Peraturan Perlindungan Data Umum (GDPR)
Di 25th bulan Mei, Peraturan Perlindungan Data Umum (GDPR) akan mulai berlaku. Dengan pemasangan GDPR, perlindungan data pribadi menjadi semakin penting. Perusahaan harus memperhitungkan aturan yang lebih ketat tentang perlindungan data. Namun, berbagai pertanyaan muncul sebagai akibat dari angsuran GDPR. Untuk perusahaan, mungkin tidak jelas data mana yang dianggap sebagai data pribadi dan berada di bawah ruang lingkup GDPR. Ini adalah kasus dengan alamat email: apakah alamat email dianggap sebagai data pribadi? Apakah perusahaan yang menggunakan alamat email tunduk pada GDPR? Pertanyaan-pertanyaan ini akan dijawab dalam artikel ini.
Data pribadi
Untuk menjawab pertanyaan apakah alamat email dianggap data pribadi atau tidak, istilah data pribadi perlu didefinisikan. Istilah ini dijelaskan dalam GDPR. Berdasarkan pasal 4 sub GDPR, data pribadi berarti segala informasi yang berkaitan dengan orang alami yang diidentifikasi atau dapat diidentifikasi. Orang alami yang dapat diidentifikasi adalah orang yang dapat diidentifikasi, secara langsung atau tidak langsung, khususnya sehubungan dengan pengidentifikasi seperti nama, nomor identifikasi, data lokasi, atau pengenal online. Data pribadi mengacu pada orang alami. Oleh karena itu, informasi mengenai orang yang meninggal atau badan hukum tidak dianggap sebagai data pribadi.
Alamat email
Sekarang setelah definisi data pribadi ditentukan, perlu dinilai apakah alamat email dianggap sebagai data pribadi. Kasus Belanda hukum menunjukkan bahwa alamat email mungkin merupakan data pribadi, tetapi hal ini tidak selalu terjadi. Hal ini tergantung pada apakah seseorang dapat diidentifikasi atau dapat diidentifikasi berdasarkan alamat email tersebut.[1] Cara seseorang menyusun alamat email mereka harus diperhitungkan untuk menentukan apakah alamat email tersebut dapat dianggap sebagai data pribadi atau tidak.
Banyak orang yang menyusun alamat email mereka sedemikian rupa sehingga alamat tersebut harus dianggap sebagai data pribadi. Misalnya, alamat email disusun dengan cara berikut: [email dilindungi]Alamat email ini menampilkan nama depan dan nama belakang orang yang menggunakan alamat tersebut.
Oleh karena itu, orang tersebut dapat diidentifikasi berdasarkan alamat email tersebut. Alamat email yang digunakan untuk kegiatan bisnis juga dapat berisi data pribadi. Hal ini terjadi jika alamat email disusun dengan cara berikut: [email dilindungi]Dari alamat email ini dapat diketahui inisial orang yang menggunakan alamat email tersebut, nama belakangnya, dan tempat kerjanya. Dengan demikian, orang yang menggunakan alamat email ini dapat diidentifikasi berdasarkan alamat email tersebut.
Alamat email tidak dianggap sebagai data pribadi jika tidak ada orang yang dapat diidentifikasi dari alamat tersebut. Hal ini berlaku jika alamat email berikut digunakan: [email dilindungi]Alamat email ini tidak berisi data apa pun yang dapat digunakan untuk mengidentifikasi seseorang. Alamat email umum yang digunakan oleh perusahaan, seperti [email dilindungi], juga tidak dianggap sebagai data pribadi.
Alamat email ini tidak memuat informasi pribadi apa pun yang dapat digunakan untuk mengidentifikasi seseorang. Selain itu, alamat email tersebut tidak digunakan oleh seseorang, melainkan oleh badan hukum. Oleh karena itu, alamat email tersebut tidak dianggap sebagai data pribadi. Berdasarkan yurisprudensi Belanda, dapat disimpulkan bahwa alamat email dapat menjadi data pribadi, tetapi tidak selalu demikian; tergantung pada struktur alamat email tersebut.
