25 мая 2018 года вступил в силу Общий регламент ЕС по защите персональных данных (далее «Регламент»), после чего защита персональных данных приобретёт еще большую важность, поэтому компаниям придется столкнуться с ужесточением правилам в отношении защиты персональных данных. В свете вступления Регламента в законную силу возникает целый ряд вопросов.
Персональные данные
Для того, чтобы ответить на вопрос о том, относится ли адрес электронной почты к персональным данным, необходимо дать точное определение понятия «персональные данные». Такое определение можно найти в тексте Регламента. Согласно подпункту «а» статьи 4 Регламента (artikel 4 sub a AVG) персональные дынные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Идентифицируемое физическое лицо — это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайновый идентификатор. Персональные данные имеют отношение к физическим лицам. Это означает, что данные, касающиеся умерших лиц или юридических лиц, не должны рассматриваться как личные данные.
Адреса электронной почты
Теперь, когда есть определение персональных данных, становится ясно, считаются ли адреса электронной почты персональными данными. Прецедентное право Нидерландов показывает, что адрес электронной почты может относится к категории персональных данных, но не всегда. Все зависит от того, может ли физическое лицо быть идентифицировано или идентифицируемым на основе адреса электронной почты[1]. Для более детального рассмотрения вопросов, связанных с обработкой данных, важно проконсультироваться с юристом по корпоративному праву. Так, с тем, чтобы определить, можно ли отнести адрес электронной почты к категории персональных данных, необходимо обратить внимание на то, в какой форме составлен такой адрес электронной почты. Дело в том, что у многих физических лиц адрес электронный почты таков, что его можно рассматривать как личную информацию. Приведем пример адреса электронной почты, который можно отнести к данной категории: имя.фамилия@gmail.com. Таким образом, адрес эл. почты, составленный по данному образцу, раскрывает имя и фамилию физического лица, пользующегося таким адресом. Выходит, что человека можно идентифицировать по адресу электронной почты. Адреса электронной почты, используемые в коммерческих целях, также могут содержать персональные данные. Приведем пример адреса электронной почты, который можно отнести к данной категории: инициалы.фамилия@названиекомпании.com. На основе такого адреса электронной почты можно узнать, инициалы, фамилию и место работы пользователя — адресата данного почтового ящика. Соответственно, лицо, использующее этот адрес электронной почты, идентифицируемо на основании адреса его электронной почты. Существуют различные способы, которыми организации могут быть обязаны защищать данные, включая адреса электронной почты. Если вам требуется помощь в соблюдении всех требований, связанных с защитой данных, обратитесь к юристу в Нидерландах.
Однако, если по адресу электронной почты не возможно идентифицировать физическое лицо, он не считается относящимся к персональным данным. В качестве примера можно привести адрес следующей электронной почты: puppy12@hotmail.com. Такой адрес электронной почты не содержит данных, на основании которых можно идентифицировать физическое лицо, использующее данный почтовый ящик. Общие адреса электронной почты, которые используются компаниями, такие, как инфо@названиекомпании.com, не относятся к личной информации. Такой адрес электронной почты не содержит данных, на основании которых можно идентифицировать физическое лицо, использующее данный почтовый ящик. Более того, данный адрес электронной почты используется не физическим, а юридическим лицом. Таким образом, этот адрес не относится к персональным данным. На основании прецедентов из судебной практики Нидерландов можно сделать вывод о том, что адреса электронной почты могут рассматриваться как персональные данные, но не всегда; критерием служит форма составления адреса электронной почты.
Существует высокая вероятность того, что физических лиц можно идентифицировать по адресу их электронной почты, из-за чего такой адрес электронной почты можно рассматривать как персональные данные. При определении принадлежности адреса электронной почты к категории личной информации не имеет значения тот факт, что данный электронный ящик использует юридическое лицо, если через него можно установить личность физического лица. Даже если компания и не использует адреса электронной почты для того, чтобы идентифицировать физическое лицо, тем не менее адреса электронной почты рассматриваются как личные данные, если по ним можно идентифицировать физическое лицо. Не каждая техническая или случайная связь между данными и человеком является достаточным основанием для того, чтобы рассматривать такие данные как персональные. Однако, если существует вероятность того, что по адресу электронной почты можно идентифицировать человека, например, для выявления случаев мошенничества, тогда адрес электронной почты рассматривается как персональные данные. При этом не важно, собирается ли компания использовать адрес электронной почты с этой целью. Речь идет прежде всего о потенциальной возможности использования данных с целью идентификации физического лица[2].
