Anwani za barua pepe na wigo wa GDPR. Udhibiti wa Jumla wa Ulinzi wa Takwimu

Kwenye 25th Mei, kanuni ya Ulinzi wa Jumla ya Takwimu (GDPR) itaanza kutumika. Kwa usanidi wa GDPR, ulinzi wa data ya kibinafsi inazidi kuwa muhimu. Kampuni zinapaswa kuzingatia sheria zaidi na ngumu kuhusu usalama wa data. Walakini, maswali anuwai hujitokeza kama matokeo ya usanidi wa GDPR. Kwa kampuni, inaweza kuwa wazi kuwa ni data gani inayozingatiwa kuwa data ya kibinafsi na iko chini ya wigo wa GDPR. Hivi ndivyo ilivyo na anwani za barua pepe: je! Anwani ya barua-pepe inachukuliwa kuwa data ya kibinafsi? Je! Kampuni zinazotumia anwani za barua pepe zinategemea GDPR? Maswali haya yatajibiwa katika makala haya.

Taarifa binafsi

Ili kujibu swali ikiwa anwani ya barua pepe inachukuliwa kuwa ya kibinafsi, neno la kibinafsi linahitaji kufafanuliwa. Muda huu umeelezewa katika GDPR. Kulingana na kifungu cha 4 sub GDPR, data ya kibinafsi inamaanisha habari yoyote inayohusiana na mtu wa asili aliyetambuliwa au anayejulikana. Mtu asili anayetambulika ni mtu ambaye anaweza kutambuliwa, moja kwa moja au moja kwa moja, haswa akimaanisha kitambulisho kama vile jina, nambari ya kitambulisho, data ya eneo au kitambulisho mkondoni. Takwimu za kibinafsi zinahusu watu wa asili. Kwa hivyo, habari kuhusu watu waliokufa au vyombo vya kisheria haizingatiwi kuwa data ya kibinafsi.

Anwani za barua pepe na wigo wa GDPR

Barua pepe

Now that the definition of personal data is determined, it needs to be assed if an email address is considered to be personal data. Dutch case law indicates that email addresses could possibly be personal data, but that this is not always the case. It depends whether or not a natural person is identified or identifiable based on the email address.[1] The way persons have structured their email addresses has to be taken into account in order to determine whether the email address can be seen as personal data or not. A lot of natural persons structure their email address in such a way that the address has to be considered personal data. This is for example the case when an email address is structured in the following way: firstname.lastname@gmail.com. This email address exposes the first and last name of the natural person that uses the address. Therefore, this person can be identified based on this email address. Email addresses that are used for business activities could also contain personal data. This is the case when an e-mail address is structured in the following way: initials.lastname@nameofcompany.com. From this email address can be derived what the initials of the person using the email address are, what his last name is and where this person works. Therefore, the person using this email address is identifiable based on the email address.

An email address is not considered to be personal data when no natural person can be identified from it. This is the case when for example the following email address is used: puppy12@hotmail.com. This email address does not contain any data from which a natural person can be identified. General email addresses that are used by companies, like info@nameofcompany.com, are also not considered to be personal data. This email address does not contain any personal information from which a natural person can be identified. Moreover, the email address is not used by a natural person, but by a legal entity. Therefore, it is not considered to be personal data. From Dutch case law can be concluded that email addresses can be personal data, but this is not always the case; it depends of the structure of the email address.

Kuna nafasi kubwa kwamba watu wa asili wanaweza kutambuliwa na anwani ya barua pepe wanayotumia, ambayo hufanya anwani za barua pepe data ya kibinafsi. Ili kuorodhesha anwani za barua pepe kama data ya kibinafsi, haijalishi ikiwa kampuni hutumia anwani za barua pepe ili kubaini watumiaji. Hata kama kampuni haitumii anwani za barua pepe kwa madhumuni ya kitambulisho cha watu wa asili, anwani za barua pepe ambazo watu wa asili wanaweza kutambuliwa bado zinachukuliwa kuwa data ya kibinafsi. Sio kila kiunganisho cha kiufundi au cha kushikamana kati ya mtu na data inatosha ili kuteua data kama data ya kibinafsi. Bado, ikiwa kuna uwezekano kwamba anwani za barua pepe zinaweza kutumika ili kubaini watumiaji, kwa mfano kugundua visa vya udanganyifu, anwani za barua pepe zinachukuliwa kuwa data ya kibinafsi. Katika hili, haijalishi ikiwa kampuni ililenga kutumia anwani za barua pepe kwa sababu hii. Sheria inazungumza juu ya data ya kibinafsi wakati kuna uwezekano kwamba data inaweza kutumika kwa kusudi ambalo linatambulisha mtu wa kawaida. [2]

