Date cu caracter personal: Tot ce trebuie să știi

Article Date cu caracter personal: Tot ce trebuie să știi | Decalex

 

Având în vederea importanța datelor cu caracter personal și riscul pe care prelucrarea ilegală l-ar putea avea la adresa drepturilor și libertăților fundamentale, acestea au parte de o protecție specială printr-o reglementare unitară la nivelul întregii Uniuni Europene. În acest context, este important să se răspundă la întrebarea ce sunt datele cu caracter personal la care se referă Regulamentul general privind protecția datelor (GDPR)? Relevanța delimitării clare a celor care intră sub incidența reglementării rezidă din aria de aplicabilitate a acesteia, astfel încât atunci când este realizată o prelucrarea de date personale, trebuie avut în vedere Regulamentul 679/2016.

 

Acest articol își propune să răspundă la întrebare pentru a clarifica sfera de aplicare GDPR, iar cei care prelucrează aceste date să conștientizeze cerințele legale care trebuie respectate. Mai mult, luând în considerare faptul că în GDPR noțiunea de „prelucrare” este definită drept orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal, întreg domeniul de aplicare al legii este concentrat asupra conceptului de date cu caracter personal. Astfel, subiectul devine de interes pentru orice persoană sau companie care are contact cu date personale, pentru a identifica dacă acestea cad sub incidența Regulamentului. 

 

Ce sunt datele cu caracter personal

 

Pentru a înțelege ce înseamnă date cu caracter personal este necesar în primul rând să consultăm definiția dată de către specialiști. Datele cu caracter personal sunt definite de art. 4, alin. 1 GDPR drept „orice informații privind o persoană fizică identificată sau identificabilă”. Definiția legală este extrem de vastă, iar conform acesteia orice date care au legătură cu un atribut ce duce la identificarea directă sau indirectă a unei persoane sunt date personale, putând varia de la nume, până la identificatori online.

 

În plus, chiar dacă prin simpla procesare a unor date nu este posibilă identificarea, trebuie avută în vederea posibilitatea rezonabilă ca o persoană să poată fi identificată prin utilizarea acelor date, chiar și în combinație cu alte informații provenite de la un terț. Regulamentul face referire la „o persoană fizică identificabilă”, prin această noțiune înțelegând orice persoană în legătură cu care pot fi adunate diferite informații care vor conduce la depistarea sa. Cu toate acestea, pe lângă puterea de a identifica, sau ajuta la identificarea unei persoane, datele sunt considerate individuale numai în situația în care au legătură cu, și se referă la persoana în cauză.

 

Noțiunea de date personale din perspectiva GDPR cuprinde inclusiv datele anonimizate, criptate sau pseudonimizate dar care pot fi folosite pentru identificarea ulterioară a unor persoane. În alte cuvinte, dacă procesul este reversibil, Regulamentul se va aplica și pentru acele date. În schimb, nu se mai aplică în situația în care procesul de anonimizare este ireversibil, iar persoana nu mai poate fi identificabilă prin prelucrarea acestora. De exemplu, o companie folosește sisteme de criptare pentru a garanta siguranța datelor angajaților săi. Deși pentru un terț datele criptate nu oferă nicio informație concretă, compania trebuie să respecte reglementările GDPR datorită posibilității de a identifica angajații prin decriptarea datelor. 

 

Regulamentul se aplică atât la datele prelucrate în mod automat, sau parțial automat, cât și celor prelucrate manual atunci când acestea sunt parte dintr-un sistem de evidență a datelor (filing system), indiferent de suportul pe care sunt stocate sau de tehnologia utilizată. 

 

Datele care ajută la identificarea unei persoane sunt cele care diferențiază un individ de altul. Exemple de date cu caracter personal sunt oferite chiar de textul regulamentului, care enumeră o listă non-exhaustivă. Cel mai ușor de imaginat și utilizat mijloc de identificare al unei persoane este numele acesteia. De asemenea, legea menționează și numărul de identificare (CNP-ul), date de localizare (coordonate GPS), identificatorii online (cum sunt unele tipuri de cookie-uri), unul sau mai multe elemente specifice, proprii identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale. Printre acestea ar putea fi o adresă IP, o adresă de e-mail de tipul nume.prenume@company.com, ori adresa de domiciliu. Este esențial ca datele, prin ele însele, sau în combinație cu alte informații să aibă legătură și să ducă la identificarea unei persoane. 

 

Cu toate acestea, nu sunt considerate date cu caracter personal datele unei persoane decedate, date în legătură cu companii sau autorități publice (totuși informațiile despre liberi profesioniști, ori angajații unei companii vor fi considerate date cu caracter personal), o adresă de e-mail generică (info@company.com), ori date anonimizate ireversibil. De asemenea, GDPR nu se aplică datelor care nu au caracter personal, nu sunt în legătură cu o persoană fizică, nu sunt parte dintr-un sistem de clasificare, ori datelor procesate de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice (cum sunt agendele personale de numere de telefon).

 

Cum se prelucrează datele cu caracter personal

 

Conform regulamentului legat de protecția datelor cu caracter personal, acestea pot fi prelucrate doar în conformitate cu anumite principii de operare. În plus, nu orice entitate poate fi implicată în prelucrarea datelor cu caracter personal, pe perioada prelucrării datele putând ajunge la mai multe organizații și/sau companii. 

 

Datele vor putea fi prelucrate doar de către operatorul de date, cel care va decide în ce scop vor fi procesate datele sau de către persoana împuternicită de către operatorul de date, entitate care va deține și va procesa datele în numele operatorului de date. 

