GDPR date personale: ce sunt acestea si cum ne dam seama daca le prelucram?

Documentul poate fi desc─ârcat de aici.

1. Ce sunt datele personale?

Datele personale sunt definite de Regulamentul GDPR ca fiind:

! date cu caracter personal ├«nseamn─â orice informa╚Ťii privind o persoan─â fizic─â identificat─â sau identificabil─â (ÔÇ×persoana vizat─âÔÇŁ); o persoan─â fizic─â identificabil─â este o persoan─â care poate fi identificat─â, direct sau indirect, ├«n special prin referire la un element de identificare, cum ar fi un nume, un num─âr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identit─â╚Ťii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;

Art. 4 din Regulamentul GDPR

Aceasta ├«nseamn─â c─â datele cu caracter personal reprezint─â acele informa╚Ťii care se refer─â la un individ. Acea persoan─â trebuie identificat─â direct sau indirect prin unul sau mai mul╚Ťi identificatori sau factori specifici acelui individ.

RegulamentulGDPR acoperă prelucrarea datelor cu caracter personal în două moduri:

  • datele cu caracter personal prelucrate ├«n ├«ntregime sau par╚Ťial prin mijloace automatizate (adic─â informa╚Ťii ├«n format electronic); ╚Öi
  • datele cu caracter personal care au fost prelucrate ├«ntr-o manier─â neautomatizat─â care face parte din sau este destinat─â s─â fac─â parte dintr-un “sistem de ├«nregistrare” (adic─â informa╚Ťii manuale ├«ntr-un sistem de ├«nregistrare).

├Än cele mai multe cazuri, va fi relativ simplu s─â determina╚Ťi dac─â informa╚Ťiile pe care le procesa╚Ťi “se refer─â la” o persoan─â “identificat─â” sau “identificabil─â“. ├Än alte cazuri, va fi pu╚Ťin mai dificil ╚Öi va trebui s─â analiza╚Ťi cu aten╚Ťie informa╚Ťiile pe care le de╚Ťine╚Ťi pentru a determina dac─â acestea sunt date personale ╚Öi dac─â se aplic─â sau nu Regulamentul GDPR.

Acest ghid va explica factorii pe care ar trebui s─â ├«i lua╚Ťi ├«n considerare pentru a determina dac─â prelucra╚Ťi date cu caracter personal.

Aceștia sunt:

  • identificabilitatea ╚Öi factorii aferen╚Ťi acesteia ( dac─â identific─âm o persoan─â ╚Öi ├«n ce manier─â o facem);
  • dac─â cineva este direct identificabil;
  • dac─â cineva este indirect identificabil;
  • ├«n╚Ťelesul sintagmei “se refer─â la”; ╚Öi
  • c├ónd diferite organiza╚Ťii folosesc acelea╚Öi date ├«n scopuri diferite.
& Dispozi╚Ťii relevante din Regulamentul GDPR:

Preambul 15: Principiile protec╚Ťiei datelor ar trebui s─â se aplice oric─ârei informa╚Ťii referitoare la o persoan─â fizic─â identificat─â sau identificabil─â. Datele cu caracter personal care au fost supuse pseudonimiz─ârii, care ar putea fi atribuite unei persoane fizice prin utilizarea de informa╚Ťii suplimentare, ar trebui considerate informa╚Ťii referitoare la o persoan─â fizic─â identificabil─â. Pentru a se determina dac─â o persoan─â fizic─â este identificabil─â, ar trebui s─â se ia ├«n considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, ├«n mod rezonabil, s─â le utilizeze fie operatorul, fie o alt─â persoan─â, ├«n scopul identific─ârii, ├«n mod direct sau indirect, a persoanei fizice respective. Pentru a se determina dac─â este probabil, ├«n mod rezonabil, s─â fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui lua╚Ťi ├«n considerare to╚Ťi factorii obiectivi, precum costurile ╚Öi intervalul de timp necesare pentru identificare, ╚Ťin├óndu-se seama at├ót de tehnologia disponibil─â la momentul prelucr─ârii, c├ót ╚Öi de dezvoltarea tehnologic─â. Principiile protec╚Ťiei datelor ar trebui, prin urmare, s─â nu se aplice informa╚Ťiilor anonime, adic─â informa╚Ťiilor care nu sunt legate de o persoan─â fizic─â identificat─â sau identificabil─â sau datelor cu caracter personal care sunt anonimizate astfel ├«nc├ót persoana vizat─â nu este sau nu mai este identificabil─â. Prin urmare, prezentul regulament nu se aplic─â prelucr─ârii unor astfel de informa╚Ťii anonime, inclusiv ├«n cazul ├«n care acestea sunt utilizate ├«n scopuri statistice sau de cercetare.

