Cand datele devin date cu caracter personal, potrivit GDPR
Ce vei afla din acest articol:
- ce inseamna date cu caracter personal
- care sunt datele cu caracter personal
- cum poate deveni o persoana fizica “persoana vizata” potrivit GDPR
- cand anumite date ale unei persoane devin date ce trebuie protejate, ca obligatie GDPR
Sa pornim de la definitia data de art. 4 pct. 1 din Regulamentul (UE) 2016/679
„date cu caracter personal” inseamna orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”); o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
Date personale inseamna orice informatii privind persoana fizica?
Observam ca insasi definitia pleaca de la sintagma “orice informatii”. Orice informatii inseamna chiar ORICE. Datele care privesc persoana fizica, pot face referire de la datele de identificare precum nume si prenume sau CNP pana la date ce definesc preferintele, localizarea, un anumit comportament pe site, dar si imaginea, mirosul, ADN-ul, datele medicale ale unei persoane fizice si asa mai departe.
O lista cu posibilele date ce pot deveni date cu caracter personal posibil prelucrate de un operator gasesti AICI.
Astfel, tot ce priveste o persoana fizica, in anumit context poate fi numita data cu caracter personal.
Cine este “persoana vizata” potrivit regulamentului privind protectia datelor?
Informatiile personale trebuie sa priveasca o persoana fizica identificata sau identificabila.
Am vazut ce sunt datele cu caracter personal, insa pentru ca un operator sa fie obligat de lege sa le protejeze, acestea trebuie sa apartina unei persoane vizate.
Sa aflam asadar ce este persoana vizata, ca sa stim despre ce ne vorbeste Regulamentul (UE) 2016/679 privind protectia datelor cu caracter personal.
Persooana vizata este numita de GDPR ca fiind orice persoana fizica identificata sau indentificabila.
O persoana fizica este identificata prin numele sau, prin CNP-ul sau, prin unul sau mai multe elemente proprii identitatii sale. Daca spun “ma numesc Elena Cuju si am CNP 2800722485689”, sunt persoana identificata.
O persoana indentificabila, este persoana ale carei date pot conduce o alta persoana la identificarea sa.
Ce inseamna concret lucrul acesta? Inseamna ca o anumita informatie/data ce apartine unei persoane, poate conduce direct sau impreuna cu alte elemente, sisteme, mecanisme, autoritati, persoane si asa mai departe, la a fi identificata, adica reiasa ca aceasta persoana este acea Elena Cuju mai sus amintita.
In functie de context, o anumita informatie, poate fi sau nu considerata data cu caracter personal.
Sa dam cateva exemple.
Exemplul 1
Intr-o societate, gasim pe jos o bucata de hartie rupta dintr-un fluturas de salariu, care cuprinde doar salariul, nu si restul elementelor de identificare precum nume si prenume, functie etc.
Daca numarul inscris pe acea bucata de fluturas de salariu este salariul minim pe economie iar in societatea respectiva sunt mai multi salariati incadrati cu salariul minim pe economie, numarul acesta nu constituie data cu caracter personal. De ce? Pentru ca nu ne conduce implicit catre persoana detinatoare a acelui salariu; cu alte cuvinte, persoana vizata nu este identificabila.
Ce se intampla in situatia in care numarul de pe bucata de fluturas de salariu este sub forma 12.273 lei? Acest numar are toate sansele sa fie un salariu specific unei persoane anume, asadar ar putea fi considerat data cu caracter personal.
Faptul ca salariul este unic, impreuna cu suport de la resurse umane, putem identifica persoana careia ii apartine acel salariu, astfel persoana vizata (persoana careia ii apartine fluturasul de salariu) va fi identificata.
Observam ca posibilitatea identificarii nu se reflecta in posibilitatea noastra efectiva de a identifica persoana, ci DACA aceasta ar putea fi identificata cu ajutorul altor parghii, in cazul de fata departamentul resurse umane.
Identificarea nu are legatura nici cu situatia in care noi putem identifica efectiv o persoana pentru ca nu avem resursele necesare (departamentul resurse umane nu ne-ar face “serviciul” de a ne spune cine este persoana din societate care este incadrata cu acel salariu), ci simpla posibilitate de a putea fi identificata acea persoana (admitand ca ar exista posibilitatea de a primi informatia de la departamentul resurse umane) face din aceea o persoana vizata iar din numarul inscris pe bucata de hartie, o data cu caracter personal a persoanei vizate.
Exemplul 2
Pe un site se prelucreaza IP-ul. IP-ul este data cu caracter personal, pentru ca poate duce la identificarea persoanei vizate.
Intr-o opinie a Grupului de Lucru Articolul 29, se arata ca “furnizorii de acces la Internet si administratorii retelelor locale pot, utilizand mijloace rezonabile, sa identifice utilizatorii de internet carora le-au atribuit adresele IP, deoarece „inregistreaza” în mod sistematic intr-un fisier data, ora, durata si adresa IP dinamica data utilizatorului de internet. Acelasi lucru se poate spune despre furnizorii de servicii de internet care pastreaza un jurnal pe serverul HTTP. In aceste cazuri, nu exista nicio indoiala cu privire la faptul ca se poate vorbi despre date cu caracter personal”.
Vedem din nou, ca nu discutam despre posibilitatea de identificare a persoanei de catre detinatorul site-ului web, ci acesta impreuna cu furnizorul de internet sau chiar furnizorul de internet singur, poate identifica persoana care a folosit un anume IP.
Ce am de facut?
Daca esti persoana fizica vizata, este necesar sa iti cunosti drepturile si sa ceri operatorului sa ti se respecte. Gasesti lista cu drepturile persoanei vizate chiar AICI. Te poti informa pentru a stii ce obligatii au operatorii de date in privinta protejarii persoanelor vizate.
Daca esti operator, ai obligatia de a proteja datele cu caracter personal prelucrate, prin implementarea de masuri tehnice si organizatorice adecvate, prin informarea acesteia si obtinerea consimtamantului explicit de la persoana vizata, prealabil prelucrarii.
Toate acestea le faci prin implementarea GDPR, intrucat acesta este scopul sau si in aceasta consta in definitiv.
Poti citi mai jos restul materialelor de informare despre care am vorbit in acest articol.
- Cine poate fi considerat operator de date cu caracter personal in sensul regulamentului privind protectia datelor
- Care sunt datele cu caracter personal – lista cuprinzatoare
- Drepturile persoanei vizate si obligatiile corelative ale operatorilor
- Sunt operator, cum protejez drepturile persoanei vizate?