У світі цифрових технологій персональні дані стали цінним активом і предметом серйозного занепокоєння як окремих осіб, так організацій. Як наслідок, з’явився європейський закон про захист персональних даних.
General Data Protection Regulation (GDPR) – це загальний регламент захисту персональних даних, введений в дію 25 травня 2018 р. Європейським союзом (ЄС), відіграє ключову роль у забезпеченні конфіденційності та прав резидентів ЄС щодо їх персональних даних. Більш детально з GDPR та вашими потенційними зобов’язаннями, а також штрафами можна ознайомитись у наших публікаціях за посиланням.
Метою даної статті є пролити світло на те, що являють собою персональні дані в рамках GDPR, а також на кого поширюється GDPR.
Персональні дані, згідно з визначенням GDPR, є будь-якою інформацією, що відноситься до фізичної особи, яка називається суб’єктом даних, що дозволяє ідентифікувати її. Ця інформація може бути безпосередньо пов’язана з людиною, наприклад, її ім’я або місцезнаходження, або побічно пов’язана з нею через такі ідентифікатори, як фізичні, генетичні чи соціальні характеристики.
Широке охоплення визначення персональних даних включає ще більш широкий спектр самих даних. Хоча певна інформація сама по собі не може ідентифікувати конкретну людину, однак у поєднанні з додатковими елементами даних вона може призвести до ідентифікації цієї особи, що дозволяє віднести навіть, з першого погляду, “нешкідливу” інформацію – до категорії персональних даних.
GDPR закріплює певний принцип, згідно з яким ви не можете збирати більше даних, ніж дійсно необхідно для надання послуги та дотримання законодавчих вимог. Контроль за тим, які персональні дані суб’єктів збираються, якими методами, прозорість таких методів, а також наявність згоди та належного повідомлення суб’єкта даних перевіряється компетентними органами зі списком яких можна прозназнайомитися за посиланням.
Виявлення порушення обов’язків перед суб’єктом даних спричинить відповідальність у вигляді великого штрафу. Більш детально зі штрафами за недотримання регламенту ви можете ознайомитись у нашій статті: “GDPR. Сфера використання. Хто має відповідати”.
Якщо на будь-яке з вищезазначених питань отримано позитивну відповідь, то дані або набори даних будуть вважатися персональними даними. Насправді, якщо існує хоча б віддалена можливість ідентифікувати людину за допомогою або без допомоги додаткових елементів даних, або якщо залишається залишковий ризик ідентифікації після деідентифікації, набір даних підпадає під категорію персональних даних.
До поширених прикладів персональних даних відносяться: імена, ідентифікаційні номери, адреси, IP-адреси, номери телефонів, адреси електронної пошти, номерні знаки, дані про трафік в інтернеті, файли cookie і навіть колір волосся.
Важливо, що принципи захисту даних поширюються лише з фізичних осіб. У GDPR підкреслюється, що для того, щоб дані вважалися персональними, вони повинні відноситись до живої людини. Отже, дія закону не поширюється на юридичних осіб.
Розуміння широти визначення персональних даних у GDPR має вирішальне значення для дотримання правил захисту даних та поваги до прав приватних осіб на недоторканність приватного життя. Дотримання цих рекомендацій дозволить організаціям забезпечити відповідальне поводження з персональними даними та зміцнити довіру до своїх клієнтів та підрядників.