メールアドレスとGDPRの範囲。 一般的なデータ保護規則

25についてth XNUMX月に、一般データ保護規則(GDPR)が施行されます。 GDPRの導入に伴い、個人データの保護がますます重要になっています。 企業は、データ保護に関してより厳格なルールを考慮する必要があります。 ただし、GDPRの導入の結果として、さまざまな疑問が生じます。 企業の場合、どのデータが個人データと見なされ、GDPRの範囲に含まれるかが不明確になる可能性があります。 これは電子メールアドレスの場合です。電子メールアドレスは個人データと見なされますか? メールアドレスを使用する企業はGDPRの対象ですか? これらの質問は、この記事で回答されます。

個人データ

メールアドレスが個人データと見なされるかどうかの質問に答えるために、用語「個人データ」を定義する必要があります。 この用語はGDPRで説明されています。 GDPRの第4条に基づいて、個人データとは、識別された、または識別可能な自然人に関するあらゆる情報を意味します。 識別可能な自然人とは、特に名前、識別番号、場所データ、またはオンライン識別子などの識別子を参照して、直接的または間接的に識別できる人です。 個人データは自然人を指します。 したがって、故人または法人に関する情報は、個人データとは見なされません。

メールアドレスとGDPRの範囲

電子メールアドレス

個人データの定義が決定したので、電子メールアドレスが個人データと見なされるかどうかを判断する必要があります。 オランダの判例法は、電子メールアドレスが個人データである可能性があることを示していますが、これは常にそうであるとは限りません。 それは、自然人がメールアドレスに基づいて識別されるか、または識別可能であるかどうかによって異なります。[1] 個人が電子メールアドレスを構造化する方法は、電子メールアドレスが個人データとして表示されるかどうかを判断するために考慮に入れられる必要があります。 多くの自然人は、アドレスを個人データと見なさなければならないようにメールアドレスを構成しています。 これはたとえば、メールアドレスが次のように構成されている場合です。 [電子メールが保護された] この電子メールアドレスは、そのアドレスを使用する自然人の姓名を公開します。 したがって、このメールアドレスに基づいて、この人物を特定できます。 ビジネス活動に使用される電子メールアドレスには、個人データも含まれる可能性があります。 これは、電子メールアドレスが次のように構成されている場合です。 [電子メールが保護された] この電子メールアドレスから、その電子メールアドレスを使用している人のイニシャル、彼の姓、この人の勤務先を導き出すことができます。 したがって、この電子メールアドレスを使用している人は、電子メールアドレスに基づいて識別できます。

メールアドレスから自然人を特定できない場合、メールアドレスは個人データとは見なされません。 これは、たとえば次の電子メールアドレスが使用される場合です。 [電子メールが保護された] このメールアドレスには、自然人を特定できるデータは含まれていません。 企業が使用する一般的なメールアドレス。 [電子メールが保護された]、も個人データとは見なされません。 このメールアドレスには、自然人を特定できる個人情報は含まれていません。 さらに、電子メールアドレスは自然人ではなく、法人によって使用されます。 したがって、個人データとは見なされません。 オランダの判例から、電子メールアドレスは個人データである可能性があると結論付けることができますが、これは常にそうとは限りません。 メールアドレスの構造によって異なります。

自然人は、使用しているメールアドレスで識別できる可能性が高く、メールアドレスが個人データになります。 電子メールアドレスを個人データとして分類するために、会社が実際に電子メールアドレスを使用してユーザーを識別するかどうかは重要ではありません。 会社が自然人の識別を目的としてメールアドレスを使用していなくても、自然人を識別できるメールアドレスは依然として個人データと見なされます。 データを個人データとして指定するために、人とデータの間のすべての技術的または偶然の接続が十分であるとは限りません。 ただし、ユーザーを特定するため、たとえば詐欺のケースを検出するためにメールアドレスを使用できる可能性がある場合、メールアドレスは個人データと見なされます。 この場合、会社がこの目的でメールアドレスを使用することを意図していたかどうかは問題ではありません。 法律は、データが自然人を特定する目的で使用される可能性がある場合、個人データについて述べています。[2]

特別な個人データ

ほとんどの場合、電子メールアドレスは個人データと見なされますが、特別な個人データではありません。 特別な個人データとは、人種的または民族的起源、政治的見解、宗教的または哲学的信念または貿易のメンバーシップ、および遺伝的または生体認証データを明らかにする個人データです。 これは、GDPR第9条に由来しています。 また、メールアドレスに含まれる公開情報は、たとえば自宅のアドレスよりも少なくなります。 自宅のアドレスよりも誰かのメールアドレスを知ることは困難であり、メールアドレスが公開されているかどうかは、メールアドレスのユーザーに大きく依存します。 さらに、非表示のままにしておくべきメールアドレスを発見しても、非表示のままにしておくべき自宅アドレスを発見するよりも深刻な影響はありません。 自宅のアドレスよりもメールアドレスを変更する方が簡単です。メールアドレスの発見はデジタルコンタクトにつながり、自宅のアドレスの発見は個人的なコンタクトにつながる可能性があります。[3]

個人データの処理

ほとんどの場合、メールアドレスは個人データであると見なされます。 ただし、GDPRは個人データを処理している企業にのみ適用されます。 個人データの処理は、個人データに関するあらゆる行為に存在します。 これは、GDPRでさらに定義されています。 GDPR第4条2項によれば、個人データの処理とは、自動手段であるかどうかにかかわらず、個人データに対して実行されるすべての操作を意味します。 例としては、個人データの収集、記録、整理、構造化、保存、および使用があります。 企業が電子メールアドレスに関して上記のアクティビティを実行すると、個人データが処理されます。 その場合、それらはGDPRの対象となります。

結論

すべてのメールアドレスが個人データと見なされるわけではありません。 ただし、電子メールアドレスは、自然人に関する識別可能な情報を提供する場合、個人データと見なされます。 多くのメールアドレスは、メールアドレスを使用する自然人を識別できるように構成されています。 これは、メールアドレスに自然人の名前または職場が含まれている場合です。 したがって、多くのメールアドレスは個人データと見なされます。 メールアドレスの構造に完全に依存するため、企業が個人データと見なされるメールアドレスとそうでないメールアドレスを区別することは困難です。 したがって、個人データを処理する企業は、個人データと見なされる電子メールアドレスに出くわすことになります。 つまり、これらの企業はGDPRの対象であり、GDPRに準拠したプライバシーポリシーを実装する必要があります。

[1] ECLI:NL:GHAMS:2002:AE5514。

【2] カメルシュトゥッケンII 1979 / 80、25 892、3(MvT)。

[3] ECLI:NL:GHAMS:2002:AE5514。

シェアする