Skip to main content

מה כולל נתונים אישיים (GDPR)?

GDPR בנוי סביב הגנה על הנתונים האישיים של אזרחי ותושבי האיחוד האירופי. הבנת המשמעות של זה תאפשר לחברה שלך להתמודד עם דרישות ה-GDPR שלה. למעשה, GDPR חל רק על נתונים אישיים. אבל מה זה בדיוק נתונים אישיים? רוחב הקטגוריה הזו עשוי להפתיע אותך! במאמר זה, אנו נעזור לך לקבוע אילו מהנתונים שלך נופלים תחת תקנות ה-GDPR, בתקווה למנוע ממך למחוק מידע שימושי שלא לצורך.

כמו כן, נסביר את ההבדל בין נתונים אישיים לנתונים אישיים רגישים - הבחנה מרכזית במסגרת GDPR, עם השלכות על האופן שבו הם נאספים, מאוחסנים ומעבדים אותם.

מה זה נתונים אישיים בדיוק?

למרבה הצער, GDPR אינו כולל רשימה מקיפה של מה שהוא מחשיב לנתונים אישיים. התקנות קובעות כי נתונים אישיים הם - "כל מידע הנוגע לאדם טבעי הניתן לזיהוי".

עבור ההדיוט, המשמעות היא כל מידע שניתן להשתמש בו - לבד או בשילוב עם מידע אחר - כדי לזהות נושא נתונים חי. נתונים אישיים יכולים להיות משהו ברור, כמו שם או שם משתמש, או שהם יכולים להיות משהו פחות ברור כמו צילומי טלוויזיה במעגל סגור.

הסיבה לכך היא שניתן להשתמש בנתונים כאלה כדי לאשר את הנוכחות הפיזית שלך איפשהו. זה כולל גם נתוני מיקום טלפון, כתובות IP ונתוני קובצי Cookie, כמו גם כתובות דוא"ל וכתובות בית.

עם זאת, חשוב לזכור שדברים אלו כשלעצמם אינם בהכרח מהווים נתונים אישיים, כפי שהוגדרו בתקנות ה-GDPR - הכל תלוי בנסיבות הספציפיות.

מה הקשר לנסיבות?

קח את השם של מישהו, למשל.

אתה יכול להניח שזה תמיד יסווג כנתונים אישיים תחת GDPR, אבל אתה טועה. בהתחשב בעובדה שיש 48,532 ג'ון סמית'ים בארה"ב, שם זה כשלעצמו לא יכול לשמש לזיהוי אדם ספציפי ( US Census Bureau). לשם השוואה, כנראה שבטוח לומר שבנו של אילון מאסק הוא האדם היחיד על הפלנטה שנקרא X Æ A-12 Musk (לעת עתה).

לכן, הגיוני ש-GDPR יחשיב את שמו כמידע אישי, מכיוון שמידע זה מספיק כשלעצמו כדי לאפס את זהותו האישית. עם זאת, זה משתנה אם הוא משולב עם מידע אחר בקובץ. כתובת הדוא"ל johnsmith@businessx.com תיחשב לנתונים אישיים מכיוון שהיא מעידה על כך שיש רק ג'ון סמית' אחד שעובד עבור החברה הספציפית הזו.

האם כל דבר אינו נחשב לנתונים אישיים?

ברוב המקרים, הנתונים של אנשים מתים אינם נחשבים לנתונים אישיים תחת GDPR. רמז 26גם קובע כי נתונים אנונימיים אינם נופלים תחת תקנות ה-GDPR. אנונימיזציה היא תהליך של קרצוף כל המזהים האישיים מנתונים. אין לבלבל אותו עם נתונים בדויים או מוצפנים, שעדיין ניתן לעבד מחדש כדי לזהות אנשים. עם זאת, GDPR מעודדת באופן אקטיבי את הפיאודונימיזציה של נתונים אישיים מכיוון שהיא מספקת רמה נוספת של אבטחה עבור נושאי מידע. הסיבה לכך היא שרק עובדים מורשים יכולים לגשת לנתונים בדויים - ובכך להפחית את סיכוני הפרטיות עבור אנשים שמסרו את הנתונים שלהם לחברות.

מה לגבי נתונים אישיים רגישים ל-GDPR?

נתונים אישיים רגישים - או "נתונים בקטגוריה מיוחדת" בשפה הרשמית של סעיף 9- הודגשו על ידי GDPR כמשהו שיש לטפל בו באבטחה נוספת. להלן כל הדוגמאות לנתונים אישיים רגישים:

  • מוצא גזעי או אתני
  • דעות פוליטיות
  • אמונות דתיות או פילוסופיות
  • חברות באיגוד מקצועי
  • רישום פלילי
  • נתונים מסווגים
  • נתונים גנטיים
  • מידע פיננסי
  • נתונים ביומטריים
  • נתוני בריאות
  • חיי מין או נטייה מינית
  • מידע עסקי או עבודה

ההבחנה הזו בין נתונים אישיים לנתונים אישיים רגישים חשובה. לפי GDPR, ניתן לעבד נתונים רגישים רק אם הם עומדים באחד או יותר מהתנאים הבאים:

  • אם האדם נתן הסכמה מפורשת או כבר פרסם את הנתונים ברבים
  • אם הנתונים נדרשים כדי להגן על האינטרסים של נושאי מידע שאינם מסוגלים פיזית לספק הסכמה
  • אם הנתונים חיוניים כדי לעמוד בדרישות תעסוקה, ביטוח לאומי או הגנה סוציאלית על פי החוק
  • אם הנתונים נחוצים על ידי ארגון ללא כוונת רווח כדי לבצע פעילויות לגיטימיות
  • אם הנתונים נחוצים לפעילויות הקשורות לעניין ציבורי מהותי בכל הנוגע לבריאות או לרפואה

אתה מוכן לנתונים

אני מקווה שעכשיו יש לך מושג טוב יותר לגבי הנתונים האישיים והרגישים שיש לך בקובץ. זהו הצעד הראשון לקראת זיהוי וסיווג נתונים, והבטחה שהדרך שבה אתה מאחסן נתונים אישיים מכבדת את הזכויות של משתמשי האינטרנט באיחוד האירופי במסגרת GDPR. שיפור האבטחה של מידע רגיש זה גם יגן עליך טוב יותר במקרה מצער של הפרת מידע - תוך הפחתת הקנסות שהחברה שלך תקבל מרשויות הגנת המידע.

אתה יכול לגלות עוד על GDPR ופרטיות נתונים במדריך המקיף שלנו.