GDPR date personale: ce sunt acestea si cum ne dam seama daca le prelucram?
26 minute • Ana-Maria Udriste • 27 mai 2018
1. Ce sunt datele personale?
Datele personale sunt definite de Regulamentul GDPR ca fiind:
! date cu caracter personal înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
Art. 4 din Regulamentul GDPR
Aceasta înseamnă că datele cu caracter personal reprezintă acele informații care se referă la un individ. Acea persoană trebuie identificată direct sau indirect prin unul sau mai mulți identificatori sau factori specifici acelui individ.
RegulamentulGDPR acoperă prelucrarea datelor cu caracter personal în două moduri:
- datele cu caracter personal prelucrate în întregime sau parțial prin mijloace automatizate (adică informații în format electronic); și
- datele cu caracter personal care au fost prelucrate într-o manieră neautomatizată care face parte din sau este destinată să facă parte dintr-un “sistem de înregistrare” (adică informații manuale într-un sistem de înregistrare).
În cele mai multe cazuri, va fi relativ simplu să determinați dacă informațiile pe care le procesați “se referă la” o persoană “identificată” sau “identificabilă“. În alte cazuri, va fi puțin mai dificil și va trebui să analizați cu atenție informațiile pe care le dețineți pentru a determina dacă acestea sunt date personale și dacă se aplică sau nu Regulamentul GDPR.
Acest ghid va explica factorii pe care ar trebui să îi luați în considerare pentru a determina dacă prelucrați date cu caracter personal.
Aceștia sunt:
- identificabilitatea și factorii aferenți acesteia ( dacă identificăm o persoană și în ce manieră o facem);
- dacă cineva este direct identificabil;
- dacă cineva este indirect identificabil;
- înțelesul sintagmei “se referă la”; și
- când diferite organizații folosesc aceleași date în scopuri diferite.
& Dispoziții relevante din Regulamentul GDPR: Preambul 15: Principiile protecției datelor ar trebui să se aplice oricărei informații referitoare la o persoană fizică identificată sau identificabilă. Datele cu caracter personal care au fost supuse pseudonimizării, care ar putea fi atribuite unei persoane fizice prin utilizarea de informații suplimentare, ar trebui considerate informații referitoare la o persoană fizică identificabilă. Pentru a se determina dacă o persoană fizică este identificabilă, ar trebui să se ia în considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării, în mod direct sau indirect, a persoanei fizice respective. Pentru a se determina dacă este probabil, în mod rezonabil, să fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui luați în considerare toți factorii obiectivi, precum costurile și intervalul de timp necesare pentru identificare, ținându-se seama atât de tehnologia disponibilă la momentul prelucrării, cât și de dezvoltarea tehnologică. Principiile protecției datelor ar trebui, prin urmare, să nu se aplice informațiilor anonime, adică informațiilor care nu sunt legate de o persoană fizică identificată sau identificabilă sau datelor cu caracter personal care sunt anonimizate astfel încât persoana vizată nu este sau nu mai este identificabilă. Prin urmare, prezentul regulament nu se aplică prelucrării unor astfel de informații anonime, inclusiv în cazul în care acestea sunt utilizate în scopuri statistice sau de cercetare. Preambul 26: Principiile protecției datelor ar trebui să se aplice oricărei informații referitoare la o persoană fizică identificată sau identificabilă. Datele cu caracter personal care au fost supuse pseudonimizării, care ar putea fi atribuite unei persoane fizice prin utilizarea de informații suplimentare, ar trebui considerate informații referitoare la o persoană fizică identificabilă. Pentru a se determina dacă o persoană fizică este identificabilă, ar trebui să se ia în considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării, în mod direct sau indirect, a persoanei fizice respective. Pentru a se determina dacă este probabil, în mod rezonabil, să fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui luați în considerare toți factorii obiectivi, precum costurile și intervalul de timp necesare pentru identificare, ținându-se seama atât de tehnologia disponibilă la momentul prelucrării, cât și de dezvoltarea tehnologică. Principiile protecției datelor ar trebui, prin urmare, să nu se aplice informațiilor anonime, adică informațiilor care nu sunt legate de o persoană fizică identificată sau identificabilă sau datelor cu caracter personal care sunt anonimizate astfel încât persoana vizată nu este sau nu mai este identificabilă. Prin urmare, prezentul regulament nu se aplică prelucrării unor astfel de informații anonime, inclusiv în cazul în care acestea sunt utilizate în scopuri statistice sau de cercetare. Preambul 30: Persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio. Aceștia pot lăsa urme care, în special atunci când sunt combinate cu identificatori unici și alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor. Articolul 2 alin. (1): Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor. Articolul 4 alin. (1): În sensul prezentului regulament: „date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale; |
