Rregullorja e përgjithshme e mbrojtjes së të dhënave (GDPR)
Në 25th të majit, Rregullorja e Përgjithshme e Mbrojtjes së të Dhënave (GDPR) do të hyjë në fuqi. Me instalimin e GDPR, mbrojtja e të dhënave personale bëhet gjithnjë e më e rëndësishme. Kompanitë duhet të marrin parasysh rregulla më të rrepta në lidhje me mbrojtjen e të dhënave. Sidoqoftë, pyetje të ndryshme lindin si rezultat i instalimit të GDPR. Për kompanitë, mund të jetë e paqartë se cilat të dhëna konsiderohen se janë të dhëna personale dhe bien nën qëllimin e GDPR. Ky është rasti me adresat e postës elektronike: a konsiderohet një adresë e-mail si të dhëna personale? A janë ndërmarrjet që përdorin adresat e postës elektronike i nënshtrohen GDPR? Këto pyetje do të përgjigjen në këtë artikull.
Të dhënat personale
Për t'iu përgjigjur pyetjes nëse një adresë emaili konsiderohet si e dhënë personale, duhet të përcaktohet termi i të dhënave personale. Ky term shpjegohet në GDPR. Bazuar në nenin 4 nën një GDPR, të dhënat personale nënkupton çdo informacion që lidhet me një person fizik të identifikuar ose të identifikueshëm. Një person fizik i identifikueshëm është një person që mund të identifikohet, direkt ose indirekt, veçanërisht në lidhje me një identifikues të tillë si një emër, një numër identifikimi, të dhëna vendndodhjeje ose një identifikues në internet. Të dhënat personale u referohen personave fizikë. Prandaj, informacionet në lidhje me personat e vdekur ose personat juridikë nuk konsiderohen të dhëna personale.
Adresa e postës elektronike (e-mail)
Tani që është përcaktuar përkufizimi i të dhënave personale, duhet të vlerësohet nëse një adresë emaili konsiderohet të jetë e dhënë personale. Rasti holandez ligj tregon se adresat e emailit mund të jenë të dhëna personale, por që nuk është gjithmonë kështu. Varet nëse një person fizik është ose jo i identifikuar ose i identifikueshëm bazuar në adresën e emailit.[1] Mënyra se si personat i kanë strukturuar adresat e tyre të emailit duhet të merret parasysh për të përcaktuar nëse adresa e emailit mund të shihet si të dhëna personale apo jo.
Shumë persona fizikë e strukturojnë adresën e tyre të email-it në një mënyrë të tillë që adresa duhet të konsiderohet si e dhënë personale. Ky është për shembull rasti kur një adresë email-i është e strukturuar në mënyrën e mëposhtme: [email mbrojtur]Kjo adresë email-i ekspozon emrin dhe mbiemrin e personit fizik që përdor adresën.
Prandaj, ky person mund të identifikohet bazuar në këtë adresë email-i. Adresat e email-it që përdoren për aktivitete biznesi mund të përmbajnë gjithashtu të dhëna personale. Ky është rasti kur një adresë email-i është strukturuar në mënyrën e mëposhtme: [email mbrojtur]Nga kjo adresë emaili mund të nxirren inicialet e personit që përdor adresën e emailit, mbiemri i tij dhe vendi ku punon ky person. Prandaj, personi që përdor këtë adresë emaili është i identifikueshëm bazuar në adresën e emailit.
Një adresë emaili nuk konsiderohet të jetë e dhënë personale kur asnjë person fizik nuk mund të identifikohet prej saj. Ky është rasti kur përdoret për shembull adresa e mëposhtme e emailit: [email mbrojtur]Kjo adresë emaili nuk përmban të dhëna nga të cilat mund të identifikohet një person fizik. Adresa të përgjithshme emaili që përdoren nga kompanitë, si p.sh. [email mbrojtur], gjithashtu nuk konsiderohen të dhëna personale.
Kjo adresë emaili nuk përmban asnjë informacion personal nga i cili mund të identifikohet një person fizik. Për më tepër, adresa e emailit nuk përdoret nga një person fizik, por nga një person juridik. Prandaj, ato nuk konsiderohen si të dhëna personale. Nga praktika gjyqësore holandeze mund të konkludohet se adresat e emailit mund të jenë të dhëna personale, por nuk është gjithmonë kështu; varet nga struktura e adresës së emailit.