Takwimu maalum ya kibinafsi

Wakati anwani za barua pepe hufikiriwa kuwa data ya kibinafsi wakati mwingi, sio data maalum ya kibinafsi. Data maalum ya kibinafsi ni data ya kibinafsi inayoonyesha asili ya kikabila au kabila, maoni ya kisiasa, imani za kidini au za falsafa au ushirika wa biashara, na data ya maumbile au ya biometriska. Hii inatokana na kifungu cha 9 GDPR. Pia, anwani ya barua pepe ina habari ndogo ya umma kuliko mfano anwani ya nyumbani. Ni ngumu zaidi kupata ujuzi wa anwani ya barua pepe ya mtu kuliko anwani yake ya nyumbani na inategemea sehemu kubwa kwa mtumiaji wa anwani ya barua pepe ikiwa anwani ya barua pepe ni ya umma au sio. Kwa kuongeza, ugunduzi wa anwani ya barua pepe ambayo inapaswa kukaa siri, ina athari mbaya kidogo kuliko ugunduzi wa anwani ya nyumbani ambayo inapaswa kuwa siri. Ni rahisi kubadilisha anwani ya barua pepe kuliko anwani ya nyumbani na ugunduzi wa anwani ya barua pepe inaweza kusababisha mawasiliano ya dijiti, wakati ugunduzi wa anwani ya nyumbani unaweza kusababisha mawasiliano ya kibinafsi. [3]

Usindikaji wa data ya kibinafsi

Tumegundua kuwa anwani za barua pepe hufikiriwa kuwa data ya kibinafsi wakati mwingi. Walakini, GDPR inatumika tu kwa kampuni ambazo zinasindika data ya kibinafsi. Usindikaji wa data ya kibinafsi inapatikana kwa kila hatua kuhusu data ya kibinafsi. Hii inaelezewa zaidi katika GDPR. Kulingana na kifungu cha 4 sub 2 GDPR, usindikaji wa data ya kibinafsi inamaanisha operesheni yoyote ambayo inafanywa kwa data ya kibinafsi, iwe au sio kwa njia moja kwa moja. Mifano ni mkusanyiko, kurekodi, kuandaa, muundo, uhifadhi na utumiaji wa data ya kibinafsi. Wakati kampuni zinafanya shughuli zilizotajwa hapo juu kuhusu anwani za barua pepe, wanasindika data ya kibinafsi. Katika hali hiyo, wanakabiliwa na GDPR.

Hitimisho

Sio kila anwani ya barua pepe inayozingatiwa kuwa data ya kibinafsi. Walakini, anwani za barua pepe hufikiriwa kuwa data ya kibinafsi wakati wanatoa habari inayotambulika juu ya mtu wa asili. Anwani nyingi za barua pepe zimepangwa kwa njia ambayo mtu wa asili anayetumia anwani ya barua pepe anaweza kutambuliwa. Hii ndio kesi wakati anwani ya barua pepe ina jina au mahali pa kazi pa mtu wa asili. Kwa hivyo, anwani nyingi za barua pepe zitazingatiwa data ya kibinafsi. Ni ngumu kwa kampuni kufanya tofauti kati ya anwani za barua pepe ambazo hufikiriwa kuwa data ya kibinafsi na anwani za barua pepe ambazo sio, kwani hii inategemea kabisa muundo wa anwani ya barua pepe. Kwa hivyo, ni salama kusema kwamba kampuni zinazosindika data ya kibinafsi, zitakuja kupitia anwani za barua pepe ambazo zinachukuliwa kuwa data ya kibinafsi. Hii inamaanisha kuwa kampuni hizi ziko chini ya GDPR na zinapaswa kutekeleza sera ya faragha inayoambatana na GDPR.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

Kushiriki