Ce sunt datele cu caracter personal?

Am menționat datele cu caracter personal când am discutat despre persoanele vizate iar acum este timpul să detaliem terminologia. Pe scurt, datele cu caracter personal sunt orice date care îți dezvăluie identitate, care sunt unice pentru tine. Câteva exemple includ:

numele complet

adresa de acasa

numărul cardului de credit

ziua de naștere

o poză

adresa de e-mail

postările pe rețelele sociale și altele

Chiar și metadatele fără un identificator evident sunt văzute ca date personale în GDPR. E adevărat că unele din aceste date nu vor duce direct spre o persoană, de exemplu numele complet dacă este unul foarte comun, dar vor duce spre identificarea persoanei dacă sunt combinate cu altele – de exemplu numele, împreună cu data nașterii sau cu adresă de acasă.

Atât persoanele vizate cât și organizațiile care prelucrează datele trebuie să fie atenți la modul cum GDPR vede aceste informații. Persoanele vizate au diverse drepturi cu privire la modul în care datele lor personale pot fi prelucrate. În cazul organizațiilor, conformarea cu regulile de procesare a datelor este esențială pentru a evita posibile amenzi.

DATE CU CARACTER PERSONAL CLASICE

Aceasta categorie include „suspecții” uzuali:

numele

adresa de acasă

numărul de telefon

data nașterii și/sau locul nașterii

cartea de identitate

locul de muncă sau școala

Luate separat, unele din aceste date nu vor conduce direct spre o persoană fizică. Dacă avem de-a face cu un nume foarte comun, de exemplu, va fi nevoie de date adiționale pentru identificarea persoanei. Același lucru este valabil în cazul adresei de acasă, dacă mai multe persoane locuiesc în aceeași casă sau în cazul locului de naștere – este foarte probabil ca mai mult de o persoană să se fi născut în aceeași dată și în același loc. Dacă însă începi să combini două sau mai multe dintre aceste date, poți identifica o persoană în mod unic. Alte date, precum cartea de identitate, numărul de telefon, contul bancar sau cartea de credit sunt unice pentru fiecare persoană și vor duce la identificare acesteia.

DATE CU CARACTER PERSONAL DIGITALE

În această categorie includem:

conturile sau postările pe rețelele sociale

adresa de e-mail

metadatele

adresa IP (în anumite cazuri)

E ușor de înțeles de ce conturile de pe rețelele sociale pot duce la identificarea unei persoane. În cele mai multe cazuri, doar pentru a crea un cont trebuie să introduci anumite date „clasice” cu caracter personal, cum ar fi numele sau data nașterii. Dacă după aceea adaugi poze cu tine însuși, identificarea va fi ușoară.

Un subiect foarte dezbătut este adresa IP. GDPR spune că adresele IP ar trebui să fie considerate date cu caracter personal întrucât intră în categoria de „identificatori online”. De sigur, în cazul adresei IP dinamice – care se schimbă de fiecare dată când o persoană se conectează la o rețea – se dezbate încă dacă aceasta poate să ducă la identificarea unei persoane. Pentru moment, Regulamentul consideră și acest tip de adrese IP date cu caracter personal. Logica în spatele acestei decizii este relativ simplă. Furnizorul de servicii de internet are un registru cu adresele IP dinamice temporare și știe cui i-a fost alocată fiecare. Deținătorul unui website are un registru al paginilor accesate de o anumită adresă IP dinamică (dar nu are alte date care să ducă la identificarea persoanei). Dacă cele două informații sunt puse cap la cap, deținătorul website-ului ar putea identifica persoana din spatele unui anumite adrese IP. Cu toate aceastea, șansele ca acest scenariu să devină realitate sunt slabe, întrucât furnizorul de servicii de internet trebuie să îndeplinească anumite condiții legale înainte de a putea furniza informațiile deținătorului unui website. Concluzia rămâne că toate adresele IP trebuie considerate date cu caracter personal pentru a fi în conformitate cu GDPR.

DATE SENSIBILE

O categorie specială de date sunt datele sensibilie care includ acum date genetice și biometrice, care dacă sunt prelucrate duc la identificarea sigură a unei persoane. Pe de altă parte, datele care sunt legate de infracțiuni sau condamnările sunt tratate separat, dreptul penal neintrând sub incidența GDPR. Un alt tip de date ce nu intră sub incidența GDPR sunt datele complet anonimizate, din moment ce nicio persoană nu poate fi identificată pornind de la ele.