Ce acoperă GDPR?

Regulamentul general privind protecția datelor (GDPR) cuprinde o definiție largă și precisă a datelor cu caracter personal, extinzându-se mult dincolo de identificatorii de bază. Conform articolului 4(1) din GDPR, datele cu caracter personal se referă la „orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”)” [1]. Acestea includ, dar nu se limitează la:

• Nume
• Numere de identificare
• Date de localizare
• Identificatori online (precum adresele IP)
• Adrese de e-mail, numere de telefon și adrese fizice

GDPR extinde și mai mult domeniul de aplicare prin clasificarea anumitor date drept categorii speciale de date cu caracter personal. Acestea fac obiectul unei protecții sporite datorită naturii lor sensibile. Articolul 9(1) enumeră aceste categorii, inclusiv:

• Originea rasială sau etnică
• Opiniile politice
• Convingerile religioase sau filozofice
• Apartenența la sindicate
• Datele genetice
• Datele biometrice (atunci când sunt utilizate pentru identificare)
• Datele privind sănătatea
• Date privind viața sexuală sau orientarea sexuală a unei persoane

Regulamentul interzice în mod explicit prelucrarea acestor categorii speciale, cu excepția cazului în care sunt îndeplinite condiții specifice, cum ar fi consimțământul explicit sau un interes public substanțial [2].

Aplicabilitate
GDPR se aplică extrateritorial. Articolul 3 prevede că orice organizație, indiferent de locația sa fizică, trebuie să se conformeze dacă:

• Oferă bunuri sau servicii persoanelor din UE/SEE
• Monitorizează comportamentul persoanelor din UE/SEE

Analiza empirică demonstrează că organizațiile din afara UE sunt frecvent supuse obligațiilor GDPR atunci când colectează sau prelucrează datele rezidenților UE, în special în scenarii de comerț digital și analiză web [3].

Rezultate cheie

• Definiția datelor cu caracter personal în cadrul GDPR este intenționat largă, asigurând acoperirea formelor tradiționale și emergente de identificare (de ex., cookie-uri, ID-uri de dispozitiv).
• Datele cu caracter personal sensibile, așa cum sunt definite de GDPR, necesită standarde de prelucrare mai stricte și temeiuri juridice explicite.
• Sfera de aplicare a GDPR este globală: entitățile din afara UE/SEE trebuie să își evalueze activitățile de prelucrare a datelor pentru o posibilă acoperire.
• Interpretarea regulamentului de către autoritățile de supraveghere și instanțe a favorizat în mod constant o protecție cuprinzătoare, subliniind obiectivul regulamentului de a proteja drepturile persoanelor vizate [4].

Referințe:
[1] Regulamentul (UE) 2016/679 (Regulamentul general privind protecția datelor), articolul 4(1). Jurnalul Oficial al Uniunii Europene
[2] Regulamentul (UE) 2016/679, articolul 9(1).
[3] Kuner, C., Bygrave, L. A., & Docksey, C. (2020). Regulamentul general al UE privind protecția datelor (GDPR): Un comentariu. Oxford University Press. Referință OUP
[4] Voigt, P., & Von dem Bussche, A. (2017). Regulamentul general al UE privind protecția datelor (GDPR): Ghid practic. Springer. Referință Springer