Co obejmuje GDPR?

Ogólne rozporządzenie o ochronie danych (GDPR) obejmuje szeroką i precyzyjną definicję danych osobowych, wykraczającą daleko poza podstawowe identyfikatory. Zgodnie z art. 4 ust. 1 GDPR, dane osobowe oznaczają „wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”)” [1]. Obejmuje to między innymi:

• Imiona i nazwiska
• Numery identyfikacyjne
• Dane o lokalizacji
• Identyfikatory internetowe (takie jak adresy IP)
• Adresy e-mail, numery telefonów i adresy fizyczne

GDPR dodatkowo rozszerza zakres, kategoryzując niektóre dane jako szczególne kategorie danych osobowych. Podlegają one wzmożonej ochronie ze względu na ich wrażliwy charakter. Art. 9 ust. 1 wymienia te kategorie, w tym:

• Pochodzenie rasowe lub etniczne
• Poglądy polityczne
• Przekonania religijne lub światopoglądowe
• Przynależność do związków zawodowych
• Dane genetyczne
• Dane biometryczne (gdy są wykorzystywane do celów identyfikacji)
• Dane dotyczące zdrowia
• Dane dotyczące życia seksualnego lub orientacji seksualnej osoby

Rozporządzenie wyraźnie zabrania przetwarzania takich szczególnych kategorii, chyba że spełnione są określone warunki, takie jak wyraźna zgoda lub znaczący interes publiczny [2].

Zastosowanie
GDPR ma zastosowanie eksterytorialne. Art. 3 określa, że każda organizacja, niezależnie od jej fizycznej lokalizacji, musi przestrzegać przepisów, jeśli:

• Oferuje towary lub usługi osobom fizycznym w UE/EOG
• Monitoruje zachowanie osób fizycznych na terenie UE/EOG

Analiza empiryczna wykazuje, że organizacje spoza UE często podlegają obowiązkom wynikającym z GDPR podczas gromadzenia lub przetwarzania danych mieszkańców UE, zwłaszcza w scenariuszach handlu cyfrowego i analityki internetowej [3].

Kluczowe wnioski

• Definicja danych osobowych w ramach GDPR jest celowo szeroka, aby zapewnić objęcie tradycyjnych i nowo powstających form identyfikacji (np. pliki cookie, identyfikatory urządzeń).
• Wrażliwe dane osobowe, zgodnie z definicją GDPR, wymagają surowszych standardów przetwarzania i wyraźnych podstaw prawnych.
• Zasięg GDPR jest globalny: podmioty spoza UE/EOG muszą ocenić swoje działania w zakresie przetwarzania danych pod kątem potencjalnego objęcia rozporządzeniem.
• Interpretacja rozporządzenia przez organy nadzorcze i sądy konsekwentnie faworyzuje kompleksową ochronę, podkreślając cel rozporządzenia, jakim jest ochrona praw osób, których dane dotyczą [4].

Źródła:
[1] Rozporządzenie (UE) 2016/679 (Ogólne rozporządzenie o ochronie danych), Art. 4(1). Dziennik Urzędowy Unii Europejskiej
[2] Rozporządzenie (UE) 2016/679, Art. 9(1).
[3] Kuner, C., Bygrave, L. A., & Docksey, C. (2020). The EU General Data Protection Regulation (GDPR): A Commentary. Oxford University Press. OUP Reference
[4] Voigt, P., & Von dem Bussche, A. (2017). The EU General Data Protection Regulation (GDPR): Practical Guide. Springer. Springer Reference