Preambul 26: Principiile protec╚Ťiei datelor ar trebui s─â se aplice oric─ârei informa╚Ťii referitoare la o persoan─â fizic─â identificat─â sau identificabil─â. Datele cu caracter personal care au fost supuse pseudonimiz─ârii, care ar putea fi atribuite unei persoane fizice prin utilizarea de informa╚Ťii suplimentare, ar trebui considerate informa╚Ťii referitoare la o persoan─â fizic─â identificabil─â. Pentru a se determina dac─â o persoan─â fizic─â este identificabil─â, ar trebui s─â se ia ├«n considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, ├«n mod rezonabil, s─â le utilizeze fie operatorul, fie o alt─â persoan─â, ├«n scopul identific─ârii, ├«n mod direct sau indirect, a persoanei fizice respective. Pentru a se determina dac─â este probabil, ├«n mod rezonabil, s─â fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui lua╚Ťi ├«n considerare to╚Ťi factorii obiectivi, precum costurile ╚Öi intervalul de timp necesare pentru identificare, ╚Ťin├óndu-se seama at├ót de tehnologia disponibil─â la momentul prelucr─ârii, c├ót ╚Öi de dezvoltarea tehnologic─â. Principiile protec╚Ťiei datelor ar trebui, prin urmare, s─â nu se aplice informa╚Ťiilor anonime, adic─â informa╚Ťiilor care nu sunt legate de o persoan─â fizic─â identificat─â sau identificabil─â sau datelor cu caracter personal care sunt anonimizate astfel ├«nc├ót persoana vizat─â nu este sau nu mai este identificabil─â. Prin urmare, prezentul regulament nu se aplic─â prelucr─ârii unor astfel de informa╚Ťii anonime, inclusiv ├«n cazul ├«n care acestea sunt utilizate ├«n scopuri statistice sau de cercetare.

Preambul 30: Persoanele fizice pot fi asociate cu identificatorii online furniza╚Ťi de dispozitivele, aplica╚Ťiile, instrumentele ╚Öi protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau al╚Ťi identificatori precum etichetele de identificare prin frecven╚Ťe radio. Ace╚Ötia pot l─âsa urme care, ├«n special atunci c├ónd sunt combinate cu identificatori unici ╚Öi alte informa╚Ťii primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice ╚Öi pentru identificarea lor.

Articolul 2 alin. (1): Prezentul regulament se aplic─â prelucr─ârii datelor cu caracter personal, efectuat─â total sau par╚Ťial prin mijloace automatizate, precum ╚Öi prelucr─ârii prin alte mijloace dec├ót cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de eviden╚Ť─â a datelor sau care sunt destinate s─â fac─â parte dintr-un sistem de eviden╚Ť─â a datelor.

Articolul 4 alin. (1): În sensul prezentului regulament:

ÔÇ×date cu caracter personalÔÇŁ ├«nseamn─â orice informa╚Ťii privind o persoan─â fizic─â identificat─â sau identificabil─â (ÔÇ×persoana vizat─âÔÇŁ); o persoan─â fizic─â identificabil─â este o persoan─â care poate fi identificat─â, direct sau indirect, ├«n special prin referire la un element de identificare, cum ar fi un nume, un num─âr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identit─â╚Ťii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;

2. Exist─â categorii de date personale?

Unele dintre datele personale pe care le procesa╚Ťi pot avea o natur─â mai sensibil─â ╚Öi, prin urmare, necesit─â un nivel mai ridicat de protec╚Ťie. Regulamentul GDPR se refer─â la prelucrarea acestor date ca “categorii speciale de date cu caracter personal“. Aceasta ├«nseamn─â date personale despre persoana fizic─â care se refer─â la:

  • originea rasial─â;
  • originea etnic─â;
  • opiniile politice;
  • confesiunea religioas─â;
  • convingerile filozofice;
  • apartenen╚Ťa la sindicate;
  • date genetice;
  • date biometrice pentru identificarea unic─â a unei persoane fizice;
  • date privind s─ân─âtatea;
  • date privind via╚Ťa sexual─â sau orientarea sexual─â.
& Dispozi╚Ťii relevante din Regulamentul GDPR:

Preambul 34-35: (34) Datele genetice ar trebui definite drept date cu caracter personal referitoare la caracteristicile genetice mo╚Ötenite sau dob├óndite ale unei persoane fizice, care rezult─â ├«n urma unei analize a unei mostre de material biologic al persoanei fizice ├«n cauz─â, ├«n special a unei analize cromozomiale, a unei analize a acidului dezoxiribonucleic (ADN) sau a acidului ribonucleic (ARN) sau a unei analize a oric─ârui alt element ce permite ob╚Ťinerea unor informa╚Ťii echivalente.

(35) Datele cu caracter personal privind s─ân─âtatea ar trebui s─â includ─â toate datele av├ónd leg─âtur─â cu starea de s─ân─âtate a persoanei vizate care dezv─âluie informa╚Ťii despre starea de s─ân─âtate fizic─â sau mental─â trecut─â, prezent─â sau viitoare a persoanei vizate. Acestea includ informa╚Ťii despre persoana fizic─â colectate ├«n cadrul ├«nscrierii acesteia la serviciile de asisten╚Ť─â medical─â sau ├«n cadrul acord─ârii serviciilor respective persoanei fizice ├«n cauz─â, astfel cum sunt men╚Ťionate ├«n Directiva 2011/24/UE a Parlamentului European ╚Öi a Consiliului (9); un num─âr, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea singular─â a acesteia ├«n scopuri medicale; informa╚Ťii rezultate din testarea sau examinarea unei p─âr╚Ťi a corpului sau a unei substan╚Ťe corporale, inclusiv din date genetice ╚Öi e╚Öantioane de material biologic; precum ╚Öi orice informa╚Ťii privind, de exemplu, o boal─â, un handicap, un risc de ├«mboln─âvire, istoricul medical, tratamentul clinic sau starea fiziologic─â sau biomedical─â a persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro.