2. Există categorii de date personale?
Unele dintre datele personale pe care le procesați pot avea o natură mai sensibilă și, prin urmare, necesită un nivel mai ridicat de protecție. Regulamentul GDPR se referă la prelucrarea acestor date ca “categorii speciale de date cu caracter personal“. Aceasta înseamnă date personale despre persoana fizică care se referă la:
- originea rasială;
- originea etnică;
- opiniile politice;
- confesiunea religioasă;
- convingerile filozofice;
- apartenența la sindicate;
- date genetice;
- date biometrice pentru identificarea unică a unei persoane fizice;
- date privind sănătatea;
- date privind viața sexuală sau orientarea sexuală.
& Dispoziții relevante din Regulamentul GDPR: Preambul 34-35: (34) Datele genetice ar trebui definite drept date cu caracter personal referitoare la caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care rezultă în urma unei analize a unei mostre de material biologic al persoanei fizice în cauză, în special a unei analize cromozomiale, a unei analize a acidului dezoxiribonucleic (ADN) sau a acidului ribonucleic (ARN) sau a unei analize a oricărui alt element ce permite obținerea unor informații echivalente. (35) Datele cu caracter personal privind sănătatea ar trebui să includă toate datele având legătură cu starea de sănătate a persoanei vizate care dezvăluie informații despre starea de sănătate fizică sau mentală trecută, prezentă sau viitoare a persoanei vizate. Acestea includ informații despre persoana fizică colectate în cadrul înscrierii acesteia la serviciile de asistență medicală sau în cadrul acordării serviciilor respective persoanei fizice în cauză, astfel cum sunt menționate în Directiva 2011/24/UE a Parlamentului European și a Consiliului (9); un număr, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea singulară a acesteia în scopuri medicale; informații rezultate din testarea sau examinarea unei părți a corpului sau a unei substanțe corporale, inclusiv din date genetice și eșantioane de material biologic; precum și orice informații privind, de exemplu, o boală, un handicap, un risc de îmbolnăvire, istoricul medical, tratamentul clinic sau starea fiziologică sau biomedicală a persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro. Preambul 51-54: (51) Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile în ceea ce privește drepturile și libertățile fundamentale necesită o protecție specifică, deoarece contextul prelucrării acestora ar putea genera riscuri considerabile la adresa drepturilor și libertăților fundamentale. Aceste date cu caracter personal ar trebui să includă datele cu caracter personal care dezvăluie originea rasială sau etnică, utilizarea termenului „origine rasială” în prezentul regulament neimplicând o acceptare de către Uniune a teoriilor care urmăresc să stabilească existența unor rase umane separate. Prelucrarea fotografiilor nu ar trebui să fie considerată în mod sistematic ca fiind o prelucrare de categorii speciale de date cu caracter personal, întrucât fotografiile intră sub incidența definiției datelor biometrice doar în cazurile în care sunt prelucrate prin mijloace tehnice specifice care permit identificarea unică sau autentificarea unei persoane fizice. Asemenea date cu caracter personal nu ar trebui prelucrate, cu excepția cazului în care prelucrarea este permisă în cazuri specifice prevăzute de prezentul regulament, ținând seama de faptul că dreptul statelor membre poate prevedea dispoziții specifice cu privire la protecția datelor în scopul adaptării aplicării normelor din prezentul regulament în vederea respectării unei obligații legale sau a îndeplinirii unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul. Pe lângă cerințele specifice pentru o astfel de prelucrare, ar trebui să se aplice principiile generale și alte norme prevăzute de prezentul regulament, în special în ceea ce privește condițiile pentru prelucrarea legală. Ar trebui prevăzute în mod explicit derogări de la interdicția generală de prelucrare a acestor categorii speciale de date cu caracter personal, printre altele atunci când persoana vizată își dă consimțământul explicit sau în ceea ce privește nevoile specifice în special atunci când prelucrarea este efectuată în cadrul unor activități legitime de către anumite asociații sau fundații al căror scop este de a permite exercitarea libertăților fundamentale. (52) Derogarea de la interdicția privind prelucrarea categoriilor speciale de date cu caracter personal ar trebui să fie permisă, de asemenea, în cazul în care dreptul Uniunii sau dreptul intern prevede