مقررات عمومی حفاظت از داده (GDPR) رویکردی جامع را برای تعریف دادههای شخصی اتخاذ میکند. طبق ماده 4(1)، “دادههای شخصی به معنای هرگونه اطلاعات مربوط به یک شخص حقیقی شناساییشده یا قابل شناسایی («موضوع داده») است؛ شخص حقیقی قابل شناسایی کسی است که بتوان او را بهطور مستقیم یا غیرمستقیم شناسایی کرد” (GDPR، ۲۰۱۶). این تعریف چندین پیامد کلیدی دارد که در ادامه به تفصیل شرح داده شده است:
- شناساگرهای مستقیم: این مقررات بهصراحت دادههایی مانند نام، آدرس، شماره تلفن، شمارههای شناسایی، و سایر دادههایی را که میتوانند به طور قطعی یک فرد را شناسایی کنند، شامل میشود.
- شناساگرهای غیرمستقیم: این دامنه به اطلاعاتی گسترش مییابد که وقتی با دادههای دیگر ترکیب شوند، میتوانند یک فرد را شناسایی کنند. مثالها شامل تاریخ تولد، دادههای مکانی، شغل، و حتی نشانگرهای هویتی منحصربهفرد فیزیکی، فیزیولوژیکی، ژنتیکی، ذهنی، اقتصادی، فرهنگی یا اجتماعی است.
- شناساگرهای آنلاین: GDPR بهطور خاص تشخیص میدهد که اطلاعات دیجیتال—مانند آدرسهای IP، کوکیها، شناسه دستگاه، و فراداده مکانی—در صورتی که بتوان آن را به یک فرد مرتبط کرد، داده شخصی محسوب میشود.
- دستههای ویژه: دادههایی که بهطور خاص حساس تلقی میشوند—شامل منشأ نژادی یا قومی، عقاید سیاسی، باورهای دینی یا فلسفی، عضویت در اتحادیههای کارگری، دادههای ژنتیکی، دادههای بیومتریک برای اهداف شناسایی، دادههای سلامت—بهعنوان «دستههای ویژه» طبقهبندی میشوند و مشمول اقدامات حفاظتی سختگیرانهتری هستند.
نتایج راهنماییهای نظارتی اخیر و تصمیمات دادگاه، این تفسیر گسترده را تقویت میکند. برای مثال:
- دیوان دادگستری اتحادیه اروپا (CJEU) اعلام کرد که حتی آدرسهای IP پویا نیز ممکن است داده شخصی محسوب شوند، در صورتی که کنترلکننده داده ابزارهای قانونی برای شناسایی موضوع داده از طریق اطلاعات اضافی را در اختیار داشته باشد.
- دادههای مستعارشده تا زمانی که امکان شناسایی مجدد از طریق ابزارهای معقول وجود داشته باشد، در تعریف دادههای شخصی باقی میمانند.
بهطور خلاصه، تحت GDPR، هر اطلاعاتی که بتواند—بهطور مستقیم یا غیرمستقیم—به یک فرد زنده مرتبط شود، در محدوده این مقررات قرار میگیرد. تأکید این مقررات بر قابلیت شناسایی به این معناست که حتی اطلاعاتی که صراحتاً نام یک شخص را ذکر نمیکنند، اگر شناسایی مجدد با دادههای موجود یا قابل دسترس امکانپذیر باشد، ممکن است همچنان محافظت شوند. این رویکرد گسترده سطح بالایی از حفاظت از حریم خصوصی را تضمین میکند، اما نیازمند ارزیابی دقیق توسط سازمانهایی است که هرگونه داده مربوط به افراد را پردازش میکنند.
