Dữ liệu Cá nhân bao gồm những gì theo GDPR?

Phân tích định nghĩa của GDPR cho thấy dữ liệu cá nhân bao gồm “bất kỳ thông tin nào liên quan đến một thể nhân được xác định hoặc có thể xác định được” (Điều 4(1), GDPR). Phạm vi của thuật ngữ này, đặc trưng bởi sự rộng lớn, được xác nhận bởi Tòa án Công lý Châu Âu, cơ quan giải thích “có thể xác định được” bao gồm cả việc nhận dạng trực tiếp và gián tiếp thông qua các định danh hoặc đặc điểm.

Những phát hiện chính cho thấy:

• Định danh trực tiếp:
  Tên, họ, số điện thoại, địa chỉ, email và số nhận dạng cá nhân (ví dụ: SSN, hộ chiếu, giấy phép lái xe).
• Định danh gián tiếp:
  Địa chỉ IP, ID cookie, định danh quảng cáo, ID thiết bị.
• Dữ liệu vị trí:
  Địa chỉ nhà, vị trí địa lý trực tiếp và các kiểu di chuyển.
• Dữ liệu sinh trắc học:
  Vân tay, hình ảnh/hình học khuôn mặt, quét võng mạc.
• Đặc điểm cá nhân:
  Hình ảnh nhiếp ảnh (bao gồm ảnh khuôn mặt), bản ghi âm giọng nói.
• Thông tin tài chính:
  Số tài khoản ngân hàng hoặc thẻ tín dụng.

Article 29 Working Party nhấn mạnh cách tiếp cận theo ngữ cảnh—thông tin trở thành dữ liệu cá nhân nếu nó có thể xác định, liên lạc hoặc truy dấu một cá nhân, ngay cả khi được kết hợp với các điểm dữ liệu khác [WP29 Guidelines, 2017].

Án lệ xác nhận rằng các “định danh trực tuyến” như địa chỉ IP, ID thiết bị và cookie cấu thành dữ liệu cá nhân khi được liên kết với các yếu tố khác cho phép nhận dạng.

GDPR tiếp tục mở rộng bảo vệ cho các danh mục đặc biệt (Điều 9), bao gồm dữ liệu sinh trắc học và sức khỏe, củng cố phạm vi bao phủ rộng rãi của quy định. Cách giải thích này phù hợp với các nghiên cứu học thuật xác định GDPR là một trong những khuôn khổ bảo vệ quyền riêng tư nghiêm ngặt nhất trên toàn cầu.

Tóm tắt:

• Định nghĩa của GDPR có chủ ý mở rộng.
• Cả định danh trực tiếp và gián tiếp đều được bảo vệ.
• Ngữ cảnh quyết định khả năng nhận dạng.
• Dữ liệu sinh trắc học và dữ liệu nhạy cảm được quan tâm đặc biệt.