E-posta adresleri ve GDPR'nin kapsamı. Genel Veri Koruma Yönetmeliği

25'deth Mayıs ayında Genel Veri Koruma Yönetmeliği (GDPR) yürürlüğe girecek. GDPR'nin kurulmasıyla kişisel verilerin korunması giderek daha önemli hale gelmektedir. Şirketler, veri koruma ile ilgili daha sıkı kurallara uymak zorundadır. Ancak, GSYİH'nın taksiti nedeniyle çeşitli sorular ortaya çıkmaktadır. Şirketler için, hangi verilerin kişisel veri olarak kabul edileceği ve GSYİH kapsamına girmediği belirsiz olabilir. E-posta adreslerinde durum böyledir: bir e-posta adresi kişisel veri olarak kabul edilir mi? E-posta adreslerini kullanan şirketler GDPR'ye tabi midir? Bu sorular bu makalede cevaplanacaktır.

Kişisel veri

Bir e-posta adresinin kişisel veri olarak kabul edilip edilmeyeceği sorusunu cevaplamak için kişisel veri teriminin tanımlanması gerekir. Bu terim GDPR'de açıklanmaktadır. GDPR'nin 4. maddesine dayanarak, kişisel veriler, tanımlanmış veya tanımlanabilir gerçek bir kişiyle ilgili herhangi bir bilgi anlamına gelir. Tanımlanabilir gerçek kişi, özellikle bir ad, bir kimlik numarası, konum verileri veya çevrimiçi bir tanımlayıcı gibi doğrudan veya dolaylı olarak tanımlanabilen bir kişidir. Kişisel veriler gerçek kişileri ifade eder. Bu nedenle, ölen kişiler veya tüzel kişilerle ilgili bilgiler kişisel veri olarak kabul edilmez.

E-posta adresleri ve GDPR'nin kapsamı

E-mail

Now that the definition of personal data is determined, it needs to be assed if an email address is considered to be personal data. Dutch case law indicates that email addresses could possibly be personal data, but that this is not always the case. It depends whether or not a natural person is identified or identifiable based on the email address.[1] The way persons have structured their email addresses has to be taken into account in order to determine whether the email address can be seen as personal data or not. A lot of natural persons structure their email address in such a way that the address has to be considered personal data. This is for example the case when an email address is structured in the following way: firstname.lastname@gmail.com. This email address exposes the first and last name of the natural person that uses the address. Therefore, this person can be identified based on this email address. Email addresses that are used for business activities could also contain personal data. This is the case when an e-mail address is structured in the following way: initials.lastname@nameofcompany.com. From this email address can be derived what the initials of the person using the email address are, what his last name is and where this person works. Therefore, the person using this email address is identifiable based on the email address.

An email address is not considered to be personal data when no natural person can be identified from it. This is the case when for example the following email address is used: puppy12@hotmail.com. This email address does not contain any data from which a natural person can be identified. General email addresses that are used by companies, like info@nameofcompany.com, are also not considered to be personal data. This email address does not contain any personal information from which a natural person can be identified. Moreover, the email address is not used by a natural person, but by a legal entity. Therefore, it is not considered to be personal data. From Dutch case law can be concluded that email addresses can be personal data, but this is not always the case; it depends of the structure of the email address.

Gerçek kişilerin kullandıkları e-posta adresiyle tanımlanabilmeleri büyük bir olasılıktır, bu da e-posta adreslerini kişisel veriler yapar. E-posta adreslerini kişisel veri olarak sınıflandırmak için, şirketin kullanıcıları tanımlamak için gerçekten e-posta adreslerini kullanıp kullanmadığı önemli değildir. Bir şirket e-posta adreslerini gerçek kişilerin tanımlanması amacıyla kullanmasa bile, gerçek kişilerin tanımlanabileceği e-posta adresleri yine de kişisel veri olarak kabul edilir. Verileri kişisel veri olarak atamak için bir kişi ile veri arasındaki her teknik veya tesadüfi bağlantı yeterli değildir. Ancak, e-posta adreslerinin kullanıcıları tanımlamak, örneğin sahtekarlık durumlarını tespit etmek için kullanılabilmesi olasılığı varsa, e-posta adresleri kişisel veri olarak kabul edilir. Bu bağlamda, şirketin e-posta adreslerini bu amaç için kullanıp kullanmadığı önemli değildir. Yasa, verinin gerçek bir kişiyi tanımlayan bir amaç için kullanılabilme olasılığı bulunduğunda kişisel verilerden bahseder. [2]

