一般データ保護規制(GDPR)
25についてth XNUMX月に、一般データ保護規則(GDPR)が施行されます。 GDPRの導入に伴い、個人データの保護がますます重要になっています。 企業は、データ保護に関してより厳格なルールを考慮する必要があります。 ただし、GDPRの導入の結果として、さまざまな疑問が生じます。 企業の場合、どのデータが個人データと見なされ、GDPRの範囲に含まれるかが不明確になる可能性があります。 これは電子メールアドレスの場合です。電子メールアドレスは個人データと見なされますか? メールアドレスを使用する企業はGDPRの対象ですか? これらの質問は、この記事で回答されます。
個人データ
メールアドレスが個人データと見なされるかどうかの質問に答えるために、用語「個人データ」を定義する必要があります。 この用語はGDPRで説明されています。 GDPRの第4条に基づいて、個人データとは、識別された、または識別可能な自然人に関するあらゆる情報を意味します。 識別可能な自然人とは、特に名前、識別番号、場所データ、またはオンライン識別子などの識別子を参照して、直接的または間接的に識別できる人です。 個人データは自然人を指します。 したがって、故人または法人に関する情報は、個人データとは見なされません。
メールアドレス
個人データの定義が決定されたので、電子メールアドレスが個人データと見なされるかどうかを評価する必要があります。オランダのケース 法律 電子メールアドレスは個人データである可能性があるが、常にそうであるとは限らないことを示しています。電子メールアドレスに基づいて自然人が識別されるか、識別可能であるかどうかによって異なります。[1] 電子メールアドレスが個人データであるかどうかを判断するには、個人が電子メールアドレスを構成する方法を考慮する必要があります。
多くの自然人は、メールアドレスを個人データとみなされるような方法で構成しています。例えば、メールアドレスが以下のように構成されている場合がこれに該当します。 [メール保護]このメール アドレスは、そのアドレスを使用する自然人の氏名を公開します。
したがって、このメールアドレスに基づいて個人を特定できます。ビジネス活動に使用されるメールアドレスにも個人データが含まれる可能性があります。これは、メールアドレスが次のような構造になっている場合に当てはまります。 [メール保護]このメールアドレスから、そのメールアドレスを使用している人物のイニシャル、姓、勤務先を推測することができます。したがって、このメールアドレスを使用している人物は、メールアドレスに基づいて特定可能です。
メールアドレスは、そこから個人を特定できない場合、個人データとはみなされません。例えば、以下のメールアドレスがこれに該当します。 [メール保護]このメールアドレスには、個人を特定できるデータは含まれていません。企業が使用する一般的なメールアドレス(例: [メール保護]も個人データとはみなされません。
この電子メール アドレスには、個人を特定できる個人情報は含まれていません。また、電子メール アドレスは個人ではなく法人によって使用されます。したがって、個人データとはみなされません。オランダの判例法から、電子メール アドレスは個人データである可能性があると結論付けることができますが、常にそうであるとは限りません。これは、電子メール アドレスの構造によって異なります。
電子メールアドレスは、個人が使用しているメールアドレスから個人が特定される可能性が高く、個人データとなります。 電子メールアドレスを個人データとみなすには、企業が実際にそのメールアドレスをユーザーを識別するために使用しているかどうかは関係ありません。企業がそのメールアドレスを個人を識別する目的で使用していなくても、個人が特定できるメールアドレスは個人データとみなされます。
個人とデータの間に技術的または偶然のつながりがあるからといって、そのデータが個人データであるとみなされるわけではありません。しかし、たとえば詐欺の検出など、ユーザーを識別するためにメールアドレスが使用される可能性がある場合、そのメールアドレスは個人データとみなされます。この場合、企業がこの目的でメールアドレスを使用する意図があったかどうかは関係ありません。法律では、データが自然人を識別する目的で使用される可能性がある場合に個人データとみなされます。[2]
特別な個人データ
メールアドレスは多くの場合個人データとみなされますが、特別な個人データではありません。特別な個人データとは、人種や民族的出身、政治的意見、宗教的または哲学的信念、または職業上の所属、遺伝的または生体認証データを明らかにする個人データです。これはGDPR第9条に由来します。また、メールアドレスには、例えば ホーム 住所。
誰かのメールアドレスを知ることは自宅住所を知ることより難しく、メールアドレスが公開されるかどうかはメールアドレスのユーザー次第です。さらに、隠しておかなければならないメールアドレスが発見されることは、隠しておかなければならない自宅住所が発見されることよりは深刻な結果にはなりません。自宅住所よりもメールアドレスを変更する方が簡単で、メールアドレスが発見されるとデジタルコンタクトにつながる可能性がありますが、自宅住所が発見されると個人的なコンタクトにつながる可能性があります。[3]
個人データの処理
ほとんどの場合、メールアドレスは個人データであると見なされます。 ただし、GDPRは個人データを処理している企業にのみ適用されます。 個人データの処理は、個人データに関するあらゆる行為に存在します。 これは、GDPRでさらに定義されています。 GDPR第4条2項によれば、個人データの処理とは、自動手段であるかどうかにかかわらず、個人データに対して実行されるすべての操作を意味します。 例としては、個人データの収集、記録、整理、構造化、保存、および使用があります。 企業が電子メールアドレスに関して上記のアクティビティを実行すると、個人データが処理されます。 その場合、それらはGDPRの対象となります。
結論
すべての電子メール アドレスが個人データと見なされるわけではありません。ただし、電子メール アドレスが自然人に関する識別可能な情報を提供する場合、個人データと見なされます。多くの電子メール アドレスは、その電子メール アドレスを使用する自然人を特定できるような構造になっています。これは、電子メール アドレスに自然人の名前または勤務先が含まれている場合です。したがって、多くの電子メール アドレスは個人データと見なされます。
企業が、個人データとみなされるメールアドレスとそうでないメールアドレスを区別することは困難です。これは、メールアドレスの構造に完全に依存するためです。したがって、個人データを処理する企業は、個人データとみなされるメールアドレスに遭遇することになると言っても過言ではありません。つまり、これらの企業はGDPRの対象であり、GDPRに準拠したプライバシーポリシーを実施する必要があります。 準拠した GDPRに準拠。
[1] ECLI:NL:GHAMS:2002:AE5514。
【2] カメルシュトゥッケンII 1979 / 80、25 892、3(MvT)。
[3] ECLI:NL:GHAMS:2002:AE5514。