Что такое персональные данные (GDPR)?

GDPR построен на защите персональных данных граждан и резидентов ЕС. Понимание того, что это означает, позволит вашей компании справиться с требованиями GDPR. Фактически, GDPR применяется только к персональным данным. Но что именно является персональными данными? Широта этой категории может вас удивить! В этой статье мы поможем вам определить, какие из ваших данных подпадают под требования GDPR, что, надеемся, поможет вам избежать ненужного удаления полезной информации.

Мы также объясним разницу между персональными данными и чувствительными персональными данными - ключевое различие в соответствии с GDPR, имеющее последствия для сбора, хранения и обработки данных.

Что именно является персональными данными?

К сожалению, GDPR не содержит исчерпывающего перечня того, что считается персональными данными. В правилах говорится, что персональные данные - это "любая информация, относящаяся к идентифицируемому физическому лицу".

Для неспециалиста это означает любую информацию, которая может быть использована - отдельно или в сочетании с другой информацией - для идентификации живого субъекта данных. Персональные данные могут быть чем-то очевидным, например, именем или именем пользователя, или чем-то менее очевидным, например, записями камер видеонаблюдения.

Это связано с тем, что такие данные могут быть использованы для подтверждения вашего физического присутствия где-либо. К ним также относятся данные о местонахождении телефона, IP-адреса, данные cookie, а также адреса электронной почты и домашние адреса.

Однако важно помнить, что эти данные сами по себе не обязательно являются персональными данными, как это определено в правилах GDPR - все зависит от конкретных обстоятельств.

При чем здесь обстоятельства?

Возьмем, к примеру, чье-то имя.

Вы можете предположить, что в соответствии с GDPR оно всегда будет относиться к категории персональных данных, но вы ошибаетесь. Учитывая, что в США проживает 48 532 Джона Смита, это имя само по себе не может быть использовано для идентификации конкретного человека(Бюро переписи населения США). Для сравнения, можно с уверенностью сказать, что сын Элона Маска - единственный человек на планете по имени X Æ A-12 Маск (на данный момент).

Поэтому вполне логично, что GDPR будет считать его имя персональными данными, поскольку этой информации достаточно, чтобы установить его личность. Однако ситуация меняется, если ее объединить с другой информацией, имеющейся в файле. Адрес электронной почты johnsmith@businessx.com будет считаться персональными данными, поскольку он указывает на то, что в данной компании работает только один Джон Смит.

Не считается ли что-либо персональными данными?

В большинстве случаев данные умерших людей не считаются персональными данными согласно GDPR. В пункте 26 также говорится, что анонимные данные не подпадают под действие правил GDPR. Анонимизация - это процесс удаления всех персональных идентификаторов из данных. Однако GDPR активно поощряет псевдонимизацию персональных данных, поскольку она обеспечивает дополнительный уровень безопасности для субъектов данных. Это связано с тем, что доступ к псевдонимизированным данным могут иметь только уполномоченные сотрудники, что снижает риски конфиденциальности для людей, которые предоставили свои данные компаниям.

Что касается чувствительных персональных данных GDPR?

Чувствительные персональные данные - или "данные специальной категории" на официальном жаргоне статьи 9 - были выделены в GDPR как то, что должно обрабатываться с повышенной безопасностью. Вот все примеры чувствительных персональных данных:

• Расовое или этническое происхождение
• Политические взгляды
• Религиозные или философские убеждения
• Членство в профсоюзе
• Криминальное прошлое
• Засекреченные данные
• Генетические данные
• Финансовые данные
• Биометрические данные
• Данные о здоровье
• Сексуальная жизнь или сексуальная ориентация
• Деловая или рабочая информация

Это различие между персональными данными и чувствительными персональными данными является важным. Согласно GDPR, чувствительные данные могут обрабатываться только в том случае, если они удовлетворяют одному или нескольким из следующих условий:

• Если лицо дало явное согласие или уже обнародовало эти данные
• Если данные необходимы для защиты интересов субъектов данных, которые физически не в состоянии дать согласие
• Если данные необходимы для выполнения требований законодательства в области занятости, социального обеспечения или социальной защиты
• Если данные необходимы некоммерческой организации для осуществления законной деятельности
• Если данные необходимы для деятельности, связанной с существенными общественными интересами в области здравоохранения или медицины.

Вы готовы к работе с данными

Надеюсь, теперь вы лучше представляете, какие личные и конфиденциальные данные хранятся у вас. Это первый шаг к идентификации и классификации данных, а также к тому, чтобы способ хранения личных данных соответствовал правам интернет-пользователей ЕС в соответствии с GDPR. Повышение безопасности этой конфиденциальной информации также лучше защитит вас в несчастном случае утечки данных, снизив штрафы, которые ваша компания получит от органов по защите данных.

Вы можете узнать больше о GDPR и конфиденциальности данных в нашем исчерпывающем руководстве.