ระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป (GDPR)
ใน 25th ของเดือนพฤษภาคมกฎระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) จะมีผลบังคับใช้ ด้วยการผ่อนชำระ GDPR การคุ้มครองข้อมูลส่วนบุคคลจึงมีความสำคัญมากขึ้น บริษัท ต่างๆต้องคำนึงถึงกฎระเบียบที่เข้มงวดมากขึ้นเกี่ยวกับการปกป้องข้อมูล อย่างไรก็ตามคำถามต่าง ๆ เกิดขึ้นจากการผ่อนชำระ GDPR สำหรับ บริษัท ต่างๆอาจไม่มีความชัดเจนว่าข้อมูลใดถือเป็นข้อมูลส่วนบุคคลและอยู่ภายใต้ขอบเขตของ GDPR ในกรณีนี้กับที่อยู่อีเมล: ที่อยู่อีเมลถือเป็นข้อมูลส่วนบุคคลหรือไม่? บริษัท ที่ใช้ที่อยู่อีเมลอยู่ภายใต้ GDPR หรือไม่ คำถามเหล่านี้จะได้รับคำตอบในบทความนี้
ข้อมูลส่วนบุคคล
ในการตอบคำถามว่าที่อยู่อีเมลถือเป็นข้อมูลส่วนบุคคลหรือไม่จำเป็นต้องกำหนดคำว่าข้อมูลส่วนบุคคล คำนี้อธิบายไว้ใน GDPR จากบทความ 4 ย่อย GDPR ข้อมูลส่วนบุคคลหมายถึงข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลธรรมดาที่ระบุหรือระบุตัวตนได้ บุคคลธรรมดาที่สามารถระบุตัวตนได้คือบุคคลที่สามารถระบุได้โดยตรงหรือโดยอ้อมโดยเฉพาะอย่างยิ่งในการอ้างอิงถึงตัวระบุเช่นชื่อหมายเลขประจำตัวข้อมูลตำแหน่งหรือตัวระบุออนไลน์ ข้อมูลส่วนบุคคลหมายถึงบุคคลธรรมดา ดังนั้นข้อมูลเกี่ยวกับผู้เสียชีวิตหรือนิติบุคคลจะไม่ถือเป็นข้อมูลส่วนบุคคล
อีเมล
เมื่อได้กำหนดนิยามของข้อมูลส่วนบุคคลแล้ว จำเป็นต้องพิจารณาว่าที่อยู่อีเมลถือเป็นข้อมูลส่วนบุคคลหรือไม่ กรณีของเนเธอร์แลนด์ กฎหมาย ระบุว่าที่อยู่อีเมลอาจเป็นข้อมูลส่วนบุคคลได้ แต่ไม่ใช่ว่าจะเป็นเช่นนี้เสมอไป ขึ้นอยู่กับว่าบุคคลธรรมดาสามารถระบุตัวตนได้หรือไม่หรือสามารถระบุตัวตนได้หรือไม่โดยอาศัยที่อยู่อีเมล[1] จะต้องคำนึงถึงวิธีการที่บุคคลจัดโครงสร้างที่อยู่อีเมลของตนเพื่อกำหนดว่าที่อยู่อีเมลนั้นถือเป็นข้อมูลส่วนบุคคลได้หรือไม่
บุคคลธรรมดาจำนวนมากจัดโครงสร้างที่อยู่อีเมลของตนในลักษณะที่ที่อยู่อีเมลถือเป็นข้อมูลส่วนบุคคล ตัวอย่างเช่น กรณีที่ที่อยู่อีเมลมีโครงสร้างดังต่อไปนี้: [ป้องกันอีเมล]ที่อยู่อีเมลนี้เปิดเผยชื่อและนามสกุลของบุคคลที่ใช้ที่อยู่นี้
