E-posta adresleri ve GDPR'nin kapsamı. Genel Veri Koruma Yönetmeliği

25'deth Mayıs ayında Genel Veri Koruma Yönetmeliği (GDPR) yürürlüğe girecek. GDPR'nin kurulmasıyla kişisel verilerin korunması giderek daha önemli hale gelmektedir. Şirketler, veri koruma ile ilgili daha sıkı kurallara uymak zorundadır. Ancak, GSYİH'nın taksiti nedeniyle çeşitli sorular ortaya çıkmaktadır. Şirketler için, hangi verilerin kişisel veri olarak kabul edileceği ve GSYİH kapsamına girmediği belirsiz olabilir. E-posta adreslerinde durum böyledir: bir e-posta adresi kişisel veri olarak kabul edilir mi? E-posta adreslerini kullanan şirketler GDPR'ye tabi midir? Bu sorular bu makalede cevaplanacaktır.

Kişisel veri

Bir e-posta adresinin kişisel veri olarak kabul edilip edilmeyeceği sorusunu cevaplamak için kişisel veri teriminin tanımlanması gerekir. Bu terim GDPR'de açıklanmaktadır. GDPR'nin 4. maddesine dayanarak, kişisel veriler, tanımlanmış veya tanımlanabilir gerçek bir kişiyle ilgili herhangi bir bilgi anlamına gelir. Tanımlanabilir gerçek kişi, özellikle bir ad, bir kimlik numarası, konum verileri veya çevrimiçi bir tanımlayıcı gibi doğrudan veya dolaylı olarak tanımlanabilen bir kişidir. Kişisel veriler gerçek kişileri ifade eder. Bu nedenle, ölen kişiler veya tüzel kişilerle ilgili bilgiler kişisel veri olarak kabul edilmez.

E-posta adresleri ve GDPR'nin kapsamı

E-mail

Artık kişisel verilerin tanımı belirlendiğine göre, bir e-posta adresinin kişisel veri olarak kabul edilip edilmediğinin değerlendirilmesi gerekmektedir. Hollanda içtihadı, e-posta adreslerinin muhtemelen kişisel veri olabileceğini, ancak bunun her zaman böyle olmadığını belirtir. E-posta adresine dayalı olarak gerçek bir kişinin tanımlanıp tanımlanamayacağına bağlıdır. [1] E-posta adresinin kişisel veri olarak görülüp görülemeyeceğini belirlemek için kişilerin e-posta adreslerini yapılandırma yolları dikkate alınmalıdır. Pek çok gerçek kişi, e-posta adreslerini, adresin kişisel veri olarak kabul edilmesini sağlayacak şekilde yapılandırır. Bu, örneğin bir e-posta adresinin şu şekilde yapılandırıldığı durumdur: ad.satış@gmail.com. Bu e-posta adresi, adresi kullanan gerçek kişinin adını ve soyadını gösterir. Bu nedenle, bu kişi bu e-posta adresine göre tanımlanabilir. Ticari faaliyetler için kullanılan e-posta adresleri ayrıca kişisel veriler içerebilir. Bu, bir e-posta adresinin aşağıdaki şekilde yapılandırıldığı durumdur: initials.lastname@nameofcompany.com. Bu e-posta adresinden, e-posta adresini kullanan kişinin baş harflerinin ne olduğu, soyadının ne olduğu ve bu kişinin nerede çalıştığı elde edilebilir. Bu nedenle, bu e-posta adresini kullanan kişi, e-posta adresine göre tanımlanabilir.

Bir e-posta adresi, ondan hiçbir gerçek kişi tanımlanamadığında kişisel veri olarak kabul edilmez. Bu, örneğin aşağıdaki e-posta adresinin kullanıldığı durumdur: köpek12@hotmail.com. Bu e-posta adresi, gerçek bir kişinin tanımlanabileceği herhangi bir veri içermez. İnfo@nameofany.com gibi şirketler tarafından kullanılan genel e-posta adresleri de kişisel veri olarak kabul edilmez. Bu e-posta adresi, gerçek bir kişinin tanımlanabileceği herhangi bir kişisel bilgi içermez. Ayrıca, e-posta adresi gerçek bir kişi tarafından değil, tüzel kişi tarafından kullanılır. Bu nedenle kişisel veri olarak değerlendirilmez. Hollanda içtihatlarından, e-posta adreslerinin kişisel veri olabileceği sonucuna varılabilir, ancak bu her zaman böyle değildir; e-posta adresinin yapısına bağlıdır.

