Netföng og umfang GDPR. Almenn reglugerð um gagnavernd

Á 25th maí, gildi almenn reglugerð um gagnavernd (GDPR). Með afborgun GDPR verður verndun persónuupplýsinga æ mikilvægari. Fyrirtæki verða að taka tillit til fleiri og strangari reglna varðandi gagnavernd. Hins vegar vakna ýmsar spurningar vegna afborgunar GDPR. Fyrir fyrirtæki getur verið óljóst hvaða gögn eru talin persónuleg gögn og falla undir gildissvið GDPR. Þetta er tilfellið með netföng: er tölvupóstfang talið persónuleg gögn? Eru fyrirtæki sem nota netföng háð GDPR? Þessum spurningum verður svarað í þessari grein.

Persónulegar upplýsingar

Til að svara spurningunni hvort netfang er talið vera persónuleg gögn þarf að skilgreina hugtakið persónuupplýsingar. Þetta hugtak er skýrt í GDPR. Byggt á 4. gr. Undir GDPR, persónuupplýsingar þýða allar upplýsingar sem varða auðkenndan eða auðkenna einstakling. Auðkenndur einstaklingur er einstaklingur sem hægt er að bera kennsl á, beint eða óbeint, sérstaklega með hliðsjón af auðkenni eins og nafni, kennitölu, staðsetningargögnum eða auðkenni á netinu. Persónuupplýsingar vísa til einstaklinga. Þess vegna eru upplýsingar um látna einstaklinga eða lögaðila ekki taldar vera persónuupplýsingar.

Netföng og umfang GDPR

 

Netfang

Nú þegar skilgreining persónuupplýsinga er ákvörðuð þarf að fullyrða um það ef netfang er talið persónuleg gögn. Hollensk dómaframkvæmd gefur til kynna að netföng gætu hugsanlega verið persónuleg gögn, en að þetta er ekki alltaf raunin. Það fer eftir því hvort einstaklingur er auðkenndur eða auðkenndur út frá netfanginu. [1] Taka verður tillit til þess hvernig einstaklingar hafa skipulagt netföngin sín til að ákvarða hvort hægt sé að líta á netfangið sem persónuleg gögn eða ekki. A einhver fjöldi af einstaklingum skipuleggur netfangið sitt á þann hátt að það verður að teljast persónuleg gögn. Þetta er til dæmis tilfellið þegar netfang er uppbyggt á eftirfarandi hátt: Fornafn.heiti@gmail.com. Þetta netfang birtir fyrsta og eftirnafn einstaklinga sem notar netfangið. Þess vegna er hægt að bera kennsl á þennan aðila út frá þessu netfangi. Netföng sem eru notuð við atvinnurekstur gætu einnig innihaldið persónuleg gögn. Þetta er tilfellið þegar tölvupóstfang er uppbyggt á eftirfarandi hátt: initials.lastname@nameofcompany.com. Af þessu netfangi má draga hver upphafsstafir þess sem notar netfangið eru, hvað eftirnafn hans er og hvar þessi einstaklingur vinnur. Þess vegna er hægt að bera kennsl á einstaklinginn sem notar þetta netfang út frá netfanginu.

Netfang er ekki talið vera persónuleg gögn þegar ekki er hægt að bera kennsl á einstaklinga út frá því. Þetta er tilfellið þegar td eftirfarandi netfang er notað: puppy12@hotmail.com. Þetta netfang inniheldur engin gögn sem hægt er að bera kennsl á einstaklinga frá. Almenn netföng sem eru notuð af fyrirtækjum, svo sem info@nameofcompany.com, eru heldur ekki talin persónuleg gögn. Þetta netfang hefur ekki að geyma neinar persónulegar upplýsingar sem hægt er að bera kennsl á einstakling. Ennfremur er netfangið ekki notað af einstaklingi, heldur af lögaðilum. Þess vegna eru það ekki talin persónuleg gögn. Af hollenskum dómaframkvæmdum má álykta að netföng geti verið persónuleg gögn, en það er ekki alltaf raunin; það fer eftir uppbyggingu netfangsins.