Ekziston një shans i madh që personat fizikë të mund të identifikohen nga adresa e emailit që ata përdorin, gjë që i bën adresat e emailit të dhëna personale. Për të klasifikuar adresat e emailit si të dhëna personale, nuk ka rëndësi nëse kompania i përdor adresat e emailit për të identifikuar përdoruesit. Edhe nëse një kompani nuk i përdor adresat e emailit me qëllim të identifikimit të personave fizikë, adresat e postës elektronike nga të cilat mund të identifikohen personat fizikë përsëri konsiderohen të dhëna personale.
Jo çdo lidhje teknike ose e rastësishme midis një personi dhe të dhënave është e mjaftueshme për të caktuar të dhënat si të dhëna personale. Megjithatë, nëse ekziston mundësia që adresat e emailit të mund të përdoren për të identifikuar përdoruesit, për shembull për të zbuluar rastet e mashtrimit, adresat e emailit konsiderohen si të dhëna personale. Në këtë, nuk ka rëndësi nëse kompania synonte të përdorte apo jo adresat e emailit për këtë qëllim. Ligji flet për të dhënat personale kur ekziston mundësia që të dhënat të përdoren për një qëllim që identifikon një person fizik.[2]
Të dhëna personale të veçanta
Ndërsa adresat e email-it konsiderohen të dhëna personale shumicën e kohës, ato nuk janë të dhëna personale të veçanta. Të dhënat personale të veçanta janë të dhëna personale që zbulojnë origjinën racore ose etnike, mendimet politike, besimet fetare ose filozofike ose anëtarësimin në tregti, si dhe të dhëna gjenetike ose biometrike. Kjo rrjedh nga neni 9 i GDPR-së. Gjithashtu, një adresë email-i përmban më pak informacion publik sesa për shembull një shtëpi adresë.
Është më e vështirë të fitosh njohuri për adresën e emailit të dikujt sesa adresën e shtëpisë së tij dhe varet në një pjesë të madhe nga përdoruesi i adresës së emailit nëse adresa e emailit bëhet publike apo jo. Për më tepër, zbulimi i një adrese emaili që duhet të kishte mbetur i fshehur, ka pasoja më pak serioze sesa zbulimi i një adrese shtëpie që duhej të kishte mbetur e fshehur. Është më e lehtë të ndryshosh një adresë emaili sesa një adresë shtëpie dhe zbulimi i një adrese emaili mund të çojë në kontakt dixhital, ndërsa zbulimi i një adrese shtëpie mund të çojë në kontakt personal.[3]
Përpunimi i të dhënave personale
Ne kemi vendosur që adresat e postës elektronike konsiderohen të dhëna personale shumicën e kohës. Sidoqoftë, GDPR vlen vetëm për kompanitë që përpunojnë të dhëna personale. Përpunimi i të dhënave personale ekziston për çdo veprim në lidhje me të dhënat personale. Kjo përcaktohet më tej në GDPR. Sipas nenit 4 nën 2 të GDPR, përpunimi i të dhënave personale nënkupton çdo operacion që kryhet me të dhëna personale, pavarësisht nëse me mjete automatike. Shembuj janë mbledhja, regjistrimi, organizimi, strukturimi, ruajtja dhe përdorimi i të dhënave personale. Kur kompanitë kryejnë aktivitetet e lartpërmendura në lidhje me adresat e postës elektronike, ato po përpunojnë të dhëna personale. Në atë rast, ata i nënshtrohen GDPR.
Përfundim
Jo çdo adresë emaili konsiderohet të jetë e dhënë personale. Megjithatë, adresat e emailit konsiderohen të dhëna personale kur ato ofrojnë informacion të identifikueshëm për një person fizik. Shumë adresa emaili janë të strukturuara në atë mënyrë që personi fizik që përdor adresën e emailit të mund të identifikohet. Ky është rasti kur adresa e emailit përmban emrin ose vendin e punës së një personi fizik. Prandaj, shumë adresa emaili do të konsiderohen të dhëna personale.
Është e vështirë për kompanitë të bëjnë një dallim midis adresave të emailit që konsiderohen të dhëna personale dhe adresave të emailit që nuk janë, pasi kjo varet tërësisht nga struktura e adresës së emailit. Prandaj, është e sigurt të thuhet se kompanitë që përpunojnë të dhëna personale do të hasin në adresa emaili që konsiderohen të jenë të dhëna personale. Kjo do të thotë që këto kompani i nënshtrohen GDPR dhe duhet të zbatojnë një politikë privatësie që është i urtë me GDPR.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.