Özel kişisel veriler

E-posta adresleri çoğu zaman kişisel veri olarak kabul edilirken, özel kişisel veriler değildir. Özel kişisel veriler, ırksal veya etnik köken, siyasi görüşler, dini veya felsefi inançlar veya ticaret üyeliği ve genetik veya biyometrik verilerdir. Bu, 9. madde GDPR'den türetilmiştir. Ayrıca, bir e-posta adresi, örneğin bir ev adresinden daha az genel bilgi içerir. Bir kişinin e-posta adresi hakkında ev adresinden bilgi edinmek daha zordur ve e-posta adresinin kullanıcı adına büyük ölçüde, e-posta adresinin herkese açık olup olmadığına bağlıdır. Ayrıca, gizli kalması gereken bir e-posta adresinin bulunmasının, gizli kalması gereken bir ev adresini keşfetmekten daha az ciddi sonuçları vardır. Bir e-posta adresini ev adresinden değiştirmek daha kolaydır ve bir e-posta adresinin bulunması dijital kişiye, ev adresinin bulunması ise kişisel kişiye yol açabilir. [3]

Kişisel verilerin işlenmesi

E-posta adreslerinin çoğu zaman kişisel veri olarak kabul edildiğini tespit ettik. Ancak, GDPR yalnızca kişisel verileri işleyen şirketler için geçerlidir. Kişisel verilerin işlenmesi, kişisel verilerle ilgili her işlemde mevcuttur. Bu GDPR'de ayrıca tanımlanmıştır. Madde 4 alt 2 GDPR'ye göre, kişisel verilerin işlenmesi, otomatik yolla olsun olmasın, kişisel veriler üzerinde gerçekleştirilen herhangi bir işlem anlamına gelir. Örnekler, kişisel verilerin toplanması, kaydedilmesi, düzenlenmesi, yapılandırılması, saklanması ve kullanılmasıdır. Şirketler e-posta adresleriyle ilgili olarak yukarıda belirtilen faaliyetleri gerçekleştirdiğinde, kişisel verileri işliyorlar. Bu durumda, GSYİH'ye tabidirler.

Sonuç

Her e-posta adresi kişisel veri olarak kabul edilmez. Ancak, e-posta adresleri, gerçek bir kişi hakkında tanımlanabilir bilgi sağladıklarında kişisel veriler olarak kabul edilir. Birçok e-posta adresi, e-posta adresini kullanan gerçek kişinin tanımlanabileceği şekilde yapılandırılmıştır. Bu, e-posta adresinin gerçek bir kişinin adını veya işyerini içerdiği durumdur. Bu nedenle, birçok e-posta adresi kişisel veri olarak kabul edilecektir. Şirketlerin kişisel veri olarak kabul edilen e-posta adresleri ile olmayan e-posta adresleri arasında bir ayrım yapması zordur, çünkü bu tamamen e-posta adresinin yapısına bağlıdır. Bu nedenle, kişisel verileri işleyen şirketlerin kişisel veri olarak kabul edilen e-posta adresleriyle karşılaşacağını söylemek güvenlidir. Bu, bu şirketlerin GSYİH'ye tabi olduğu ve GSYİH ile uyumlu bir gizlilik politikası uygulaması gerektiği anlamına gelir.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Parlamento belgeleri II 1979/80, 25 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

paylaş