Gagnaverndarreglugerð (GDPR)
Á 25th maí, gildi almenn reglugerð um gagnavernd (GDPR). Með afborgun GDPR verður verndun persónuupplýsinga æ mikilvægari. Fyrirtæki verða að taka tillit til fleiri og strangari reglna varðandi gagnavernd. Hins vegar vakna ýmsar spurningar vegna afborgunar GDPR. Fyrir fyrirtæki getur verið óljóst hvaða gögn eru talin persónuleg gögn og falla undir gildissvið GDPR. Þetta er tilfellið með netföng: er tölvupóstfang talið persónuleg gögn? Eru fyrirtæki sem nota netföng háð GDPR? Þessum spurningum verður svarað í þessari grein.
Meðferð persónuupplýsinga
Til að svara spurningunni hvort netfang er talið vera persónuleg gögn þarf að skilgreina hugtakið persónuupplýsingar. Þetta hugtak er skýrt í GDPR. Byggt á 4. gr. Undir GDPR, persónuupplýsingar þýða allar upplýsingar sem varða auðkenndan eða auðkenna einstakling. Auðkenndur einstaklingur er einstaklingur sem hægt er að bera kennsl á, beint eða óbeint, sérstaklega með hliðsjón af auðkenni eins og nafni, kennitölu, staðsetningargögnum eða auðkenni á netinu. Persónuupplýsingar vísa til einstaklinga. Þess vegna eru upplýsingar um látna einstaklinga eða lögaðila ekki taldar vera persónuupplýsingar.
Netfang
Nú þegar skilgreining á persónuupplýsingum er ákveðin þarf að meta hvort netfang teljist vera persónuupplýsingar. Hollenskt mál lög gefur til kynna að netföng gætu hugsanlega verið persónuupplýsingar, en það er ekki alltaf raunin. Það fer eftir því hvort einstaklingur er auðkenndur eða auðkenndur út frá netfanginu.[1] Taka þarf tillit til þess hvernig einstaklingar hafa byggt upp netföng sín til að ákvarða hvort hægt sé að líta á netfangið sem persónuleg gögn eða ekki.
Margir einstaklingar skipuleggja netföng sín þannig að þau teljast persónuupplýsingar. Þetta á til dæmis við þegar netfang er skipulagt á eftirfarandi hátt: [netvarið]Þetta netfang sýnir fornafn og eftirnafn einstaklingsins sem notar netfangið.
Þess vegna er hægt að bera kennsl á þennan einstakling út frá þessu netfangi. Netföng sem notuð eru í viðskiptalegum tilgangi gætu einnig innihaldið persónuupplýsingar. Þetta á við þegar netfang er uppbyggt á eftirfarandi hátt: [netvarið]Út frá þessu netfangi má sjá upphafsstafi þess sem notar netfangið, eftirnafn hans og hvar viðkomandi vinnur. Þess vegna er hægt að bera kennsl á þann sem notar þetta netfang út frá netfanginu.
Netfang telst ekki vera persónuupplýsingar ef ekki er hægt að rekja neinn einstakling út frá því. Þetta á við þegar til dæmis eftirfarandi netfang er notað: [netvarið]Þetta netfang inniheldur engin gögn sem hægt er að nota til að bera kennsl á einstaklinga. Almenn netföng sem fyrirtæki nota, eins og [netvarið], teljast heldur ekki til persónuupplýsinga.
Þetta netfang inniheldur engar persónulegar upplýsingar sem hægt er að bera kennsl á einstakling úr. Þar að auki er netfangið ekki notað af einstaklingi heldur af lögaðila. Þess vegna telst það ekki vera persónuupplýsingar. Af hollenskri dómaframkvæmd má draga þá ályktun að netföng geti verið persónuleg gögn, en það er ekki alltaf raunin; það fer eftir uppbyggingu netfangsins.