Preambul 51-54: (51) Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile ├«n ceea ce prive╚Öte drepturile ╚Öi libert─â╚Ťile fundamentale necesit─â o protec╚Ťie specific─â, deoarece contextul prelucr─ârii acestora ar putea genera riscuri considerabile la adresa drepturilor ╚Öi libert─â╚Ťilor fundamentale. Aceste date cu caracter personal ar trebui s─â includ─â datele cu caracter personal care dezv─âluie originea rasial─â sau etnic─â, utilizarea termenului ÔÇ×origine rasial─âÔÇŁ ├«n prezentul regulament neimplic├ónd o acceptare de c─âtre Uniune a teoriilor care urm─âresc s─â stabileasc─â existen╚Ťa unor rase umane separate. Prelucrarea fotografiilor nu ar trebui s─â fie considerat─â ├«n mod sistematic ca fiind o prelucrare de categorii speciale de date cu caracter personal, ├«ntruc├ót fotografiile intr─â sub inciden╚Ťa defini╚Ťiei datelor biometrice doar ├«n cazurile ├«n care sunt prelucrate prin mijloace tehnice specifice care permit identificarea unic─â sau autentificarea unei persoane fizice. Asemenea date cu caracter personal nu ar trebui prelucrate, cu excep╚Ťia cazului ├«n care prelucrarea este permis─â ├«n cazuri specifice prev─âzute de prezentul regulament, ╚Ťin├ónd seama de faptul c─â dreptul statelor membre poate prevedea dispozi╚Ťii specifice cu privire la protec╚Ťia datelor ├«n scopul adapt─ârii aplic─ârii normelor din prezentul regulament ├«n vederea respect─ârii unei obliga╚Ťii legale sau a ├«ndeplinirii unei sarcini care serve╚Öte unui interes public sau care rezult─â din exercitarea autorit─â╚Ťii publice cu care este ├«nvestit operatorul. Pe l├óng─â cerin╚Ťele specifice pentru o astfel de prelucrare, ar trebui s─â se aplice principiile generale ╚Öi alte norme prev─âzute de prezentul regulament, ├«n special ├«n ceea ce prive╚Öte condi╚Ťiile pentru prelucrarea legal─â. Ar trebui prev─âzute ├«n mod explicit derog─âri de la interdic╚Ťia general─â de prelucrare a acestor categorii speciale de date cu caracter personal, printre altele atunci c├ónd persoana vizat─â ├«╚Öi d─â consim╚Ť─âm├óntul explicit sau ├«n ceea ce prive╚Öte nevoile specifice ├«n special atunci c├ónd prelucrarea este efectuat─â ├«n cadrul unor activit─â╚Ťi legitime de c─âtre anumite asocia╚Ťii sau funda╚Ťii al c─âror scop este de a permite exercitarea libert─â╚Ťilor fundamentale.

(52) Derogarea de la interdic╚Ťia privind prelucrarea categoriilor speciale de date cu caracter personal ar trebui s─â fie permis─â, de asemenea, ├«n cazul ├«n care dreptul Uniunii sau dreptul intern prevede acest lucru ╚Öi ar trebui s─â fac─â obiectul unor garan╚Ťii adecvate, astfel ├«nc├ót s─â fie protejate datele cu caracter personal ╚Öi alte drepturi fundamentale, atunci c├ónd acest lucru se justific─â din motive de interes public, ├«n special ├«n cazul prelucr─ârii datelor cu caracter personal ├«n domeniul legisla╚Ťiei privind ocuparea for╚Ťei de munc─â, protec╚Ťia social─â, inclusiv pensiile, precum ╚Öi ├«n scopuri de securitate, supraveghere ╚Öi alert─â ├«n materie de s─ân─âtate, pentru prevenirea sau controlul bolilor transmisibile ╚Öi a altor amenin╚Ť─âri grave la adresa s─ân─ât─â╚Ťii. Aceast─â derogare poate fi acordat─â ├«n scopuri medicale, inclusiv s─ân─âtatea public─â ╚Öi gestionarea serviciilor de asisten╚Ť─â medical─â, ├«n special ├«n vederea asigur─ârii calit─â╚Ťii ╚Öi eficien╚Ťei din punctul de vedere al costurilor ale procedurilor utilizate pentru solu╚Ťionarea cererilor de presta╚Ťii ╚Öi servicii ├«n cadrul sistemului de asigur─âri de s─ân─âtate, sau ├«n scopuri de arhivare ├«n interes public, ├«n scopuri de cercetare ╚Ötiin╚Ťific─â sau istoric─â ori ├«n scopuri statistice. De asemenea, prelucrarea unor asemenea date cu caracter personal ar trebui permis─â, printr-o derogare, atunci c├ónd este necesar─â pentru constatarea, exercitarea sau ap─ârarea unui drept ├«n justi╚Ťie, indiferent dac─â are loc ├«n cadrul unei proceduri ├«n fa╚Ťa unei instan╚Ťe sau ├«n cadrul unei proceduri administrative sau a unei proceduri extrajudiciare.

