Що таке GDPR. Визначення персональних даних.

У світі цифрових технологій персональні дані стали цінним активом і предметом серйозного занепокоєння як окремих осіб, так організацій. Як наслідок, з’явився європейський закон про захист персональних даних.

General Data Protection Regulation (GDPR) – це загальний регламент захисту персональних даних, введений в дію 25 травня 2018 р. Європейським союзом (ЄС), відіграє ключову роль у забезпеченні конфіденційності та прав резидентів ЄС щодо їх персональних даних. Більш детально з GDPR та вашими потенційними зобов’язаннями, а також штрафами можна ознайомитись у наших публікаціях за посиланням.

Метою даної статті є пролити світло на те, що являють собою персональні дані в рамках GDPR, а також на кого поширюється GDPR.

Персональні дані, згідно з визначенням GDPR, є будь-якою інформацією, що відноситься до фізичної особи, яка називається суб’єктом даних, що дозволяє ідентифікувати її. Ця інформація може бути безпосередньо пов’язана з людиною, наприклад, її ім’я або місцезнаходження, або побічно пов’язана з нею через такі ідентифікатори, як фізичні, генетичні чи соціальні характеристики.

Широке охоплення визначення персональних даних включає ще більш широкий спектр самих даних. Хоча певна інформація сама по собі не може ідентифікувати конкретну людину, однак у поєднанні з додатковими елементами даних вона може призвести до ідентифікації цієї особи, що дозволяє віднести навіть, з першого погляду, “нешкідливу” інформацію – до категорії персональних даних.

GDPR закріплює певний принцип, згідно з яким ви не можете збирати більше даних, ніж дійсно необхідно для надання послуги та дотримання законодавчих вимог. Контроль за тим, які персональні дані суб’єктів збираються, якими методами, прозорість таких методів, а також наявність згоди та належного повідомлення суб’єкта даних перевіряється компетентними органами зі списком яких можна прозназнайомитися за посиланням.

Що є персональними даними згідно GDPR

Виявлення порушення обов’язків перед суб’єктом даних спричинить відповідальність у вигляді великого штрафу. Більш детально зі штрафами за недотримання регламенту ви можете ознайомитись у нашій статті: “GDPR. Сфера використання. Хто має відповідати”.

Для визначення того, чи належить інформація до персональних даних, радою захисту персональних даних за ст. 29 GDPR наведено конкретні стандарти для такого визначення:

• Виділення: Чи можна виділити визначити людину з цих даних?
• Зв’язуваність: Чи можна пов’язати дані з конкретною інформацією в мережі, що стосується тієї чи іншої особи?
• Висновок: Чи можна зробити висновок про належність даних до тієї чи іншої людини?

Якщо на будь-яке з вищезазначених питань отримано позитивну відповідь, то дані або набори даних будуть вважатися персональними даними. Насправді, якщо існує хоча б віддалена можливість ідентифікувати людину за допомогою або без допомоги додаткових елементів даних, або якщо залишається залишковий ризик ідентифікації після деідентифікації, набір даних підпадає під категорію персональних даних.

До поширених прикладів персональних даних відносяться: імена, ідентифікаційні номери, адреси, IP-адреси, номери телефонів, адреси електронної пошти, номерні знаки, дані про трафік в інтернеті, файли cookie і навіть колір волосся.

Говорячи більш предметно, відповідно до GDPR персональні дані охоплюють різні категорії даних, такі як:

• Базові ідентифікатори: До цієї категорії належать такі дані, як імена, адреси, номери телефонів та адреси електронної пошти, які безпосередньо ідентифікують людину.
• Дані з “підвищеною чутливістю”: GDPR передбачає деякі типи даних як особливо чутливі та підлягають жорсткішим заходам захисту. До них відноситься інформація про расове або етнічне походження, політичні погляди, релігійні або філософські переконання, членство в різних організаціях, генетичні дані, біометричні дані, дані про стан здоров’я, а також дані, що стосуються сексуального життя або сексуальної орієнтації людини. Розкриття або витік таких даних може завдати набагато більшої шкоди суб’єкту таких даних.
• Онлайн ID: Дані, зібрані за допомогою cookies, IP-адрес, ідентифікаторів пристроїв та інших механізмів відстеження в режимі онлайн, також вважаються персональними даними відповідно до GDPR, якщо вони можуть бути пов’язані з ідентифікованою фізичною особою.
• Фінансова інформація: До персональних даних також відносяться банківські реквізити, номери кредитних карток та інша фінансова інформація, що дозволяє визначити економічний статус людини.
• Соціальні мережі та поведінкові дані: Інформація, отримана з профілів соціальних мереж, історії відвідувань та поведінки в Інтернеті, якщо вона пов’язана з особою, що ідентифікується, підпадає під поняття персональних даних.

На кого поширюютьсяпринципи GDPR?

Важливо, що принципи захисту даних поширюються лише з фізичних осіб. У GDPR підкреслюється, що для того, щоб дані вважалися персональними, вони повинні відноситись до живої людини. Отже, дія закону не поширюється на юридичних осіб.

Розуміння широти визначення персональних даних у GDPR має вирішальне значення для дотримання правил захисту даних та поваги до прав приватних осіб на недоторканність приватного життя. Дотримання цих рекомендацій дозволить організаціям забезпечити відповідальне поводження з персональними даними та зміцнити довіру до своїх клієнтів та підрядників.