acest lucru și ar trebui să facă obiectul unor garanții adecvate, astfel încât să fie protejate datele cu caracter personal și alte drepturi fundamentale, atunci când acest lucru se justifică din motive de interes public, în special în cazul prelucrării datelor cu caracter personal în domeniul legislației privind ocuparea forței de muncă, protecția socială, inclusiv pensiile, precum și în scopuri de securitate, supraveghere și alertă în materie de sănătate, pentru prevenirea sau controlul bolilor transmisibile și a altor amenințări grave la adresa sănătății. Această derogare poate fi acordată în scopuri medicale, inclusiv sănătatea publică și gestionarea serviciilor de asistență medicală, în special în vederea asigurării calității și eficienței din punctul de vedere al costurilor ale procedurilor utilizate pentru soluționarea cererilor de prestații și servicii în cadrul sistemului de asigurări de sănătate, sau în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice. De asemenea, prelucrarea unor asemenea date cu caracter personal ar trebui permisă, printr-o derogare, atunci când este necesară pentru constatarea, exercitarea sau apărarea unui drept în justiție, indiferent dacă are loc în cadrul unei proceduri în fața unei instanțe sau în cadrul unei proceduri administrative sau a unei proceduri extrajudiciare. (53) Categoriile speciale de date cu caracter personal care necesită un nivel mai ridicat de protecție ar trebui prelucrate doar în scopuri legate de sănătate atunci când este necesar pentru realizarea acestor scopuri în beneficiul persoanelor fizice și al societății în general, în special în contextul gestionării serviciilor și sistemelor de sănătate sau de asistență socială, inclusiv prelucrarea acestor date de către autoritățile de management și de către autoritățile centrale naționale din domeniul sănătății în scopul controlului calității, furnizării de informații de gestiune și al supravegherii generale a sistemului de sănătate sau de asistență socială la nivel național și local, precum și în contextul asigurării continuității asistenței medicale sau sociale și a asistenței medicale transfrontaliere ori în scopuri de securitate, supraveghere și alertă în materie de sănătate ori în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice în temeiul dreptului Uniunii sau al dreptului intern, care trebuie să urmărească un obiectiv de interes public, precum și în cazul studiilor realizate în interes public în domeniul sănătății publice. Prin urmare, prezentul regulament ar trebui să prevadă condiții armonizate pentru prelucrarea categoriilor speciale de date cu caracter personal privind sănătatea, în ceea ce privește nevoile specifice, în special atunci când prelucrarea acestor date este efectuată în anumite scopuri legate de sănătate de către persoane care fac obiectul unei obligații legale de a păstra secretul profesional. Dreptul Uniunii sau dreptul intern ar trebui să prevadă măsuri specifice și adecvate pentru a proteja drepturile fundamentale și datele cu caracter personal ale persoanelor fizice. Statele membre ar trebui să aibă posibilitatea de a menține sau de a introduce condiții suplimentare, inclusiv restricții, în ceea ce privește prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sănătatea. Totuși, acest lucru nu ar trebui să împiedice libera circulație a datelor cu caracter personal în cadrul Uniunii atunci când aceste condiții se aplică prelucrării transfrontaliere a unor astfel de date. (54) Prelucrarea categoriilor speciale de date cu caracter personal poate fi necesară din motive de interes public în domeniile sănătății publice, fără consimțământul persoanei vizate. O astfel de prelucrare ar trebui condiționată de măsuri adecvate și specifice destinate să protejeze drepturile și libertățile persoanelor fizice. În acest context, conceptul de „sănătate publică” ar trebui interpretat astfel cum este definit în Regulamentul (CE) nr. 1338/2008 al Parlamentului European și al Consiliului (11), și anume toate elementele referitoare la sănătate și anume starea de sănătate, inclusiv morbiditatea sau handicapul, factorii determinanți care au efect asupra stării de sănătate, necesitățile în domeniul asistenței medicale, resursele alocate asistenței medicale, furnizarea asistenței medicale și asigurarea accesului universal la aceasta, precum și cheltuielile și sursele de finanțare în domeniul sănătății și cauzele mortalității. Această prelucrare a datelor privind sănătatea din motive de interes public nu ar trebui să ducă la prelucrarea acestor date în alte scopuri de către