(53) Categoriile speciale de date cu caracter personal care necesit─â un nivel mai ridicat de protec╚Ťie ar trebui prelucrate doar ├«n scopuri legate de s─ân─âtate atunci c├ónd este necesar pentru realizarea acestor scopuri ├«n beneficiul persoanelor fizice ╚Öi al societ─â╚Ťii ├«n general, ├«n special ├«n contextul gestion─ârii serviciilor ╚Öi sistemelor de s─ân─âtate sau de asisten╚Ť─â social─â, inclusiv prelucrarea acestor date de c─âtre autorit─â╚Ťile de management ╚Öi de c─âtre autorit─â╚Ťile centrale na╚Ťionale din domeniul s─ân─ât─â╚Ťii ├«n scopul controlului calit─â╚Ťii, furniz─ârii de informa╚Ťii de gestiune ╚Öi al supravegherii generale a sistemului de s─ân─âtate sau de asisten╚Ť─â social─â la nivel na╚Ťional ╚Öi local, precum ╚Öi ├«n contextul asigur─ârii continuit─â╚Ťii asisten╚Ťei medicale sau sociale ╚Öi a asisten╚Ťei medicale transfrontaliere ori ├«n scopuri de securitate, supraveghere ╚Öi alert─â ├«n materie de s─ân─âtate ori ├«n scopuri de arhivare ├«n interes public, ├«n scopuri de cercetare ╚Ötiin╚Ťific─â sau istoric─â ori ├«n scopuri statistice ├«n temeiul dreptului Uniunii sau al dreptului intern, care trebuie s─â urm─âreasc─â un obiectiv de interes public, precum ╚Öi ├«n cazul studiilor realizate ├«n interes public ├«n domeniul s─ân─ât─â╚Ťii publice. Prin urmare, prezentul regulament ar trebui s─â prevad─â condi╚Ťii armonizate pentru prelucrarea categoriilor speciale de date cu caracter personal privind s─ân─âtatea, ├«n ceea ce prive╚Öte nevoile specifice, ├«n special atunci c├ónd prelucrarea acestor date este efectuat─â ├«n anumite scopuri legate de s─ân─âtate de c─âtre persoane care fac obiectul unei obliga╚Ťii legale de a p─âstra secretul profesional. Dreptul Uniunii sau dreptul intern ar trebui s─â prevad─â m─âsuri specifice ╚Öi adecvate pentru a proteja drepturile fundamentale ╚Öi datele cu caracter personal ale persoanelor fizice. Statele membre ar trebui s─â aib─â posibilitatea de a men╚Ťine sau de a introduce condi╚Ťii suplimentare, inclusiv restric╚Ťii, ├«n ceea ce prive╚Öte prelucrarea datelor genetice, a datelor biometrice sau a datelor privind s─ân─âtatea. Totu╚Öi, acest lucru nu ar trebui s─â ├«mpiedice libera circula╚Ťie a datelor cu caracter personal ├«n cadrul Uniunii atunci c├ónd aceste condi╚Ťii se aplic─â prelucr─ârii transfrontaliere a unor astfel de date.

(54) Prelucrarea categoriilor speciale de date cu caracter personal poate fi necesar─â din motive de interes public ├«n domeniile s─ân─ât─â╚Ťii publice, f─âr─â consim╚Ť─âm├óntul persoanei vizate. O astfel de prelucrare ar trebui condi╚Ťionat─â de m─âsuri adecvate ╚Öi specifice destinate s─â protejeze drepturile ╚Öi libert─â╚Ťile persoanelor fizice. ├Än acest context, conceptul de ÔÇ×s─ân─âtate public─âÔÇŁ ar trebui interpretat astfel cum este definit ├«n Regulamentul (CE) nr. 1338/2008 al Parlamentului European ╚Öi al Consiliului (11), ╚Öi anume toate elementele referitoare la s─ân─âtate ╚Öi anume starea de s─ân─âtate, inclusiv morbiditatea sau handicapul, factorii determinan╚Ťi care au efect asupra st─ârii de s─ân─âtate, necesit─â╚Ťile ├«n domeniul asisten╚Ťei medicale, resursele alocate asisten╚Ťei medicale, furnizarea asisten╚Ťei medicale ╚Öi asigurarea accesului universal la aceasta, precum ╚Öi cheltuielile ╚Öi sursele de finan╚Ťare ├«n domeniul s─ân─ât─â╚Ťii ╚Öi cauzele mortalit─â╚Ťii. Aceast─â prelucrare a datelor privind s─ân─âtatea din motive de interes public nu ar trebui s─â duc─â la prelucrarea acestor date ├«n alte scopuri de c─âtre p─âr╚Ťi ter╚Ťe, cum ar fi angajatorii sau societ─â╚Ťile de asigur─âri ╚Öi b─âncile.

