Introducere

Din 25 mai 2018 de când a intrat în vigoare Regulamentul General privind Protecția Datelor (GDPR) auzim foarte des noțiunea de date cu caracter personal. Obiectivul principal al instituirii Regulamentului General privind Protecția Datelor este protecția datelor cu caracter personal ale cetățenilor Uniunii Europene la diferite niveluri.

GDPR protejează datele cu caracter personal pe toate platformele, fie că sunt online sau nu. De asemenea, GDPR se aplică atât în ceea ce privește prelucrarea manuală, cât și cea automată. La baza înțelegerii și aplicării corecte a Regulamentului stau datele cu caracter personal, care, după cum veți vedea, acoperă o gamă foarte extinsă.

De aceea, ne propunem în acest articol să definim ce sunt datele cu caracter personal, să vedem ce categorii de date personale există și, pentru o mai bună înțelegere,  să vedem cât mai multe exemple de date personale și situații speciale de prelucrare a datelor cu caracter personal.

Ce sunt datele cu caracter personal?

Așa cum este prevăzut în Regulamentul general privind protecția datelor,

date cu caracter personal” înseamnă ORICE INFORMAȚII privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;  

O definiție extrem de vastă care cuprinde practic orice legătură ce duce la identificarea unei persoane. Totuși, dacă ne uităm la prima frază din definiția datelor cu caracter personal care a venit în textul Regulamentului, vom constata că aceasta conține trei elemente principale care ne pot oferi o definiție mai precisă a datelor cu caracter personal. Cele trei elemente sunt: „orice informație”, „persoană fizică” și „o persoană identificată sau identificabilă”.

Haideți să le luăm pe rând:

  1. Orice informație” – Acest termen are un domeniu de aplicare foarte larg și include multe elemente. Sub incidența acestui termen intră informațiile / datele personale fixe legate de o persoană fizică, cum ar fi: greutatea, înălțimea, starea de sănătate sau alte informații din viața de zi cu zi, cum ar fi statutul profesional sau locul de reședință. Utilizarea termenului „orice informație” de către GDPR face ca informațiile cu caracter personal să fie nelimitate într-un anumit format sau formă. Astfel de informații pot fi sub formă video, audio, text, numerică, grafică și fotografică.
  2. Semnificația termenului „persoană fizică” – Utilizarea acestui termen de către RGPD are ca scop ca datele cu caracter personal să se refere la o persoană în viață și la o persoană care nu are semnificație juridică în cadrul comunității.
  3. Persoană fizică identificabilă” – Persoana identificabilă este o persoană care poate fi identificată direct sau indirect de alte persoane. Persoana neidentificabilă este persoană a cărei identitate nu poate fi atinsă, nici cu ajutorul unor informații directe, cum ar fi un nume, actul său de identitate, nici cu ajutorul unor informații indirecte. Uneori nu este nevoie să se cunoască numele unei persoane pentru a o identifica, integrarea unor alte informații, chiar dacă acestea sunt insuficiente și lipsite de importanță, poate duce la identificarea persoanei respective.

De asemenea, trebuie să ținem cont de faptul că datele care pot identifica o persoană, chiar dacă nu sunt legate de numele unei anumite persoane, pot fi considerate date cu caracter personal. Înregistrările legate de o anumită persoană, cum ar fi istoricul medical, cazierul judiciar sau extrasele bancare, sunt considerate date cu caracter personal. Înregistrările legate de consumul de energie electrică, consumul de apă și factura de internet sunt considerate date cu caracter personal.

Informațiile care au un efect asupra persoanelor atunci când sunt prelucrate, chiar dacă nu acesta este scopul organizației, sunt considerate date cu caracter personal. De exemplu, aplicația „Google fit” este folosită uneori pentru a calcula distanța parcursă de o persoană care face exerciții fizice, deși scopul în acest caz este de a calcula distanța parcursă în scop de sănătate, dar aici datele pot fi folosite pentru a afla locația traseului parcurs de persoana care face exerciții fizice.

Noțiunea de date personale din perspectiva GDPR cuprinde inclusiv datele anonimizate, criptate sau pseudonimizate dar care pot fi folosite pentru identificarea ulterioară a unor persoane. Cu alte cuvinte, dacă procesul este reversibil, Regulamentul se va aplica și pentru acele date. În schimb, nu se mai aplică în situația în care procesul de anonimizare este ireversibil, iar persoana nu mai poate fi identificabilă prin prelucrarea acestora. De exemplu, o companie folosește sisteme de criptare pentru a garanta siguranța datelor angajaților săi. Deși pentru un terț datele criptate nu oferă nicio informație concretă, compania trebuie să respecte reglementările GDPR datorită posibilității de a identifica angajații prin decriptarea datelor. 

