Peraturan Perlindungan Data Umum
Di 25th bulan Mei, Peraturan Perlindungan Data Umum (GDPR) akan mulai berlaku. Dengan pemasangan GDPR, perlindungan data pribadi menjadi semakin penting. Perusahaan harus memperhitungkan aturan yang lebih ketat tentang perlindungan data. Namun, berbagai pertanyaan muncul sebagai akibat dari angsuran GDPR. Untuk perusahaan, mungkin tidak jelas data mana yang dianggap sebagai data pribadi dan berada di bawah ruang lingkup GDPR. Ini adalah kasus dengan alamat email: apakah alamat email dianggap sebagai data pribadi? Apakah perusahaan yang menggunakan alamat email tunduk pada GDPR? Pertanyaan-pertanyaan ini akan dijawab dalam artikel ini.
Data pribadi
Untuk menjawab pertanyaan apakah alamat email dianggap data pribadi atau tidak, istilah data pribadi perlu didefinisikan. Istilah ini dijelaskan dalam GDPR. Berdasarkan pasal 4 sub GDPR, data pribadi berarti segala informasi yang berkaitan dengan orang alami yang diidentifikasi atau dapat diidentifikasi. Orang alami yang dapat diidentifikasi adalah orang yang dapat diidentifikasi, secara langsung atau tidak langsung, khususnya sehubungan dengan pengidentifikasi seperti nama, nomor identifikasi, data lokasi, atau pengenal online. Data pribadi mengacu pada orang alami. Oleh karena itu, informasi mengenai orang yang meninggal atau badan hukum tidak dianggap sebagai data pribadi.
Alamat email
Setelah definisi data pribadi ditentukan, perlu dipastikan apakah alamat email dianggap sebagai data pribadi. Hukum kasus Belanda menunjukkan bahwa alamat email mungkin merupakan data pribadi, tetapi tidak selalu demikian. Itu tergantung apakah seseorang diidentifikasi atau dikenali berdasarkan alamat email atau tidak. [1] Cara orang menyusun alamat email mereka harus diperhitungkan untuk menentukan apakah alamat email dapat dilihat sebagai data pribadi atau tidak. Banyak perorangan menyusun alamat email mereka sedemikian rupa sehingga alamat tersebut harus dianggap sebagai data pribadi. Ini adalah contoh kasus ketika sebuah alamat email disusun dengan cara berikut: firstname.lastname@gmail.com. Alamat email ini memperlihatkan nama depan dan belakang orang yang menggunakan alamat tersebut. Karenanya, orang ini dapat dikenali berdasarkan alamat email ini. Alamat email yang digunakan untuk kegiatan bisnis juga bisa berisi data pribadi. Ini adalah kasus ketika alamat email disusun dengan cara berikut: inisial nama belakang@nama perusahaan.com. Dari alamat email ini dapat diketahui inisial orang yang menggunakan alamat email tersebut, apa nama belakangnya dan di mana orang tersebut bekerja. Oleh karena itu, orang yang menggunakan alamat email ini dapat diidentifikasi berdasarkan alamat email tersebut.
Alamat email tidak dianggap sebagai data pribadi jika tidak ada orang yang dapat diidentifikasi darinya. Ini adalah kasus ketika misalnya alamat email berikut digunakan: puppy12@hotmail.com. Alamat email ini tidak berisi data yang dapat mengidentifikasi seseorang. Alamat email umum yang digunakan oleh perusahaan, seperti info@nameofcompany.com, juga tidak dianggap sebagai data pribadi. Alamat email ini tidak mengandung informasi pribadi yang dapat mengidentifikasi seseorang. Selain itu, alamat email tidak digunakan oleh perorangan, tetapi oleh badan hukum. Oleh karena itu, ini tidak dianggap sebagai data pribadi. Dari kasus hukum Belanda dapat disimpulkan bahwa alamat email dapat menjadi data pribadi, tetapi tidak selalu demikian; itu tergantung dari struktur alamat email.