părți terțe, cum ar fi angajatorii sau societățile de asigurări și băncile. Articolul 9 alin. (1) –(2): (1) Se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice. (2) Alineatul (1) nu se aplică în următoarele situații: (a) persoana vizată și-a dat consimțământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excepția cazului în care dreptul Uniunii sau dreptul intern prevede ca interdicția prevăzută la alineatul (1) să nu poată fi ridicată prin consimțământul persoanei vizate; (b) prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă și al securității sociale și protecției sociale, în măsura în care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de muncă încheiat în temeiul dreptului intern care prevede garanții adecvate pentru drepturile fundamentale și interesele persoanei vizate; (c) prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci când persoana vizată se află în incapacitate fizică sau juridică de a-și da consimțământul; (d) prelucrarea este efectuată în cadrul activităților lor legitime și cu garanții adecvate de către o fundație, o asociație sau orice alt organism fără scop lucrativ și cu specific politic, filozofic, religios sau sindical, cu condiția ca prelucrarea să se refere numai la membrii sau la foștii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente în legătură cu scopurile sale și ca datele cu caracter personal să nu fie comunicate terților fără consimțământul persoanelor vizate; (e) prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată; (f) prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță sau ori de câte ori instanțele acționează în exercițiul funcției lor judiciare; (g) prelucrarea este necesară din motive de interes public major, în baza dreptului Uniunii sau a dreptului intern, care este proporțional cu obiectivul urmărit, respectă esența dreptului la protecția datelor și prevede măsuri corespunzătoare și specifice pentru protejarea drepturilor fundamentale și a intereselor persoanei vizate; (h) prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacității de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistență medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor și serviciilor de sănătate sau de asistență socială, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical și sub rezerva respectării condițiilor și garanțiilor prevăzute la alineatul (3); (i) prelucrarea este necesară din motive de interes public în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii sau al dreptului intern, care prevede măsuri adecvate și specifice pentru protejarea drepturilor și libertăților persoanei vizate, în special a secretului profesional; sau (j) prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), în baza dreptului Uniunii sau a dreptului intern, care este proporțional cu obiectivul urmărit, respectă esența dreptului la protecția datelor și prevede măsuri corespunzătoare și specifice pentru protejarea drepturilor fundamentale și a intereselor persoanei vizate. |
3. Dar înregistrările pe hârtie?
Regulamentul GDPR nu acoperă informațiile care nu sunt sau nu sunt destinate să facă parte dintr-un “sistem de înregistrare”. Înregistrările pe hârtie care nu sunt ținute ca parte a unui sistem de înregistrare, chiar dacă ar putea avea date personale sunt exceptate de la majoritatea principiilor din Regulamentul GDPR.
4. Datele pseudonimizate sunt încă date personale?
Pseudonimizarea este o tehnică care înlocuiește sau înlătură informațiile într-un set de date care identifică un individ (cum ar fi prin alocarea unui identificator de tip număr în loc de nume, prenume).
Preusonimizarea este definită de Regulamentul GDPR ca fiind:
! pseudonimizare înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile.
Art. 4 din Regulamentul GDPR
Pseudonimizarea poate implica înlocuirea numelor sau a altor identificatori ușor de atribuit unor persoane cu un număr de referință. Chiar dacă puteți conecta acest număr de referință înapoi la persoană dacă aveți acces la informațiile relevante, ar trebui să introduceți măsuri tehnice și organizatorice pentru a vă asigura că aceste informații sunt ținute separat.
Pseudonimizarea datelor personale poate reduce riscurile pentru persoanele vizate și vă va ajuta să vă îndepliniți cerințele privind protecția datelor.
Cu toate acestea, pseudonimizarea este în mod efectiv doar o măsură de securitate. Nu modifică starea datelor ca date personale. Preambulul 26 din Regulamentul GDPR clarifică faptul că datele personale pseudonimizate rămân date cu caracter personal și care intră sub incidența Regulamentul GDPR.