Articolul 9 alin. (1) ÔÇô(2): (1) Se interzice prelucrarea de date cu caracter personal care dezv─âluie originea rasial─â sau etnic─â, opiniile politice, confesiunea religioas─â sau convingerile filozofice sau apartenen╚Ťa la sindicate ╚Öi prelucrarea de date genetice, de date biometrice pentru identificarea unic─â a unei persoane fizice, de date privind s─ân─âtatea sau de date privind via╚Ťa sexual─â sau orientarea sexual─â ale unei persoane fizice.

(2) Alineatul (1) nu se aplic─â ├«n urm─âtoarele situa╚Ťii:

(a) persoana vizat─â ╚Öi-a dat consim╚Ť─âm├óntul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excep╚Ťia cazului ├«n care dreptul Uniunii sau dreptul intern prevede ca interdic╚Ťia prev─âzut─â la alineatul (1) s─â nu poat─â fi ridicat─â prin consim╚Ť─âm├óntul persoanei vizate;

(b) prelucrarea este necesar─â ├«n scopul ├«ndeplinirii obliga╚Ťiilor ╚Öi al exercit─ârii unor drepturi specifice ale operatorului sau ale persoanei vizate ├«n domeniul ocup─ârii for╚Ťei de munc─â ╚Öi al securit─â╚Ťii sociale ╚Öi protec╚Ťiei sociale, ├«n m─âsura ├«n care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de munc─â ├«ncheiat ├«n temeiul dreptului intern care prevede garan╚Ťii adecvate pentru drepturile fundamentale ╚Öi interesele persoanei vizate;

(c) prelucrarea este necesar─â pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci c├ónd persoana vizat─â se afl─â ├«n incapacitate fizic─â sau juridic─â de a-╚Öi da consim╚Ť─âm├óntul;

(d) prelucrarea este efectuat─â ├«n cadrul activit─â╚Ťilor lor legitime ╚Öi cu garan╚Ťii adecvate de c─âtre o funda╚Ťie, o asocia╚Ťie sau orice alt organism f─âr─â scop lucrativ ╚Öi cu specific politic, filozofic, religios sau sindical, cu condi╚Ťia ca prelucrarea s─â se refere numai la membrii sau la fo╚Ötii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente ├«n leg─âtur─â cu scopurile sale ╚Öi ca datele cu caracter personal s─â nu fie comunicate ter╚Ťilor f─âr─â consim╚Ť─âm├óntul persoanelor vizate;

(e) prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată;

(f) prelucrarea este necesar─â pentru constatarea, exercitarea sau ap─ârarea unui drept ├«n instan╚Ť─â sau ori de c├óte ori instan╚Ťele ac╚Ťioneaz─â ├«n exerci╚Ťiul func╚Ťiei lor judiciare;

(g) prelucrarea este necesar─â din motive de interes public major, ├«n baza dreptului Uniunii sau a dreptului intern, care este propor╚Ťional cu obiectivul urm─ârit, respect─â esen╚Ťa dreptului la protec╚Ťia datelor ╚Öi prevede m─âsuri corespunz─âtoare ╚Öi specifice pentru protejarea drepturilor fundamentale ╚Öi a intereselor persoanei vizate;

(h) prelucrarea este necesar─â ├«n scopuri legate de medicina preventiv─â sau a muncii, de evaluarea capacit─â╚Ťii de munc─â a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asisten╚Ť─â medical─â sau social─â sau a unui tratament medical sau de gestionarea sistemelor ╚Öi serviciilor de s─ân─âtate sau de asisten╚Ť─â social─â, ├«n temeiul dreptului Uniunii sau al dreptului intern sau ├«n temeiul unui contract ├«ncheiat cu un cadru medical ╚Öi sub rezerva respect─ârii condi╚Ťiilor ╚Öi garan╚Ťiilor prev─âzute la alineatul (3);

(i) prelucrarea este necesar─â din motive de interes public ├«n domeniul s─ân─ât─â╚Ťii publice, cum ar fi protec╚Ťia ├«mpotriva amenin╚Ť─ârilor transfrontaliere grave la adresa s─ân─ât─â╚Ťii sau asigurarea de standarde ridicate de calitate ╚Öi siguran╚Ť─â a asisten╚Ťei medicale ╚Öi a medicamentelor sau a dispozitivelor medicale, ├«n temeiul dreptului Uniunii sau al dreptului intern, care prevede m─âsuri adecvate ╚Öi specifice pentru protejarea drepturilor ╚Öi libert─â╚Ťilor persoanei vizate, ├«n special a secretului profesional; sau

(j) prelucrarea este necesar─â ├«n scopuri de arhivare ├«n interes public, ├«n scopuri de cercetare ╚Ötiin╚Ťific─â sau istoric─â ori ├«n scopuri statistice, ├«n conformitate cu articolul 89 alineatul (1), ├«n baza dreptului Uniunii sau a dreptului intern, care este propor╚Ťional cu obiectivul urm─ârit, respect─â esen╚Ťa dreptului la protec╚Ťia datelor ╚Öi prevede m─âsuri corespunz─âtoare ╚Öi specifice pentru protejarea drepturilor fundamentale ╚Öi a intereselor persoanei vizate.

