E-posta adresleri ve GDPR'nin kapsamı. Genel Veri Koruma Yönetmeliği

25'deth Mayıs ayında Genel Veri Koruma Yönetmeliği (GDPR) yürürlüğe girecek. GDPR'nin kurulmasıyla kişisel verilerin korunması giderek daha önemli hale gelmektedir. Şirketler, veri koruma ile ilgili daha sıkı kurallara uymak zorundadır. Ancak, GSYİH'nın taksiti nedeniyle çeşitli sorular ortaya çıkmaktadır. Şirketler için, hangi verilerin kişisel veri olarak kabul edileceği ve GSYİH kapsamına girmediği belirsiz olabilir. E-posta adreslerinde durum böyledir: bir e-posta adresi kişisel veri olarak kabul edilir mi? E-posta adreslerini kullanan şirketler GDPR'ye tabi midir? Bu sorular bu makalede cevaplanacaktır.

Kişisel veri

Bir e-posta adresinin kişisel veri olarak kabul edilip edilmeyeceği sorusunu cevaplamak için kişisel veri teriminin tanımlanması gerekir. Bu terim GDPR'de açıklanmaktadır. GDPR'nin 4. maddesine dayanarak, kişisel veriler, tanımlanmış veya tanımlanabilir gerçek bir kişiyle ilgili herhangi bir bilgi anlamına gelir. Tanımlanabilir gerçek kişi, özellikle bir ad, bir kimlik numarası, konum verileri veya çevrimiçi bir tanımlayıcı gibi doğrudan veya dolaylı olarak tanımlanabilen bir kişidir. Kişisel veriler gerçek kişileri ifade eder. Bu nedenle, ölen kişiler veya tüzel kişilerle ilgili bilgiler kişisel veri olarak kabul edilmez.

E-posta adresleri ve GDPR'nin kapsamı

E-mail

Artık kişisel verilerin tanımı belirlendiğine göre, bir e-posta adresinin kişisel veriler olarak kabul edilmesi gerekiyorsa değerlendirilmelidir. Hollanda içtihadı, e-posta adreslerinin muhtemelen kişisel veriler olabileceğini, ancak durumun her zaman böyle olmadığını gösterir. Gerçek bir kişinin e-posta adresine göre tanımlanıp tanımlanmayacağına bağlıdır. [1] E-posta adresinin kişisel veri olarak görülüp görülemeyeceğini belirlemek için kişilerin e-posta adreslerini yapılandırma şekli dikkate alınmalıdır. Birçok gerçek kişi, e-posta adreslerini, adres kişisel veriler olarak değerlendirilecek şekilde yapılandırır. Bu, bir e-posta adresinin aşağıdaki şekilde yapılandırıldığı durumdur: [e-posta korumalı] Bu e-posta adresi, adresi kullanan gerçek kişinin adını ve soyadını gösterir. Bu nedenle, bu kişi bu e-posta adresine göre tanımlanabilir. Ticari faaliyetler için kullanılan e-posta adresleri kişisel veriler de içerebilir. Bir e-posta adresi aşağıdaki şekilde yapılandırıldığında durum budur: [e-posta korumalı] Bu e-posta adresinden, e-posta adresini kullanan kişinin baş harflerinin ne olduğu, soyadının ne olduğu ve bu kişinin nerede çalıştığı elde edilebilir. Bu nedenle, bu e-posta adresini kullanan kişi, e-posta adresine göre tanımlanabilir.

E-posta adresi, hiçbir gerçek kişi tanımlanamadığında kişisel veri olarak kabul edilmez. Örneğin, aşağıdaki e-posta adresi kullanıldığında durum budur: [e-posta korumalı] Bu e-posta adresi, gerçek bir kişinin tanımlanabileceği hiçbir veri içermez. Şirketler tarafından kullanılan genel e-posta adresleri, örneğin [e-posta korumalı], ayrıca kişisel veri olarak kabul edilmez. Bu e-posta adresi, gerçek bir kişinin tanımlanabileceği hiçbir kişisel bilgi içermez. Ayrıca, e-posta adresi gerçek bir kişi tarafından değil, tüzel bir kişi tarafından kullanılır. Bu nedenle, kişisel veri olarak kabul edilmez. Hollanda içtihadından, e-posta adreslerinin kişisel veriler olabileceği sonucuna varılabilir, ancak bu her zaman böyle değildir; e-posta adresinin yapısına bağlıdır.