Персональные данные особой категории
Хотя в большинстве случаев адреса электронной почты можно рассматривать как персональные данные, тем не менее речь не идет о персональных данных особой категории. Поскольку особые персональные данные — это данные о расовой или этнической принадлежности, политических взглядах, религиозных или философских убеждениях либо о членстве в профсоюзе, а также генетические и биометрические данные. Настоящее определение вытекает из положений статьи 2:9 Регламента (artikel 9 AVG). К тому же адрес электронной почты содержит меньше общедоступной информации, чем, например, адрес проживания. Адрес электронной почты сложнее определить, чем домашний адрес, также обнародование адреса электронной почты пользователя в значительной степени зависит от самого пользователя. Кроме того, раскрытие адреса электронной почты, который должен быть скрыт, будет иметь не такие серьезные последствия, как раскрытие адреса места проживания, который должен был оставаться конфиденциальным. Стоит заметить, что адрес электронной почты изменить проще, чем домашний адрес, а опубликование адреса электронной почты может привести к цифровой связи, тогда как раскрытие адреса проживания может привести к личному контакту[3].
Обработка персональных данных
Мы установили, что адреса электронной почты в большинстве случаев можно рассматривать как персональные данные. Регламент применяется только по отношению к тем компаниям, которые обрабатывают персональные данные. Под обработкой персональных данных подразумевается любая операция, относящаяся к личным данным. Настоящее положение подробно описано в Регламенте. На основании пункта 2 статьи 4 Регламента обработка персональных данных означает любую операцию, связанную с персональными данными, независимо от метода обработки данных, например, путем применения автоматизированных процедур. Примеры включают в себя сбор, запись, упорядочивание, структурирование, хранение и использование личных данных. Перечисленные действия, выполняемые компании и связанные с адресами электронной почты считаются действиями по обработке персональных данных. Такие операции компаний попадают в сферу регулирования Регламента.
Заключение
Таким образом, не каждый адрес электронной почты относится к персональным данным. Только те, по которым возможно идентифицировать физические лица, относятся к категории персональных данных. Многие адреса электронной почты составлены так, что по ним можно идентифицировать физическое лицо — пользователя почтового ящика. Примером тот адрес электронной почты, который можно отнести к категории личной информации, содержит имя или место работы физического лица. По этой причине большую часть адресов электронной почты можно отнести к личным данным. Компаниям сложно разграничить адреса электронной почты, относящиеся к личным данным и не имеющим отношения к таковым, учитывая, что критерий разграничения полностью зависит от формы составления адреса электронной почты. Поэтому вероятно, что компании, обрабатывающие адреса электронной почты, сталкиваются с почтовыми ящиками, которые должны рассматриваться как персональные данные. Это означает, что такие компании подпадают под сферу действия Регламента и должны разработать правила защиты персональных данных, соответствующих требованиям Регламента.
[1] См. материалы судебного дела ECLI:NL:GHAMS:2002:AE5514.
[2] См. Парламентские материалы Kamerstukken II 1979/80, 25 892 3 (MvT).
[3] См. материалы судебного дела ECLI:NL:GHAMS:2002:AE5514.
Часто задаваемые вопросы о Законе ЕС о защите данных и адреса электронной почты
❓ Какой статус имеют адреса электронной почты в рамках общего регламента ЕС по защите данных?
✅ Адреса электронной почты считаются личными данными в соответствии с регламентом. Это означает, что они подпадают под правила и требования регламента в отношении сбора, обработки и защиты данных. Для соблюдения требований организации должны иметь законную основу для сбора и использования адресов электронной почты, а также обеспечивать их защиту от несанкционированного доступа и утечек.
❓ Какие требования законодательства к обработке адресов электронной почты?
✅ Обработка данных должна осуществляться с соблюдением принципов законности, справедливости и прозрачности. Организации должны ясно сообщать пользователям о целях сбора и использования их адресов электронной почты. Безопасность и защита адресов электронной почты от утраты и несанкционированного доступа — важные требования регламента.
❓ Какие последствия нарушения регламента ЕС по защите данных в отношении адресов электронной почты?
✅ Нарушение может привести к серьезным последствиям для организации. Это может включать в себя административные штрафы, которые могут составлять до 4% годового оборота компании или до 20 миллионов евро, в зависимости от того, что больше. Кроме того, организации могут столкнуться с репутационными потерями и утратой доверия клиентов, что может негативно сказаться на их бизнесе в целом.
❓ Какие шаги следует предпринять для соблюдения требований регламента?
✅ Организации должны внедрить политики и процедуры, которые обеспечивают соответствие правилам регламента. Это может включать в себя аудит существующих практик сбора и использования информации, обучение персонала по вопросам защиты данных и регулярное обновление систем безопасности. Организации также должны иметь механизмы для получения согласия пользователей на обработку их данных, а также для управления их предпочтениями в отношении использования их адресов электронной почты.
