedriuw de e-postadressen eins brûkt om de brûkers te identifisearjen. Sels as in bedriuw de e-postadressen net brûkt mei it doel om natuerlike persoanen te identifisearjen, wurde de e-postadressen fan wêr't natuerlike persoanen kinne wurde identifisearre, noch altyd beskôge as persoanlike gegevens. Net elke technyske as tafallige ferbining tusken in persoan en gegevens is genôch om de gegevens oan te wizen as persoanlike gegevens. Dochs, as de mooglikheid bestiet dat de e-postadressen kinne wurde brûkt om de brûkers te identifisearjen, bygelyks om gefallen fan fraude te detektearjen, wurde de e-postadressen beskôge as persoanlike gegevens. Dêryn makket it net út oft it bedriuw bedoeld is om de e-postadressen foar dit doel te brûken. De wet sprekt fan persoanlike gegevens as de mooglikheid bestiet dat de gegevens kinne wurde brûkt foar in doel dat in natuerlike persoan identifiseart. [2]

Spesjale persoanlike gegevens

Wylst e-postadressen it measte fan 'e tiid wurde beskôge as persoanlike gegevens, binne se gjin spesjale persoanlike gegevens. Spesjale persoanlike gegevens binne persoanlike gegevens dy't rasiale as etnyske oarsprong, politike mieningen, religieuze of filosofyske leauwen as lidmaatskip fan hannel iepenbiere, en genetyske as biometryske gegevens. Dit komt ôf fan artikel 9 GDPR. Ek befettet in e-postadres minder iepenbiere ynformaasje dan bygelyks in thúsadres. It is lestiger om kennis te krijen fan it e-postadres fan immen dan syn thúsadres en it hinget foar in grut diel ôf fan de brûker fan it e-postadres of it e-postadres iepenbier wurdt makke of net. Fierder hat ûntdekking fan in e-postadres dat ferburgen moatten bleaun, minder serieuze gefolgen hat as ûntdekking fan in hûsadres dat ferburgen moatten bleaun wêze soe. It is makliker om in e-postadres te feroarjen dan in hûsadres en ûntdekking fan in e-postadres kin liede ta digitaal kontakt, wylst ûntdekking fan in hûsadres kin liede ta persoanlik kontakt. [3]

Ferwurkjen fan persoanlike gegevens

Wy hawwe fêststeld dat e-postadressen it measte fan 'e tiid wurde beskôge as persoanlike gegevens. De GDPR jildt lykwols allinich foar bedriuwen dy't persoanlike gegevens ferwurkje. It ferwurkjen fan persoanlike gegevens bestiet út elke aksje oangeande persoanlike gegevens. Dit wurdt fierder definieare yn 'e GDPR. Neffens artikel 4 sub 2 GDPR, ferwurkjen fan persoanlike gegevens betsjuttet elke hanneling dy't wurdt útfierd op persoanlike gegevens, al dan net mei automatyske middels. Foarbylden binne samling, opname, organisearjen, strukturearjen, opslach en gebrûk fan persoanlike gegevens. As bedriuwen de neamde aktiviteiten útfiere oangeande e-postadressen, ferwurkje se persoanlike gegevens. Yn dat gefal binne se ûnderwurpen oan de GDPR.

Konklúzje

Net elk e-postadres wurdt beskôge as persoanlike gegevens. E-postadressen wurde lykwols beskôge as persoanlike gegevens as se identifisearbere ynformaasje leverje oer in natuerlike persoan. In protte e-postadressen binne struktureare op in manier wêrop de natuerlike persoan dy't it e-postadres brûkt kin wurde identifisearre. Dit is it gefal as it e-postadres de namme of wurkplak fan in natuerlike persoan befettet. Dêrom sille in soad e-postadressen wurde beskôge as persoanlike gegevens. It is lestich foar bedriuwen in ûnderskie te meitsjen tusken e-postadressen dy't wurde beskôge as persoanlike gegevens en e-postadressen dy't net binne, om't dit folslein ôfhinklik is fan 'e struktuer fan it e-postadres. Dêrom is it feilich te sizzen dat bedriuwen dy't persoanlike gegevens ferwurkje, sille komme oer e-postadressen dy't wurde beskôge as persoanlike gegevens. Dit betsjuttet dat dizze bedriuwen binne ûnderwurpen oan de GDPR en moatte in privacybelied útfiere dy't foldocht oan 'e GDPR.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

Diele
Law & More B.V.