GDPR: что такое персональные данные?
Персональные данные лежат в основе GDPR (Общего регламента защиты данных). Однако многие организации до сих пор точно не знают, что такое «персональные данные».
Это вызывает беспокойство, потому что, если организации не соблюдают свои требования соответствия, они рискуют получить утечку данных и дисциплинарные меры.
Тем не менее, мы можем понять, почему организации продолжают бороться с этим аспектом GDPR, особенно если у них нет в штате специального специалиста по защите данных.
Проблема в том, что в Регламенте нет четкого перечня того, что является или не является персональными данными. Организации должны правильно интерпретировать определение GDPR:
[П]ерсональные данные – любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъекту данных»)
Другими словами, персональные данные определяются как любая информация, явно относящаяся к конкретному человеку.
GDPR далее разъясняет, что информация считается персональными данными, когда лицо может быть идентифицировано, прямо или косвенно, «с помощью идентификатора, такого как имя, идентификационный номер, данные о местонахождении, онлайн-идентификатор или по одному или нескольким факторам. характерные для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица».
Очень много информации. При определенных обстоятельствах чей-либо IP-адрес, цвет волос, работа или политические взгляды могут считаться персональными данными.
Следует выделить квалификатор «определенные обстоятельства», поскольку вопрос о том, считается ли информация персональными данными, часто зависит от контекста, в котором она была собрана.
Контекст – это все
Организации обычно собирают множество различных типов информации о людях, и даже если одна часть данных не идентифицирует кого-то, она может стать актуальной наряду с другой информацией.
Например, контролер данных, который запрашивает информацию о людях, загружающих продукты с их веб-сайта, может попросить их указать род занятий.
Это не подпадает под действие GDPR в отношении персональных данных, потому что, по всей вероятности, должность не уникальна для одного человека.
Точно так же организация может спросить, в какой компании они работают, что, опять же, не может быть использовано для идентификации кого-либо, если только он не является единственным сотрудником.
Получите экспертное руководство по соблюдению требований GDPR с помощью руководства по управлению ИТ DPO как услуга .
Эта услуга идеальна для организаций, которые ищут опыт и знания в области защиты данных, необходимые для выполнения своих обязательств по защите данных.
Один из наших экспертов будет выступать в качестве вашего DPO, выполняя необходимые задачи для вашей организации и предоставляя вам рекомендации, когда вам это нужно.
Начало работы
Однако во многих случаях эти фрагменты информации могут быть использованы вместе, чтобы сузить количество живых физических лиц до такой степени, что вы сможете обоснованно установить чью-либо личность.
Другими словами, если вы ссылаетесь на кого-то с определенной должностью в конкретной организации, может быть только один человек, подходящий под это описание.
Конечно, это не всегда так. Например, знание того, что кто-то является бариста в Starbucks, не сильно сужает круг вопросов.
В этих случаях эти две части информации вместе не будут считаться личными данными. Однако маловероятно, что эта информация будет храниться без определенного идентификатора, такого как имя человека или номер платежной ведомости.
Имена не всегда считаются личными данными. это буквально то, что определяет вас как , как вы . Но не всегда все так просто, как объясняет Управление Комиссара по информации Великобритании:
«Само по себе имя Джон Смит не всегда может быть личными данными, потому что есть много людей с таким именем.
«Однако, если имя сочетается с другой информацией (например, адресом, местом работы или номером телефона), этого обычно достаточно для четкой идентификации одного человека».
Однако ICO также отмечает, что имена не обязательно требуются для идентификации кого-либо:
«Тот факт, что вы не знаете имени человека, не означает, что вы не можете его идентифицировать». Многие из нас не знают имен всех наших соседей, но мы все же можем их идентифицировать».
См. также:
- GDPR: Когда вам нужно запрашивать согласие?
- GDPR: что такое конфиденциальные персональные данные?
- GDPR: законный интерес — что это такое и когда он применяется?
Руководство по тому, что является (или может быть) персональными данными
Как мы объясняли, может быть трудно сказать, соответствует ли определенная информация определению персональных данных GDPR.
Однако компания Boxcryptor, предоставляющая облачные услуги, предоставляет список вещей, которые могут считаться персональными данными, либо сами по себе, либо в сочетании с дополнительной информацией:
- Биографические данные или текущая жизненная ситуация , включая даты рождения, номера социального страхования, номера телефонов и адреса электронной почты.
- Внешний вид, внешний вид и поведение , включая цвет глаз, вес и черты характера.
- Данные о месте работы и информация об образовании , включая зарплату, налоговую информацию и номера учащихся.
- Частные и субъективные данные , включая религию, политические взгляды и данные геолокации.
- Здоровье, болезни и генетика , включая историю болезни, генетические данные и информацию об отпуске по болезни.
Как организации должны обращаться с персональными данными
Если вы не уверены, является ли информация, которую вы храните, персональными данными или нет, лучше проявить осторожность.
Это означает, что обработка персональных данных ограничивается тем, что необходимо, и хранить данные только до тех пор, пока они соответствуют своей цели.
Вам также следует настоятельно рассмотреть возможность псевдонимизации и/или шифрования информации, особенно если это особая категория персональных данных.
Псевдонимизация маскирует данные, заменяя идентифицирующую информацию искусственными идентификаторами.
Хотя псевдонимизация имеет центральное значение для защиты данных — она упоминается в GDPR 15 раз — и может помочь защитить конфиденциальность и безопасность личных данных, у нее есть свои ограничения, поэтому в GDPR также упоминается шифрование.
Шифрование также скрывает информацию, заменяя идентификаторы чем-то другим. Но в то время как псевдонимизация позволяет любому, у кого есть доступ к данным, просматривать часть набора данных, шифрование позволяет только утвержденным пользователям получать доступ к полному набору данных.
Псевдонимизация и шифрование могут использоваться одновременно или по отдельности.
Спросите DPO, если вы не уверены.
DPO — это независимый эксперт, нанятый для руководства организациями в отношении требований GDPR. Они несут ответственность за многие задачи, в том числе:
- Информирование и консультирование организации и ее сотрудников об их обязанностях;
- Мониторинг политик и процедур организации по защите данных;
- Рекомендации руководству, когда необходимы DPIA (оценка воздействия на защиту данных); и
- Выполнение функций контактного лица между организацией и ее надзорным органом.
В GDPR указано, что некоторые организации должны назначать DPO, но даже если вы не соответствуете этим критериям, назначить его в любом случае может быть очень выгодно.
Станьте экспертом GDPR
Вы можете узнать больше о требованиях вашей организации к защите данных, пройдя наш сертифицированный GDPR Foundation онлайн-курс самостоятельного обучения
Этот однодневный курс проводится опытным экспертом по защите данных и содержит исчерпывающее введение в Регламент и его правила.