Что такое GDPR. Определение персональных данных.

В современном мире цифровых технологий персональные данные стали ценным активом и предметом серьезного беспокойства как для отдельных лиц, так и для организаций. Как следствие, появилася европейский закон о защите данных. 

General Data Protection Regulation (GDPR) это — общий регламент защиты персональных данных, введенный в действие 25 мая 2018 г. Европейским союзом (ЕС), играет ключевую роль в обеспечении конфиденциальности и прав резидентов ЕС  в отношении их персональных данных. Более детально с GDPR и вашими потенциальными обязательствами, а также штрафами можно ознакомиться в наших публикациях по ссылке. 

Целью же данной статьи является — пролить свет на то, что представляют собой персональные данные в рамках GDPR, а также на кого распространяется GDPR.

Персональные данные, согласно определению GDPR, представляют собой любую информацию, относящуюся к физическому лицу, называемому субъектом данных, позволяющей идентифицировать его. Эта информация может быть непосредственно связана с человеком, например его имя или местонахождение, или косвенно связана с ним через такие идентификаторы, как физические, генетические или социальные характеристики.

Широкий охват определения персональных данных включает в себя еще более широкий спектр самих данных. Хотя определенная информация сама по себе не может идентифицировать конкретного человека, однако в сочетании с дополнительными элементами данных она может привести к идентификации этого лица, что позволяет отнести даже, с первого взгляда “безобидную” информацию — к категории персональных данных.

GDPR закрепляет определенный принцип, согласно которому вы не можете собирать больше данных, чем действительно необходимо для оказания услуги  и соблюдения законодательных требований. Контроль за тем, какие персональные данные субъектов собираются, какими методами, прозрачность таких методов, а также наличие согласия и должного уведомления субъекта данных проверяется компетентными органами со списком которых можно ознакомиться по ссылке.

Что является персональными данными согласно GDPR

Выявление нарушения обязанностей перед субъектом данных повлечет за собой ответственность в виде крупного штрафа. Более детально со штрафами за не соблюдение политик вы можете ознакомиться в нашей статье: “GDPR. Сфера применения. Кто должен соответствовать”.

Для определения того, относится ли информация к персональным данным, в совета по защите персональных данных по ст. 29 GDPR приведены конкретные стандарты для такого определения:

• Определение: Можно ли выделить определить человека из этих данных?
• Связываемость: Можно ли связать данные с конкретной информацией в сети, относящейся к тому или иному лицу?
• Умозаключение: Можно ли сделать вывод или умозаключение о принадлежности данных к тому или иному человеку?

Если на любой из вышеперечисленных вопросов получен положительный ответ, то данные или наборы данных будут считаться персональными данными. По сути, если существует хотя бы отдаленная возможность идентифицировать человека с помощью или без помощи дополнительных элементов данных, или если остается остаточный риск повторной идентификации после деидентификации, набор данных подпадает под категорию персональных данных.

К числу распространенных примеров персональных данных относятся: имена, идентификационные номера, адреса, IP-адреса, номера телефонов, адреса электронной почты, номерные знаки, данные о трафике в интернете, файлы cookie и даже цвет волос.

Говоря более предметно, в соответствии с GDPR персональные данные охватывают различные категории данных, такие как:

• Базовые идентификаторы: К этой категории относятся такие данные, как имена, адреса, номера телефонов и адреса электронной почты, которые непосредственно идентифицируют человека.
• Данные с “повышенной чувствительностью”: GDPR предусматривает некоторые типы данных как особо чувствительные и подлежащие более строгим мерам защиты. К ним относится информация о расовом или этническом происхождении, политических взглядах, религиозных или философских убеждениях, членстве в различных организациях, генетические данные, биометрические данные, данные о состоянии здоровья, а также данные, касающиеся сексуальной жизни или сексуальной ориентации человека. Раскрытие или утечка таких данных может причинить намного больший вред субъекту таких данных.
• Онлайн-идентификаторы: Данные, собранные с помощью cookies, IP-адресов, идентификаторов устройств и других механизмов отслеживания в режиме онлайн, также считаются персональными данными в соответствии с GDPR, если они могут быть связаны с идентифицируемым физическим лицом.
• Финансовая информация: К персональным данным также относятся банковские реквизиты, номера кредитных карт и другая финансовая информация, позволяющая определить экономический статус человека.
• Социальные сети и поведенческие данные: Информация, полученная из профилей социальных сетей, истории посещений и поведения в Интернете, если она связана с идентифицируемым лицом, подпадает под понятие персональных данных.

На кого распространяются принципы GDPR

Важно, что принципы защиты данных распространяются только на физических лиц. В GDPR подчеркивается, что для того, чтобы данные считались персональными, они должны относиться к живому человеку. Таким образом, действие закона не распространяется на юридических лиц.

Понимание широты определения персональных данных в GDPR имеет решающее значение для соблюдения правил защиты данных и уважения прав частных лиц на неприкосновенность частной жизни. Соблюдение этих рекомендаций позволит организациям обеспечить ответственное обращение с персональными данными и укрепить доверие к своим клиентам и заказчикам.