3. Dar înregistrările pe hârtie?

Regulamentul GDPR nu acoper─â informa╚Ťiile care nu sunt sau nu sunt destinate s─â fac─â parte dintr-un “sistem de ├«nregistrare”. ├Änregistr─ârile pe h├órtie care nu sunt ╚Ťinute ca parte a unui sistem de ├«nregistrare, chiar dac─â ar putea avea date personale sunt exceptate de la majoritatea principiilor din Regulamentul GDPR.

4. Datele pseudonimizate sunt încă date personale?

Pseudonimizarea este o tehnic─â care ├«nlocuie╚Öte sau ├«nl─âtur─â informa╚Ťiile ├«ntr-un set de date care identific─â un individ (cum ar fi prin alocarea unui identificator de tip num─âr ├«n loc de nume, prenume).

Preusonimizarea este definit─â de Regulamentul GDPR ca fiind:

! pseudonimizare ├«nseamn─â prelucrarea datelor cu caracter personal ├«ntr-un asemenea mod ├«nc├ót acestea s─â nu mai poat─â fi atribuite unei anume persoane vizate f─âr─â a se utiliza informa╚Ťii suplimentare, cu condi╚Ťia ca aceste informa╚Ťii suplimentare s─â fie stocate separat ╚Öi s─â fac─â obiectul unor m─âsuri de natur─â tehnic─â ╚Öi organizatoric─â care s─â asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile.

Art. 4 din Regulamentul GDPR

Pseudonimizarea poate implica ├«nlocuirea numelor sau a altor identificatori u╚Öor de atribuit unor persoane cu un num─âr de referin╚Ť─â. Chiar dac─â pute╚Ťi conecta acest num─âr de referin╚Ť─â ├«napoi la persoan─â dac─â ave╚Ťi acces la informa╚Ťiile relevante, ar trebui s─â introduce╚Ťi m─âsuri tehnice ╚Öi organizatorice pentru a v─â asigura c─â aceste informa╚Ťii sunt ╚Ťinute separat.

Pseudonimizarea datelor personale poate reduce riscurile pentru persoanele vizate ╚Öi v─â va ajuta s─â v─â ├«ndeplini╚Ťi cerin╚Ťele privind protec╚Ťia datelor.

Cu toate acestea, pseudonimizarea este ├«n mod efectiv doar o m─âsur─â de securitate. Nu modific─â starea datelor ca date personale. Preambulul 26 din Regulamentul GDPR clarific─â faptul c─â datele personale pseudonimizate r─âm├ón date cu caracter personal ╚Öi care intr─â sub inciden╚Ťa Regulamentul GDPR.

Datele cu caracter personal care au fost supuse pseudonimiz─ârii, care ar putea fi atribuite unei persoane fizice prin utilizarea de informa╚Ťii suplimentare, ar trebui considerate informa╚Ťii referitoare la o persoan─â fizic─â identificabil─â. ÔÇŽ

Preambul 26 din Regulamentul GDPR

Exemplu:

O firm─â de curierat proceseaz─â date personale despre kilometrajul, c─âl─âtoriile ╚Öi frecven╚Ťa de conducere ale ╚Öoferilor. Aceasta de╚Ťine aceste date cu caracter personal ├«n dou─â scopuri:

┬Ě┬á┬á┬á┬á┬á┬á┬á┬á s─â proceseze cererile de cheltuieli pentru kilometraj; ╚Öi

┬Ě┬á┬á┬á┬á┬á┬á┬á┬á s─â taxeze clien╚Ťii pentru serviciul respectiv.

Pentru ambele, identificarea curierilor individuali este obligatorie.

Cu toate acestea, o a doua echip─â din cadrul organiza╚Ťiei utilizeaz─â de asemenea datele pentru a optimiza eficien╚Ťa flotei de curierat. Pentru aceasta, identificarea persoanei nu este necesar─â.

Prin urmare, organiza╚Ťia asigur─â intern c─â a doua echip─â poate accesa datele numai ├«ntr-o form─â care nu permite identificarea curierilor individuali. Pseudonimizarea acestor date, prin ├«nlocuirea identificatorilor (nume, titluri de locuri de munc─â, date despre loca╚Ťie ╚Öi istoricul conducerii) cu un echivalent neidentificat, cum ar fi un num─âr de referin╚Ť─â, care privit de sine st─ât─âtor nu are nici un sens.

Membrii acestei a doua echipe pot accesa numai informa╚Ťiile pseudonime.

├Än timp ce a doua echip─â nu poate identifica nici un individ, organiza╚Ťia ├«ns─â╚Öi, ├«n calitate de operator, poate face conexiunea cu materialul livrat de a doua echip─â ├«napoi la persoanele identificate.

Aceasta reprezintă o bună practică în cadrul GDPR.