Gerçek kişilerin kullandıkları e-posta adresiyle tanımlanabilmeleri büyük bir olasılıktır, bu da e-posta adreslerini kişisel veriler yapar. E-posta adreslerini kişisel veri olarak sınıflandırmak için, şirketin kullanıcıları tanımlamak için gerçekten e-posta adreslerini kullanıp kullanmadığı önemli değildir. Bir şirket e-posta adreslerini gerçek kişilerin tanımlanması amacıyla kullanmasa bile, gerçek kişilerin tanımlanabileceği e-posta adresleri yine de kişisel veri olarak kabul edilir. Verileri kişisel veri olarak atamak için bir kişi ile veri arasındaki her teknik veya tesadüfi bağlantı yeterli değildir. Ancak, e-posta adreslerinin kullanıcıları tanımlamak, örneğin sahtekarlık durumlarını tespit etmek için kullanılabilmesi olasılığı varsa, e-posta adresleri kişisel veri olarak kabul edilir. Bu bağlamda, şirketin e-posta adreslerini bu amaç için kullanıp kullanmadığı önemli değildir. Yasa, verinin gerçek bir kişiyi tanımlayan bir amaç için kullanılabilme olasılığı bulunduğunda kişisel verilerden bahseder. [2]

Özel kişisel veriler

E-posta adresleri çoğu zaman kişisel veri olarak kabul edilirken, özel kişisel veriler değildir. Özel kişisel veriler, ırksal veya etnik köken, siyasi görüşler, dini veya felsefi inançlar veya ticaret üyeliği ve genetik veya biyometrik verilerdir. Bu, 9. madde GDPR'den türetilmiştir. Ayrıca, bir e-posta adresi, örneğin bir ev adresinden daha az genel bilgi içerir. Bir kişinin e-posta adresi hakkında ev adresinden bilgi edinmek daha zordur ve e-posta adresinin kullanıcı adına büyük ölçüde, e-posta adresinin herkese açık olup olmadığına bağlıdır. Ayrıca, gizli kalması gereken bir e-posta adresinin bulunmasının, gizli kalması gereken bir ev adresini keşfetmekten daha az ciddi sonuçları vardır. Bir e-posta adresini ev adresinden değiştirmek daha kolaydır ve bir e-posta adresinin bulunması dijital kişiye, ev adresinin bulunması ise kişisel kişiye yol açabilir. [3]

Kişisel verilerin işlenmesi

E-posta adreslerinin çoğu zaman kişisel veri olarak kabul edildiğini tespit ettik. Ancak, GDPR yalnızca kişisel verileri işleyen şirketler için geçerlidir. Kişisel verilerin işlenmesi, kişisel verilerle ilgili her işlemde mevcuttur. Bu GDPR'de ayrıca tanımlanmıştır. Madde 4 alt 2 GDPR'ye göre, kişisel verilerin işlenmesi, otomatik yolla olsun olmasın, kişisel veriler üzerinde gerçekleştirilen herhangi bir işlem anlamına gelir. Örnekler, kişisel verilerin toplanması, kaydedilmesi, düzenlenmesi, yapılandırılması, saklanması ve kullanılmasıdır. Şirketler e-posta adresleriyle ilgili olarak yukarıda belirtilen faaliyetleri gerçekleştirdiğinde, kişisel verileri işliyorlar. Bu durumda, GSYİH'ye tabidirler.

Sonuç

Her e-posta adresi kişisel veri olarak kabul edilmez. Ancak, e-posta adresleri, gerçek bir kişi hakkında tanımlanabilir bilgi sağladıklarında kişisel veriler olarak kabul edilir. Birçok e-posta adresi, e-posta adresini kullanan gerçek kişinin tanımlanabileceği şekilde yapılandırılmıştır. Bu, e-posta adresinin gerçek bir kişinin adını veya işyerini içerdiği durumdur. Bu nedenle, birçok e-posta adresi kişisel veri olarak kabul edilecektir. Şirketlerin kişisel veri olarak kabul edilen e-posta adresleri ile olmayan e-posta adresleri arasında bir ayrım yapması zordur, çünkü bu tamamen e-posta adresinin yapısına bağlıdır. Bu nedenle, kişisel verileri işleyen şirketlerin kişisel veri olarak kabul edilen e-posta adresleriyle karşılaşacağını söylemek güvenlidir. Bu, bu şirketlerin GSYİH'ye tabi olduğu ve GSYİH ile uyumlu bir gizlilik politikası uygulaması gerektiği anlamına gelir.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Parlamento belgeleri II 1979/80, 25 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

paylaş
Law & More B.V.