Miklar líkur eru á að hægt sé að bera kennsl á einstaklinga með netfanginu sem þeir nota, sem gerir netföng að persónulegum gögnum. Til þess að flokka netföng sem persónuleg gögn skiptir ekki máli hvort fyrirtækið notar í raun netföngin til að bera kennsl á notendur. Jafnvel þótt fyrirtæki noti ekki netföngin í þeim tilgangi að bera kennsl á einstaklinga eru tölvupóstföngin sem hægt er að bera kennsl á einstaklinga frá sem samt teljast persónuleg gögn. Ekki eru öll tæknileg eða tilviljanakennd tenging manns og gagna næg til þess að skipa gögnin sem persónuupplýsingar. Samt, ef möguleikinn er fyrir hendi að hægt sé að nota netföngin til að bera kennsl á notendur, til dæmis til að greina svik, eru netföngin talin persónuleg gögn. Í þessu skiptir ekki máli hvort fyrirtækið hafi ætlað að nota netföngin í þessu skyni. Lögin tala um persónuupplýsingar þegar sá möguleiki er fyrir hendi að hægt sé að nota gögnin í þeim tilgangi sem auðkennir einstakling. [2]

Sérstök persónuupplýsingar

Þótt netföng séu talin persónuleg gögn oftast eru þau ekki sérstök persónuleg gögn. Sérstök persónuupplýsingar eru persónuupplýsingar sem sýna kynþátta- eða þjóðernisuppruna, stjórnmálaskoðanir, trúarlegar eða heimspekilegar skoðanir eða viðskiptaaðild og erfða- eða líffræðileg tölfræði. Þetta kemur frá 9. gr. GDPR. Netfangið inniheldur einnig minni opinberar upplýsingar en til dæmis heimilisfang. Erfiðara er að fá vitneskju um netfang einhvers en heimilisfang hans og það ræðst að stórum hluta af notanda netfangsins hvort netfangið sé gert opinbert eða ekki. Ennfremur hefur uppgötvun tölvupóstfangs sem hefði átt að hafa verið falin haft minni alvarlegar afleiðingar en uppgötvun heimilisföngs sem hefði átt að vera falin. Auðveldara er að breyta netfangi en heimilisfang og uppgötvun tölvupóstfangs gæti leitt til stafrænna tengiliða en uppgötvun heimilisföngs gæti leitt til persónulegs sambands. [3]

Vinnsla persónuupplýsinga

Við höfum komist að því að netföng eru talin persónuleg gögn oftast. Hins vegar gildir GDPR aðeins um fyrirtæki sem eru að vinna úr persónulegum gögnum. Vinnsla persónuupplýsinga er til af öllum aðgerðum með tilliti til persónulegra gagna. Þetta er nánar skilgreint í GDPR. Samkvæmt 4. gr. Undirkafla 2, GDPR, þýðir vinnsla persónulegra gagna aðgerðir sem framkvæmdar eru á persónulegum gögnum, hvort sem er með sjálfvirkum hætti eða ekki. Dæmi eru söfnun, upptaka, skipulagning, uppbygging, geymsla og notkun persónuupplýsinga. Þegar fyrirtæki framkvæma áðurnefnda starfsemi varðandi netföng eru þau að vinna úr persónulegum gögnum. Í því tilfelli eru þau háð GDPR.

Niðurstaða

Ekki er hvert tölvupóstfang talið persónuleg gögn. Netföng eru þó talin persónuleg gögn þegar þau veita auðkenndar upplýsingar um einstakling. A einhver fjöldi af netföngum eru uppbyggðar á þann hátt að hægt er að bera kennsl á einstaklinginn sem notar netfangið. Þetta er tilfellið þegar netfangið inniheldur nafn eða vinnustað einstaklinga. Þess vegna verða mörg netföng talin persónuleg gögn. Erfitt er fyrir fyrirtæki að gera greinarmun á netföngum sem eru talin persónuleg gögn og netföng sem ekki eru, þar sem þetta fer algjörlega eftir uppbyggingu netfangsins. Þess vegna er óhætt að segja að fyrirtæki sem vinna úr persónulegum gögnum muni rekast á netföng sem eru talin persónuleg gögn. Þetta þýðir að þessi fyrirtæki falla undir GDPR og ættu að innleiða persónuverndarstefnu sem er í samræmi við GDPR.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

Deila