 

Dispozi╚Ťii relevante din Regulamentul GDPR:

Preambul 26: Principiile protec╚Ťiei datelor ar trebui s─â se aplice oric─ârei informa╚Ťii referitoare la o persoan─â fizic─â identificat─â sau identificabil─â. Datele cu caracter personal care au fost supuse pseudonimiz─ârii, care ar putea fi atribuite unei persoane fizice prin utilizarea de informa╚Ťii suplimentare, ar trebui considerate informa╚Ťii referitoare la o persoan─â fizic─â identificabil─â. Pentru a se determina dac─â o persoan─â fizic─â este identificabil─â, ar trebui s─â se ia ├«n considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, ├«n mod rezonabil, s─â le utilizeze fie operatorul, fie o alt─â persoan─â, ├«n scopul identific─ârii, ├«n mod direct sau indirect, a persoanei fizice respective. Pentru a se determina dac─â este probabil, ├«n mod rezonabil, s─â fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui lua╚Ťi ├«n considerare to╚Ťi factorii obiectivi, precum costurile ╚Öi intervalul de timp necesare pentru identificare, ╚Ťin├óndu-se seama at├ót de tehnologia disponibil─â la momentul prelucr─ârii, c├ót ╚Öi de dezvoltarea tehnologic─â. Principiile protec╚Ťiei datelor ar trebui, prin urmare, s─â nu se aplice informa╚Ťiilor anonime, adic─â informa╚Ťiilor care nu sunt legate de o persoan─â fizic─â identificat─â sau identificabil─â sau datelor cu caracter personal care sunt anonimizate astfel ├«nc├ót persoana vizat─â nu este sau nu mai este identificabil─â. Prin urmare, prezentul regulament nu se aplic─â prelucr─ârii unor astfel de informa╚Ťii anonime, inclusiv ├«n cazul ├«n care acestea sunt utilizate ├«n scopuri statistice sau de cercetare.

Preambul 28: Aplicarea pseudonimiz─ârii datelor cu caracter personal poate reduce riscurile pentru persoanele vizate ╚Öi poate ajuta operatorii ╚Öi persoanele ├«mputernicite de ace╚Ötia s─â ├«╚Öi ├«ndeplineasc─â obliga╚Ťiile de protec╚Ťie a datelor. Introducerea explicit─â a conceptului de ÔÇ×pseudonimizareÔÇŁ ├«n prezentul regulament nu este destinat─â s─â ├«mpiedice alte eventuale m─âsuri de protec╚Ťie a datelor.

Preambul 29: Pentru a crea stimulente pentru aplicarea pseudonimiz─ârii atunci c├ónd sunt prelucrate date cu caracter personal, ar trebui s─â fie posibile m─âsuri de pseudonimizare, permi╚Ť├ónd ├«n acela╚Öi timp analiza general─â, ├«n cadrul aceluia╚Öi operator atunci c├ónd operatorul a luat m─âsurile tehnice ╚Öi organizatorice necesare pentru a se asigura c─â prezentul regulament este pus ├«n aplicare ├«n ceea ce prive╚Öte respectiva prelucrare a datelor ╚Öi c─â informa╚Ťiile suplimentare pentru atribuirea datelor cu caracter personal unei anumite persoane vizate sunt p─âstrate separat. Operatorul care prelucreaz─â datele cu caracter personal ar trebui s─â indice persoanele autorizate din cadrul aceluia╚Öi operator.

Art. 4 alin. (1): ÔÇ×date cu caracter personalÔÇŁ ├«nseamn─â orice informa╚Ťii privind o persoan─â fizic─â identificat─â sau identificabil─â (ÔÇ×persoana vizat─âÔÇŁ); o persoan─â fizic─â identificabil─â este o persoan─â care poate fi identificat─â, direct sau indirect, ├«n special prin referire la un element de identificare, cum ar fi un nume, un num─âr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identit─â╚Ťii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

Art. 4 alin. (5): ÔÇ×pseudonimizareÔÇŁ ├«nseamn─â prelucrarea datelor cu caracter personal ├«ntr-un asemenea mod ├«nc├ót acestea s─â nu mai poat─â fi atribuite unei anume persoane vizate f─âr─â a se utiliza informa╚Ťii suplimentare, cu condi╚Ťia ca aceste informa╚Ťii suplimentare s─â fie stocate separat ╚Öi s─â fac─â obiectul unor m─âsuri de natur─â tehnic─â ╚Öi organizatoric─â care s─â asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile.

5.Ce facem cu datele anonimizate?

Regulamentul GDPR nu se aplic─â datelor cu caracter personal care au fost anonimizate. Preambulul 26 explic─â faptul c─â:

Principiile protec╚Ťiei datelor ar trebui, prin urmare, s─â nu se aplice informa╚Ťiilor anonime, adic─â informa╚Ťiilor care nu sunt legate de o persoan─â fizic─â identificat─â sau identificabil─â sau datelor cu caracter personal care sunt anonimizate astfel ├«nc├ót persoana vizat─â nu este sau nu mai este identificabil─â. Prin urmare, prezentul regulament nu se aplic─â prelucr─ârii unor astfel de informa╚Ťii anonime, inclusiv ├«n cazul ├«n care acestea sunt utilizate ├«n scopuri statistice sau de cercetare ÔÇŽ

Aceasta înseamnă că datele personale care au fost anonimizate nu sunt supuse Regulamentului GDPR. Prin urmare, anonimizarea poate fi o metodă de limitare a riscului și un beneficiu pentru persoanele vizate. Prin urmare, se încurajează anonimizarea datelor, ori de câte ori este posibil.