Gerçek kişilerin kullandıkları e-posta adresiyle tanımlanabilmeleri büyük bir olasılıktır, bu da e-posta adreslerini kişisel veriler yapar. E-posta adreslerini kişisel veri olarak sınıflandırmak için, şirketin kullanıcıları tanımlamak için gerçekten e-posta adreslerini kullanıp kullanmadığı önemli değildir. Bir şirket e-posta adreslerini gerçek kişilerin tanımlanması amacıyla kullanmasa bile, gerçek kişilerin tanımlanabileceği e-posta adresleri yine de kişisel veri olarak kabul edilir. Verileri kişisel veri olarak atamak için bir kişi ile veri arasındaki her teknik veya tesadüfi bağlantı yeterli değildir. Ancak, e-posta adreslerinin kullanıcıları tanımlamak, örneğin sahtekarlık durumlarını tespit etmek için kullanılabilmesi olasılığı varsa, e-posta adresleri kişisel veri olarak kabul edilir. Bu bağlamda, şirketin e-posta adreslerini bu amaç için kullanıp kullanmadığı önemli değildir. Yasa, verinin gerçek bir kişiyi tanımlayan bir amaç için kullanılabilme olasılığı bulunduğunda kişisel verilerden bahseder. [2]

Özel kişisel veriler

E-posta adresleri çoğu zaman kişisel veri olarak kabul edilirken, özel kişisel veriler değildir. Özel kişisel veriler, ırksal veya etnik köken, siyasi görüşler, dini veya felsefi inançlar veya ticaret üyeliği ve genetik veya biyometrik verilerdir. Bu, 9. madde GDPR'den türetilmiştir. Ayrıca, bir e-posta adresi, örneğin bir ev adresinden daha az genel bilgi içerir. Bir kişinin e-posta adresi hakkında ev adresinden bilgi edinmek daha zordur ve e-posta adresinin kullanıcı adına büyük ölçüde, e-posta adresinin herkese açık olup olmadığına bağlıdır. Ayrıca, gizli kalması gereken bir e-posta adresinin bulunmasının, gizli kalması gereken bir ev adresini keşfetmekten daha az ciddi sonuçları vardır. Bir e-posta adresini ev adresinden değiştirmek daha kolaydır ve bir e-posta adresinin bulunması dijital kişiye, ev adresinin bulunması ise kişisel kişiye yol açabilir. [3]

Kişisel verilerin işlenmesi

E-posta adreslerinin çoğu zaman kişisel veri olarak kabul edildiğini tespit ettik. Ancak, GDPR yalnızca kişisel verileri işleyen şirketler için geçerlidir. Kişisel verilerin işlenmesi, kişisel verilerle ilgili her işlemde mevcuttur. Bu GDPR'de ayrıca tanımlanmıştır. Madde 4 alt 2 GDPR'ye göre, kişisel verilerin işlenmesi, otomatik yolla olsun olmasın, kişisel veriler üzerinde gerçekleştirilen herhangi bir işlem anlamına gelir. Örnekler, kişisel verilerin toplanması, kaydedilmesi, düzenlenmesi, yapılandırılması, saklanması ve kullanılmasıdır. Şirketler e-posta adresleriyle ilgili olarak yukarıda belirtilen faaliyetleri gerçekleştirdiğinde, kişisel verileri işliyorlar. Bu durumda, GSYİH'ye tabidirler.

Sonuç

Her e-posta adresi kişisel veri olarak kabul edilmez. Ancak, e-posta adresleri, gerçek bir kişi hakkında tanımlanabilir bilgi sağladıklarında kişisel veriler olarak kabul edilir. Birçok e-posta adresi, e-posta adresini kullanan gerçek kişinin tanımlanabileceği şekilde yapılandırılmıştır. Bu, e-posta adresinin gerçek bir kişinin adını veya işyerini içerdiği durumdur. Bu nedenle, birçok e-posta adresi kişisel veri olarak kabul edilecektir. Şirketlerin kişisel veri olarak kabul edilen e-posta adresleri ile olmayan e-posta adresleri arasında bir ayrım yapması zordur, çünkü bu tamamen e-posta adresinin yapısına bağlıdır. Bu nedenle, kişisel verileri işleyen şirketlerin kişisel veri olarak kabul edilen e-posta adresleriyle karşılaşacağını söylemek güvenlidir. Bu, bu şirketlerin GSYİH'ye tabi olduğu ve GSYİH ile uyumlu bir gizlilik politikası uygulaması gerektiği anlamına gelir.

[1] ECLI: NL: GHAMS: 2002: AE5514.

[2] Parlamento belgeleri II 1979/80, 25 (MvT).

[3] ECLI: NL: GHAMS: 2002: AE5514.

paylaş