Exemple de date cu caracter personal

Atunci când majoritatea oamenilor se gândesc la date cu caracter personal, se gândesc la nume, numere de telefon și adrese. Cu toate acestea, datele cu caracter personal acoperă o serie întreagă de identificatori. Dintre datele cu caracter personal putem enumera:

nume, prenume numărul de telefon CNP
adresa data nașterii locul nașterii
numele părinților vârsta cetățenia
etnia religia numărul de înmatriculare al mașinii
identificatorul mașinii (VIN) numărul cardului bancar afilierea politică
starea civilă adresa de email personală salariul
imaginea – fotografii în care o persoană poate fi identificată adresa IP a unui calculator/terminal datele de trafic și localizare
codul de bare incorporat într-un document de identitate răspunsurile date la un examen identificatori cookie
prezența/absența unor substanțe din sânge etichetele de identificare prin frecvenţe radio tratamentul prescris de un medic unui pacient
amprente semnătura ADN
date genetice date biometrice rezultatul analizelor medicale
vocea log-uri istoricul de cautare într-un browser/motor de cautare
comportamentul on-line informațiile stocate pe telefonul personal un tatuaj distinctiv

Categorii de date cu caracter personal

Uitându-ne la datele personale enumerate mai sus putem distinge 2 categorii de date: date personale generale/obișnuite și date personale sensibile.

  1. Date cu caracter personal generale

Majoritatea datelor cu caracter personal pot fi încadrate în categorii generale, care privesc detaliile personale, de contact, cele privind educația, detalii financiare, informații privind familia, stilul de viață, sau orice alt aspect al vieții sociale, locația, fotografii, filmări, înregistrări audio, identificatori online etc. Ca și exemple de date personale generale enumerăm aici:

  • numele și prenumele
  • adresa fizică
  • adresa IP
  • CNP
  • pașaportul
  • venitul
  • profilul cultural
  • datele deținute de instituțiile medicale/medici
  • etc
  1. Date cu caracter personal sensibile

Datele personale sensibile sunt date de o categorie specială care trebuie tratate cu atenție. Datorită importanței lor, datele sensibile necesită proceduri mai stricte atunci când sunt prelucrate.

Exemple de date sensibile:

  • originea rasială sau etnică
  • contracte politice
  • convingeri religioase
  • date genetice sau biometrice
  • date privind sănătatea 
  • orientarea sexuală
  • apartenența sindicală

Referitor la datele personale sensibile privind sănătatea, conform Regulamentului, aceste „date privind sănătatea” înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia. Redăm mai jos câteva astfel de exemple:

  • starea patologică a pacientului
  • informații colectate de la pacient în timpul admiterii în spital sau în timpul examinării medicale
  • orice informație legată de un handicap, o boală sau un diagnostic medical
  • informații legate de testele medicale
  • datele de urmărire a fitness tracker-ului
  • detalii privind programarea
  • facturi medicale din care puteți afla detalii despre starea de sănătate a persoanelor.

Tot conform RGPD, datele personale biometrice sensibile înseamnă date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi, de exemplu:

  • recunoașterea facială
  • amprentele digitale
  • recunoașterea vocală
  • scanarea irisului
  • verificarea amprentei palmei
  • recunoașterea retinei

„Datele genetice” înseamnă datele cu caracter personal referitoare la caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care oferă informații unice privind fiziologia sau sănătatea persoanei respective și care rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză. Ca și exemple de date personale genetice sensibile ar fi:

  • analiza cromozomială
  • analiza acidului dezoxiribonucleic (ADN)
  • analiza acidului ribonucleic (ARN)

Ce date nu sunt considerate date cu caracter personal?

Revenind la definiția datelor cu caracter personal oferită de Regulament, reținem că informațiile care sunt atribuite în mod inexact unei anumite persoane, fie că sunt incorecte din punct de vedere faptic, fie că sunt informații care se referă de fapt la o altă persoană, sunt în continuare considerate date cu caracter personal. În cazul în care informațiile sunt inexacte în măsura în care nu este posibilă identificarea unei persoane, atunci se poate spune doar că este vorba de informații fără caracter personal. De exemplu, atunci când spunem: „Femeia care locuiește pe strada Freedom din București a fost la cumpărături aseară”, când nu există nicio stradă cu acest nume inițial în București. În acest caz, datele nu sunt date cu caracter personal.

Astfel de date nu vor intra în domeniul de aplicare al GDPR.

  • adresa de e-mail generică (de exemplu achizitii@companie.ro)  care nu conține informații personale
  • informații referitoare la persoana decedată
  • ID-ul de afaceri al unei companii.

De asemenea, dupa cum am menționat mai sus, nu mai sunt considerate date cu caracter personal datele cu caracter personal care au fost făcute anonime în așa fel încât persoana fizică nu este sau nu mai este identificabilă. Pentru ca datele să fie cu adevărat anonimizate, anonimizarea trebuie să fie ireversibilă.

Este important să se cunoască ce sunt datele personale pentru a putea fi respectate drepturile persoanelor vizate, drepturi conferite de Regulamentul General privind Protecția Datelor.

Ai nevoie de ajutor în implementarea GDPR?
Apelează la serviciile noastre de consultanță GDPR online.

  • Îți evaluăm riscurile în cel mai mic detaliu

  • Te asistăm pas cu pas în implementare

  • Îți instruim angajații care prelucrează date

  • Îți oferim proceduri și documente tipizate

Prelucrarea datelor cu caracter personal

Organizația sau compania care deține sau utilizează datele cu caracter personal este cunoscută sub numele de operator de date, iar persoana la care se referă datele cu caracter personal este denumită persoana vizată. Operatorul de date este cel care stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal.

