<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">2014-06-13 11:28 GMT+01:00 Andrew Cormack <span dir="ltr"><<a href="mailto:Andrew.Cormack@ja.net" target="_blank">Andrew.Cormack@ja.net</a>></span>:<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">


<br>
Just to add a wrinkle the Privacy and Electronic Communications Regs *do* distinguish between e-mail addresses of "individual subscribers" and others :(<br>
<br>
But even then it's pretty tricky, if you're external to the system, to try to distinguish them - how do you know whether <a href="mailto:andrew.cormack@ja.net" target="_blank">andrew.cormack@ja.net</a> is an 'individual subscriber' or not? Or indeed how do I know which <a href="mailto:marcus@connectotel.com" target="_blank">marcus@connectotel.com</a> is?<br>



<span><font color="#888888"><br></font></span></blockquote></div><div><br></div><div>The definition of personal data, for the purposes of the directive, is (in article 2(a)):</div><div><br></div>"(a) 'personal data' shall mean any information relating to an identified or identifiable natural person ('data subject'); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity;"</div>

<div class="gmail_extra"><br></div><div class="gmail_extra">This is actually quite simple. It asks essentially two questions: (i) does the data relate to a natural person and (ii) are they identifiable (or identified, but of course an identified person is ex hypothesi identifiable).</div>

<div class="gmail_extra"><br></div><div class="gmail_extra">A work email for an individual clearly relates to them. Some "role" email addresses may not (though as Roland points out, it will depend). </div><div class="gmail_extra">

<br></div><div class="gmail_extra">Can _someone_ identify that person? In most cases, yes.</div><div class="gmail_extra"><br></div><div class="gmail_extra">So, in most cases, individuals' work emails will be personal data. It really is meant to be that all-encompassing.</div>

<div class="gmail_extra"><br></div><div class="gmail_extra">You ask "how do I know which ....?" but that is the wrong question. Nothing in A2(a) requires that the person asking the question "is it personal data" can themselves identify the individual, what it requires is that someone can.</div>

<div class="gmail_extra"><br></div><div class="gmail_extra">This is logical and sensible. It means that if you have data that is (say) sensitive health data with secret patient ID's attached so that you can't reidentify the patients, but there is a list identifying them somewhere else, then that is personal data and you have to take care of it, eg by ensuring proper security of it, even though you may not personally be able to misuse it. It might fall into the hands of someone who can misuse it.</div>

<div class="gmail_extra"><br></div><div class="gmail_extra">Now the Data Protection Act 1998 isn't drafted like that. It uses a slightly more restrictive definition of "personal data". I don't believe we've had convincing UK authority that relied on that difference, and I advise clients not to assume that they can get away in the UK with something that Europe clearly forbids.<br>

<div><br></div>-- <br>Francis Davey<br><br>
</div></div>