Skip to main content

Що таке персональні дані (GDPR)?

GDPR побудований на захисті персональних даних громадян і резидентів ЄС. Розуміння того, що це означає, дозволить вашій компанії впоратися з вимогами GDPR. Фактично, GDPR стосується лише персональних даних. Але що таке персональні дані? Широта цієї категорії може вас здивувати! У цій статті ми допоможемо вам визначити, які з ваших даних підпадають під норми GDPR, і ми сподіваємося, що ви не зможете без потреби видаляти корисну інформацію.

Ми також пояснимо різницю між персональними даними та конфіденційними персональними даними – ключовою відмінністю відповідно до GDPR, що впливає на те, як вони збираються, зберігаються та обробляються.

Що таке персональні дані?

На жаль, GDPR не містить повного переліку персональних даних. У регламенті зазначено, що персональні дані – це «будь-яка інформація, що стосується фізичної особи, яку можна ідентифікувати».

Для неспеціаліста це означає будь-яку інформацію, яку можна використовувати – окремо або в поєднанні з іншою інформацією – для ідентифікації живого суб’єкта даних. Особисті дані можуть бути чимось очевидним, як-от ім’я чи ім’я користувача, або це може бути чимось менш очевидним, як-от записи камер відеоспостереження.

Це тому, що такі дані можуть бути використані для підтвердження вашої фізичної присутності десь. Він також включає дані про місцезнаходження телефону, IP-адреси та дані cookie, а також електронну та домашню адреси.

Однак важливо пам’ятати, що ці речі самі по собі не обов’язково є персональними даними, як це визначено регламентом GDPR – все залежить від конкретної обставини.

Яке відношення до цього мають обставини?

Візьміть, наприклад, чиєсь ім’я.

Ви можете припустити, що це завжди буде віднесено до категорії персональних даних відповідно до GDPR, але ви помиляєтеся. Враховуючи, що в США налічується 48 532 Джона Сміта, це ім’я саме по собі не можна використовувати для ідентифікації конкретної особи ( Бюро перепису населення США). Для порівняння, можна з упевненістю сказати, що син Ілона Маска є єдиною людиною на планеті під назвою X Æ A-12 Маск (на даний момент).

Тому цілком зрозуміло, що GDPR вважатиме його ім’я особистими даними, оскільки цієї інформації самої по собі достатньо, щоб визначити його особистість. Однак це змінюється, якщо його об’єднати з іншою інформацією у файлі. Адреса електронної пошти johnsmith@businessx.com буде вважатися персональними даними, оскільки вона вказує, що в цій компанії працює лише один Джон Сміт.

Щось не вважається персональними даними?

У більшості випадків дані померлих не вважаються персональними даними відповідно до GDPR. У статті 26також зазначено, що анонімні дані не підпадають під норми GDPR. Анонімізація – це процес очищення від даних усіх особистих ідентифікаторів. Його не слід плутати з псевдонімними або зашифрованими даними, які все ще можна повторно обробити для ідентифікації людей. Однак GDPR активно заохочує псевдонімізацію персональних даних, оскільки забезпечує додатковий рівень безпеки для суб’єктів даних. Це пояснюється тим, що доступ до псевдонімізованих даних мають лише уповноважені працівники, що зменшує ризики конфіденційності для людей, які передали свої дані компаніям.

Що щодо конфіденційних персональних даних GDPR?

Конфіденційні персональні дані – або «дані особливої категорії» на офіційному жаргоні статті 9– були виділені GDPR як те, що потрібно обробляти з додатковим захистом. Ось усі приклади конфіденційних персональних даних:

  • Расове або етнічне походження
  • Політичні думки
  • Релігійні або філософські переконання
  • Членство в профспілці
  • Судимості
  • Секретні дані
  • Генетичні дані
  • Фінансові дані
  • Біометричні дані
  • Дані про здоров’я
  • Сексуальне життя або сексуальна орієнтація
  • Ділова або робоча інформація

Ця різниця між персональними даними та конфіденційними персональними даними є важливою. Відповідно до GDPR, конфіденційні дані можуть оброблятися, лише якщо вони відповідають одній або кільком з наступних умов:

  • Якщо особа дала явну згоду або вже оприлюднила дані
  • Якщо дані необхідні для захисту інтересів суб’єктів даних, які фізично не можуть надати згоду
  • Якщо дані необхідні для виконання вимог щодо зайнятості, соціального забезпечення або соціального захисту відповідно до законодавства
  • Якщо дані необхідні неприбутковій організації для здійснення законної діяльності
  • Якщо дані необхідні для діяльності, пов’язаної зі суттєвим суспільним інтересом у сфері охорони здоров’я чи медицини

Ви готові до даних

Сподіваємося, тепер ви маєте краще уявлення про те, які особисті та конфіденційні дані у вас є. Це перший крок до ідентифікації та класифікації даних, а також забезпечення того, щоб спосіб зберігання персональних даних поважав права користувачів Інтернету з ЄС відповідно до GDPR. Підвищення безпеки цієї конфіденційної інформації також краще захистить вас у нещасному випадку порушення даних – зменшуючи штрафи, які ваша компанія отримає від органів захисту даних.

Ви можете дізнатися більше про GDPR та конфіденційність даних у нашому вичерпному посібнику.