Datele cu caracter personal care au fost supuse pseudonimizării, care ar putea fi atribuite unei persoane fizice prin utilizarea de informații suplimentare, ar trebui considerate informații referitoare la o persoană fizică identificabilă. …
Preambul 26 din Regulamentul GDPR
Exemplu: O firmă de curierat procesează date personale despre kilometrajul, călătoriile și frecvența de conducere ale șoferilor. Aceasta deține aceste date cu caracter personal în două scopuri: · să proceseze cererile de cheltuieli pentru kilometraj; și · să taxeze clienții pentru serviciul respectiv. Pentru ambele, identificarea curierilor individuali este obligatorie. Cu toate acestea, o a doua echipă din cadrul organizației utilizează de asemenea datele pentru a optimiza eficiența flotei de curierat. Pentru aceasta, identificarea persoanei nu este necesară. Prin urmare, organizația asigură intern că a doua echipă poate accesa datele numai într-o formă care nu permite identificarea curierilor individuali. Pseudonimizarea acestor date, prin înlocuirea identificatorilor (nume, titluri de locuri de muncă, date despre locație și istoricul conducerii) cu un echivalent neidentificat, cum ar fi un număr de referință, care privit de sine stătător nu are nici un sens. Membrii acestei a doua echipe pot accesa numai informațiile pseudonime. În timp ce a doua echipă nu poate identifica nici un individ, organizația însăși, în calitate de operator, poate face conexiunea cu materialul livrat de a doua echipă înapoi la persoanele identificate. Aceasta reprezintă o bună practică în cadrul GDPR. |
Dispoziții relevante din Regulamentul GDPR: Preambul 26: Principiile protecției datelor ar trebui să se aplice oricărei informații referitoare la o persoană fizică identificată sau identificabilă. Datele cu caracter personal care au fost supuse pseudonimizării, care ar putea fi atribuite unei persoane fizice prin utilizarea de informații suplimentare, ar trebui considerate informații referitoare la o persoană fizică identificabilă. Pentru a se determina dacă o persoană fizică este identificabilă, ar trebui să se ia în considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării, în mod direct sau indirect, a persoanei fizice respective. Pentru a se determina dacă este probabil, în mod rezonabil, să fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui luați în considerare toți factorii obiectivi, precum costurile și intervalul de timp necesare pentru identificare, ținându-se seama atât de tehnologia disponibilă la momentul prelucrării, cât și de dezvoltarea tehnologică. Principiile protecției datelor ar trebui, prin urmare, să nu se aplice informațiilor anonime, adică informațiilor care nu sunt legate de o persoană fizică identificată sau identificabilă sau datelor cu caracter personal care sunt anonimizate astfel încât persoana vizată nu este sau nu mai este identificabilă. Prin urmare, prezentul regulament nu se aplică prelucrării unor astfel de informații anonime, inclusiv în cazul în care acestea sunt utilizate în scopuri statistice sau de cercetare. Preambul 28: Aplicarea pseudonimizării datelor cu caracter personal poate reduce riscurile pentru persoanele vizate și poate ajuta operatorii și persoanele împuternicite de aceștia să își îndeplinească obligațiile de protecție a datelor. Introducerea explicită a conceptului de „pseudonimizare” în prezentul regulament nu este destinată să împiedice alte eventuale măsuri de protecție a datelor. Preambul 29: Pentru a crea stimulente pentru aplicarea pseudonimizării atunci când sunt prelucrate date cu caracter personal, ar trebui să fie posibile măsuri de pseudonimizare, permițând în același timp analiza generală, în cadrul aceluiași operator atunci când operatorul a luat măsurile tehnice și organizatorice necesare pentru a se asigura că prezentul regulament este pus în aplicare în ceea ce privește respectiva prelucrare a datelor și că informațiile suplimentare pentru atribuirea datelor cu caracter personal unei anumite persoane vizate sunt păstrate separat. Operatorul care prelucrează datele cu caracter personal ar trebui să indice persoanele autorizate din cadrul aceluiași operator. Art. 4 alin. (1): „date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale. Art. 4 alin. (5): „pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile. |
5.Ce facem cu datele anonimizate?