ดังนั้น บุคคลนี้จึงสามารถระบุตัวตนได้จากที่อยู่อีเมลนี้ ที่อยู่อีเมลที่ใช้สำหรับกิจกรรมทางธุรกิจอาจมีข้อมูลส่วนบุคคลอยู่ด้วย ในกรณีนี้ ที่อยู่อีเมลจะมีโครงสร้างดังต่อไปนี้: [ป้องกันอีเมล]จากที่อยู่อีเมลนี้ เราสามารถระบุตัวย่อของบุคคลที่ใช้ที่อยู่อีเมล นามสกุล และที่ทำงานของบุคคลนั้นได้ ดังนั้น บุคคลที่ใช้ที่อยู่อีเมลนี้จึงสามารถระบุตัวตนได้จากที่อยู่อีเมล
ที่อยู่อีเมลจะไม่ถือเป็นข้อมูลส่วนบุคคลเมื่อไม่สามารถระบุตัวบุคคลได้ ตัวอย่างเช่น ที่อยู่อีเมลต่อไปนี้จะถูกนำมาใช้: [ป้องกันอีเมล]ที่อยู่อีเมลนี้ไม่มีข้อมูลใดๆ ที่สามารถระบุตัวบุคคลได้ ที่อยู่อีเมลทั่วไปที่บริษัทต่างๆ ใช้ เช่น [ป้องกันอีเมล], ไม่ถือเป็นข้อมูลส่วนบุคคลด้วยเช่นกัน
ที่อยู่อีเมลนี้ไม่มีข้อมูลส่วนบุคคลที่สามารถระบุตัวบุคคลได้ นอกจากนี้ ที่อยู่อีเมลไม่ได้ถูกใช้โดยบุคคลธรรมดา แต่ถูกใช้โดยนิติบุคคล ดังนั้น จึงไม่ถือเป็นข้อมูลส่วนบุคคล จากคำพิพากษาของเนเธอร์แลนด์ สามารถสรุปได้ว่าที่อยู่อีเมลสามารถเป็นข้อมูลส่วนบุคคลได้ แต่ก็ไม่ใช่กรณีนี้เสมอไป ขึ้นอยู่กับโครงสร้างของที่อยู่อีเมล
มีโอกาสสูงที่บุคคลธรรมดาจะสามารถระบุตัวตนได้จากที่อยู่อีเมลที่พวกเขาใช้ ซึ่งทำให้ที่อยู่อีเมลเป็นข้อมูลส่วนบุคคล เพื่อจัดที่อยู่อีเมลเป็นข้อมูลส่วนบุคคล ไม่สำคัญว่าบริษัทจะใช้ที่อยู่อีเมลเพื่อระบุตัวตนของผู้ใช้จริงหรือไม่ แม้ว่าบริษัทจะไม่ใช้ที่อยู่อีเมลเพื่อระบุตัวตนของบุคคลธรรมดา แต่ที่อยู่อีเมลที่ใช้ระบุตัวตนของบุคคลธรรมดาก็ยังถือเป็นข้อมูลส่วนบุคคลอยู่ดี
การเชื่อมโยงทางเทคนิคหรือโดยบังเอิญระหว่างบุคคลกับข้อมูลไม่เพียงพอที่จะกำหนดให้ข้อมูลเป็นข้อมูลส่วนบุคคลได้ อย่างไรก็ตาม หากมีความเป็นไปได้ที่ที่อยู่อีเมลอาจถูกใช้เพื่อระบุตัวผู้ใช้ เช่น เพื่อตรวจจับกรณีฉ้อโกง ที่อยู่อีเมลจะถือเป็นข้อมูลส่วนบุคคล ในกรณีนี้ ไม่สำคัญว่าบริษัทตั้งใจจะใช้ที่อยู่อีเมลเพื่อจุดประสงค์นี้หรือไม่ กฎหมายกล่าวถึงข้อมูลส่วนบุคคลเมื่อมีความเป็นไปได้ที่ข้อมูลอาจถูกใช้เพื่อจุดประสงค์ที่ระบุตัวบุคคลธรรมดา[2]
ข้อมูลส่วนบุคคลพิเศษ
แม้ว่าที่อยู่อีเมลจะถือเป็นข้อมูลส่วนบุคคลส่วนใหญ่ แต่ก็ไม่ใช่ข้อมูลส่วนบุคคลพิเศษ ข้อมูลส่วนบุคคลพิเศษคือข้อมูลส่วนบุคคลที่เปิดเผยถึงเชื้อชาติหรือชาติพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนาหรือปรัชญา หรือการเป็นสมาชิกทางการค้า และข้อมูลทางพันธุกรรมหรือข้อมูลชีวมาตร ซึ่งมาจากมาตรา 9 ของ GDPR นอกจากนี้ ที่อยู่อีเมลยังมีข้อมูลสาธารณะน้อยกว่าข้อมูลอื่นๆ เช่น หน้าแรก ที่อยู่