Ada kemungkinan besar bahwa orang perorangan dapat diidentifikasi oleh alamat email yang mereka gunakan, yang membuat alamat email data pribadi. Untuk mengklasifikasikan alamat email sebagai data pribadi, tidak masalah jika perusahaan benar-benar menggunakan alamat email untuk mengidentifikasi pengguna. Bahkan jika perusahaan tidak menggunakan alamat email dengan tujuan identifikasi orang alami, alamat email dari mana orang perorangan dapat diidentifikasi masih dianggap sebagai data pribadi. Tidak setiap koneksi teknis atau kebetulan antara seseorang dan data cukup untuk menunjuk data sebagai data pribadi. Namun, jika ada kemungkinan bahwa alamat email dapat digunakan untuk mengidentifikasi pengguna, misalnya untuk mendeteksi kasus penipuan, alamat email dianggap sebagai data pribadi. Dalam hal ini, tidak masalah apakah perusahaan bermaksud atau tidak menggunakan alamat email untuk tujuan ini. Hukum berbicara tentang data pribadi ketika ada kemungkinan bahwa data dapat digunakan untuk tujuan yang mengidentifikasi orang secara alami. [2]
Data pribadi khusus
Meskipun alamat email sering dianggap sebagai data pribadi, mereka bukan data pribadi yang istimewa. Data pribadi khusus adalah data pribadi yang mengungkapkan asal ras atau etnis, pendapat politik, kepercayaan agama atau filosofis atau keanggotaan perdagangan, dan data genetik atau biometrik. Ini berasal dari artikel 9 GDPR. Juga, alamat email mengandung informasi publik yang lebih sedikit daripada misalnya alamat rumah. Lebih sulit untuk mendapatkan pengetahuan tentang alamat email seseorang daripada alamat rumahnya dan itu tergantung sebagian besar pada pengguna alamat email tersebut apakah alamat email itu dipublikasikan atau tidak. Lebih jauh, penemuan alamat email yang seharusnya tetap tersembunyi, memiliki konsekuensi yang kurang serius daripada penemuan alamat rumah yang seharusnya tetap tersembunyi. Lebih mudah untuk mengubah alamat email daripada alamat rumah dan penemuan alamat email dapat mengarah ke kontak digital, sementara penemuan alamat rumah dapat mengarah ke kontak pribadi. [3]
Memproses data pribadi
Kami telah menetapkan bahwa sebagian besar alamat email dianggap sebagai data pribadi. Namun, GDPR hanya berlaku untuk perusahaan yang memproses data pribadi. Pemrosesan data pribadi ada dari setiap tindakan yang berkaitan dengan data pribadi. Ini didefinisikan lebih lanjut dalam GDPR. Menurut pasal 4 ayat 2 GDPR, pemrosesan data pribadi berarti setiap operasi yang dilakukan pada data pribadi, baik secara otomatis maupun tidak. Contohnya adalah pengumpulan, perekaman, pengorganisasian, penataan, penyimpanan, dan penggunaan data pribadi. Ketika perusahaan melakukan kegiatan yang disebutkan di atas berkenaan dengan alamat email, mereka sedang memproses data pribadi. Dalam hal ini, mereka tunduk pada GDPR.
Kesimpulan
Tidak setiap alamat email dianggap sebagai data pribadi. Namun, alamat email dianggap sebagai data pribadi ketika mereka memberikan informasi yang dapat diidentifikasi tentang orang alami. Banyak alamat email disusun sedemikian rupa sehingga orang alami yang menggunakan alamat email dapat diidentifikasi. Ini adalah kasus ketika alamat email berisi nama atau tempat kerja orang alami. Karena itu, banyak alamat email akan dianggap sebagai data pribadi. Sulit bagi perusahaan untuk membuat perbedaan antara alamat email yang dianggap sebagai data pribadi dan alamat email yang tidak, karena ini sepenuhnya tergantung pada struktur alamat email. Oleh karena itu, aman untuk mengatakan bahwa perusahaan yang memproses data pribadi, akan menemukan alamat email yang dianggap sebagai data pribadi. Ini berarti bahwa perusahaan-perusahaan ini tunduk pada GDPR dan harus menerapkan kebijakan privasi yang sesuai dengan GDPR.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.