Що охоплює GDPR?

Загальний регламент про захист даних (GDPR) охоплює широке та точне визначення персональних даних, що виходить далеко за межі базових ідентифікаторів. Відповідно до статті 4(1) GDPR, персональні дані – це «будь-яка інформація, що стосується ідентифікованої або ідентифікованої фізичної особи ("суб'єкта даних")» [1]. Це включає, але не обмежується:

• Імена
• Ідентифікаційні номери
• Дані про місцезнаходження
• Онлайн-ідентифікатори (наприклад, IP-адреси)
• Адреси електронної пошти, номери телефонів та фізичні адреси

GDPR додатково розширює сферу застосування, класифікуючи певні дані як спеціальні категорії персональних даних. Вони підлягають посиленому захисту через свою чутливу природу. Стаття 9(1) перелічує ці категорії, зокрема:

• Расове або етнічне походження
• Політичні погляди
• Релігійні чи філософські переконання
• Членство у профспілках
• Генетичні дані
• Біометричні дані (якщо вони використовуються для ідентифікації)
• Дані про стан здоров'я
• Дані, що стосуються статевого життя або сексуальної орієнтації особи

Регламент прямо забороняє обробку таких спеціальних категорій, якщо не виконуються певні умови, наприклад, наявність явної згоди або значний суспільний інтерес [2].

Сфера застосування
GDPR застосовується екстериторіально. Стаття 3 визначає, що будь-яка організація, незалежно від її фізичного місцезнаходження, повинна дотримуватися вимог, якщо вона:

• Пропонує товари чи послуги особам у ЄС/ЄЕЗ
• Відстежує поведінку осіб у межах ЄС/ЄЕЗ

Емпіричний аналіз показує, що організації, що не входять до ЄС часто підпадають під дію зобов'язань GDPR при зборі або обробці даних резидентів ЄС, особливо в сценаріях цифрової комерції та вебаналітики [3].

Ключові результати

• Визначення персональних даних згідно з GDPR є навмисно широким, що забезпечує охоплення традиційних і нових форм ідентифікації (наприклад, файли cookie, ідентифікатори пристроїв).
• Чутливі персональні дані, як це визначено в GDPR, вимагають суворіших стандартів обробки та чітких правових підстав.
• Дія GDPR є глобальною: організації за межами ЄС/ЄЕЗ повинні оцінювати свою діяльність з обробки даних на предмет потенційного охоплення.
• Тлумачення регламенту наглядовими органами та судами послідовно схилялося до всебічного захисту, підкреслюючи мету регламенту щодо захисту прав суб'єктів даних [4].

Посилання:
[1] Регламент (ЄС) 2016/679 (Загальний регламент про захист даних), стаття 4(1). Офіційний вісник Європейського Союзу
[2] Регламент (ЄС) 2016/679, стаття 9(1).
[3] Kuner, C., Bygrave, L. A., & Docksey, C. (2020). The EU General Data Protection Regulation (GDPR): A Commentary. Oxford University Press. OUP Reference
[4] Voigt, P., & Von dem Bussche, A. (2017). The EU General Data Protection Regulation (GDPR): Practical Guide. Springer. Springer Reference