داده‌های شخصی تحت GDPR شامل چه مواردی است؟

تحلیل تعریف GDPR نشان می‌دهد که داده‌های شخصی شامل «هرگونه اطلاعات مربوط به یک شخص حقیقی شناسایی‌شده یا قابل شناسایی» است (ماده ۴ (۱)، GDPR). دامنه این اصطلاح که به گستردگی آن شناخته می‌شود، توسط دیوان دادگستری اروپا تأیید شده است، که «قابل شناسایی» را به گونه‌ای تفسیر می‌کند که شامل شناسایی مستقیم و غیرمستقیم از طریق شناسه‌ها یا ویژگی‌ها می‌شود.

یافته‌های کلیدی نشان می‌دهد:

• شناسه‌های مستقیم:
  نام، نام خانوادگی، شماره تلفن، آدرس، ایمیل و شماره‌های شناسایی شخصی (مانند SSN، گذرنامه، گواهینامه رانندگی).
• شناسه‌های غیرمستقیم:
  آدرس IP، شناسه کوکی، شناسه‌های تبلیغاتی، شناسه‌های دستگاه.
• داده‌های مکانی:
  آدرس منزل، موقعیت جغرافیایی زنده و الگوهای سفر.
• داده‌های بیومتریک:
  اثر انگشت، تصاویر/هندسه چهره، اسکن شبکیه.
• ویژگی‌های شخصی:
  تصاویر عکاسی (شامل عکس‌های چهره)، ضبط صدا.
• اطلاعات مالی:
  شماره حساب بانکی یا کارت اعتباری.

کارگروه ماده ۲۹ بر رویکردی زمینه‌ای تأکید می‌کند—اطلاعات زمانی شخصی تلقی می‌شود که بتواند فردی را مشخص، با او تماس گرفته یا او را ردیابی کند، حتی زمانی که با سایر نقاط داده ترکیب شود [دستورالعمل‌های WP29، ۲۰۱۷].

رویه قضایی تأیید می‌کند که «شناسه‌های آنلاین» مانند آدرس‌های IP، شناسه‌های دستگاه و کوکی‌ها زمانی که با عناصر دیگری که امکان شناسایی را فراهم می‌کنند مرتبط شوند، داده‌های شخصی محسوب می‌شوند.

GDPR حمایت خود را به دسته‌های ویژه (ماده ۹) نیز گسترش می‌دهد که شامل داده‌های بیومتریک و بهداشتی است و پوشش گسترده این مقررات را تقویت می‌کند. این تفسیر با تحقیقات علمی که GDPR را به عنوان یکی از سخت‌گیرانه‌ترین چارچوب‌های حریم خصوصی در سطح جهان معرفی می‌کنند، همسو است.

خلاصه:

• تعریف GDPR به طور عمدی گسترده است.
• هم شناسه‌های مستقیم و هم غیرمستقیم محافظت می‌شوند.
• زمینه، قابلیت شناسایی را تعیین می‌کند.
• توجه ویژه‌ای به داده‌های بیومتریک و حساس می‌شود.