Загальний регламент про захист даних (GDPR) застосовує комплексний підхід до визначення персональних даних. Згідно зі статтею 4(1), «персональні дані — це будь-яка інформація, що стосується ідентифікованої або ідентифікованої фізичної особи („суб’єкта даних“); ідентифікованою фізичною особою є та, яку можна ідентифікувати, прямо чи опосередковано» (GDPR, 2016). Це визначення має кілька ключових наслідків, які детально описані нижче:
- Прямі ідентифікатори: Регламент прямо включає такі дані, як ім'я, адреса, номер телефону, ідентифікаційні номери та інші дані, які можуть однозначно ідентифікувати особу.
- Непрямі ідентифікатори: Сфера дії поширюється на інформацію, яка в поєднанні з іншими даними може ідентифікувати особу. Приклади включають дату народження, дані про місцезнаходження, професію, і навіть унікальні фізичні, фізіологічні, генетичні, розумові, економічні, культурні або соціальні маркери ідентичності.
- Онлайн-ідентифікатори: GDPR конкретно визнає, що цифрова інформація — така як IP-адреси, файли cookie, ідентифікатори пристроїв та метадані про місцезнаходження — є персональними даними, якщо її можна пов'язати з особою.
- Спеціальні категорії: Дані, що вважаються особливо чутливими — включаючи расове або етнічне походження, політичні погляди, релігійні чи філософські переконання, членство в профспілках, генетичні дані, біометричні дані для цілей ідентифікації, дані про стан здоров'я — класифікуються як «спеціальні категорії» і підлягають суворішим заходам захисту.
Результати останніх регуляторних вказівок і судових рішень підсилюють широке тлумачення. Наприклад:
- Суд Європейського Союзу (CJEU) постановив, що навіть динамічні IP-адреси можуть становити персональні дані, якщо контролер має законні засоби для ідентифікації суб'єкта даних за допомогою додаткової інформації.
- Псевдонімізовані дані залишаються в межах визначення персональних даних, доки існує можливість їх повторної ідентифікації розумними засобами.
Отже, згідно з GDPR, будь-яка інформація, яку можна пов'язати — прямо чи опосередковано — з живою особою, підпадає під дію регламенту. Акцент регламенту на ідентифікованості означає, що навіть інформація, яка прямо не називає особу, все одно може бути захищена, якщо повторна ідентифікація можлива за допомогою наявних або доступних даних. Цей розширений підхід забезпечує високий рівень захисту конфіденційності, але вимагає ретельної оцінки з боку організацій, які обробляють будь-які дані, що стосуються фізичних осіб.
