Що належить до персональних даних згідно з GDPR?

Аналіз визначення GDPR показує, що персональні дані охоплюють «будь-яку інформацію, що стосується ідентифікованої або ідентифікованої фізичної особи» (стаття 4(1) GDPR). Широке охоплення цього терміну підтверджується Судом Європейського Союзу, який тлумачить поняття «ідентифікованої» як таке, що включає як пряму, так і непряму ідентифікацію за допомогою ідентифікаторів або характеристик.

Ключові висновки:

• Прямі ідентифікатори:
  Ім’я, прізвище, номер телефону, адреса, електронна пошта та особисті ідентифікаційні номери (наприклад, SSN, паспорт, водійське посвідчення).
• Непрямі ідентифікатори:
  IP-адреса, cookie-ID, рекламні ідентифікатори, ідентифікатори пристроїв.
• Дані про місцезнаходження:
  Домашня адреса, геолокація в реальному часі та маршрути пересування.
• Біометричні дані:
  Відбитки пальців, зображення/геометрія обличчя, сканування сітківки ока.
• Особисті характеристики:
  Фотографічні зображення (включно з фотографіями обличчя), записи голосу.
• Фінансова інформація:
  Номери банківських рахунків або кредитних карток.

Article 29 Working Party наголошує на контекстуальному підході — інформація стає персональною, якщо вона дозволяє виокремити, зв’язатися або відстежити особу, навіть у поєднанні з іншими даними [WP29 Guidelines, 2017].

Судова практика підтверджує, що «онлайн-ідентифікатори», такі як IP-адреси, ідентифікатори пристроїв та файли cookie, є персональними даними, якщо вони пов’язані з іншими елементами, що дозволяють ідентифікацію.

GDPR також поширює захист на спеціальні категорії (стаття 9), включаючи біометричні дані та дані про стан здоров’я, що підтверджує широке охоплення регламенту. Таке тлумачення узгоджується з науковими працями, які визначають GDPR як одну з найсуворіших систем захисту конфіденційності у світі.

Резюме:

• Визначення GDPR є навмисно широким.
• Захищені як прямі, так і непрямі ідентифікатори.
• Контекст визначає можливість ідентифікації.
• Особлива увага приділяється біометричним та чутливим даним.