Cu toate acestea, trebuie s─â fi╚Ťi precau╚Ťi c├ónd ├«ncerca╚Ťi s─â anonimiza╚Ťi datele personale. Organiza╚Ťiile se refer─â frecvent la seturile de date cu caracter personal ca fiind “anonime” atunci c├ónd, de fapt, nu este cazul. Ar trebui apoi s─â v─â asigura╚Ťi c─â orice tratamente sau abord─âri pe care le lua╚Ťi sunt menite s─â anonimizeze cu adev─ârat datele personale (ie. s─â nu vorbim despre o pseudonimizare). Exist─â un risc major s─â crede╚Ťi c─â pute╚Ťi ignora cerin╚Ťele Regulamentului GDPR av├ónd convingerea gre╚Öit─â c─â nu prelucra╚Ťi date personale c├ónd de fapt o face╚Ťi.

Pentru a fi cu adev─ârat anonimizat ├«n cadrul Regulamentului GDPR, trebuie s─â elimina╚Ťi suficiente elementele din datele personale, ceea ce ├«nseamn─â c─â persoana nu mai poate fi identificat─â. Cu toate acestea, ├«n cazul ├«n care ├«n orice moment putea folosi orice mijloace disponibile ├«n mod rezonabil pentru a re-identifica persoanele la care datele se refer─â, ├«nseamn─â c─â datele nu au fost ├«n mod eficient anonimizate, ci vor fi doar pseudonimizate. Aceasta ├«nseamn─â c─â ├«n ciuda eforturilor depuse de a anonimiza datele, prelucrarea datelor va continua s─â fie sub inciden╚Ťa Regulamentului GDPR.

De asemenea, trebuie s─â re╚Ťine╚Ťi c─â, atunci c├ónd face╚Ťi anonimizarea datelor personale, procesa╚Ťi datele ├«n acel moment (ie. mai ├«nt├ói organiza╚Ťia are acces la date personale pe care le anonimizeaz─â, deci tot are parte de un proces de prelucrare a datelor cu caracter personal conform Regulamentului GDPR).

6. Informa╚Ťiile despre persoanele decedate sunt date personale?

Regulamentul GDPR se aplic─â numai informa╚Ťiilor care se refer─â la un individ care poate fi identificat. Informa╚Ťiile referitoare la persoana decedat─â nu constituie date cu caracter personal ╚Öi, prin urmare, nu sunt supuse Regulamentului GDPR.

& Dispozi╚Ťii relevante din Regulamentul GDPR:

Preambul 27: Prezentul regulament nu se aplic─â datelor cu caracter personal referitoare la persoane decedate. Statele membre pot s─â prevad─â norme privind prelucrarea datelor cu caracter personal referitoare la persoane decedate.

7. Dar informa╚Ťiile despre companii?

Informa╚Ťiile despre o persoan─â “legal─â” (juridic─â), nu o persoan─â “fizic─ânu sunt date cu caracter personal. Prin urmare, informa╚Ťii despre o societate cu r─âspundere limitat─â sau despre o alt─â entitate juridic─â, care ar putea avea personalitate juridic─â (S.A., ONG, P.F.A, etc.) nu constituie date personale╚Öi nu intr─â ├«n domeniul de aplicare al Regulamentului GDPR. ├Än mod similar, informa╚Ťiile despre o autoritate public─â nu sunt date personale.

Cu toate acestea, Regulamentul GDPR se aplic─â datelor personale care privesc persoane fizice care ac╚Ťioneaz─â ├«n calitate de comercian╚Ťi individuali, angaja╚Ťi, parteneri ╚Öi directori de companii ├«n mod individual ori de c├óte ori acestea sunt identificabile ╚Öi informa╚Ťiile se refer─â la ele ├«n mod individual, mai degrab─â dec├ót ca reprezentant al unei persoane juridice. Un nume ╚Öi o adres─â de e-mail a companiei se refer─â ├«n mod clar la o anumit─â persoan─â ╚Öi, prin urmare, sunt date cu caracter personal. Cu toate acestea, emailurilor (╚Öi con╚Ťinutul acestora) trimise folosind aceste detalii nu vor fi ├«n mod automat considerate ca fiind datele personale, cu excep╚Ťia cazului ├«n care acele emailuri includ informa╚Ťiile care dezv─âluie ceva despre acea persoan─â individual─â sau au impact asupra ei.

Comments
Se incarca...
NU RATA!
Aboneaza-te la newsletter
Fii primul care sa primeasca ultimele stiri bune de citit dimineata la cafea.
Ramai conectat
close-link

ÔÇő















 
CUMPARA KITUL ACUM!
close-link
Aboneaza-te la continut exclusiv. Fii primul care afla noutatile.
Aboneaza
close-image