Pangkalahatang Data Protection Regulation
Sa 25th ng Mayo, ang Pangkalahatang Data Protection Regulation (GDPR) ay magkakabisa. Sa pag-install ng GDPR, ang pangangalaga ng personal na data ay nagiging mas mahalaga. Kailangang isaalang-alang ng mga kumpanya ang higit pa at mas mahigpit na mga patakaran tungkol sa proteksyon ng data. Gayunpaman, ang iba't ibang mga katanungan ay lumitaw bilang isang resulta ng pag-install ng GDPR. Para sa mga kumpanya, maaaring hindi malinaw kung aling mga data ang itinuturing na personal na data at nahuhulog sa ilalim ng saklaw ng GDPR. Ito ang kaso sa mga email address: ang isang e-mail address na itinuturing na personal na data? Ang mga kumpanya ba na gumagamit ng mga email address ay napapailalim sa GDPR? Sasagutin ang mga katanungang ito sa artikulong ito.
Personal na data
Upang masagot ang tanong kung ang isang email address ay itinuturing na personal na data, ang tinukoy na term na personal na data ay kailangang tukuyin. Ang term na ito ay ipinaliwanag sa GDPR. Batay sa artikulo 4 sub ng GDPR, ang personal na data ay nangangahulugang anumang impormasyon na may kaugnayan sa isang kinikilala o makikilala na likas na tao. Ang isang makikilala na likas na tao ay isang tao na maaaring makilala, nang direkta o hindi tuwiran, partikular sa sanggunian sa isang nagpapakilala tulad ng isang pangalan, isang numero ng pagkakakilanlan, data ng lokasyon o isang online na nagpapakilala. Ang personal na data ay tumutukoy sa mga likas na tao. Samakatuwid, ang impormasyon tungkol sa mga namatay na tao o ligal na nilalang ay hindi itinuturing na personal na data.
email address
Ngayon na natutukoy ang kahulugan ng personal na data, kailangan itong masiguro kung ang isang email address ay itinuturing na personal na data. Ipinapahiwatig ng batas sa kaso ng Dutch na ang mga email address ay maaaring personal na data, ngunit hindi ito palaging ganito. Ito ay nakasalalay kung ang isang natural na tao ay makilala o makikilala batay sa email address. [1] Ang paraan ng pag-istraktura ng mga tao ng kanilang mga email address ay dapat isaalang-alang upang matukoy kung ang email address ay maaaring makita bilang personal na data o hindi. Maraming mga likas na tao ang nagtatakda ng kanilang email address sa isang paraan na ang address ay dapat isaalang-alang na personal na data. Halimbawa ito ng kaso kapag ang isang email address ay nakabalangkas sa sumusunod na paraan: firstname.lastname@gmail.com. Inilantad ng email address na ito ang una at huling pangalan ng natural na tao na gumagamit ng address. Samakatuwid, ang taong ito ay maaaring makilala batay sa email address na ito. Ang mga email address na ginagamit para sa mga aktibidad ng negosyo ay maaari ring maglaman ng personal na data. Ito ang kaso kapag ang isang e-mail address ay nakabalangkas sa sumusunod na paraan: initials.lastname@nameofcompany.com. Mula sa email address na ito ay maaaring makuha kung ano ang mga inisyal ng taong gumagamit ng email address, kung ano ang kanyang apelyido at kung saan gumagana ang taong ito. Samakatuwid, ang taong gumagamit ng email address na ito ay makikilala batay sa email address.
Ang isang email address ay hindi itinuturing na personal na data kapag walang natural na tao ang makikilala mula rito. Ito ang kaso kung halimbawa ang ginamit na sumusunod na email address ay ginamit: puppy12@hotmail.com. Ang email address na ito ay hindi naglalaman ng anumang data kung saan maaaring makilala ang isang natural na tao. Ang mga pangkalahatang email address na ginagamit ng mga kumpanya, tulad ng info@nameofcompany.com, ay hindi rin itinuturing na personal na data. Ang email address na ito ay hindi naglalaman ng anumang personal na impormasyon na kung saan maaaring makilala ang isang natural na tao. Bukod dito, ang email address ay hindi ginagamit ng isang natural na tao, ngunit ng isang ligal na nilalang. Samakatuwid, hindi ito itinuturing na personal na data. Mula sa batas sa kaso ng Dutch ay maaaring mapagpasyahan na ang mga email address ay maaaring personal na data, ngunit hindi ito palaging ang kaso; depende ito sa istraktura ng email address.