Ada kemungkinan besar bahwa orang perseorangan dapat diidentifikasi melalui alamat email yang mereka gunakan, yang menjadikan alamat email sebagai data pribadi. Untuk menggolongkan alamat email sebagai data pribadi, tidak menjadi masalah jika perusahaan benar-benar menggunakan alamat email tersebut untuk mengidentifikasi pengguna. Bahkan jika perusahaan tidak menggunakan alamat email tersebut dengan tujuan mengidentifikasi orang perseorangan, alamat email yang dapat digunakan untuk mengidentifikasi orang perseorangan tetap dianggap sebagai data pribadi.
Tidak semua hubungan teknis atau kebetulan antara seseorang dengan data cukup untuk menetapkan data tersebut sebagai data pribadi. Namun, jika ada kemungkinan bahwa alamat email dapat digunakan untuk mengidentifikasi pengguna, misalnya untuk mendeteksi kasus penipuan, alamat email dianggap sebagai data pribadi. Dalam hal ini, tidak menjadi masalah apakah perusahaan bermaksud menggunakan alamat email untuk tujuan ini atau tidak. Hukum berbicara tentang data pribadi ketika ada kemungkinan bahwa data tersebut dapat digunakan untuk tujuan yang mengidentifikasi orang perseorangan.[2]
Data pribadi khusus
Meskipun alamat email sering dianggap sebagai data pribadi, namun alamat email bukanlah data pribadi khusus. Data pribadi khusus adalah data pribadi yang mengungkapkan asal ras atau etnis, pendapat politik, kepercayaan agama atau filosofis atau keanggotaan perdagangan, dan data genetik atau biometrik. Hal ini berasal dari pasal 9 GDPR. Selain itu, alamat email berisi lebih sedikit informasi publik daripada misalnya rumah alamat.
Lebih sulit untuk mengetahui alamat email seseorang daripada alamat rumahnya dan sebagian besar tergantung pada pengguna alamat email tersebut, apakah alamat email tersebut dipublikasikan atau tidak. Lebih jauh lagi, penemuan alamat email yang seharusnya tetap tersembunyi, memiliki konsekuensi yang tidak terlalu serius daripada penemuan alamat rumah yang seharusnya tetap tersembunyi. Lebih mudah untuk mengubah alamat email daripada alamat rumah dan penemuan alamat email dapat mengarah pada kontak digital, sedangkan penemuan alamat rumah dapat mengarah pada kontak pribadi.[3]
Memproses data pribadi
Kami telah menetapkan bahwa sebagian besar alamat email dianggap sebagai data pribadi. Namun, GDPR hanya berlaku untuk perusahaan yang memproses data pribadi. Pemrosesan data pribadi ada dari setiap tindakan yang berkaitan dengan data pribadi. Ini didefinisikan lebih lanjut dalam GDPR. Menurut pasal 4 ayat 2 GDPR, pemrosesan data pribadi berarti setiap operasi yang dilakukan pada data pribadi, baik secara otomatis maupun tidak. Contohnya adalah pengumpulan, perekaman, pengorganisasian, penataan, penyimpanan, dan penggunaan data pribadi. Ketika perusahaan melakukan kegiatan yang disebutkan di atas berkenaan dengan alamat email, mereka sedang memproses data pribadi. Dalam hal ini, mereka tunduk pada GDPR.
Kesimpulan
Tidak semua alamat email dianggap sebagai data pribadi. Akan tetapi, alamat email dianggap sebagai data pribadi jika alamat tersebut memberikan informasi yang dapat diidentifikasi tentang seseorang. Banyak alamat email yang terstruktur sedemikian rupa sehingga orang yang menggunakan alamat email tersebut dapat diidentifikasi. Hal ini terjadi jika alamat email tersebut memuat nama atau tempat kerja seseorang. Oleh karena itu, banyak alamat email yang akan dianggap sebagai data pribadi.
Sulit bagi perusahaan untuk membedakan antara alamat email yang dianggap sebagai data pribadi dan alamat email yang bukan, karena hal ini sepenuhnya bergantung pada struktur alamat email. Oleh karena itu, dapat dikatakan bahwa perusahaan yang memproses data pribadi akan menemukan alamat email yang dianggap sebagai data pribadi. Ini berarti bahwa perusahaan-perusahaan ini tunduk pada GDPR dan harus menerapkan kebijakan privasi yang compliant dengan GDPR.
[1] ECLI: NL: GHAMS: 2002: AE5514.
[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).
[3] ECLI: NL: GHAMS: 2002: AE5514.