Það eru miklar líkur á því að hægt sé að bera kennsl á einstaklinga með netfanginu sem þeir nota, sem gerir netföng að persónulegum gögnum. Til að flokka netföng sem persónuleg gögn skiptir ekki máli hvort fyrirtækið noti netföngin í raun til að bera kennsl á notendur. Jafnvel þó að fyrirtæki noti ekki netföngin í þeim tilgangi að auðkenna einstaklinga, teljast þau netföng sem hægt er að bera kennsl á einstaklinga frá sem persónuupplýsingar.
Ekki nægja öll tæknileg eða tilviljunarkennd tengsl milli einstaklings og gagna til að hægt sé að útnefna gögnin sem persónuupplýsingar. Samt, ef möguleiki er fyrir hendi að hægt sé að nota netföngin til að bera kennsl á notendur, til dæmis til að greina svik, teljast netföngin vera persónuleg gögn. Í þessu skiptir ekki máli hvort fyrirtækið ætlaði að nota netföngin í þessu skyni eða ekki. Í lögum er talað um persónuupplýsingar þegar möguleiki er á að hægt sé að nota gögnin í tilgangi sem auðkennir einstakling.[2]
Sérstök persónuupplýsingar
Þó að netföng séu talin vera persónuleg gögn oftast eru þau ekki sérstök persónuleg gögn. Sérstakar persónuupplýsingar eru persónuupplýsingar sem sýna kynþátta- eða þjóðernisuppruna, stjórnmálaskoðanir, trúarskoðanir eða heimspekilegar skoðanir eða viðskiptaaðild, og erfðafræðileg eða líffræðileg gögn. Þetta kemur frá grein 9 GDPR. Einnig inniheldur netfang minna opinberar upplýsingar en til dæmis a heim heimilisfang.
Erfiðara er að fá vitneskju um netfang einhvers en heimilisfang hans og það fer að miklu leyti eftir notanda netfangsins hvort netfangið er gert opinbert eða ekki. Ennfremur hefur uppgötvun netfangs sem hefði átt að vera falið minna alvarlegar afleiðingar en uppgötvun á heimilisfangi sem hefði átt að vera falið. Það er auðveldara að breyta netfangi en heimilisfang og uppgötvun netfangs gæti leitt til stafræns sambands, en uppgötvun heimilisfangs gæti leitt til persónulegra snertinga.[3]
Vinnsla persónuupplýsinga
Við höfum komist að því að netföng eru talin persónuleg gögn oftast. Hins vegar gildir GDPR aðeins um fyrirtæki sem eru að vinna úr persónulegum gögnum. Vinnsla persónuupplýsinga er til af öllum aðgerðum með tilliti til persónulegra gagna. Þetta er nánar skilgreint í GDPR. Samkvæmt 4. gr. Undirkafla 2, GDPR, þýðir vinnsla persónulegra gagna aðgerðir sem framkvæmdar eru á persónulegum gögnum, hvort sem er með sjálfvirkum hætti eða ekki. Dæmi eru söfnun, upptaka, skipulagning, uppbygging, geymsla og notkun persónuupplýsinga. Þegar fyrirtæki framkvæma áðurnefnda starfsemi varðandi netföng eru þau að vinna úr persónulegum gögnum. Í því tilfelli eru þau háð GDPR.
Niðurstaða
Ekki eru öll netföng talin vera persónuleg gögn. Hins vegar teljast netföng persónuupplýsingar þegar þau veita auðkennanlegar upplýsingar um einstakling. Mörg netföng eru þannig uppbyggð að hægt sé að bera kennsl á einstaklinginn sem notar netfangið. Þetta á við þegar netfangið inniheldur nafn eða vinnustað einstaklings. Þess vegna munu mörg netföng teljast persónuleg gögn.
Það er erfitt fyrir fyrirtæki að gera greinarmun á netföngum sem teljast vera persónuupplýsingar og netföngum sem eru það ekki, þar sem það fer algjörlega eftir uppbyggingu netfangsins. Því er óhætt að fullyrða að fyrirtæki sem vinna með persónuupplýsingar muni rekast á netföng sem teljast vera persónuupplýsingar. Þetta þýðir að þessi fyrirtæki eru háð GDPR og ættu að innleiða persónuverndarstefnu sem er samhæft með GDPR.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.