การจะทราบที่อยู่อีเมลของบุคคลอื่นนั้นยากกว่าการทราบที่อยู่บ้านของเขา และขึ้นอยู่กับผู้ใช้ว่าที่อยู่อีเมลนั้นถูกเปิดเผยต่อสาธารณะหรือไม่เป็นส่วนใหญ่ นอกจากนี้ การค้นพบที่อยู่อีเมลที่ควรซ่อนไว้ยังมีผลตามมาที่ร้ายแรงน้อยกว่าการค้นพบที่อยู่บ้านซึ่งควรจะซ่อนไว้ การเปลี่ยนที่อยู่อีเมลนั้นง่ายกว่าการเปลี่ยนที่อยู่บ้าน และการค้นพบที่อยู่อีเมลอาจนำไปสู่การติดต่อทางดิจิทัล ในขณะที่การค้นพบที่อยู่บ้านอาจนำไปสู่การติดต่อส่วนตัวได้[3]
การประมวลผลข้อมูลส่วนบุคคล
เราได้พิจารณาแล้วว่าที่อยู่อีเมลถือเป็นข้อมูลส่วนบุคคลเกือบตลอดเวลา อย่างไรก็ตาม GDPR ใช้กับ บริษัท ที่ประมวลผลข้อมูลส่วนบุคคลเท่านั้น การประมวลผลข้อมูลส่วนบุคคลมีอยู่ของทุกการกระทำที่เกี่ยวข้องกับข้อมูลส่วนบุคคล สิ่งนี้กำหนดไว้เพิ่มเติมใน GDPR ตามบทความ 4 ย่อย 2 GDPR การประมวลผลข้อมูลส่วนบุคคลหมายถึงการดำเนินการใด ๆ ที่ดำเนินการกับข้อมูลส่วนบุคคลไม่ว่าจะด้วยวิธีอัตโนมัติหรือไม่ก็ตาม ตัวอย่าง ได้แก่ การรวบรวมการบันทึกการจัดระเบียบการจัดโครงสร้างการจัดเก็บและการใช้ข้อมูลส่วนบุคคล เมื่อ บริษัท ดำเนินกิจกรรมดังกล่าวข้างต้นเกี่ยวกับที่อยู่อีเมลพวกเขากำลังประมวลผลข้อมูลส่วนบุคคล ในกรณีนี้จะต้องเป็นไปตาม GDPR
สรุป
ไม่ใช่ว่าที่อยู่อีเมลทุกที่อยู่จะถือเป็นข้อมูลส่วนบุคคล อย่างไรก็ตาม ที่อยู่อีเมลจะถือเป็นข้อมูลส่วนบุคคลเมื่อที่อยู่อีเมลเหล่านั้นให้ข้อมูลที่ระบุตัวตนของบุคคลธรรมดาได้ ที่อยู่อีเมลจำนวนมากมีโครงสร้างที่สามารถระบุตัวบุคคลธรรมดาที่ใช้ที่อยู่อีเมลได้ ซึ่งในกรณีนี้ ที่อยู่อีเมลจะมีชื่อหรือสถานที่ทำงานของบุคคลธรรมดา ดังนั้น ที่อยู่อีเมลจำนวนมากจึงถือเป็นข้อมูลส่วนบุคคล
บริษัทต่างๆ มักมีปัญหาในการแยกแยะระหว่างที่อยู่อีเมลที่ถือเป็นข้อมูลส่วนบุคคลและที่อยู่อีเมลที่ไม่ถือเป็นข้อมูลส่วนบุคคล เนื่องจากขึ้นอยู่กับโครงสร้างของที่อยู่อีเมลโดยสิ้นเชิง ดังนั้น จึงสามารถพูดได้อย่างปลอดภัยว่าบริษัทที่ประมวลผลข้อมูลส่วนบุคคลจะพบที่อยู่อีเมลที่ถือเป็นข้อมูลส่วนบุคคล ซึ่งหมายความว่าบริษัทเหล่านี้อยู่ภายใต้ GDPR และควรนำนโยบายความเป็นส่วนตัวที่บังคับใช้ ไม่ขัดขืน กับ GDPR
[1] ECLI: NL: GHAMS: 2002: AE5514
[2] คาเมอร์สทัคเค่น II 1979/80, 25 892, 3 (MvT)
[3] ECLI: NL: GHAMS: 2002: AE5514
