Ce sunt datele cu caracter personal?
Pe scurt:
-
- Datele cu caracter personal sunt orice informații care se referă la o persoană identificată sau care poate fi identificată, denumită „persoană vizată”;
- O persoană poate fi identificată dacă se pot obține informații suplimentare cu privire la ea pentru a o identifica;
- Datele cu caracter personal trebuie să se refere la o persoană fizică în viață;
- Datele publice pot fi date cu caracter personal, cu excepția situației în care au fost făcute publice de către persoana vizată în mod direct, fără dubiu;
- Există mai multe categorii de date:
- datele obișnuite (ca de exemplu numele, adresa de e-mail, domiciliul etc), majoritatea datelor intrând în această categorie și există categorii speciale de date, și
- așa-numitele date sensibile (datele biometrice, datele medicale, CNP-ul etc), care au un regim special și pot fi prelucrate respectând anumite condiții stricte.
- Anonimizarea datelor înseamnă că datele nu mai conțin niciun element de identificare;
- Pseudonimizarea datelor înseamnă că datele sunt înlocuite cu un cod.
Implementează GDPR și evită amenzile!
Datele anonimizate nu mai sunt date cu caracter personal, în schimb datele pseudonimizate sunt în continuare date cu caracter personal.
Regulamentul definește datele cu caracter personal drept „orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.[1]
GDPR extinde definiția datelor cu caracter personal. Acest lucru poate include acum identificatori online și chiar date genetice și biometrice, cum ar fi amprentele digitale, scanarea retinei, recunoașterea vocală și recunoașterea facială. Parolele sunt, de asemenea, considerate date personale în cadrul GDPR.[2]
Utilizarea sintagmei „orice informație” a fost folosită în mod intenționat de legiuitorul european, pentru a nu exclude, din sfera de protecție, anumite categorii de date cu caracter personal.
Curtea de Justiție a Uniunii Europene a decis, în cauza C-582/14 faptul că inclusiv o adresă IP dinamică poate fi, în anumite circumstanțe, o dată cu caracter personal.
Asemănător, în Cauza C‑434/16, CJUE a decis că foaia de examen a unui candidat se încadrează în conceptul de date cu caracter personal.
Grupul de Lucru Art. 29 recomandă, pentru a identifica dacă o anumită informație este dată cu caracter personal, a se lua în calcul patru piloni:[3]
- orice informație;
- care se referă la;
- o persoană fizică identificată sau identificabilă.
„Orice informație”
Domeniul este atât de vast încât nu va exista niciodată o listă exhaustivă a datelor cu caracter personal. Acestea includ numele, adresa de e-mail, datele biometrice (imagini faciale, amprente), CNP, locația unei persoane, ocupația, sexul etc. Absolut orice informație.
Datele trebuie să se refere la persoanele fizice în viață. Regulamentul nu se aplică și datelor privind persoanele decedate.[4]
Informațiile pot fi atât obiective, cât și subiective:
Exemplu: Evaluarea performanței unui angajat la locul de muncă reprezintă o informație cu caracter personal, chiar dacă reflectă doar opinia personal a supervizorului, ca de exemplu „Angajatul X este mereu obosit” sau „Angajatul X nu este dedicat muncii sale.”
Informațiile sunt date cu caracter personal, indiferent că se referă la viața privată sau viața profesională a individului.[5] De exemplu, adresa de e-mail de serviciu intră în categoria de date cu caracter personal.
Paragraful 30 din Preambulul Regulamentului spune faptul că inclusiv adresele IP, identificatorii cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio pot fi date cu caracter personal, deoarece pot lăsa urme, care, combinate cu alte informații primite de servere pot conduce către identificarea persoanelor, prin crearea de profiluri.[6]
„Care se referă la”
Pentru a intra în sfera datelor cu caracter personal, informațiile trebuie să se refere la o persoană fizică în viață. În unele cazuri informațiile cu privire la obiecte, fapte sau procese pot fi date cu caracter personal dacă există o legătură strânsă între acestea și persoana fizică, de exemplu, mașina colegului Mihai, telefonul clientului Andrei, parola utilizatorului mihai.andrei78.
Dacă anumiți factori exteriori, cum ar fi obiectele, procesele, evenimentele, faptele pot conduce la evalua sau analiza un individ într-un anumit mod, ar trebui să se considere a fi date cu caracter personal. [7]
„O persoană fizică identificată sau identificabilă.”
Situația datelor referitoare la persoane fizice identificate este clară (domiciliul angajatului X, CNP-ul clientului Y, e-mail-urile abonaților X,Y,Z).
Ce se întâmpla, însă, dacă avem date care nu se refera la o persoana fizica deja identificată? Sunt ele date personale?
Pot fi. Dacă există mijloace care pot conduce către identificarea persoanei. Aceste mijloace trebuie să țină cont atât de tehnologia actuală, cât și de cea care va fi, în mod rezonabil, dezvoltată în viitor.
Identificarea persoanei se poate realiza prin nume. Însă, simplul fapt că nu știm numele unei persoane, nu înseamnă că aceasta nu poate fi identificată. Cei mai mulți dintre noi nu știm numele tuturor vecinilor, însă îi putem identifica. Pentru identificare, ne raportăm, potrivit Regulamentului la „un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale”
Cu alte cuvinte, daca avem o informație care nu este atribuita unei persoanei, însă putem folosi informații suplimentare (prin orice mijloace) pentru a identifica persoana respectiva, vorbim de date cu caracter personal.
Exemplu: „Datele referitoare la salariile într-o companie nu sunt, în general, date cu caracter personal. Aceste date se pot regăsi, fără probleme, în anunțurile de recrutare. Însă, dacă într-o companie există un singur angajat pe un anumit post, salariul aferent acelui post este o informație cu caracter personal care se referă la singurul angajat care ocupa respectivul post. ”[8]
Surse:
[1] Art. 4 pct. 1 din Regulamentul (EU) 679/2016.
[2] GDPR for Dummies. Editat de Meta Compliance Group, ce poate fi accesat aici.
[3] Opinia 4/2007 a Grupului de Lucru Art. 29, adoptată pe 20 iunie 2017, ce poate fi accesată aici.
[4] postare facebook, Ruxandra Sava, 5 ianuarie 2018
[5] A se vedea Hotărârea CEDO din 16 februarie 2000 în cauza Amann/Elveţia, nr. 27798/95, punctul 65.
Preambul (30) din Regulamentul (EU) 679/2016: „Persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio. Aceștia pot lăsa urme care, în special atunci când sunt combinate cu identificatori unici și alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor.”
[7] Opinia 4/2007 a Grupului de Lucru Art. 29.
[8] A se vedea în acest sens și postarea de pe Facebook a paginii LegalUp din data de 5 ianuarie 2018, ce poate fi accesată aici.