Când vorbim despre prelucrarea datelor cu caracter personal, ne referim, conform Regulamentului General privind Protecția Datelor, la

ORICE OPERAȚIUNE sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea”.

GDPR prevede de asemenea existența unei poziții speciale în cadrul oricărei companii care se ocupă de monitorizarea modului în care sunt prelucrate datele personale. Aceasta este funcția DPO – responsabil cu protecția datelor.

Citește mai multe despre ce trebuie să facă un responsabil cu protecția datelor.

Temeiuri legale de prelucrare a datelor cu caracter personal

Atunci când se prelucrează date cu caracter personal, operatorii de date trebuie să aibă un temei legal și anume se află în una din situațiile:

  1. se obține o permisiune oficială din partea proprietarului datelor care să permită organizației să le prelucreze – consimțământul. Un exemplu este consimțământul pentru cookie-uri atunci când vizitați un website.
  2. operatorii de date pot prelucra datele cu caracter personal atunci când există o obligație legală sau un scop care aduce beneficii autorităților în atingerea unui obiectiv.
  3. operatorii de date pot prelucra datele cu caracter personal în scopul încheierii sau executării unui contract.
  4. operatorii de date pot prelucra datele cu caracter personal în scopuri vitale, cum ar fi prelucrarea datelor pentru a proteja siguranța unei persoane sau pentru a preveni o infracțiune care ar putea fi comisă în comunitate.
  5. prelucrarea datelor cu caracter personal este permisă în cazul sarcinilor publice, ceea ce va acoperi autoritățile publice, cum ar fi departamentele guvernamentale, școlile și alte instituții de învățământ, unde este permisă prelucrarea datelor sensibile – interes public.
  6. prelucrarea datelor cu caracter personal este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță.

Situații de prelucrare a datelor cu caracter personal sensibile.

Organizațiile caritabile pot prelucra datele sensibile cu caracter personal fără autorizație în scopuri caritabile menite să servească comunitatea. Cu condiția ca datele să nu fie partajate cu părți din afara Uniunii Europene.

Operatorii de date pot prelucra datele cu caracter personal sensibile în cazul în care aceste date devin publice, adică ele au fost puse la dispoziție fie online, fie în orice alt mod, astfel că nu intră sub incidența obligației GDPR.

Asistenții medicali au voie să prelucreze datele sensibile pentru a diagnostica sau trata afecțiunile medicale ale persoanelor, dar acest lucru trebuie să fie făcut de personal medical specializat, cu anumite limitări în ceea ce privește anumite informații, cum ar fi datele genetice și biometrice.

Este permisă prelucrarea datelor sensibile în scopul cercetării și statisticii pe teme generale.

Principii legate de prelucrarea datelor cu caracter personal

Regulamentul General privind Protecția Datelor stabilește șapte principii care stau la baza prelucrării datelor cu caracter personal. Astfel, fiecare operator de date trebuie să aibă în vedere următoarele principii de prelucrare:

  1. Principiul legalității: datele să fie prelucrate în mod legal, echitabil și transparent;
  2. Principiul limitării legate de scop: ne asigurăm că datele sunt prelucrate în scopuri determinate, explicite, și legitime și nu sunt prelucrate în scopuri ulterioare incompatibile cu scopurile inițiale;
  3. Principiul limitării legate de stocare: nu le vom păstra pe o perioadă mai lungă decât cea necesară îndepliniri scopurilor;
  4. Principiul exactității: datele vor fi actualizate constant, sunt șterse dacă e cazul sau rectificate;
  5. Principiul integrității și confidențialității datelor: datele sunt prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luare de măsuri tehnice și organizatorice; Citește mai multe despre securitatea informației precum și despre cele mai bune practici în materie de securitate cibernetică.
  6. Principiul reducerii la minimum a datelor: nu vom prelucra mai multe date decât cele necesare în raport cu scopurile stabilite.
  7. Principiul responsabilității: responsabilitatea implementării și respectării standardului este a operatorului.

Ai nevoie de DPO extern?
Lasă provocările GDPR în seama GDPR Complet – echipă de profesioniști cu expertiză juridică, expertiză în securitate IT și expertiză în managementul afacerilor

  • Exercităm funcția de DPO

  • Audităm și Implementăm

  • Instruim personalul

  • Comunicăm cu autoritatea

Concluzii

Cunoașterea și definirea exactă a datelor cu caracter personal stă la baza aplicării corecte a GDPR-ului. După cum s-a văzut, datele cu caracter personal acoperă o gamă foarte extinsă de aceea este importantă înțelegerea lor pentru a evita încălcarea Regulamentului General privind Protecția Datelor.

Dacă ai nevoie de ajutor în ceea ce privește conformarea la GDPR, fie prin consultanță GDPR, fie prin servicii de DPO externalizat, contactează-ne pe contact@gdprcomplet.ro și programează o întâlnire cu unul dintre experții GDPR din cadrul echipei GDPR Complet.