 

Regulamentul datelor cu caracter personal prevede de asemenea existența unei poziții speciale în cadrul oricărei companii care se ocupă de prelucrarea datelor. Ne referim în mod evident la Responsabilul cu protecția datelor (DPO). Acesta este însărcinat cu monitorizarea modului în care sunt prelucrate datele cu caracter personal și cu informarea angajaților în legătură cu obligațiile aferente. 

 

Datele cu caracter personal vor putea fi prelucrate doar dacă entitatea îndeplinește cel puțin una dintre următoarele condiții: 

 

  • A obținut în prealabil consimțământul persoanei vizate;
  • Necesită accesul la datele personale și le prelucrează pentru a putea onora o obligație contractuală avută față de subiectul datelor;
  • Are nevoie de datele personale ale subiectului pentru a îndeplini o obligație legală;
  • Are nevoie de datele personale ale subiectului pentru a putea proteja interesele vitale ale persoanei respective;
  • Prelucrează datele respective cu scopul de a îndeplini o sarcină care este în interesul publicului;
  • Acționează în concordanță cu interesul legitim al propriei companii, dar nu afectează drepturile și libertățile fundamentale ale persoanei/persoanelor ale căror date personale sunt prelucrate. 

 

De asemenea, și temeiul juridic (adică motivul prelucrării)  va juca un rol important în ceea ce privește tipul, dar și cantitatea de date pe care organizația/compania are dreptul să le prelucreze. În acest proces, societatea/firma trebuie să respecte niște norme, după cum urmează: 

 

  • Să prelucreze datele într-un mod transparent și legal și în același timp să garanteze echitatea către persoanele fizice ale căror date vor fi prelucrate;
  • Să informeze subiectul sau subiecții datelor în legătură cu scopurile specifice în cadrul cărora va folosi datele colectate. Nicio entitate nu va putea colecta date cu caracter personal pur și simplu, fără să specifice scopul exact al acestei operațiuni;
  • Să reducă pe cât posibil cantitatea de date colectate și prelucrate, cu alte cuvinte să colecteze exclusiv acele date relevante pentru îndeplinirea scopului mai sus menționat;
  • Să se asigure că datele cu caracter personal colectate sunt actualizate frecvent și să le corecteze în cazul în care apar greșeli;
  • Să nu folosească datele colectate în alte scopuri în afara celor menționate inițial;
  • Să nu stocheze datele pe o perioadă mai mare de timp decât perioada necesară prelucrării, deoarece există anumite limitări legate de stocare;
  • Să garanteze și să implementeze măsuri speciale pentru securitatea datelor, pentru a preveni prelucrarea ilegală sau deteriorarea și distrugerea datelor. 

Categorii de date cu caracter personal

Majoritatea datelor cu caracter personal pot fi încadrate în categorii generale, care privesc detaliile personale, de contact, cele privind educația, detalii financiare, informații privind familia, stilul de viață, sau orice alt aspect al vieții sociale, locația, fotografii sau filmări, înregistrări audio, identificatori online etc. Pe lângă acestea, GDPR distinge și anumite categorii speciale, ce conțin date sensibile, cu privire la care reglementarea este mai strictă. Sunt incluse date cu privire la originea rasială sau etnică, opiniile politice, religioase sau filosofice, apartenența la sindicate, date genetice, datele biometrice prelucrate pentru identificarea unei ființe umane, date privind sănătatea, date privind viața sexuală sau orientarea sexuală a unei persoane.

 

După cum se poate observa, fotografiile sunt în principal considerate date generale, însă acestea pot intra sub incidența datelor speciale atunci când sunt aplicate mijloace tehnice specifice care permit identificarea sau autentificarea unei persoane, devenind date biometrice. 

 

Și totuși, care sunt datele cu caracter personal? Pentru a putea oferi un răspuns mai clar, le-am împărțit în două categorii:  

Date obișnuite 

Aici se încadrează: numele și prenumele, adresa fizică, adresa IP, CNP-ul, pașaportul, venitul, profilul cultural, datele deținute de instituțiile medicale/medici. 

Date sensibile

Aici se încadrează: origini etnice, origini rasiale, opinii politice, apartenență filosofică, religioasă, apartenență sindicală, date genetice sau biometrice și date care fac referire la condamnări penale sau infracțiuni. Pentru ultimele două categorii, adică datele genetice, biometrice/medicale și datele legate de infracțiuni și condamnări se pot face excepții în funcție de interesul public major și legislația națională/europeană. De reținut este și faptul că această categorie de date nu pot fi procesate! 

 

Concluzie

Datele cu caracter personal stau la baza unei bune înțelegeri a aplicabilității GDPR, și după cum se poate observa, acoperă o gamă foarte extinsă. Astfel, probabilitatea de a prelucra date cu caracter personal este crescută în cadrul oricărei companii sau desfășurare de activități lucrative. Acesta este motivul pentru care tot mai multe entități trebuie să asigure conformitatea cu GDPR și să înțeleagă incidența acestuia în majoritatea situațiilor în care sunt operate date personale.

 

Dacă simți că întâmpini dificultăți și nu înțelegi ce trebuie să faci pentru a fi compliant din punct de vedere GDPR, apelează la serviciile noastre. Află mai multe despre noi și programează o discuție cu unul dintre consultanții Decalex. Noi te vom ajuta să iei o decizie în cunoștință de cauză. Contactează-ne la https://decalex.ro/contact si descrie situația cu care te confrunți.

Acest articol a fost redactat de:

Diana Rosu - Data Protection trainee

coordonata de

Cristiana Deca - Expert in Protectia Datelor

Share:
Decalex
Autor: DECALEX

PUNE O INTREBARE