Regulamentul GDPR nu se aplică datelor cu caracter personal care au fost anonimizate. Preambulul 26 explică faptul că:
Principiile protecției datelor ar trebui, prin urmare, să nu se aplice informațiilor anonime, adică informațiilor care nu sunt legate de o persoană fizică identificată sau identificabilă sau datelor cu caracter personal care sunt anonimizate astfel încât persoana vizată nu este sau nu mai este identificabilă. Prin urmare, prezentul regulament nu se aplică prelucrării unor astfel de informații anonime, inclusiv în cazul în care acestea sunt utilizate în scopuri statistice sau de cercetare …
Aceasta înseamnă că datele personale care au fost anonimizate nu sunt supuse Regulamentului GDPR. Prin urmare, anonimizarea poate fi o metodă de limitare a riscului și un beneficiu pentru persoanele vizate. Prin urmare, se încurajează anonimizarea datelor, ori de câte ori este posibil.
Cu toate acestea, trebuie să fiți precauți când încercați să anonimizați datele personale. Organizațiile se referă frecvent la seturile de date cu caracter personal ca fiind “anonime” atunci când, de fapt, nu este cazul. Ar trebui apoi să vă asigurați că orice tratamente sau abordări pe care le luați sunt menite să anonimizeze cu adevărat datele personale (ie. să nu vorbim despre o pseudonimizare). Există un risc major să credeți că puteți ignora cerințele Regulamentului GDPR având convingerea greșită că nu prelucrați date personale când de fapt o faceți.
Pentru a fi cu adevărat anonimizat în cadrul Regulamentului GDPR, trebuie să eliminați suficiente elementele din datele personale, ceea ce înseamnă că persoana nu mai poate fi identificată. Cu toate acestea, în cazul în care în orice moment putea folosi orice mijloace disponibile în mod rezonabil pentru a re-identifica persoanele la care datele se referă, înseamnă că datele nu au fost în mod eficient anonimizate, ci vor fi doar pseudonimizate. Aceasta înseamnă că în ciuda eforturilor depuse de a anonimiza datele, prelucrarea datelor va continua să fie sub incidența Regulamentului GDPR.
De asemenea, trebuie să rețineți că, atunci când faceți anonimizarea datelor personale, procesați datele în acel moment (ie. mai întâi organizația are acces la date personale pe care le anonimizează, deci tot are parte de un proces de prelucrare a datelor cu caracter personal conform Regulamentului GDPR).
6. Informațiile despre persoanele decedate sunt date personale?
Regulamentul GDPR se aplică numai informațiilor care se referă la un individ care poate fi identificat. Informațiile referitoare la persoana decedată nu constituie date cu caracter personal și, prin urmare, nu sunt supuse Regulamentului GDPR.
& Dispoziții relevante din Regulamentul GDPR:
Preambul 27: Prezentul regulament nu se aplică datelor cu caracter personal referitoare la persoane decedate. Statele membre pot să prevadă norme privind prelucrarea datelor cu caracter personal referitoare la persoane decedate.
7. Dar informațiile despre companii?
Informațiile despre o persoană “legală” (juridică), nu o persoană “fizică” nu sunt date cu caracter personal. Prin urmare, informații despre o societate cu răspundere limitată sau despre o altă entitate juridică, care ar putea avea personalitate juridică (S.A., ONG, P.F.A, etc.) nu constituie date personaleși nu intră în domeniul de aplicare al Regulamentului GDPR. În mod similar, informațiile despre o autoritate publică nu sunt date personale.
Cu toate acestea, Regulamentul GDPR se aplică datelor personale care privesc persoane fizice care acționează în calitate de comercianți individuali, angajați, parteneri și directori de companii în mod individual ori de câte ori acestea sunt identificabile și informațiile se referă la ele în mod individual, mai degrabă decât ca reprezentant al unei persoane juridice. Un nume și o adresă de e-mail a companiei se referă în mod clar la o anumită persoană și, prin urmare, sunt date cu caracter personal. Cu toate acestea, emailurilor (și conținutul acestora) trimise folosind aceste detalii nu vor fi în mod automat considerate ca fiind datele personale, cu excepția cazului în care acele emailuri includ informațiile care dezvăluie ceva despre acea persoană individuală sau au impact asupra ei.
2 răspunsuri