В современном мире цифровых технологий персональные данные стали ценным активом и предметом серьезного беспокойства как для отдельных лиц, так и для организаций. Как следствие, появилася европейский закон о защите данных.
General Data Protection Regulation (GDPR) это — общий регламент защиты персональных данных, введенный в действие 25 мая 2018 г. Европейским союзом (ЕС), играет ключевую роль в обеспечении конфиденциальности и прав резидентов ЕС в отношении их персональных данных. Более детально с GDPR и вашими потенциальными обязательствами, а также штрафами можно ознакомиться в наших публикациях по ссылке.
Целью же данной статьи является — пролить свет на то, что представляют собой персональные данные в рамках GDPR, а также на кого распространяется GDPR.
Персональные данные, согласно определению GDPR, представляют собой любую информацию, относящуюся к физическому лицу, называемому субъектом данных, позволяющей идентифицировать его. Эта информация может быть непосредственно связана с человеком, например его имя или местонахождение, или косвенно связана с ним через такие идентификаторы, как физические, генетические или социальные характеристики.
Широкий охват определения персональных данных включает в себя еще более широкий спектр самих данных. Хотя определенная информация сама по себе не может идентифицировать конкретного человека, однако в сочетании с дополнительными элементами данных она может привести к идентификации этого лица, что позволяет отнести даже, с первого взгляда “безобидную” информацию — к категории персональных данных.
GDPR закрепляет определенный принцип, согласно которому вы не можете собирать больше данных, чем действительно необходимо для оказания услуги и соблюдения законодательных требований. Контроль за тем, какие персональные данные субъектов собираются, какими методами, прозрачность таких методов, а также наличие согласия и должного уведомления субъекта данных проверяется компетентными органами со списком которых можно ознакомиться по ссылке.
Выявление нарушения обязанностей перед субъектом данных повлечет за собой ответственность в виде крупного штрафа. Более детально со штрафами за не соблюдение политик вы можете ознакомиться в нашей статье: “GDPR. Сфера применения. Кто должен соответствовать”.
Если на любой из вышеперечисленных вопросов получен положительный ответ, то данные или наборы данных будут считаться персональными данными. По сути, если существует хотя бы отдаленная возможность идентифицировать человека с помощью или без помощи дополнительных элементов данных, или если остается остаточный риск повторной идентификации после деидентификации, набор данных подпадает под категорию персональных данных.
К числу распространенных примеров персональных данных относятся: имена, идентификационные номера, адреса, IP-адреса, номера телефонов, адреса электронной почты, номерные знаки, данные о трафике в интернете, файлы cookie и даже цвет волос.
Важно, что принципы защиты данных распространяются только на физических лиц. В GDPR подчеркивается, что для того, чтобы данные считались персональными, они должны относиться к живому человеку. Таким образом, действие закона не распространяется на юридических лиц.
Понимание широты определения персональных данных в GDPR имеет решающее значение для соблюдения правил защиты данных и уважения прав частных лиц на неприкосновенность частной жизни. Соблюдение этих рекомендаций позволит организациям обеспечить ответственное обращение с персональными данными и укрепить доверие к своим клиентам и заказчикам.