Mayroong isang mahusay na pagkakataon na ang mga likas na tao ay maaaring makilala sa pamamagitan ng email address na kanilang ginagamit, na gumagawa ng mga personal na data sa mga email. Upang mailagay ang mga email address sa klase bilang personal na data, hindi mahalaga kung ang kumpanya ay aktwal na gumagamit ng mga email address upang makilala ang mga gumagamit. Kahit na ang isang kumpanya ay hindi gumagamit ng mga email address na may layunin ng pagkilala ng mga likas na tao, ang mga email address na kung saan maaaring makilala ang mga likas na tao ay isinasaalang-alang pa ring personal na data. Hindi lahat ng teknikal o magkakaugnay na koneksyon sa pagitan ng isang tao at data ay sapat upang mahirang ang data bilang personal na data. Gayunpaman, kung mayroong posibilidad na magamit ang mga email address upang makilala ang mga gumagamit, halimbawa upang makita ang mga kaso ng pandaraya, ang mga email address ay itinuturing na personal na data. Sa bagay na ito, hindi mahalaga kung inilaan ng kumpanya o hindi ang mga email address para sa hangaring ito. Ang batas ay nagsasalita ng personal na data kapag umiiral ang posibilidad na ang data ay maaaring magamit para sa isang layunin na nagpapakilala sa isang likas na tao. [2]
Espesyal na personal na data
Habang ang mga email address ay itinuturing na personal na data sa halos lahat ng oras, hindi sila espesyal na personal na data. Ang mga espesyal na personal na data ay personal na data na nagbubunyag ng lahi o etniko na pinagmulan, opinyon sa politika, paniniwala sa relihiyon o pilosopiko o pagiging kasapi ng kalakalan, at data ng genetic o biometric. Ito ay nagmula sa artikulong 9 GDPR. Gayundin, ang isang email address ay naglalaman ng mas kaunting impormasyon sa publiko kaysa sa halimbawa ng isang address sa bahay. Mas mahirap makakuha ng kaalaman sa isang email address ng isang tao kaysa sa kanyang tirahan at ito ay nakasalalay para sa isang malaking bahagi sa gumagamit ng email address kung isasapubliko o hindi ang email address. Bukod dito, ang pagtuklas ng isang email address na dapat na manatiling nakatago, ay hindi gaanong malubhang kahihinatnan kaysa sa pagtuklas ng isang address sa bahay na dapat na manatiling nakatago. Mas madaling baguhin ang isang email address kaysa sa isang address sa bahay at pagtuklas ng isang email address ay maaaring humantong sa digital contact, habang ang pagtuklas ng isang home address ay maaaring humantong sa personal na pakikipag-ugnay. [3]
Pagproseso ng personal na data
Itinatag namin na ang mga email address ay itinuturing na personal na data sa karamihan ng oras. Gayunpaman, ang GDPR ay nalalapat lamang sa mga kumpanya na nagpoproseso ng personal na data. Ang pagproseso ng personal na data ay umiiral ng bawat aksyon na may kinalaman sa personal na data. Ito ay karagdagang tinukoy sa GDPR. Ayon sa artikulo 4 sub 2 GDPR, ang pagproseso ng personal na data ay nangangahulugang anumang operasyon na isinasagawa sa personal na data, maging o hindi sa awtomatikong paraan. Ang mga halimbawa ay koleksyon, pagtatala, pag-aayos, pag-aayos, pag-iimbak at paggamit ng personal na data. Kapag isinasagawa ng mga kumpanya ang nabanggit na mga aktibidad na may kinalaman sa mga email address, pinoproseso nila ang personal na data. Sa kasong iyon, sila ay napapailalim sa GDPR.
Konklusyon
Hindi lahat ng email address ay itinuturing na personal na data. Gayunpaman, ang mga email address ay itinuturing na personal na data kapag nagbibigay sila ng makikilalang impormasyon tungkol sa isang likas na tao. Ang isang pulutong ng mga email address ay nakaayos sa isang paraan na maaaring makilala ang natural na tao na gumagamit ng email address. Ito ang kaso kung ang email address ay naglalaman ng pangalan o lugar ng trabaho ng isang natural na tao. Samakatuwid, ang maraming mga email address ay isasaalang-alang sa personal na data. Mahirap para sa mga kumpanya na gumawa ng pagkakaiba sa pagitan ng mga email address na itinuturing na personal na data at mga email address na hindi, dahil ito ay nakasalalay nang buo sa istraktura ng email address. Samakatuwid, ligtas na sabihin na ang mga kumpanya na nagpoproseso ng personal na data, ay makakarating sa mga email address na itinuturing na personal na data. Nangangahulugan ito na ang mga kumpanyang ito ay sumasailalim sa GDPR at dapat na ipatupad ang isang patakaran sa privacy na sumusunod sa GDPR.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.