În acest articol vom discuta despre cum putem afla dacă se prelucrează date cu caracter personal și cum se realizează identificarea persoanei vizate.
Pe scurt
- A înțelege dacă prelucrați date cu caracter personal este esențial pentru a înțelege dacă RGPD se aplică activităților dumneavoastră.
- Datele cu caracter personal sunt informații care se referă la o persoană identificată sau identificabilă.
- O persoană poate fi identificată printr-un simplu nume sau un număr ori prin alte elemente de identificare, precum o adresă IP sau un identificator cookie, ori prin alți factori.
- Dacă identificarea persoanei este posibilă directdin informațiile pe care le prelucrați, atunci informațiile respective pot constitui date cu caracter personal.
- Dacă o persoană nu poate fi identificată direct din informațiile respective, atunci trebuie să evaluați dacă persoana respectivă poate fi în continuare identificată. Ar trebui să luați în considerare informațiile pe care le prelucrați, precum și toate mijloacele pe care este probabil, în mod rezonabil, să le utilizați dumneavoastră sau orice altă persoană în scopul identificării persoanei respective.
- Chiar dacă o persoană este identificată sau identificabilă, direct sau indirect, din datele pe care le prelucrați, acestea nu reprezintă date cu caracter personal dacă nu „se referă” la persoana respectivă.
- Atunci când evaluați dacă informațiile „se referă” la o persoană, trebuie să luați în considerare o serie de factori, inclusiv conținutul informațiilor, scopul sau scopurile în care le prelucrați și impactul sau efectul probabil al prelucrării respective asupra persoanei în cauză.
- Este posibil ca aceleași informații să constituie date cu caracter personal când sunt utilizate în anumite scopuri de un operator dar să nu reprezinte date cu caracter personal atunci când utilizate în alte scopuri de un alt operator.
- Informațiile din care s-au înlăturat sau înlocuit identificatorii pentru a pseudonimiza datele constituie în continuare date cu caracter personal în sensul RGPD.
- Informațiile care sunt într-adevăr anonime nu sunt vizate de RGPD.
- Dacă informațiile care par să se refere la o anumită persoană sunt inexacte (și anume, conțin o eroare de fapt sau se referă la o altă persoană), informațiile reprezintă în continuare date cu caracter personal, pentru că se referă la persoana respectivă.
Ce sunt datele cu caracter personal?
RGPD se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate sau prelucrării datelor cu caracter personal prin alte mijloace decât cele automatizate, care fac parte sau sunt destinate să facă parte dintr-un sistem de evidență a datelor.
Datele cu caracter personal includ doar informațiile care se referă la persoanele fizice care: pot fi identificate sau care sunt identificabile, direct sau indirect din informațiile în cauză sau care pot fi identificate indirect din informațiile respective coroborate cu alte informații.
Datele cu caracter personal pot, de asemenea, include categorii speciale de date cu caracter personal sau date privind condamnările penale și infracțiunile. Aceste date sunt considerate a fi mai sensibile și prelucrarea lor este posibilă doar în condiții limitate.
Datele pseudonimizate pot contribui la reducerea riscurilor la adresa vieții private prin îngreunarea identificării persoanelor, dar aceste date constituie în continuare date cu caracter personal.
Dacă datele cu caracter personal pot fi într-adevăr anonimizate, atunci datele anonimizate respective nu fac obiectul RGPD. Este important să înțelegem ce sunt datele cu caracter personal pentru a înțelege dacă datele respective au fost anonimizate.
Informațiile despre o persoană decedată nu constituie date cu caracter personal și, prin urmare, nu fac obiectul RGPD.
Informațiile despre societăți private sau autorități publice nu reprezintă date cu caracter personal.
Cu toate acestea, pot constitui date cu caracter personal informațiile despre persoanele care acționează în calitate de comercianți individuali, angajați, parteneri și directori de societăți private dacă aceste persoane sunt identificabile în mod individual, iar informațiile se referă la acestea ca și persoane.
Te-ar putea interesa și:
Identificarea persoanei vizate. Ce sunt elementele de identificare?
O persoană este „identificată” sau „identificabilă” dacă puteți să o deosebiți de alte persoane.
Un nume este probabil modalitatea cea mai obișnuită de identificare a unei persoane. Cu toate acestea, posibilitatea ca orice element de identificare potențial să identifice cu adevărat o persoană depinde de context.
Pentru identificarea unei persoane, ar putea fi nevoie de o combinație de elemente de identificare. RGPD furnizează o listă neexhaustivă de elemente de identificare care include:
- un nume;
- un număr de identificare, date de localizare și
- un identificator online.
„Identificatorii online” includ adresele IP și identificatorii cookie care pot reprezenta date cu caracter personal. O persoană poate fi identificată și de alți factori.
Identificarea directă a unei persoane fizice
Dacă doar prin citirea informațiilor pe care le prelucrați puteți să deosebiți o persoană de alte persoane, atunci persoana va fi identificată (sau identificabilă).
Nu trebuie să cunoașteți numele unei persoane pentru a o identifica direct, o combinație de alte elemente de identificare putând fi suficientă pentru a o identifica.
Dacă o persoană este direct identificabilă din informațiile respective, atunci acestea pot constitui date cu caracter personal.
Identificarea indirectă a unei persoane fizice
Este importantă conștientizarea faptului că informațiile pe care le dețineți pot identifica indirect o persoană și, prin urmare, ar putea constitui date cu caracter personal.
Chiar dacă ați avea nevoie de informații suplimentare pentru a putea identifica pe cineva, această persoană rămâne identificabilă.
Informațiile suplimentare respective pot fi informații pe care le aveți deja sau informații pe care trebuie să le obțineți din altă sursă.
În anumite circumstanțe, ar putea exista o posibilitate ipotetică redusă că cineva ar putea recompune datele astfel încât să identifice persoana respectivă. Totuși, acest lucru nu reprezintă neapărat o condiție suficientă pentru ca persoana să fie identificabilă în sensul RGPD. Trebuie să luați în considerare toți factorii implicați.
Atunci când analizați dacă persoanele pot fi identificate, puteți fi nevoiți să evaluați mijloacele care ar putea fi folosite de către o persoană interesată și suficient de determinată.
Aveți o obligație continuă de a evalua dacă probabilitatea de identificare s-a modificat în timp (de exemplu, ca urmare a evoluțiilor tehnologice).
Ce înseamnă „se referă la”?
Informațiile trebuie să „se refere la” persoana identificabilă pentru a fi date cu caracter personal. Acest lucru înseamnă că informațiile respective fac mai mult decât doar să o identifice: trebuie să se refere la persoana în cauză într-un fel.
Pentru a determina dacă o informație se referă la o persoană, este posibil să trebuiască să analizați:
- conținutul datelor respective (se referă direct la persoana în cauză sau la activitățile sale?),
- scopul în care veți prelucra datele; și
- rezultatele sau efectele asupra persoanei respective determinate de prelucrarea datelor.
Datele pot face trimitere la o persoană identificabilă fără a fi date cu caracter personal deoarece informațiile nu se referă la aceasta.
Vor fi situații în care ar putea fi dificil să se determine dacă datele sunt date cu caracter personal. În acest caz, ca exemplu de bună practică, ar trebui să tratați informațiile respective cu grijă, să vă asigurați că aveți un motiv clar pentru prelucrarea acestora și, în special, că le dețineți și le distrugeți în condiții de securitate.
O informație inexactă poate fi considerată a avea caracter personal dacă se referă la o persoană identificabilă și doar dacă este posibilă identificarea.
Sursa: ICO
