Nu, nu există nicio listă a datelor cu caracter personal, deoarece, pentru o protecția adecvată a persoanelor fizice, GDPR oferă o definiție extinsă datelor personale. Astfel, GDPR definește datele personale ca „orice informație cu privire la o persoană fizică identificată sau identificabilă”. Cu alte cuvinte, dacă o anumită informație privește o persoană fizică, ne vom afla în prezența unei date cu caracter personal ce necesită măsuri adecvate de protecție.
În cauza Worten[1] Curtea de Justiție a Uniunii Europene (CJUE) a apreciat faptul că evidența timpului de lucru a angajaților „care implică indicarea orelor la care fiecare lucrător începe și termină ziua de lucru, precum și a întreruperilor sau a pauzelor corespunzătoare face parte din noțiunea <<date cu caracter personal>>”[2]. În cauza Bara și alții[3], CJUE a stabilit că datele fiscale transferate de ANAF către CNAS se încadrează în noțiunea de „date cu caracter personal”[4]. În Cauza Ryneš[5], CJUE a stabilit că imaginea unei persoane captată de o cameră video (CCTV) este o dată cu caracter personal „în măsura în care aceasta permite identificarea persoanei vizate”[6]. În cauza Breyer[7], CJUE a arătat că și o adresă de IP dinamică poate fi o dată cu caracter personal, deoarece este posibilă identificarea persoanei coroborarea adresei IP cu alte date deținute de furnizorul de acces la internet.
GDPR se aplică chiar dacă persoana nu este identificată, ci și identificabilă. Cu alte cuvinte, dacă există mijloace prin care persoana ar putea fi identificată, ne vom afla în prezența unor date personale.
Exemplu: Obiectele vestimentare nu sunt, în general, considerate date cu caracter personal, însă dacă în incinta unei companii este o singură persoană care poartă o pălărie roșie, acea persoană poate fi identificată drept „doamna care poartă pălărie roșie”.

KIT GDPR Premium
Chiar și Curtea de Apel București a reținut, în decizia 3850/2016, definitivă, faptul că „orice informație referitoare la o persoană fizică identificată constituie date cu caracter personal, inclusiv cele referitoare la cariera persoanei respective”[8]. Tot Curtea de Apel București, a statuat, prin decizia nr. 5/2010, definitivă faptul că „Nu are relevanță faptul că recurenta nu are acces la baza de date din sistemul de evidență automatizat (…) Conform legii este suficient ca persoana fizică să fie identificabilă, chiar și indirect, prin factori fiziologici (…)”[9].
Referințe:
[1] CJUE, Cauza C-342/12, Worten, hotărârea din 30 mai 2013, ECLI:EU:C:2013:355.
[2] Idem, pct. 18-22.
[3] CJUE, cauza C-201/14, Bara și alții, hotărârea din 1 octombrie 2015, ECLI:EU:C:2015:638.
[4] Idem, pct. 29.
[5] CJUE, cauza C-212/13, Ryneš, hotărârea din 11 decembrie 2014, ECLI:EU:C:2014:2428.
[6] Idem, pct. 22.
[7] CJUE, Cauza C-582/14, Breyer, hotărârea din 19 octombrie 2016, ECLI:EU:C:2016:779.
[8] Curtea de Apel București, Secția a VIII-a de Contencios Administrativ și Fiscal, decizia civilă nr. 3850/2016, definitivă.
[9] Curtea de Apel București Secția a VIII-a de Contencios Administrativ și Fiscal, decizia civilă nr. 5/2010, definitivă.
Te-ar putea interesa și:
[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]